PsychoMantis
Aktives Mitglied
- Mitglied seit
- 18 Dez 2005
- Beiträge
- 2,539
- Punkte für Reaktionen
- 10
- Punkte
- 38
lighter schrieb:
Was ist damit gemeint?
Wenn man der Fritzbox ein Passwort verpasst, ist das problem gelöst. Oder?
FritzBox und FON.COM / Trennen Internes Netz von FON-Netz
- Ersteller bitboy0
- Erstellt am
Was ist damit gemeint?
Wenn man der Fritzbox ein Passwort verpasst, ist das problem gelöst. Oder?
detg
Aktives Mitglied
- Mitglied seit
- 18 Aug 2006
- Beiträge
- 1,498
- Punkte für Reaktionen
- 0
- Punkte
- 0
Thema DNS:
In dem Fonera ist wohl per Default ein DNS eingetragen, der überlastet ist. Also einen anderen öffentlichen DNS eintragen (z.B. deine Fritzbox, eine DNS von deinem DSL-Provider bekommt).
Thema Passwort:
Und wenn sich rausstellt, dass die Weboberfläche eine Sicherheitslücke hat oder sich durch ein Firmware-Update eine Lücke einschleicht ? Warum wohl ist die Konfiguration der Fritzbox über Web über WAN wohl standardmäßig nicht möglich ?
Außerdem kann man Passwörter über Brute-Force-Methoden knacken. Ich hoffe dein Passwort ist ausreichend kompliziert.
Warum wohl treibt das Fonera selber so einen Aufwand mit einer 2. gesicherten SSID für die Konfiguration ? Könnte man doch einfach über Passwort schützen.
Wenn Passwörter alleine sicher wären, dann gäb's kein SSL, kein SSH, kein VPN und keine Probleme mit WEP.
In dem Fonera ist wohl per Default ein DNS eingetragen, der überlastet ist. Also einen anderen öffentlichen DNS eintragen (z.B. deine Fritzbox, eine DNS von deinem DSL-Provider bekommt).
Thema Passwort:
Und wenn sich rausstellt, dass die Weboberfläche eine Sicherheitslücke hat oder sich durch ein Firmware-Update eine Lücke einschleicht ? Warum wohl ist die Konfiguration der Fritzbox über Web über WAN wohl standardmäßig nicht möglich ?
Außerdem kann man Passwörter über Brute-Force-Methoden knacken. Ich hoffe dein Passwort ist ausreichend kompliziert.
Warum wohl treibt das Fonera selber so einen Aufwand mit einer 2. gesicherten SSID für die Konfiguration ? Könnte man doch einfach über Passwort schützen.
Wenn Passwörter alleine sicher wären, dann gäb's kein SSL, kein SSH, kein VPN und keine Probleme mit WEP.
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,415
- Punkte für Reaktionen
- 612
- Punkte
- 113
Hallo,
Und ob der Zugang zur Weboberfläche der Box wirklich sicher ist, weiß ich auch nicht. AVM ergreift jedenfalls ziemlich heftige Maßnahmen, um einen Zugriff aus dem Internet auf diese Seite zu verhindern. Normale Portweiterleitungen etc. werden da geblockt, man muss schon die Box modifizieren, um das zu erreichen. Die werden sich schon was dabei denken, wenn sie so extrem verhindern wollen, dass die Oberfläche das potentielle Ziel von Hackern wird. :-Ö
Wenn ich mir so einen FON AP ins Haus holen würde, dann würde ich ein vollständig separat aufgezogenes Subnetz dafür spendieren, abgeschottet über einen Linux Router wie z.B. fli4l oder IPCop. Also der Router am DSL Modem, dahinter die Box und der FON AP an zwei physikalisch getrennten Netzwerkkarten. Die Karte des FON APs wird so eingerichtet, dass sie nur ins Internet kann und nicht ins private Subnetz (iptables). Dann wird die Box als NAT Router über IP eingerichtet, und der Hacker im FON WLAN hat zwei Hürden: Zum einen die iptables Regeln des Linux Routers und dann die NAT Instanz der Fritz. Beides gilt nach heutigem Ermessen als sicher.
