FritzBox und FON.COM / Trennen Internes Netz von FON-Netz

lighter schrieb:
...Ihr müsst nur darauf achten, dass ihr den vorgegebenen DNS von FON abändert da dieser zur Zeit stark überlastet ist!

Was ist damit gemeint?

Das ist natürlich übel, aber es ist logisch, dass der Zugriff funktioniert, denn das Fonera hängt ja intern an der Fritzbox. So wie der PC, mit dem ich konfiguriere.

Wenn man der Fritzbox ein Passwort verpasst, ist das problem gelöst. Oder?
 
Thema DNS:

In dem Fonera ist wohl per Default ein DNS eingetragen, der überlastet ist. Also einen anderen öffentlichen DNS eintragen (z.B. deine Fritzbox, eine DNS von deinem DSL-Provider bekommt).

Thema Passwort:

Und wenn sich rausstellt, dass die Weboberfläche eine Sicherheitslücke hat oder sich durch ein Firmware-Update eine Lücke einschleicht ? Warum wohl ist die Konfiguration der Fritzbox über Web über WAN wohl standardmäßig nicht möglich ?

Außerdem kann man Passwörter über Brute-Force-Methoden knacken. Ich hoffe dein Passwort ist ausreichend kompliziert.

Warum wohl treibt das Fonera selber so einen Aufwand mit einer 2. gesicherten SSID für die Konfiguration ? Könnte man doch einfach über Passwort schützen. ;)

Wenn Passwörter alleine sicher wären, dann gäb's kein SSL, kein SSH, kein VPN und keine Probleme mit WEP. ;)
 
Hallo,

PsychoMantis schrieb:
Wenn man der Fritzbox ein Passwort verpasst, ist das problem gelöst. Oder?
Das kommt u.a. aufs Passwort an. Passwortknacker sind leistungsfähig geworden.
Und ob der Zugang zur Weboberfläche der Box wirklich sicher ist, weiß ich auch nicht. AVM ergreift jedenfalls ziemlich heftige Maßnahmen, um einen Zugriff aus dem Internet auf diese Seite zu verhindern. Normale Portweiterleitungen etc. werden da geblockt, man muss schon die Box modifizieren, um das zu erreichen. Die werden sich schon was dabei denken, wenn sie so extrem verhindern wollen, dass die Oberfläche das potentielle Ziel von Hackern wird. :-Ö

Wenn ich mir so einen FON AP ins Haus holen würde, dann würde ich ein vollständig separat aufgezogenes Subnetz dafür spendieren, abgeschottet über einen Linux Router wie z.B. fli4l oder IPCop. Also der Router am DSL Modem, dahinter die Box und der FON AP an zwei physikalisch getrennten Netzwerkkarten. Die Karte des FON APs wird so eingerichtet, dass sie nur ins Internet kann und nicht ins private Subnetz (iptables). Dann wird die Box als NAT Router über IP eingerichtet, und der Hacker im FON WLAN hat zwei Hürden: Zum einen die iptables Regeln des Linux Routers und dann die NAT Instanz der Fritz. Beides gilt nach heutigem Ermessen als sicher.
Des weiteren erlaubt eine solche Lösung sogar QoS Einstellungen, um dem FON Benutzer nur eine bestimmte Bandbreite zu erlauben oder Filesharing zu verhindern. Unterm Strich eine saubere Lösung.

Viele Grüße

Frank
 
Danke für eure Kommentare. Ich werde mir ggf. eine Lösung wie Frank vorgeschlagen hat basteln. Aber zuerst überlege ich mir ob ich den Aufwand dafür überhaupt betreiben möchte...
 
