Mal wieder: https-Fernwartung, Sicherheit bei Brute-Force ?!

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
B

Black Eagle

Mitglied
Mitglied seit
15 Feb 2006
Beiträge
310
Punkte für Reaktionen
0
Punkte
0
Also, bitte nicht über meine Gedanken schmunzeln, aber:

Ich habe jetzt bei Freunden u Bekannten die https Fernwartung konfiguriert. Es ist wirklich schön, mal kurz auf die Box und "helfen" zu können. Dies spart enorm Zeit,Lob an AVM.

Meiner Ansicht nach ist die Sicherheit mit der 256Bit Verschlüsselund durch AVM auch wirklich in dieser Router-Preiskategorie durchaus gut bis sehr gut gelungen.

Aber eines Verstehe ich nicht: (Das Brute-Force Thema wurde zwar hier und da schon mal angeschnitten, aber ich finde es interessant dies hier auszutauschen...)

Selbst nach 10 maliger (oder noch mehr) Falscheingaben des Passwortes gestattet die Box ohne Zwangspause weiter Eingaben.
Meiner Ansicht nach ist dies doch eine Einladung zu Brute-Force-Attacken.
Warum nicht nach mehr als 5 Fehleingaben zumindest diese Loggen und auch eine Zwangspause von z.B. 20 Sek. einbauen ? (Müsste doch technisch einfach sein !?)

Würde dies nicht die Sicherheit drastisch erhöhen, falls jemand mit "Gewalt" auf die Box will ?

Ich bin zwar nur ein Laie, aber dies scheint mir angebracht. Evtl. angenehmer Nebeneffekt: Auch könnte das Passwort dann zumindest etwas kürzer ausfallen, weil ja die Zufallsversuche beschränkt würden...
 
so wie ich das verstanden habe, soll die Fernwartung ja nicht dauerhaft aktiv sein, sondern nur bei Problemen usw. aktiviert werden.

Nachdem es kostenlose Programme wie http://www.teamviewer.com/de/index.aspx gibt, hab ich alle Bekannte mit der "Vollversion" (ist für Privatuser 25h im Monat nutzbar) damit ausgestattet und kann somit nicht nur auf die Box sondern auch auf den PC um evtl. Probleme/Fragen zu klären - dies geht schneller wie evtl. Erklärungen.
 
informerex schrieb:
so wie ich das verstanden habe, soll die Fernwartung ja nicht dauerhaft aktiv sein,.
Zum Vergrößern anklicken....
Evtl schon, wenn man unbemannte Boxen hat (Ferienwohnung, Oma o.ä.).

Oder wenn der Fernzugriff mal in JFritz! kommt.
 
Fernwartung (Software)

Hi,

ich kann als Remotesoftware die Seite www.logmein.com empfehlen.

Das kostenlose Programm nennt sich "LogMeIn Free".


mfg n3o:D
 
N3O schrieb:
Hi,

ich kann als Remotesoftware [...] empfehlen.
Zum Vergrößern anklicken....

Klar, Remotesoftware gibts zu Hauf...

Aber bei den meisten brauchen wir ja einen PC u. Anwender auf BEIDEN Seiten der Verbindung. Der Fritz https Fernzugang hat hingegen andere Vorzüge. (Siehe Mega-Aussage: Ferienwohnung oder Oma o.ä. erfordert dauerhaft aktive Fernwartungsmöglichkeit.)

Die Problematik ist ja nach wie vor: Warum diesen AVM Fernzugang nicht besser machen. (Fehleingaben loggen und Zwangspausen einbauen, falls dies die Sicherheit erhöht ? )
 
sorry, aber das kann dir nur AVM selbst beantworten.
 
Schreib das lieber AVM und nicht in ein Forum
 
Black Eagle schrieb:
Die Problematik ist ja nach wie vor: Warum diesen AVM Fernzugang nicht besser machen. (Fehleingaben loggen und Zwangspausen einbauen, falls dies die Sicherheit erhöht ? )
Zum Vergrößern anklicken....

Wenn du was wirklich sicheres haben willst, verwende die Freetz-Mod mit Stunnel, OpenVPN oder einem SSH-Tunnel für den Fernzugriff.
 
Black Eagle schrieb:
Meiner Ansicht nach ist dies doch eine Einladung zu Brute-Force-Attacken.
Zum Vergrößern anklicken....

