Fritzbox Hacker am Werk ?

[darkman010]

Im Gegenteil: es sagt, daß AVM auch keine Ahnung von dem Problem hat.

Das scheint wohl so zu sein. Trotzdem finde ich die Antworten von AVM sehr abenteuerlich. Hier die Antwort die ich von AVM erhalten habe:

Ihre Ticket-ID CIDXXXXXXX

Sehr geehrter Herr XXXX,

vielen Dank für Ihre Anfrage.

Vermutlich nutzen Sie die WEP-Verschlüsselung. Hierbei werden alle
WLAN-Clienten vermerkt, wenn diese einen Verbindungsversuch mit der
FRITZ!Box angestrebt haben. Der Verbindungsaufbau wird jedoch aufgrund des
falschen Schlüssels und des Mac-Adressfilters verhindert. Nutzen Sie die
WRA-Verschlüsselung, dann werden diese Mac-Adressen auch nicht mehr
auftauchen.

Mit freundlichen Grüßen aus Berlin

Hatte leider nicht gesagt, dass ich bereits die WPA-Verschlüsselung einsetze. Bin aber trotzdem sehr überrascht, denn das würde ja bedeuten, dass der MAC-Adressfilter bei WEP wirkungslos ist, wenn jeder Client beim Verbindungsversuch eingetragen wird.

 

[bodega]

Wenn keine neuen MAC-Adressen zugelassen werden, sollten sie trotz versuchter Einwahl nicht unter "Bekannte Netzwerkgeräte" auftauchen. Ansonsten wäre der MAC-Adressen Filter unbrauchbar.

Man muss dazu sagen, das SSID verstecken und MAC Filter auch kein richtiger Schutz sind. Sie geben zwar ein Gefühl von mehr Sicherheit, aber das war es auch schon. Verschlüsselung ist wohl der einzige Schutz beim WLAN.

Da bei der MAC-Adresse keine IP zugewiesen wurde, kann man einen Einbruch ausschließen.

Ich habe das Problem zwar nicht, aber dafür tauchen bei mir die VM Instanzen unter den bekannten Netzwerkgeräten (LAN) auf. Finde das nicht weiter schlimm, solange ich der Hacker bin

 

[darkman010]

Mir ist bewusst, das der Filter keinen absoluten Schutz bietet. Mein Wlan ist ja auch mittels WPA verschlüsselt. Ich teile nur meinen I-Net Anschluß mit ein paar Mitbewohnern, und der Filter stellt für mich die einzige Möglichkeit dar, einzelne Clienten zuzulassen bzw. abzuweisen. Dies ist für mich wichtig, da ich keine Lust habe hinter jedem herzulaufen, nur um das Geld zu bekommen. Und aus meiner Erfahrung kann ich sagen, das ein Missbrach in der Realität doch recht selten vorkommt.

Deshalb ist mir ein funktionierender Filter wichtig, denn unsicher heißt ja nicht unbrauchbar. Das Problem schränkt aber die Brauchbarkeit doch erheblich ein.

 

[loeben]

.......das SSID verstecken und MAC Filter auch kein richtiger Schutz sind........

So viel und so wenig wie eine gut gesicherte Haustüre auch

 

[darkman010]

Gebe die Zugangsdaten nur denjenigen mit denen ich meine I-net Verbindung teile. Also können auch nur sie das Wlan nutzen. Natürlich möchte ich genau diese Leute aus dem Wlan abweisen, wenn sie nicht gezahlt haben. Ich weiß selber wie man einen solchen Filter umgeht, deshalb bin ich mir auch bewusst, das es für diejenigen ein leichtes wäre.

Aber die Realität sieht nunmal anders aus. Am Anfang bin ich noch hinter jedem hergelaufen, um jeden Monat mein Geld zu bekommen. Mittlerweile sperre ich sie mit dem Filter aus, und es dauert nicht länger als 24 Stunden und sie stehen mit dem Geld vor meiner Tür. Also ist der Filter sehrwohl für meine Zwecke brauchbar, wenn er denn funktioniert.