@ frank:

Also so eine Lösung ist ja todsicher. Da kommt ja wirklich selbst der beste Hacker nicht durch. Aber muss das für den privaten Gebrauch wirklich so sicher sein? Ich meine wie groß ist denn schon die Wahrscheinlichkeit, dass 1. jemand einen Fonero knacken will, 2. jemand MEINE La Fonera knacken will, 3. den auch knackt (unter normalen einstellungen, so wie von FON gedacht - also keine besoneren sicherheitsmaßnahmen), und 4. was soll genau geknackt werden? Was soll der Hacker dann bekommen? Auf meinem PC habe ich eh nichts besonderes. Und die FritzBoxoberfläche (nach dem erforgreichen knacken des fritzbox-passwortes) gibt ja auch nix besonderes her.

Ich meine, für eine Firma wäre so eine Lösung vielleicht gut, aber brauche ich das denn als Ottonormalverbraucher?
 
Zuletzt bearbeitet:
Also bei mir geht der Zugriff auf die Fritzbox vom öffentlichen WLan des Fonero aus nicht, das ist auch die Standardkonfig. Wenn man im Fonero WAN aktiviert fürs öffentliche Netz, geht das natürlich, würde ich trotz Fritzbox-Passwort aber auch nicht tun, warum auch ? via öffentlichem Fon-WLan gehts sogar automatisch nur auf die Fonero-Anmelde/Login-Seite und was ich total cool finde auf meine Webseite, die ich in der Personalisierung des Fon-Ports eingetragen habe.
DHCP ist in meiner Fritzbox abgeschaltet, wer WLan nutzt und so um Sicherheit besorgt ist, wird das wohl genauso haben. Der Fonero vergibt sowohl fürs öffentliche, wie auch fürs private Netz per DHCP jeweils einen anderen IP-Adressbereich und der ist eben auch unterschiedlich von der Fritzbox. Als DNS-Server nutze ich auf dem Fonero die Server von Opendns.org, das tue ich auch privat und von daher kann man auch nicht auf mein privates Netz schliessen.
Also müsste ich doch an der Strasse schon das Wohnmobil erkennen können, wenn jemand erst den Fonero-Router und danach meine Fritzbox hacken will:)
Mit nem Linux-Router-PC mag man noch sicherer als sicher sein. Ich weiss ja nicht was ihr für Staatsgeheimnisse auf euren PCs habt, aber zu bedenken ist vielleicht, dass diese Linux-Router-PC-Lösung so 100-1500 Euro im Jahr an Strom kosten wird, vom lärmenden PC mal ganz zu schweigen, letzteres muss ja auch nicht sein, je nach den Möglichkeiten die man so hat.
 
frank_m24 schrieb:
du hast einen FON Router an einer Fritzbox? Melde dich einfach mal an deinem FON Router an und tippe in einen Browser http://192.168.179.1. Dann berichte mal, was passiert.

Und wenn man sein Netz auf 192.168.179.x umsetzt? Dann müsste doch das Problem behoben sein, oder nicht?
 
Hallo,

Klonk schrieb:
Und wenn man sein Netz auf 192.168.179.x umsetzt? Dann müsste doch das Problem behoben sein, oder nicht?
Nein, weil die Box immer unter verschiedenen Subnetzen erreichbar bleibt. Egal, wie man die IP-Adresse des Gerätes auch einstellt: 192.168.178.254 und 192.168.179.1 funktionieren immer - und damit kommt man durch den FON Roter auch immer auf die Box.

Die einzige sichere Möglichkeit ist meines Erachtens, eine NAT Komponente zwischen den FON Router und die Fritz zu bringen. Kann man den FON Router zum DSL Router machen und die Box dahinter hängen (als NAT-Router über IP)? Das wäre vielleicht noch eine Möglichkeit.

Viele Grüße

Frank
 
frank_m24 schrieb:
Nein, weil die Box immer unter verschiedenen Subnetzen erreichbar bleibt. Egal, wie man die IP-Adresse des Gerätes auch einstellt: 192.168.178.254 und 192.168.179.1 funktionieren immer - und damit kommt man durch den FON Roter auch immer auf die Box.
Mist, wusste ich nicht. Ich habe auch schon versucht eine static Route zu legen, hat aber nicht geklappt. Sobald er das Ziel nicht findet, geht er auf seine internen Defaults...
 