Wenn du Angst vor BruteForce Attacken hast, dann wähle doch ein entsprechend langes Passwort bestehend aus einer zufälligen Anordnung aus Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen.
Die Zeit die jemand benötigen würde dieses Passwort mit BruteForce zu erraten wird wahrscheinlich die Lebensdauer deiner Fritzbox überschreite, und deiner ächsten auch noch, und der übernächsten, usw... ;)

Außerdem, wer sollte Interresse daran haben deine FritzBox zu hacken? :noidea:

Gruß
Bossi
 
*Bossi schrieb:
Außerdem, wer sollte Interresse daran haben deine FritzBox zu hacken? :noidea:
Zum Vergrößern anklicken....

Na soo uninteressant ist das nicht!!
Immerhin sind in der Box meist Deine Zugangsdaten gespeichert - und wenn du via VOIP telefonierst auch diese Daten!

Der Hacker braucht danach nur noch die Box stilllegen - und nutzt munter deinen DSL-Anschluss! :wiejetzt:
 
[Edit Novize: Unsinniges Fullquote vom Beitrag direkt darüber gelöscht - siehe Forenregeln]

Ok, ich gebe zu, ein gewisses Interresse könnte bestehen...

Aber wie schon gesagt, bei entsprechender Wahl des Passwortes, dürfte BruteForce kein Thema sein.
 
*Bossi schrieb:
Aber wie schon gesagt, bei entsprechender Wahl des Passwortes, dürfte BruteForce kein Thema sein.
Zum Vergrößern anklicken....

Irgendwie schade - und überraschend - wie das Thema https-Fernzugriff auf die Box hier abgewimmelt wird.
Egal, ob es andere - bessere [Profi-] - Lösungen gibt, oder Brute-Force durch längere Passwörter schwieriger wird, die TE-Frage ist berechtigt!
Und wenn ein Hacker etwas zu hacken gefunden hat, versucht er's auch - egal, ob da was interessantes hinter steckt oder nicht - haben wir ja in den letzten Jahren zu geünge gelernt.

Von daher finde ich den "Verbesserungsvorschlag" Richtung AVM schon richtig, den Zugang durch Logging und Timeouts sicherer zu machen.

Das könnte ja z.B. so aussehen:
1) 3 x falsches PW = Zwangspause (z.b. 30 min)
2) 3 x 3 x falsches PW = https nur im lokalen Netz reaktivierbar.

Und warum hier im Forum?
Weil wir gelernt haben, das AVM mitliest, und eine solche Diskussion oft zum Ziel führt.

.
 
Zuletzt bearbeitet:
Brute-Force-Angriffe lohnen nur bei offline vorhandenen Daten, wie gesnifftem WLAN-Verkehr, Festplatten etc. etc. Bei Systemen mit einer etwas verlängerten Antwortzeit von 1..2 Sekunden bei fehlgeschlagenem Login wird so ein Angriff bei hinreichend langen Loginnamen und Kennworten immer aussichtslos bleiben.

Mit den gutgemeinten Vorschlägen wäre die Box sogar "sehr sicher", weil durch x-beliebige Angreifer einfach zu blockieren oder zu sperren. Wer hat nun Lust, ständig 30min zu warten, oder sogar zur Oma zu fahren, nur weil Scriptkiddies die Box blockiert haben.
 
Und, mit den Zugangsdaten kann man nicht unbedingt etwas anfangen, mit meinen Arcor-Daten kommt man auch nur bei Arcor-DSL rein, mit einem Telekomanschluß geht da gar nichts.
Solange keine groben Sicherheitslücken bei den Boxen bekannt sind, werden sich die Versuche, einzuhacken, in Grenzen halten. Kritisch wäre, wenn über die Box irgendwie eine Man-in-the-middle-Attacke durchführen ließe, denn das wäre auch für die interessant, die Kontodaten abfangen wollen.
Die VoIP-Konten halte ich nicht so für gefährdet, da kann man doch nachvollziehen, wer angerufen wurde und ggf. das Konto sperren.
 
andilao schrieb:
Mit den gutgemeinten Vorschlägen wäre die Box sogar "sehr sicher", weil durch x-beliebige Angreifer einfach zu blockieren oder zu sperren. Wer hat nun Lust, ständig 30min zu warten, oder sogar zur Oma zu fahren, nur weil Scriptkiddies die Box blockiert haben.
Zum Vergrößern anklicken....