 

[bodega]

So viel und so wenig wie eine gut gesicherte Haustüre auch

Naja. Einen Stuhl hinter einer abgeschlossenen Tür stellen, halte ich für keinen besonders guten Schutz. - Wenn man Birnen mit Äpfeln vergleicht .

Von mir aus kann AVM die nächste Firmware auch um diesen Punkt entschlacken.

Thema erledigt für mich.

Ganz meiner Meinung. Die Funktion ist nur Augenwischerei.

 

[RiVen]

Naja. Einen Stuhl hinter einer abgeschlossenen Tür stellen, halte ich für keinen besonders guten Schutz.

Naja. Eine geschlossene Haustür kann man auch mit entsprechendem Werkzeug innerhalb kürzester Zeit öffnen.
Würdest du deine Haustür deshalb auch weglassen, ausbauen oder dauernd offen stehen lassen? Ich glaube nicht ;-)

 

[Verpeiler]

Von mir aus kann AVM die nächste Firmware auch um diesen Punkt entschlacken.

Der MAC-Filter war ja nicht von Anfang an dabei und wurde somit erst nachgerüstet. Ich vermute dabei sogar, dass dieses nur auf User-Wünsche zurückzuführen sein wird, welche einen MAC-Filter als wirkungsvoll betrachten. Aber mal ehrlich, ich habe diesen auch aktiv, trotz WPA2 Verschlüsselung. Aber vermissen würde ich den nicht.

Das WEP-Verschlüsselung inkl. MAC-Filter keinen WLAN-Ausschluss bzw. eine Sicherheit darstellen, sollte mittlerweile allen hinlänglich bekannt sein.

Das es AVM an der WLAN-Sicherheit gelegen ist, sollte auch an der Auslieferungsverschlüsselung (WPA) erkennbar sein. Andere Hersteller verzichten, wahrscheinlich wegen des Support-Aufkommens, ja gänzlich auf eine vorkonfigurierte Verschlüsselung.

Mal Sinn und Unsinn des MAC-Filters bei Seite gestellt, das sich jedoch bei einem genutzten MAC-Filter eine neue Adresse einträgt ist in meinen Augen ein grober Fehler. Ich würde da per Mail weiter nachhaken und dem Bearbeiter ruhig mitteilen, dass du die Antwort in einem Forum hinterlegen wirst. Ich gehe davon aus, das dann die Antwort nicht lapidar hingeschmettert wird.

 

[fritsv]

Ich lebe auf einem Berg in Kreta und es gibt innerhalb 2 km keinen anderen WLAN, trotzdem moechte ich nur leider auf dem Filter verzichten

 

[bodega]

Eine geschlossene Haustür kann man auch mit entsprechendem Werkzeug innerhalb kürzester Zeit öffnen.
Würdest du deine Haustür deshalb auch weglassen, ausbauen oder dauernd offen stehen lassen? Ich glaube nicht ;-)

Natürlich nicht. Die Haustür mit Schloss (in dem Fall WPA2) bleibt eingebaut.
Aber den Stuhl halte ich für überflüssig .

 

[AM35]

Das scheint wohl so zu sein. Trotzdem finde ich die Antworten von AVM sehr abenteuerlich. Hier die Antwort die ich von AVM erhalten habe:
Hatte leider nicht gesagt, dass ich bereits die WPA-Verschlüsselung einsetze. Bin aber trotzdem sehr überrascht, denn das würde ja bedeuten, dass der MAC-Adressfilter bei WEP wirkungslos ist, wenn jeder Client beim Verbindungsversuch eingetragen wird.

Er ist nicht nur wirkunkslos.
AVM sagt sogar, dass diese Wirkungslosigkeit normal und richtig sei..und das man keinen Fehler feststellen könne.

vielen Dank für Ihre Rückmeldung an AVM.