Ich hab Fon zwar noch nicht, bin aber am überlegen mir es zuzulegen.

Im fonboard habe ich folgenden Tipp gefunden:

Man kann die FritzBox auch ganz einfach unerreichbar machen von der Fonera. Aber Warnung: Auch vom privaten Fonera-WLAN ist sie nicht erreichbar, d. h. man muss sich per LAN oder Fritz-WLAN einloggen, um die Konfigurationsoberfläche der FritzBox noch zu erreichen.

Und Warnung 2: Bei mir funktioniert das so. Ich hoffe, dass die Fritze nicht noch auf weitere Adressen lauscht, dann müsste man ggf. noch Änderungen vornehmen.

Ausgangssituation: Fritz hat die Adresse 192.168.178.1 (auch unter 192.168.179.1 erreichbar), DHCP an, Bereich 192.168.178.20-200 wird vom DHCP vergeben (also die Standardeinstellungen).

Man wähle sich bei der Fonera privat ein und gehe auf die Konfigurationsoberfläche (192.168.10.1). Gehe auf Erweitert -> Internetverbindung.

In "Modus" steht "DHCP". Dieses ändern auf "Statische IP", in den folgenden vier Feldern gebe ein:
IP-Adresse: 192.168.178.2
Subnetzmaske: 255.255.254.0
Gateway: 192.168.178.1
DNS-Server: 192.168.178.1

Nach Klick auf "Senden" warten, bis sich die Fonera neu gestartet hat. Dann ist kein Zugriff auf die FritzBox mehr möglich, zumindest nicht über die .178. und die .179.

Gibt es noch weitere Adressen, unter denen die Fritze erreichbar ist? Dann müsste man u. U. den fett markierten Bereich der Subnetzmaske noch verändern.
Quelle: http://www.fonboard.de/wie-mache-ich-die-fonera-sicher-t602.html
Fett markiert war übrigens die 254 in der Subnetzmaske

Wenn man im 192.168.x.x Netz bleibt könnte man auch 255.255.0.0 als Subnetzmaske einsetzen und dann sollte es ja auch klappen...
 
Fonera unsicher bis FON private Netze abschottet!

Wie ich im fonboard schon geschrieben habe, ist der "La Fonera" solange unsicher und für den "Fonero" wirklich gefährlich, solange FON nicht in der Standard-Firmware verhindert, dass im öffentlichen WLAN auf private Netzwerkbereiche und den APIP-Bereich zugegriffen werden kann.

Ein paar kleine Beispiele:
  • Ein "externer" Surfer braucht nur eine Fritz!Box-Wahlhilfe, um in Hintertimbuktu auf Eure Kosten anzurufen und zusätzlich werdet ihr durch permanent bimmelnde Telefone genervt!
  • Ein "externer" Surfer kann bequem euren Port 1012 mitlesen und rausfinden, von wem ihr angerufen werdet.
  • Eure Fritz!Box hat Firmware älter als xx.04.26? Prima, Tür und Tor zum "Abschuss" eurer gesamten Telefonie sind offen - so quasi "im Vorbeifahren".
  • Ihr habt in der Fritz!Box den Haken bei "Alle Computer befinden sich im gleichen Netzwerk" nicht gesetzt und Geräte an USB, LAN B oder so angeschlossen? - Da man ja glaubt, man sei "intern", ist dort bestimmt nicht alles "dicht"... und somit offen für die Welt...
  • Eure Fritz!Box-Oberfläche hat keinen Kennwortschutz, weil das so nervt, wenn man die Anrufliste und die Wahlhilfe verwenden möchte? - Prima für den Unbekannten da draussen - im Nu telefoniert er auf Eure Kosten, lädt eine neue Firmware in die Fritz!Box oder macht sie eben schnell zum Recovery-Fall (mit Einschicken müssen!).
Und es hilft nicht wirklich, den FON-Nicknamen des Angreifers zu kennen, falls er sich brav dazu eingeloggt haben sollte... Adresse und Email kann man "erlügen".

Fazit (auch wenn es mir nicht gefällt): La Fonera ganz schnell abschalten, bis von FON eine sicherere Firmware da ist!

Oder - wenn man Crack genug ist - den Fonera hinter eine entsprechende "Wand" stellen (Router, Linuxbox mit IPCop, iptables oder wie auch sonst).

Falls man seinen La Fonera natürlich schon selbst "geknackt" hat, ist es super-einfach: Der Router verwendet openWRT und iptables, man sollte also für die zu sperrenden privaten Netze einfach einen Eintrag dort machen können. Warum kriegt bloss FON das nicht fertig - sind doch nur ein paar zeilen Text!

---

Und bitte mithelfen und eine Email an [email protected] schicken, in der die Situation geschildert und die Abschaltung wegen gravierender Sicherheitsmängel angekündigt wird!

Lasst Euch auch bitte nicht dadurch verunsichern, wenn FON auf den "drohenden Verlust" Eures kostenfreien Zugangs über andere FON-Hotspots hinweist. Immerhin liefern die "Foneros" kostenfrei für einen cleveren Geschäftsmann den Backbone, der über eine Pseudo-"Revolution" und virales Marketing ein eigenes, riesiges Quasi-Mobilfunk-Netz ermöglichen soll. (Der "Linus-Zugang" ist da m.E. nur ein Lockmittel und zielt auf die "Geiz-ist-geil"-Mentalität. So sehr schön die Idee ja auch wäre, wenn sie "ehrlich" umgesetzt würde.)

---

So viel mal zu meinen (sicherheitstechnisch wichtigen, aber sicher emotional gefärbten) 2 Cent...
 
Zuletzt bearbeitet:
Hallo Moonbase
Dein einwand bei dem Punkt "alle Computer befinden sich in dem selben Netzwerk" verstehe ich nicht. Müsste es nicht so sein das wenn dieser Schaltknopf nicht gesetzt ist, Rechner an den verschiedenen Anschlüssen (Lan USB WLan) sich nicht gegenseitig "sehen" bzw. auf das andere Netz kommen können?

Megafon
 
@MegaFon:
Wenn der Haken nicht gesetzt ist, stehen mehr Geräte in anderen Subnetzen als wenn alle Geräte im gleichen Netz (z.B. 192.168.178.0/24) stehen.

Da der La Fonera nur das Subnetz "schützt", in dem er selbst steht (also bspw. 192.168.178.0/24), ist die Chance bei mehreren Subnetzen ungleich höher, ein Gerät zu "erwischen", auf das ein Angreifer zugreifen kann!

Die Fritz!Box routet zwischen den Subnetzen in jedem Fall (auch wenn man die Rechner im "anderen" Netz unter Windows nicht "browsen" kann, sondern dazu die IP-Nummer braucht).

Daher hat man bei "[x] Alle Geräte im gleichen Netz" zumindest die "Sicherheit", dass über den öffentlichen WLAN-Zugang des La Fonera ohne weitere Tricks "nur" die Fritz!Box angreifbar ist...

Da dieser "Trick" ja inzwischen allgemein bekannt ist, kann ich ihn hier wohl erwähnen: Versuch einfach mal, über den öffentlichen WLAN-Zugang Deines La Fonera (Default-ESSID "FON_AP") im angemeldeten Zustand http://192.168.179.1 aufzurufen; oder mach ein telnet 192.168.179.1 1012 und rufe dann jemanden an (geht nur, wenn die Call Monitor-Schnittstelle in Deiner Fritz!Box eingeschaltet ist).
 
Zuletzt bearbeitet:
Update 28.01.2007: Man hat seitens FON zumindest nun Rückfragen gestellt, an FON Development weitergeleitet und versprochen, dass Development sich das nun anschaut. Bin gespannt!

Da im La Fonera IPTABLES verwendet wird, war mein Vorschlag, es darüber und über ein Remote-Update zu lösen, zusätzlich jedoch das Problem und die Lösung bekanntzugeben, damit auch die modifizierten La Foneras von ihren Besitzern entsprechend geändert werden können.
 