Des weiteren erlaubt eine solche Lösung sogar QoS Einstellungen, um dem FON Benutzer nur eine bestimmte Bandbreite zu erlauben oder Filesharing zu verhindern. Unterm Strich eine saubere Lösung.
Viele Grüße
Frank
Das kommt u.a. aufs Passwort an. Passwortknacker sind leistungsfähig geworden.PsychoMantis schrieb:
Und ob der Zugang zur Weboberfläche der Box wirklich sicher ist, weiß ich auch nicht. AVM ergreift jedenfalls ziemlich heftige Maßnahmen, um einen Zugriff aus dem Internet auf diese Seite zu verhindern. Normale Portweiterleitungen etc. werden da geblockt, man muss schon die Box modifizieren, um das zu erreichen. Die werden sich schon was dabei denken, wenn sie so extrem verhindern wollen, dass die Oberfläche das potentielle Ziel von Hackern wird. :-Ö
Wenn ich mir so einen FON AP ins Haus holen würde, dann würde ich ein vollständig separat aufgezogenes Subnetz dafür spendieren, abgeschottet über einen Linux Router wie z.B. fli4l oder IPCop. Also der Router am DSL Modem, dahinter die Box und der FON AP an zwei physikalisch getrennten Netzwerkkarten. Die Karte des FON APs wird so eingerichtet, dass sie nur ins Internet kann und nicht ins private Subnetz (iptables). Dann wird die Box als NAT Router über IP eingerichtet, und der Hacker im FON WLAN hat zwei Hürden: Zum einen die iptables Regeln des Linux Routers und dann die NAT Instanz der Fritz. Beides gilt nach heutigem Ermessen als sicher.
Des weiteren erlaubt eine solche Lösung sogar QoS Einstellungen, um dem FON Benutzer nur eine bestimmte Bandbreite zu erlauben oder Filesharing zu verhindern. Unterm Strich eine saubere Lösung.
Viele Grüße
Frank
Danke für eure Kommentare. Ich werde mir ggf. eine Lösung wie Frank vorgeschlagen hat basteln. Aber zuerst überlege ich mir ob ich den Aufwand dafür überhaupt betreiben möchte...
PsychoMantis
Aktives Mitglied
- Mitglied seit
- 18 Dez 2005
- Beiträge
- 2,539
- Punkte für Reaktionen
- 10
- Punkte
- 38
@ frank:
Also so eine Lösung ist ja todsicher. Da kommt ja wirklich selbst der beste Hacker nicht durch. Aber muss das für den privaten Gebrauch wirklich so sicher sein? Ich meine wie groß ist denn schon die Wahrscheinlichkeit, dass 1. jemand einen Fonero knacken will, 2. jemand MEINE La Fonera knacken will, 3. den auch knackt (unter normalen einstellungen, so wie von FON gedacht - also keine besoneren sicherheitsmaßnahmen), und 4. was soll genau geknackt werden? Was soll der Hacker dann bekommen? Auf meinem PC habe ich eh nichts besonderes. Und die FritzBoxoberfläche (nach dem erforgreichen knacken des fritzbox-passwortes) gibt ja auch nix besonderes her.
Ich meine, für eine Firma wäre so eine Lösung vielleicht gut, aber brauche ich das denn als Ottonormalverbraucher?
Also so eine Lösung ist ja todsicher. Da kommt ja wirklich selbst der beste Hacker nicht durch. Aber muss das für den privaten Gebrauch wirklich so sicher sein? Ich meine wie groß ist denn schon die Wahrscheinlichkeit, dass 1. jemand einen Fonero knacken will, 2. jemand MEINE La Fonera knacken will, 3. den auch knackt (unter normalen einstellungen, so wie von FON gedacht - also keine besoneren sicherheitsmaßnahmen), und 4. was soll genau geknackt werden? Was soll der Hacker dann bekommen? Auf meinem PC habe ich eh nichts besonderes. Und die FritzBoxoberfläche (nach dem erforgreichen knacken des fritzbox-passwortes) gibt ja auch nix besonderes her.
Ich meine, für eine Firma wäre so eine Lösung vielleicht gut, aber brauche ich das denn als Ottonormalverbraucher?
Zuletzt bearbeitet:
Also bei mir geht der Zugriff auf die Fritzbox vom öffentlichen WLan des Fonero aus nicht, das ist auch die Standardkonfig. Wenn man im Fonero WAN aktiviert fürs öffentliche Netz, geht das natürlich, würde ich trotz Fritzbox-Passwort aber auch nicht tun, warum auch ? via öffentlichem Fon-WLan gehts sogar automatisch nur auf die Fonero-Anmelde/Login-Seite und was ich total cool finde auf meine Webseite, die ich in der Personalisierung des Fon-Ports eingetragen habe.
DHCP ist in meiner Fritzbox abgeschaltet, wer WLan nutzt und so um Sicherheit besorgt ist, wird das wohl genauso haben. Der Fonero vergibt sowohl fürs öffentliche, wie auch fürs private Netz per DHCP jeweils einen anderen IP-Adressbereich und der ist eben auch unterschiedlich von der Fritzbox. Als DNS-Server nutze ich auf dem Fonero die Server von Opendns.org, das tue ich auch privat und von daher kann man auch nicht auf mein privates Netz schliessen.
Also müsste ich doch an der Strasse schon das Wohnmobil erkennen können, wenn jemand erst den Fonero-Router und danach meine Fritzbox hacken will
Mit nem Linux-Router-PC mag man noch sicherer als sicher sein. Ich weiss ja nicht was ihr für Staatsgeheimnisse auf euren PCs habt, aber zu bedenken ist vielleicht, dass diese Linux-Router-PC-Lösung so 100-1500 Euro im Jahr an Strom kosten wird, vom lärmenden PC mal ganz zu schweigen, letzteres muss ja auch nicht sein, je nach den Möglichkeiten die man so hat.
DHCP ist in meiner Fritzbox abgeschaltet, wer WLan nutzt und so um Sicherheit besorgt ist, wird das wohl genauso haben. Der Fonero vergibt sowohl fürs öffentliche, wie auch fürs private Netz per DHCP jeweils einen anderen IP-Adressbereich und der ist eben auch unterschiedlich von der Fritzbox. Als DNS-Server nutze ich auf dem Fonero die Server von Opendns.org, das tue ich auch privat und von daher kann man auch nicht auf mein privates Netz schliessen.
Also müsste ich doch an der Strasse schon das Wohnmobil erkennen können, wenn jemand erst den Fonero-Router und danach meine Fritzbox hacken will
Mit nem Linux-Router-PC mag man noch sicherer als sicher sein. Ich weiss ja nicht was ihr für Staatsgeheimnisse auf euren PCs habt, aber zu bedenken ist vielleicht, dass diese Linux-Router-PC-Lösung so 100-1500 Euro im Jahr an Strom kosten wird, vom lärmenden PC mal ganz zu schweigen, letzteres muss ja auch nicht sein, je nach den Möglichkeiten die man so hat.
frank_m24 schrieb:
Und wenn man sein Netz auf 192.168.179.x umsetzt? Dann müsste doch das Problem behoben sein, oder nicht?
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,415
- Punkte für Reaktionen
- 612
- Punkte
- 113
Hallo,
Die einzige sichere Möglichkeit ist meines Erachtens, eine NAT Komponente zwischen den FON Router und die Fritz zu bringen. Kann man den FON Router zum DSL Router machen und die Box dahinter hängen (als NAT-Router über IP)? Das wäre vielleicht noch eine Möglichkeit.
Viele Grüße
Frank
Nein, weil die Box immer unter verschiedenen Subnetzen erreichbar bleibt. Egal, wie man die IP-Adresse des Gerätes auch einstellt: 192.168.178.254 und 192.168.179.1 funktionieren immer - und damit kommt man durch den FON Roter auch immer auf die Box.Klonk schrieb:
Die einzige sichere Möglichkeit ist meines Erachtens, eine NAT Komponente zwischen den FON Router und die Fritz zu bringen. Kann man den FON Router zum DSL Router machen und die Box dahinter hängen (als NAT-Router über IP)? Das wäre vielleicht noch eine Möglichkeit.
Viele Grüße
Frank
Mist, wusste ich nicht. Ich habe auch schon versucht eine static Route zu legen, hat aber nicht geklappt. Sobald er das Ziel nicht findet, geht er auf seine internen Defaults...frank_m24 schrieb:
Ich hab Fon zwar noch nicht, bin aber am überlegen mir es zuzulegen.
Im fonboard habe ich folgenden Tipp gefunden:
Fett markiert war übrigens die 254 in der Subnetzmaske
Wenn man im 192.168.x.x Netz bleibt könnte man auch 255.255.0.0 als Subnetzmaske einsetzen und dann sollte es ja auch klappen...
Im fonboard habe ich folgenden Tipp gefunden:
Quelle: http://www.fonboard.de/wie-mache-ich-die-fonera-sicher-t602.html
Fett markiert war übrigens die 254 in der Subnetzmaske
Wenn man im 192.168.x.x Netz bleibt könnte man auch 255.255.0.0 als Subnetzmaske einsetzen und dann sollte es ja auch klappen...
Moonbase
Mitglied
- Mitglied seit
- 10 Mrz 2005
- Beiträge
- 461
- Punkte für Reaktionen
- 1
- Punkte
- 0
Fonera unsicher bis FON private Netze abschottet!
Wie ich im fonboard schon geschrieben habe, ist der "La Fonera" solange unsicher und für den "Fonero" wirklich gefährlich, solange FON nicht in der Standard-Firmware verhindert, dass im öffentlichen WLAN auf private Netzwerkbereiche und den APIP-Bereich zugegriffen werden kann.
Ein paar kleine Beispiele:
Fazit (auch wenn es mir nicht gefällt): La Fonera ganz schnell abschalten, bis von FON eine sicherere Firmware da ist!
Oder - wenn man Crack genug ist - den Fonera hinter eine entsprechende "Wand" stellen (Router, Linuxbox mit IPCop, iptables oder wie auch sonst).
Falls man seinen La Fonera natürlich schon selbst "geknackt" hat, ist es super-einfach: Der Router verwendet openWRT und iptables, man sollte also für die zu sperrenden privaten Netze einfach einen Eintrag dort machen können. Warum kriegt bloss FON das nicht fertig - sind doch nur ein paar zeilen Text!
---
Und bitte mithelfen und eine Email an [email protected] schicken, in der die Situation geschildert und die Abschaltung wegen gravierender Sicherheitsmängel angekündigt wird!
Lasst Euch auch bitte nicht dadurch verunsichern, wenn FON auf den "drohenden Verlust" Eures kostenfreien Zugangs über andere FON-Hotspots hinweist. Immerhin liefern die "Foneros" kostenfrei für einen cleveren Geschäftsmann den Backbone, der über eine Pseudo-"Revolution" und virales Marketing ein eigenes, riesiges Quasi-Mobilfunk-Netz ermöglichen soll. (Der "Linus-Zugang" ist da m.E. nur ein Lockmittel und zielt auf die "Geiz-ist-geil"-Mentalität. So sehr schön die Idee ja auch wäre, wenn sie "ehrlich" umgesetzt würde.)
---
So viel mal zu meinen (sicherheitstechnisch wichtigen, aber sicher emotional gefärbten) 2 Cent...
Wie ich im fonboard schon geschrieben habe, ist der "La Fonera" solange unsicher und für den "Fonero" wirklich gefährlich, solange FON nicht in der Standard-Firmware verhindert, dass im öffentlichen WLAN auf private Netzwerkbereiche und den APIP-Bereich zugegriffen werden kann.
Ein paar kleine Beispiele:
- Ein "externer" Surfer braucht nur eine Fritz!Box-Wahlhilfe, um in Hintertimbuktu auf Eure Kosten anzurufen und zusätzlich werdet ihr durch permanent bimmelnde Telefone genervt!
- Ein "externer" Surfer kann bequem euren Port 1012 mitlesen und rausfinden, von wem ihr angerufen werdet.
- Eure Fritz!Box hat Firmware älter als xx.04.26? Prima, Tür und Tor zum "Abschuss" eurer gesamten Telefonie sind offen - so quasi "im Vorbeifahren".
- Ihr habt in der Fritz!Box den Haken bei "Alle Computer befinden sich im gleichen Netzwerk" nicht gesetzt und Geräte an USB, LAN B oder so angeschlossen? - Da man ja glaubt, man sei "intern", ist dort bestimmt nicht alles "dicht"... und somit offen für die Welt...
- Eure Fritz!Box-Oberfläche hat keinen Kennwortschutz, weil das so nervt, wenn man die Anrufliste und die Wahlhilfe verwenden möchte? - Prima für den Unbekannten da draussen - im Nu telefoniert er auf Eure Kosten, lädt eine neue Firmware in die Fritz!Box oder macht sie eben schnell zum Recovery-Fall (mit Einschicken müssen!).
Fazit (auch wenn es mir nicht gefällt): La Fonera ganz schnell abschalten, bis von FON eine sicherere Firmware da ist!
Oder - wenn man Crack genug ist - den Fonera hinter eine entsprechende "Wand" stellen (Router, Linuxbox mit IPCop, iptables oder wie auch sonst).
Falls man seinen La Fonera natürlich schon selbst "geknackt" hat, ist es super-einfach: Der Router verwendet openWRT und iptables, man sollte also für die zu sperrenden privaten Netze einfach einen Eintrag dort machen können. Warum kriegt bloss FON das nicht fertig - sind doch nur ein paar zeilen Text!
---
Und bitte mithelfen und eine Email an [email protected] schicken, in der die Situation geschildert und die Abschaltung wegen gravierender Sicherheitsmängel angekündigt wird!
Lasst Euch auch bitte nicht dadurch verunsichern, wenn FON auf den "drohenden Verlust" Eures kostenfreien Zugangs über andere FON-Hotspots hinweist. Immerhin liefern die "Foneros" kostenfrei für einen cleveren Geschäftsmann den Backbone, der über eine Pseudo-"Revolution" und virales Marketing ein eigenes, riesiges Quasi-Mobilfunk-Netz ermöglichen soll. (Der "Linus-Zugang" ist da m.E. nur ein Lockmittel und zielt auf die "Geiz-ist-geil"-Mentalität. So sehr schön die Idee ja auch wäre, wenn sie "ehrlich" umgesetzt würde.)
---
So viel mal zu meinen (sicherheitstechnisch wichtigen, aber sicher emotional gefärbten) 2 Cent...
Zuletzt bearbeitet:
Hallo Moonbase
Dein einwand bei dem Punkt "alle Computer befinden sich in dem selben Netzwerk" verstehe ich nicht. Müsste es nicht so sein das wenn dieser Schaltknopf nicht gesetzt ist, Rechner an den verschiedenen Anschlüssen (Lan USB WLan) sich nicht gegenseitig "sehen" bzw. auf das andere Netz kommen können?
Megafon
Dein einwand bei dem Punkt "alle Computer befinden sich in dem selben Netzwerk" verstehe ich nicht. Müsste es nicht so sein das wenn dieser Schaltknopf nicht gesetzt ist, Rechner an den verschiedenen Anschlüssen (Lan USB WLan) sich nicht gegenseitig "sehen" bzw. auf das andere Netz kommen können?
Megafon
Moonbase
Mitglied
- Mitglied seit
- 10 Mrz 2005
- Beiträge
- 461
- Punkte für Reaktionen
- 1
- Punkte
- 0
@MegaFon:
Wenn der Haken nicht gesetzt ist, stehen mehr Geräte in anderen Subnetzen als wenn alle Geräte im gleichen Netz (z.B. 192.168.178.0/24) stehen.
Da der La Fonera nur das Subnetz "schützt", in dem er selbst steht (also bspw. 192.168.178.0/24), ist die Chance bei mehreren Subnetzen ungleich höher, ein Gerät zu "erwischen", auf das ein Angreifer zugreifen kann!
Die Fritz!Box routet zwischen den Subnetzen in jedem Fall (auch wenn man die Rechner im "anderen" Netz unter Windows nicht "browsen" kann, sondern dazu die IP-Nummer braucht).
Daher hat man bei "[x] Alle Geräte im gleichen Netz" zumindest die "Sicherheit", dass über den öffentlichen WLAN-Zugang des La Fonera ohne weitere Tricks "nur" die Fritz!Box angreifbar ist...
Da dieser "Trick" ja inzwischen allgemein bekannt ist, kann ich ihn hier wohl erwähnen: Versuch einfach mal, über den öffentlichen WLAN-Zugang Deines La Fonera (Default-ESSID "FON_AP") im angemeldeten Zustand http://192.168.179.1 aufzurufen; oder mach ein telnet 192.168.179.1 1012 und rufe dann jemanden an (geht nur, wenn die Call Monitor-Schnittstelle in Deiner Fritz!Box eingeschaltet ist).
Wenn der Haken nicht gesetzt ist, stehen mehr Geräte in anderen Subnetzen als wenn alle Geräte im gleichen Netz (z.B. 192.168.178.0/24) stehen.
Da der La Fonera nur das Subnetz "schützt", in dem er selbst steht (also bspw. 192.168.178.0/24), ist die Chance bei mehreren Subnetzen ungleich höher, ein Gerät zu "erwischen", auf das ein Angreifer zugreifen kann!
Die Fritz!Box routet zwischen den Subnetzen in jedem Fall (auch wenn man die Rechner im "anderen" Netz unter Windows nicht "browsen" kann, sondern dazu die IP-Nummer braucht).
Daher hat man bei "[x] Alle Geräte im gleichen Netz" zumindest die "Sicherheit", dass über den öffentlichen WLAN-Zugang des La Fonera ohne weitere Tricks "nur" die Fritz!Box angreifbar ist...
Da dieser "Trick" ja inzwischen allgemein bekannt ist, kann ich ihn hier wohl erwähnen: Versuch einfach mal, über den öffentlichen WLAN-Zugang Deines La Fonera (Default-ESSID "FON_AP") im angemeldeten Zustand http://192.168.179.1 aufzurufen; oder mach ein telnet 192.168.179.1 1012 und rufe dann jemanden an (geht nur, wenn die Call Monitor-Schnittstelle in Deiner Fritz!Box eingeschaltet ist).
Zuletzt bearbeitet:
Moonbase
Mitglied
- Mitglied seit
- 10 Mrz 2005
- Beiträge
- 461
- Punkte für Reaktionen
- 1
- Punkte
- 0
Update 28.01.2007: Man hat seitens FON zumindest nun Rückfragen gestellt, an FON Development weitergeleitet und versprochen, dass Development sich das nun anschaut. Bin gespannt!