Wie bereits geschrieben, liegt dem von Ihnen beschriebenen Fall kein Fehler
der FRITZ!Box vor!
Meine Mails können sich daher nur darauf beschränken Ihnen die
Möglichkeiten aufzuzählen, wie die Ihnen unbekannte Mac-Adresse in die
Liste der bekannten WLAN-Adapter gelangt. Welche dieser Möglichkeiten nun
in Ihrem Fall zutrifft, kann ich natürlich nicht bestimmen.

Sollten Sie zukünftig noch einmal eine Frage zu Ihrer FRITZ!Box oder einem
anderen unserer Produkte haben, so stehen wir Ihnen gerne wieder zur
Verfügung.

 

[SnoopyDog]

Das hier geschilderte habe ich heute auch zum ersten Mal nach 2 Jahren gehabt. Ich wohne in einer nicht sehr stark besiedelten Umgebung, in welcher maximal 1 Nachbar in Frage kommen könnte.
Einmal auf das rote "X" geklickt und weg war die MAC.

Ich nutze im Übrigen grundsätzlich WPA+WPA2 Mischbetrieb. Somit dürfte die oben stehende Antwort von AVM nicht ganz richtig sein.

Ich werde nun immer direkt mit dem Telefon das WLAN deaktivieren, wenn ich das Haus verlasse.

 

[loeben]

......Vermutlich nutzen Sie die WEP-Verschlüsselung. Hierbei werden alle
WLAN-Clienten vermerkt, wenn diese einen Verbindungsversuch mit der
FRITZ!Box angestrebt haben. Der Verbindungsaufbau wird jedoch aufgrund des
falschen Schlüssels und des Mac-Adressfilters verhindert. Nutzen Sie die
WRA-Verschlüsselung, dann werden diese Mac-Adressen auch nicht mehr
auftauchen.
.

Works as designed - design does not work.
Wenn das kein Widerspruch in sich selbst ist: entweder der MAC-Filter verhindert oder der MAC-Filter protokolliert, aber ohne weitere Attribute lassen sich beide Funktionen (Protokoll und Abwehr) nicht in einer Datenbank realisieren.
@AVM, das ist kein Feature, das ist ein BUG.

 

[SnoopyDog]

@loeben: Diese Mail meinte ich Nicht die direkt über meiner Antwort stehende.

 

[Verpeiler]

AVM schreibt hier:

Meine Mails können sich daher nur darauf beschränken Ihnen die Möglichkeiten aufzuzählen, wie die Ihnen unbekannte Mac-Adresse in die Liste der bekannten WLAN-Adapter gelangt.

Es gibt ja theoretisch nur zwei Möglichkeiten:
- die MAC-Adresse wurde bei aktiven MAC-Filter von Hand eingetragen
- der MAC-Filter war zum Zeitpunkt des Connects nicht aktiv

Das sich bei einer aktivierten WEP-Verschlüsselung die MAC-Adresse dort beim Connect-Versuch einträgt und dadurch im Anschluss die MAC-Adresse freigegeben wurde, darf doch nicht sein. Selbst wenn ich keine Verschlüsselung nutze, kann und darf sich da nicht eine von mir nicht gewollte MAC-Adresse eintragen.

Wären hier zwei unterschiedliche Listen vorhanden "Liste der bekannten WLAN-Adapter" und eine "Liste der erlaubten WLAN-Adapter" wäre das ja kein Thema. Versteht der AVM Supporter überhaupt was du von ihm willst bzw. was du hier für einen Fehler beschreibst? Ich glaube nicht.

 

[RiVen]

Im WLAN-Monitor werden die WLAN-Netzwerkgeräte angezeigt, die der FRITZ!Box bekannt sind. Außerdem können Sie hier einstellen, welche WLAN-Geräte sich mit der FRITZ!Box verbinden dürfen und Sie finden detaillierte Informationen über die WLAN-Verbindung.