Wäre also am besten, wenn User das selbst konfigurieren könnte, welche Sicherheitsstufe er haben möchte - mehr kann ja zumindest nicht schaden.

sven@mainz schrieb:
Und, mit den Zugangsdaten kann man nicht unbedingt etwas anfangen, mit meinen Arcor-Daten kommt man auch nur bei Arcor-DSL rein, mit einem Telekomanschluß geht da gar nichts.
Zum Vergrößern anklicken....

Außer Kosten durch Mehrfachverbindungen zu verursachen, wenn man sich z. B. analog/ISDN einwählt mit den Benutzerdaten ...

sven@mainz schrieb:
Solange keine groben Sicherheitslücken bei den Boxen bekannt sind, werden sich die Versuche, einzuhacken, in Grenzen halten.
Zum Vergrößern anklicken....
Man kann natürlich mit solchen "Verbesserungen" warten, bis es passiert ist...

sven@mainz schrieb:
Kritisch wäre, wenn über die Box irgendwie eine Man-in-the-middle-Attacke durchführen ließe, denn das wäre auch für die interessant, die Kontodaten abfangen wollen.
Zum Vergrößern anklicken....
Nun, die Möglichkeit, eigene Portweiterleitungen auf interne Rechner oder gar enen "Exposed Host" einzurichten, ist schon gefährlich genug - je nach Box kann man dann sogar eine VPN-Berechtigung einrichten, oder Pseudo-Images einspielen und so über Umwege sogar die Box auf Linux-Ebene umprogrammieren... - da ist der "Man-In-The-Middle" gar nicht weit ...

sven@mainz schrieb:
Die VoIP-Konten halte ich nicht so für gefährdet, da kann man doch nachvollziehen, wer angerufen wurde und ggf. das Konto sperren.
Zum Vergrößern anklicken....
Was evtl. aber wieder Kosten mit sich bringt...

.
 
Mal ganz einfach überschlagen:
Beim https-Login benötige ich
a) den gültigen https-Benutzernamen
b) das https-Passwort und
c) das WEB-Passwort der Fritzbox.
Da ich für die Überwindung der https-Barriere a) und b) brauche, kann man der Einfachheit halber dieses Login-Wort-Paar als ein langes Wortpaar sehen.
Bei einem Benutzernamen von 10 Zeichen und einem Passwort von ebenfalls nur(!) 10 Zeichen bin ich schon bei 20 Zeichen, die passen müssen. Dann kommt noch die ungewisse Länge von Benutzernamen und Passwort dazu, was das ganze noch einmal schwieriger macht, dies vorherzusagen. Hier noch Groß-Kleinbuchstaben und Zahlen mischen sollte schon eine echte Hürde darstellen.
Nach einem Tag wirst Du dies nicht geknackt haben und dann wartet schon die nächste große Hürde auf den Hacker: der IP-Wechsel. Dann mal viel Spass beim Suchen nach der alten Fritz mit der neuen IP. Ich rechne hier mal in eurem Sinne schön:
Die ersten beiden Bytes ändern sich nicht, nur innerhalb der letzten beiden Bytes ist die Box zu suchen, also mal eben schlappe 65535 neue IPs zum durchforsten. Wie aber soll ich von außen feststellen, ob die Fritz hinter einer neuen IP der Fritz entspricht, die ich schon angefrühstückt habe? :gruebel:
Da die entsprechende Reaktion der Fritz auf einen fehlgeschlagenen Login-Versuch auch 1..2 Sek dauert, könnt ihr euch ausrechnen, wie lange da jemand braucht, hier per Brute-Force auf die Loginseite der Box zu gelangen.
Dann benötigt er auch nch das WEB-Passwort, was wiederum eine Reaktion von mehreren Sek. auf sich warten lässt, bis ich die mißlungenen Loginversuche zu gesicht bekomme. Also lasst die Kirche mal im Dorf, denn das größte Sicherheitsloch, in euer Netz zu kommen, ist nun mal vor der Tastatur zu finden. ;)

Kleine Überlegung am Rande: Bitte keine(!) Sonderzeichen nutzen, denn wer weiss, ob diese nicht auf dem anderen PC, mit dem ich auf meine Fritz zugreifen möchte, als anderes Code-Zeichen (Stichwort verschiedene Codierungen =ASCII/UniCode(UTF-xx) usw) versandt werden und damit nicht mehr als korrekt erkannt werden.
 