Da im La Fonera IPTABLES verwendet wird, war mein Vorschlag, es darüber und über ein Remote-Update zu lösen, zusätzlich jedoch das Problem und die Lösung bekanntzugeben, damit auch die modifizierten La Foneras von ihren Besitzern entsprechend geändert werden können.
Da im La Fonera IPTABLES verwendet wird, war mein Vorschlag, es darüber und über ein Remote-Update zu lösen, zusätzlich jedoch das Problem und die Lösung bekanntzugeben, damit auch die modifizierten La Foneras von ihren Besitzern entsprechend geändert werden können.
detg
Aktives Mitglied
- Mitglied seit
- 18 Aug 2006
- Beiträge
- 1,498
- Punkte für Reaktionen
- 0
- Punkte
- 0
Ach, die machen sich jetzt darüber gedanken ?
Der Schutz der Betreiber von Fonera-Zugängen scheint nicht ganz oben auf der Prio-Liste von FON zu stehen, oder ?
Nachdem, was ich im Fonboard so lese, scheint jedenfalls der Schutz der FON-Router vor ihren Besitzern deutlich höhere Prio zu haben.
Ich habe meinen FON-Router letzte Woche bekommen und auch in Betrieb genommen (d.h. er ist registriert). Aber solange per Defaulteinstellung nicht sichergestellt ist, dass da nicht passiert kann (ohne Hacks und undokumentierte Bastelein) kommt mir da kein Benutzer rein.
Der Schutz der Betreiber von Fonera-Zugängen scheint nicht ganz oben auf der Prio-Liste von FON zu stehen, oder ?
Nachdem, was ich im Fonboard so lese, scheint jedenfalls der Schutz der FON-Router vor ihren Besitzern deutlich höhere Prio zu haben.
Ich habe meinen FON-Router letzte Woche bekommen und auch in Betrieb genommen (d.h. er ist registriert). Aber solange per Defaulteinstellung nicht sichergestellt ist, dass da nicht passiert kann (ohne Hacks und undokumentierte Bastelein) kommt mir da kein Benutzer rein.
viel schöner wäre aber doch wenn man auf der fritzbox einen lan-anschluss zur dmz erklärt und dort echte zugriffsbeschränkungen macht (das wäre dann zugriff vom ip-netz an lan-A nur noch richtung internet, nirgendwo sonst hin. und das ganze stateful).
btw:
sobald man auf das fritzbox webinterface auch ohne passwort zugriff hat kann man auch mit nur einem click die box auf factory defaults setzen. nur so nebenbei erwähnt.
btw:
sobald man auf das fritzbox webinterface auch ohne passwort zugriff hat kann man auch mit nur einem click die box auf factory defaults setzen. nur so nebenbei erwähnt.
Moonbase
Mitglied
- Mitglied seit
- 10 Mrz 2005
- Beiträge
- 461
- Punkte für Reaktionen
- 1
- Punkte
- 0
Fonera unsicher auch für den WLAN-Nutzer
Leider musste ich heute eine weitere Sicherheitslücke im "La Fonera" entdecken: Es ist für den Hotspot-Betreiber auf einfachste Weise möglich, Zugriff auf die WLAN-Clients im öffentlichen "FON_AP"-WLAN zu erhalten.
Mehr dazu in meinem Artikel Fonera ~ Neue Sicherheitslücke: Zugriff auf WLAN-User! im deutschen und im englischsprachigen Fonboard.
Leider musste ich heute eine weitere Sicherheitslücke im "La Fonera" entdecken: Es ist für den Hotspot-Betreiber auf einfachste Weise möglich, Zugriff auf die WLAN-Clients im öffentlichen "FON_AP"-WLAN zu erhalten.
Mehr dazu in meinem Artikel Fonera ~ Neue Sicherheitslücke: Zugriff auf WLAN-User! im deutschen und im englischsprachigen Fonboard.
du hast recht, obwohl der filezugriff eher ein userproblem ist
aber es sollte nie ein querzugriff zwischen den netzen möglich sein... nur leider verwendet auch fon nur "bilighardware". ein trend der in unserer "geiz ist geil" gesellschaft leider wie die pest um sich greift.
mit billighardware lässt sich eben eine solche sonderfunktion nur schwer implementieren, da die interne firewall nicht mehr nur eine netz gegen die anderen schützen muss sondern eben mehrere gegeneinander.
die home-geräte sind halt doch primär router (welche genau für diesen "querzugriff" zwischen den netzen gebaut werden) und nicht firewall (welche zum abschotten der netze gegeneinander gedacht ist). somit deck bei der gängigen software für die dinger (ob linksys, netgear, fritzbox...) halt die firwall nur den zugriff vom wan interface auf alle anderen interfaces ab.
verwendet man nun "profi" hardware so schottet die firewall beliebige netze gegeneinander ab
aber eine andere idee:
wenn man die fritzbox mit externem dsl-router betreibt könnte es sicher werden:
aufbau wäre:
fon-ap und fritzbox an einen lan-switch, der dsl-router auch.
nun sollte die firewall der fritzbox ja eigentlich in richtung des dsl-routers und den fon-ap wirken, somit also ein zugriff der fon user auf die fritz-user nicht mehr möglich sein, oder?
aber es sollte nie ein querzugriff zwischen den netzen möglich sein... nur leider verwendet auch fon nur "bilighardware". ein trend der in unserer "geiz ist geil" gesellschaft leider wie die pest um sich greift.
mit billighardware lässt sich eben eine solche sonderfunktion nur schwer implementieren, da die interne firewall nicht mehr nur eine netz gegen die anderen schützen muss sondern eben mehrere gegeneinander.
die home-geräte sind halt doch primär router (welche genau für diesen "querzugriff" zwischen den netzen gebaut werden) und nicht firewall (welche zum abschotten der netze gegeneinander gedacht ist). somit deck bei der gängigen software für die dinger (ob linksys, netgear, fritzbox...) halt die firwall nur den zugriff vom wan interface auf alle anderen interfaces ab.
verwendet man nun "profi" hardware so schottet die firewall beliebige netze gegeneinander ab
aber eine andere idee:
wenn man die fritzbox mit externem dsl-router betreibt könnte es sicher werden:
aufbau wäre:
fon-ap und fritzbox an einen lan-switch, der dsl-router auch.
nun sollte die firewall der fritzbox ja eigentlich in richtung des dsl-routers und den fon-ap wirken, somit also ein zugriff der fon user auf die fritz-user nicht mehr möglich sein, oder?
Moonbase
Mitglied
- Mitglied seit
- 10 Mrz 2005
- Beiträge
- 461
- Punkte für Reaktionen
- 1
- Punkte
- 0
Im Prinzip richtig, aber warum sollte man die "schlechtere" variante wählen?
- Sollte sich der Hersteller/Vertreiber eines WLAN-AP darum Gedanken machen, dass sein "Ding" dicht ist - besonders, wenn er es als "sicher" anpreist.
- Verwendet La Fonera IPTABLES, die Fritz!Box nicht. Ergo: Es ist einfacher und sicherer, das eben mit ein paar Einträgen im Fonera zu machen.
Neueste Beiträge
-
Jfritz kann Anrufliste seit FritzBox Labor nicht holen
- Letzte: sprotte24
-
Fragen zu Vorlagen bzw. Zeitschaltung bei DECT302
- Letzte: pens
-
Führende Null aus Anrufliste entfernen?- Letzte: Dany28
-
-
Firmware-Releases Fritz!FON 4.xx ab Fritz!OS 7 (Labor/Beta/Inhaus)
- Letzte: Feuerwehr2
-
[Problem] Gerätenamen beim Fritz Repeater 1200AX
- Letzte: mr.cracky
