[Info] FRITZ!Box 7490 Labor-Firmware Version 113.06.36-31687 vom 29.10.2015

Status
Für weitere Antworten geschlossen.
Kann man eigentlich die Geräte im Gastzugang umbenennen?
Ich kann mich zumindest an Diskussionen mit jemandem entsinnen, der auch unbedingt seine "Gäste" umbenennen wollte, weil er das Gastnetz als DMZ "mißbrauchen" wollte. Der hatte (Alzheimer im Anmarsch) aber m.E. schon mit der 06.23 dieses Problem. Ich verstehe auch immer noch nicht, was das am Ende bringen soll. Man kann ja weder ein Profil für einen solchen Gast einrichten noch gibt es sonst irgendeine Notwendigkeit, dem Teil einen "sprechenden Namen" zu geben. Wenn alles gut läuft, vergißt die FRITZ!Box dieses Gerät bei der WLAN-Abmeldung (oder nach Timeout, wenn es sich nicht verabschiedet) ohnehin umgehend wieder.
 
Danke für die Antworten. Habe gerade auch gesehen, dass das Gastgerät nun im Nirwana gelandet ist. Habe vorhin mit dem Gastzugang ein wenig rumgespielt und hab nur gewundert, dass man die Namen nicht ändern konnte.
 
Ich kann mich zumindest an Diskussionen mit jemandem entsinnen, der auch unbedingt seine "Gäste" umbenennen wollte, weil er das Gastnetz als DMZ "mißbrauchen" wollte. Der hatte (Alzheimer im Anmarsch) aber m.E. schon mit der 06.23 dieses Problem. Ich verstehe auch immer noch nicht, was das am Ende bringen soll. Man kann ja weder ein Profil für einen solchen Gast einrichten noch gibt es sonst irgendeine Notwendigkeit, dem Teil einen "sprechenden Namen" zu geben. Wenn alles gut läuft, vergißt die FRITZ!Box dieses Gerät bei der WLAN-Abmeldung (oder nach Timeout, wenn es sich nicht verabschiedet) ohnehin umgehend wieder.

Hallo erst mal zusammen!

Abwegig ist es nicht.
Bei mir sind nur Bekannte Geräte für WLAN freigeschaltet.
Familie und Freunde, die regelmäßig zu Besuch kommen, sollen erkannt und rein gelassen werden.
ALLERDINGS sollen sie NICHT auf die Netzwerkfreigaben und NAS/Mediaserver drauf.
Am liebste wären mir entsprechende Haken in den Profileinstellungen, um das zu sperren.

Oder kennt jemand eine Lösung?
 
Das Passwort des Gastzugangs nur den Leuten geben, die da auch rein dürfen?
 
@PeterPawn Antwort ist nichts hinzuzufügen, alles andere wäre Mumpitz.
Ein Gastzugang ist halt ein Gastzugang ;)
 
Das Passwort des Gastzugangs nur den Leuten geben, die da auch rein dürfen?
So kann man es auch zusammenfassen, aber die Frage an Ilja13 wäre es meinerseits auch, warum er diese Geräte denn "umbenennen" will. Das Vergeben von "sprechenden" und permanenten Namen (wenn man es schon nicht am Gerät selber vornehmen kann) macht ja noch Sinn, wenn man diesem Gerät irgendwoanders in den Einstellungen Privilegien einräumen oder ihnen Einschränkungen "verpassen" will.

Für das Gastnetz (das ist eben kein zweites separates LAN, dafür gibt es dann andere Geräte oder man nimmt eine Routerkaskade - wie das geht, hat heise.de mal ausführlich erläutert, so daß es eigentlich jeder hinbekommen sollte) gibt es ein gemeinsames Profil "Gast", mit dem man weitere Einschränkungen durchsetzen kann. Für einen "private hotspot" ist das (meine Meinung) vollkommen ausreichend, ich kenne sogar Leute, die schon eine solche Konfiguration aus Sicherheitsgründen kategorisch ablehnen würden.

Der Zugang zu diesem Gastnetz wird über den PSK als "shared secret" geregelt. Wer es kennt, kann damit das Profil "Gast" nutzen, ansonsten schaut er in die Röhre (da wünsche ich mir dann wieder Konsequenz und die Abschaltung von unverschlüsseltem WLAN oder zumindest das komplette Interface in Rot als Warnung bei solchen Einstellungen). Da der Administrator gar nicht zwischen den verschiedenen Geräten im Gastnetz unterscheiden muß (sie werden ja nicht individuell "behandelt"), braucht er auch keine Namen dafür.