In der Übersicht werden die Netzwerkgeräte angezeigt, die:

* zum aktuellen Zeitpunkt über WLAN mit der FRITZ!Box verbunden sind oder
* zu einem früheren Zeitpunkt über WLAN mit der FRITZ!Box verbunden waren oder
* zum aktuellen Zeitpunkt versuchen, sich über WLAN mit der FRITZ!Box zu verbinden oder
* zu einem früheren Zeitpunkt versucht haben, sich über WLAN mit der FRITZ!Box zu verbinden.

Laut Online-Hilfe der Fritz!Box stehen in der "Übersicht"-Liste nicht (nur) die zugelassenen, sondern die "bekannten" Geräte, also auch die "Hacker"-Clients.
Schön wäre, wenn die Box anzeigen würde, welcher Eintrag zu welcher Kategorie gehört.

 

[AM35]

AVM schreibt hier:

Versteht der AVM Supporter überhaupt was du von ihm willst bzw. was du hier für einen Fehler beschreibst? Ich glaube nicht.

Ich hab sogar, den Screenschoot (Bild) mitgeschickt.

 

[Verpeiler]

@ RiVen

ein wenig tiefer in der selben Hilfe steht bei mir auch folgendes:

Keine neuen WLAN-Netzwerkgeräte zulassen

Wenn diese Einstellung aktiviert ist, dann können sich nur bekannte WLAN-Netzwerkgeräte mit der FRITZ!Box verbinden. Das heißt, nur WLAN-Netzwerkgeräte, die in der Liste "Bekannte Netzwerkgeräte (WLAN)" aufgeführt sind, haben die Berechtigung für den WLAN-Zugang.
Mit dieser Einstellung und der Möglichkeit, Einträge aus der Liste "Bekannte Netzwerkgeräte (WLAN)" zu löschen, können Sie exakt festlegen, welche WLAN-Netzwerkgeräte Zugang zur FRITZ!Box haben dürfen.

Das sollte im Gegenzug eigentlich heissen das dort bei aktviertem MAC-Filter nur Geräte auftauchen dürfen, welche ich manuell hinzugefügt habe oder vor Aktivierung des MAC-Filters schon vorhanden waren. Oder sehe ich das falsch?

 

[RiVen]

So hatte ich das bisher auch immer verstanden; zumindest sollte so ein echter MAC-Adreß-Filter funktionieren.
Aber die Bezeichnung "Bekannte Netzwerkgeräte (WLAN)" statt "Zugelassene .." und die aus der Online-Hilfe zitierte Definition von "bekannt" haben mich doch etwas ins Grübeln gebracht, was die Box denn in der Liste wirklich anzeigt ;-)

 

[Verpeiler]

Das steht dann wohl alles ein wenig im Widerspruch (auf die Online-Hilfe bezogen).

Fazit:

Sofern also ein "Eindringling" versucht sich per WLAN mit der FBox zu verbinden, wird dieser automatisch in die Liste der bekannten WLAN-Geräte eingebunden und hätte unabhängig von der Verschlüsselung theoretisch ein Zugriff auf das WLAN.

Ich habe das eben einmal mit folgendem Ergebnis getestet.

Mein WLAN-Client stand nicht in der Liste der WLAN-Geräte und es war WPA2 (only) und der MAC-Adress-Filter aktviert (FBox Fon 7150 FW 38.04.32 – ohne Modifikationen).

Ich habe nun versucht mich mit der FBox zu verbinden (mit nicht korrektem WPA2 Schlüssel). Und siehe da die Mac-Adresse meines getesteten WLAN-Clients stand im Anschluss in der "Liste der bekannten WLAN-Clients" und ist somit von Mac-Filter als zugelassener Client deklariert.

Ich kann mir kaum vorstellen, dass das so gewollt sein soll.