Ach, die machen sich jetzt darüber gedanken ? ;)

Der Schutz der Betreiber von Fonera-Zugängen scheint nicht ganz oben auf der Prio-Liste von FON zu stehen, oder ?

Nachdem, was ich im Fonboard so lese, scheint jedenfalls der Schutz der FON-Router vor ihren Besitzern deutlich höhere Prio zu haben. ;)

Ich habe meinen FON-Router letzte Woche bekommen und auch in Betrieb genommen (d.h. er ist registriert). Aber solange per Defaulteinstellung nicht sichergestellt ist, dass da nicht passiert kann (ohne Hacks und undokumentierte Bastelein) kommt mir da kein Benutzer rein.
 
viel schöner wäre aber doch wenn man auf der fritzbox einen lan-anschluss zur dmz erklärt und dort echte zugriffsbeschränkungen macht (das wäre dann zugriff vom ip-netz an lan-A nur noch richtung internet, nirgendwo sonst hin. und das ganze stateful).

btw:
sobald man auf das fritzbox webinterface auch ohne passwort zugriff hat kann man auch mit nur einem click die box auf factory defaults setzen. nur so nebenbei erwähnt.
 
Eine echte DMZ wäre nett, ja. Im Moment geht ja maximal ein "exposed host" *grausel*.

Nichtsdestotrotz löst das nicht das eigentliche Sicherheitsdefizit des La Fonera.
 
Fonera unsicher auch für den WLAN-Nutzer

Leider musste ich heute eine weitere Sicherheitslücke im "La Fonera" entdecken: Es ist für den Hotspot-Betreiber auf einfachste Weise möglich, Zugriff auf die WLAN-Clients im öffentlichen "FON_AP"-WLAN zu erhalten.

Mehr dazu in meinem Artikel Fonera ~ Neue Sicherheitslücke: Zugriff auf WLAN-User! im deutschen und im englischsprachigen Fonboard.
 
du hast recht, obwohl der filezugriff eher ein userproblem ist :)
aber es sollte nie ein querzugriff zwischen den netzen möglich sein... nur leider verwendet auch fon nur "bilighardware". ein trend der in unserer "geiz ist geil" gesellschaft leider wie die pest um sich greift.

mit billighardware lässt sich eben eine solche sonderfunktion nur schwer implementieren, da die interne firewall nicht mehr nur eine netz gegen die anderen schützen muss sondern eben mehrere gegeneinander.

die home-geräte sind halt doch primär router (welche genau für diesen "querzugriff" zwischen den netzen gebaut werden) und nicht firewall (welche zum abschotten der netze gegeneinander gedacht ist). somit deck bei der gängigen software für die dinger (ob linksys, netgear, fritzbox...) halt die firwall nur den zugriff vom wan interface auf alle anderen interfaces ab.

verwendet man nun "profi" hardware so schottet die firewall beliebige netze gegeneinander ab :)

aber eine andere idee:
wenn man die fritzbox mit externem dsl-router betreibt könnte es sicher werden:

aufbau wäre:
fon-ap und fritzbox an einen lan-switch, der dsl-router auch.
nun sollte die firewall der fritzbox ja eigentlich in richtung des dsl-routers und den fon-ap wirken, somit also ein zugriff der fon user auf die fritz-user nicht mehr möglich sein, oder?
 
Im Prinzip richtig, aber warum sollte man die "schlechtere" variante wählen?
  • Sollte sich der Hersteller/Vertreiber eines WLAN-AP darum Gedanken machen, dass sein "Ding" dicht ist - besonders, wenn er es als "sicher" anpreist.
  • Verwendet La Fonera IPTABLES, die Fritz!Box nicht. Ergo: Es ist einfacher und sicherer, das eben mit ein paar Einträgen im Fonera zu machen.
Sag' ich jetzt mal so. :)
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,386
Beiträge
2,251,243
Mitglieder
374,050
Neuestes Mitglied
SmartITECH
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.