Diese wären - per Definition - unmittelbar nach der Abmeldung des Gastgerätes ohnehin wieder vergessen. Das Gastnetz soll sich gar nicht "merken", wen es schon einmal kannte. Da wäre ggf. sogar die Datensparsamkeit eine Begründung - ich muß es nicht haben, daß jeder Betreiber eines solchen privaten Hotspots, an dem ich mich mal angemeldet hatte, meinen Gerätenamen (möglichst noch mit Hinweis, wer ich bin, spätestens nachdem er ihn für sich geändert hat) auf ewig mit meiner MAC-Adresse verknüpfen kann. Klar, das kann er als "böswilliger Lauscher" ohnehin, aber mit einer solchen - von den meisten unbeabsichtigten - Speicherung entstehen dann wieder viele kleine "Inseln" aus solchen Spuren, die bei der nächsten Sicherheitslücke zusammengetragen werden können.

Dann muß man m.E. aber auch mal überlegen, wofür in >95% (wenn nicht noch mehr) dieses Gastnetz verwendet wird. Die meisten "Hobby-Admins" wären mit einer zweiten unabhängigen Berechtigungsstruktur für das Gastnetz am Ende dann eben doch überfordert ... da ist das "KISS"-Prinzip für die Verwendung eines solchen Hotspots ein "guter Vorsatz" und den setzt AVM für mich hier in einer Form um, die vielen (m.E. den meisten) gerecht wird.

Ansonsten sichert man gemeinhin Netzwerkfreigaben auch mit passenden Credentials, auch ein Mediaserver ohne die Notwendigkeit der Anmeldung ist eher ein Grund zur Diskussion (die ja auch beim AVM-Mediaserver immer wieder auftaucht als Kritik).

Wenn mit
Ilja13 schrieb:
Bei mir sind nur Bekannte Geräte für WLAN freigeschaltet.
am Ende wieder der MAC-Adressfilter gemeint sein sollte, dann verstehe ich ohnehin weiter nicht, was damit bezweckt werden soll (warum es die Einstellung überhaupt noch gibt). Ein "versehentliches" Anmelden sollte es bei sicherem PSK ohnehin nicht geben (dazu gehört auch eine eindeutige (E)SSID) und einen ernsthaften Angriff verhindert dieser Filter bekanntlich nur dann, wenn der Angreifer keine Chance hat, ein zulässiges Gerät und den AP gleichzeitig zu "belauschen". Ich kann mir auch nicht vorstellen, daß dieser MAC-Adressfilter beim Gastnetz überhaupt berücksichtigt wird, das führt das komplette Prinzip "private hotspot" dann wieder ad absurdum, wenn es so wäre.

Am sichersten ist auch so ein Gastnetz natürlich dann, wenn es mit einem MAC-Adressfilter, einer "versteckten" SSID und einem starken PSK in Verbindung mit WPA2 arbeitet - dann ist es wohl am wenigsten gefährdet. Inwieweit sich diese Gefährdung jetzt erhöht, wenn da die SSID sichtbar ist und kein MAC-Adressfilter verwendet wird, aber immer noch ein starker PSK mit starker Verschlüsselung, hat mir bisher aber noch niemand plausibel machen können. Das ist ein wenig wie das Fahrradschloß vor der Tresortür, wo vermutlich auch jeder Einbrecher vor Lachen aufgibt, wenn er erst einmal den Tresor offen hat und sich jetzt daran machen müßte, das Fahrradschloß auch noch zu öffnen. Außer dem "guten Gefühl" (das auch noch trügerisch ist) bringt das - meine Meinung - absolut nichts. Wenn es bekannte Angriffe auf WPA2 geben wird (das kommt garantiert, spätestens mit der technischen Entwicklung, wenn die verwendeten Algorithmen "brute force attacks" nicht mehr wiederstehen können), dann muß man das neu bewerten, wobei ich mir beim besten Willen nicht vorstellen kann, wie dann eine "hidden SSID" und eine Filterung von MAC-Adressen da in die Breche springen sollten.

Mit
Ilja13 schrieb:
Am liebste wären mir entsprechende Haken in den Profileinstellungen, um das zu sperren.
kann ich überhaupt nichts anfangen, da verstehe ich den Hintergrund gar nicht. Wenn es ein Profil für ein solches Gerät gibt, dann soll mit diesem Profil gleichzeitig entschieden werden, ob das Gerät zum Gastnetz oder zum "lokalen WLAN" gehört? Das wird doch schon über die "Zugehörigkeit" zum passenden WLAN (über die ESSID) geregelt.

TL;DR:
Ich fände es ausgesprochen unschön, wenn AVM am Gastnetz irgendwelche "Sonderfunktionen" realisiert, die im Normalfall fast niemand braucht und/oder benutzt und dadurch an anderen Stellen die Sicherheit leidet. Dazu gehört für mich auch die Sicherheit vor Fehlbedienungen durch den Kunden. Ein komplettes zweites (W)LAN anstelle des Gastnetzes wäre eine solche Änderung. Abgesehen davon, kommen garantiert auch dann wieder einige Kunden auf die Idee, man müsse doch zwischen diesen beiden getrennten lokalen Netzen auch noch selektiv Verbindungen zulassen, weil es auch dafür garantiert einen "use case" gibt. Das ist ein Gastnetz für temporär anwesende Clients ... Punkt. Mit dem "captive portal" und den "tickets/vouchers" für das "Kaufen" von zusätzlicher Online-Zeit dürften daran eigentlich auch keine Zweifel mehr bleiben ... für die wenigen sinnvollen Anwendungen für zwei vollwertige lokale Netze gibt es andere Lösungen.
 
Zuletzt bearbeitet:
ich muß es nicht haben, daß jeder Betreiber eines solchen privaten Hotspots, an dem ich mich mal angemeldet hatte, meinen Gerätenamen (möglichst noch mit Hinweis, wer ich bin, spätestens nachdem er ihn für sich geändert hat) auf ewig mit meiner MAC-Adresse verknüpfen kann.
Dir ist aber schon klar, dass das per Pushmail sehr wohl möglich ist...? Wenn nicht mehrere Geräte gleichzeitig an und abgemeldet werden ist die Zuordnung kein Problem mehr... Die Frage ist nur noch wer will sowas wo speichern, in der FB gehts halt nicht...
 
Ja, ist mir klar, wird von mir auch kritisiert. Aber das ist wenigstens noch an einer anderen Stelle abgelegt und den Namen des Gerätes gebe auch ich als Eigentümer vor. Meine Geräte bieten schon lange keine Möglichkeit mehr (schon seit BT-Zeiten nicht), anhand des Gerätenamens auf meine Identität zu schließen - ich erkenne die auch, ohne daß sie "Peter's irgendwas" heißen.

So eine "Liste" der jemals angemeldeten Clients in der Box selbst, die dann mit einem TFFS-Dump (wo sonst sollte man so etwas speichern) bei der nächsten Sicherheitslücke automatisch mit ausgelesen wird, ermöglicht dann - schon anhand des Abgleichs der MAC-Adressen - Beziehungen zwischen FRITZ!Boxen (bzw. eigentlich deren Nutzern ;)) herzustellen, die für "social engineering" eine denkbare (und dankbare) Quelle bilden. Schon die Benutzernamen einer FRITZ!Box sind garantiert in den meisten Fällen geeignet, Leute mit ihren Namen zu identifizieren, irgendwelche "Gerätenamen" in den "landevices" sicherlich überwiegend auch.

Je mehr Einzelheiten man auf diesem Weg ermitteln kann, um so einfacher wird es, sich für jemand anderen auszugeben beim "social engineering". Dieser Faktor (platt gesagt, "die Dummheit der Leute") wird auch immer wieder unterschätzt in meinen Augen. Wenn man sich die forensischen Ergebnisse (soweit sie veröffentlicht werden) der größeren Angriffe der letzten Zeit ansieht (von "White House" bis Bundestag), dann waren das fast immer Angriffe über E-Mails mit Inhalten, die dem Empfänger eine für ihn wichtige (und erwartete) Nachricht vorgauckelten und beim Öffnen über 0day-Exploits eindrangen.

Die getrennte Speicherung in irgendeinem Postfach bildet da zumindest noch eine gewisse Hürde - selbst wenn beim nächsten GAU die Pushmail-Credentials wieder gelesen werden können, ist immer noch ein weiterer Schritt erforderlich, um an die Pushmail-Nachrichten zu gelangen, von der unterstellten Speicherdauer im Postfach mal abgesehen.

Als Sicherheitsfeature sehe ich die Pushmails ohnehin etwas skeptischer ... ein erfolgreicher Angreifer erhält auch Zugang zu den Credentials für Pushmail-Versand und solange die (wie bei den meisten Anbietern oder spätestens bei deren Kunden) beim Versand und Empfang identisch sind, kann er auch solche Pushmails selektiv wieder löschen, sofern nicht andere Hürden dort existieren (z.B. die "Gerätesperre" bei Googlemail). Das hilft als Sicherheitsgewinn also nur dann, wenn der Zugriff auf die empfangenen Mails mit den Credentials in der Box nicht möglich ist oder der berechtigte Empfänger diese Mails bereits vor dem Löschen zur Kenntnis genommen hat.

Ohne passenden WORM-Speicher sind solche "revisionsfesten" Protokolle eben nicht zu realisieren ... man kann höchstens noch weitere Maßnahmen umsetzen, damit unbefugte Eingriffe erkannt werden können. Eine fortlaufende Nummerierung von Pushmails würde z.B. schon das "heimliche Löschen" einzelner Mails massiv behindern.
 
Für das Gastnetz (das ist eben kein zweites separates LAN...

So, auch wenn ich hier vllt. gleich Kritik zu hören bekomme: Ich hab nicht alles in dem Beitrag und auch die vorherigen Beiträge zum Gastnetz gelesen, werde aber wohl bald eines eirichten. Mich stört besonders das Win10 Key Sharing und da ich außer mir selbst nur eine Person kenne, die tatsächlich mal Datenschutz irgendwo anklickt, müssen die nicht in mein WLAN. Also:
Was heißt kein separates LAN? Können die etwa auf die Geräte in meinem Netz zugreifen? Gar auf die FB!?

Meine 7490 ist ja Repeater, womöglich ist das Gastzugangsmenü in der Konfiguration nicht vollständig wie im Routerbetrieb. Das der 7360 ist jedenfalls aussagekräftiger & optionsreicher.
Ich kann schon verstehen, dass man die Menüs nicht übermäßig aufblähen will, aber wer die erweiterte Ansicht aktiviert, der verkraftet auch noch das ein oder andere Submenü.

Danke schonmal
 
Das windows 10 keysharing kann man doch relativ einfach als WLAN Betreiber verhindern.
 
Hat jemand von Euch mit der Labor auch Probleme mit SIP-Nummern?

Bei mir mit sipgate:

"Anmeldung der Internetrufnummer ([Rufnummer]) war nicht erfolgreich. Ursache: DNS-Fehler"
 
Nö, meine Nummer bei Sipgate läuft ohne Probleme.
 
Lag nicht an der FritzBox. Ich konnte mich auch mit meinen Daten bei Sipgate nicht mehr anmelden. Kennwort zurückgesetzt, dann war der Login wieder möglich. Danach sah ich, dass meine SIP-ID hinten einen Zusatz erhalten hat. Mal' den Kundenservice fragen, ob das ein Versehen ist/war?! Die haben ja ihre Seite umgestellt.
 
VPN LAN-LAN Verbindung zw. DSL und UMTS-Box?

Hat jmd. es hinbekommen, zwischen einer UMTS-FB mit 10er 100er-IP eine VPN-Verbindung aufzubauen?

Ich mühe mich seit vielen Stunden (seit Samstag) mit xxx Varianten das ans Laufen zu bekommen!

Das Config-Pärchen ist ja zigmal behandelt im Forum e.g.

http://www.ip-phone-forum.de/showthread.php?t=280377&p=2108759&viewfull=1#post2108759

Nach hundertemal im Kreis-Drehen frage ich nochmals nach, da ich wohl zu doof bin und die verschlüsselten Sequenzen "Key" "fqdn" usw. nicht begreife, wie diese kreieirt werden.

LG ... hätte ja fast PeterPawn gefragt ... der mag aber nichtmehr ... leider
 
die verschlüsselten Sequenzen "Key" "fqdn" usw. nicht begreife
Kannst Du das mal näher erläutern?

Man kann ja problemlos in einer zu importierenden VPN-Konfiguration die Daten im Klartext angeben ... wo kommt da eine "verschlüsselte Sequenz" vor?

Ansonsten gilt wie bei allen VPN-Problemen:

- zwei Konfigurationsdateien (und nicht nur in Prosa, da (also in den beschreibenden Text) gehört nur die Modell-Nummer und Firmware-Version der jeweiligen Box und der geplante "Verwendungszweck" der VPN-Verbindung hinein)
- event. Fehlermeldungen im Eventlog
- Inhalt der /var/tmp/ike.log (und wenn vorhanden der ike.old) per Telnet oder aus den Supportdaten, optimalerweise nach einem Systemstart und dem ersten Verbindungsversuch

Das Ganze dann in einem passenden (gesonderten) Thread, damit sich nicht wieder jemand aufregt, daß das mit der Labor-Version nichts zu tun hätte ...

Der angekündigte (und nach wie vor geplante) Rückzug ist noch nicht umgesetzt (verschoben) ... PMs bleiben trotzdem weiterhin gesperrt bei mir. Daß ich mir das (auch ungefragte) Schreiben bisher noch nicht abgewöhnt habe, sieht man ja auch in diesem Thread.
 
@Micha0815:
VPN-Problem gelöst oder aufgegeben oder habe ich bloß den gesonderten Thread überlesen?
 
Warum kann man den Upload NICHT auf eine sehr kleine Zahl begrenzen ????
Somit wäre ein Datenklau über unsichtbaren UPLOAD wenigstens erschwert.

Ausser dass man sich irgendwelche Tools aus dem Internet installiert, ist der UPLOAD nicht zu bremsen.
Ich denke, dass gerade der gute Upload von über 5000KB gewisse Kreise bemächtigt, sehr schnell alle Rechner der Erde leersaugen zu können.

Früher konnte man den Upload und Download manuel einstellen.
Arbeiten da gewisse Fritzboxentwickler mit dem CIA zusammen ???
Ausserdem habe ich gestern festgestellt, dass die Portfreigaben zu meinen Vernetzten Mobilgeräten mitten in der Nacht freigegeben wurden, OHNE dass ich irgendwelche ferndiagnose oder andere ähnliche Einstellungen im Vorfeld vorgenommen habe.
Also habe ich den Eindruck, dasss bei den Entwicklern der Fritzboxfirmware sich Mitarbeiter der NSA oder anderen Spionagezellen eingeschlichen haben.

Bitte helft mir, wie ich den UPLOAD per Fritzboxeinstellung auf den kleinsten minimalwert begrenzen kann.
herzlichen DANK im Vorraus.
Josef
 
[ironie] Woher weißt du, das wir nicht alle CIA / NSA / BND Agenten sind die dazu da sind dich falsch zu beraten um in dein Heimnetz zu gelangen? [/ironie]
Sachen gibts...

Internet --> Zugangsdaten --> Anbieter-Dienste hast du abgehakt? Ebenfalls unter
Netzwerk --> Netzwerkeinstellungen den UPnP kram abgehakt?
Sonst fällt mir gerade nichts ein woher es kommen könnte.

Ich denke eine Uploadbeschränkung ist ein ziemlich ungeeigneter Weg um dich von deinen Spionen und Datenklau zu schützen.
Da ist wohl, nach wie vor, eine auf dem aktuellen Stand gehaltene EDV-Infrastruktur, sowie gesunder Menschenverstand beim Inet-surfen und bedachter Umgang mit Daten im Netz die sinnvollere Lösung.

Gruß,
Tuffi
 

Anhänge

  • Screen Shot 11-04-15 at 12.14 PM.JPG
    Screen Shot 11-04-15 at 12.14 PM.JPG
    280 KB · Aufrufe: 121
Zuletzt bearbeitet:
@Micha0815:
Ich habe eine Idee, woran es liegen könnte, jedenfalls paßt etwas in der erzeugten Konfiguration nicht zu Deiner Beschreibung. Die Boxen können sich mit den gezeigten Konfigurationsdateien in Phase2 gar nicht verstehen.

Aber ich will das hier (Bitte meinerseits) nicht aufrollen ... mach' doch bitte einen eigenen neuen Thread auf (kannst ja den Inhalt von #79 da wiederholen und hier löschen), das hat mit der Labor-Version (dem Augenschein nach) nicht so viel zu tun, da hast Du einige Einstellungen ziemlich falsch verstanden.
 
Status
Für weitere Antworten geschlossen.

Statistik des Forums

Themen
246,172
Beiträge
2,247,422
Mitglieder
373,715
Neuestes Mitglied
wesleymoons87
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.