Hallo Novice,

bei einem Gezielten Angriff würde ich den Benutzernemen nich unbedingt als unbekannt voraussetzen, auch die IP-Adresse sollte kein Problem darstellen weil doch auch zur Fernwartung meist DynDNS eingesetzt wird und somit die bekannte URL reicht.
Allerdings selbst ein Password von 10 Zeichen mit jeweils 62 Möglichkeiten ergibt bei einem Versuch/Sekunde einen Aufwand > 100Milionen Jahre um das alle durchzuprobieren daß selbst eine Verkürzung der Zykluszeit auf (unrealistisch) 1ms kein Problem darstellen sollten.
.
 
MalkoV2 schrieb:
Und wenn ein Hacker etwas zu hacken gefunden hat, versucht er's auch - egal, ob da was interessantes hinter steckt oder nicht - haben wir ja in den letzten Jahren zu geünge gelernt.
Zum Vergrößern anklicken....
Haben wir das?
Es mag egal sein, was dahinter steckt, aber ich glaube nicht, daß jemand viel Zeit investiert, wenn er nicht wenigstens etwas interessantes vermutet.

... den Zugang durch Logging und Timeouts sicherer zu machen.
Zum Vergrößern anklicken....
Durch Logging wird kein Zugang sicherer.

Wenn man jeden Versuch mitprotokollieren würde, dann würde man schnell den verfügbaren Speicher füllen ohne daß es viel bringt.

1) 3 x falsches PW = Zwangspause (z.b. 30 min)
2) 3 x 3 x falsches PW = https nur im lokalen Netz reaktivierbar.
Zum Vergrößern anklicken....

Das nennt sich dann Denial Of Service oder DOS.

Was immer Du von Dir denkst, vermutlich ist deine Box nicht so wichtig, daß sich jemand die Zeit nimmt, da gezielt alle möglichen Paßwörter zu probieren. Und ein ungezielter Angriff kennt weder den Benutzernamen, noch daß Paßwort, und bräuchte daher zum durchprobieren zu lange, als daß es sinnvoll wäre, es zu versuchen.

Das wird vermutlich nicht alle davon abhalten, aber mit einem sinnvoll gewählten Paßwort sollte es kein Problem sein.
 
chriwi schrieb:
bei einem Gezielten Angriff würde ich den Benutzernemen nich unbedingt als unbekannt voraussetzen, auch die IP-Adresse sollte kein Problem darstellen weil doch auch zur Fernwartung meist DynDNS eingesetzt wird und somit die bekannte URL reicht.
Zum Vergrößern anklicken....
Das ist dann aber nicht mehr als normaler Hackversuch zu werten, sondern schon social Hack. Dagegen ist aber kein Schutz sicher genug. Denn wenn ich wirklich gezielt einen Router hacken will, dann ist ein Passwort-Trojaner von immer noch das geeignetste Mittel. Das wird aber langsam arg OT und irgendwie geht das Richtung Verfolgungswahn.
Selbst bei bekannter dyndnsadresse und bekanntem Benutzernamen (incl Groß-Kleinschreibung) und nur 5(!) Zeichen als Passwort und einer Reaktionszeit von 1 Sek ergibt 916132832 Versuche - durchschnittlich werden aber nur die Hälfte der Versuche benötigt, um zum Ziel zu kommen, also verbleiben 458066416 Versuche = 14,5 Jahre - Viel Spass beim Hack :mrgreen:
 
Hi,

was mir gerade auffällt:

Mal ganz einfach überschlagen:
Beim https-Login benötige ich
a) den gültigen https-Benutzernamen
b) das https-Passwort und
c) das WEB-Passwort der Fritzbox.
Zum Vergrößern anklicken....

Warum wird eine solche Zeitsperre (also wenn man das Passwort 3 mal falsch eingibt, muss man x Minuten warten) nicht bei Punkt c) einbauen? Mein alter Router - ein Targa WR500VoIP - hatte eine solche Sperre.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 554 (Mitglieder: 32, Gäste: 522)

Neueste Beiträge

Statistik des Forums

Themen
246,577
Beiträge
2,254,296
Mitglieder
374,459
Neuestes Mitglied
tolarian
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück