Remote Management bei der FBF

[MaZderMind]

Hi
Ich habe hier eine Methode vorgestellt, das Webinterface nur für bestimmte IPs sichtbar zu machen.
Ich bin noch am packen des WOL-Mods und danach werd ich noch diesen webcm-Mod in ein Pseudo-Image packen.

Gruß, Peter

 

[Novize]

Da es auf der Loginseite ja auch den Button "Passwort vergessen" (sinngemäß) gibt, über den Du zwar nicht das Passwort ändern, wohl aber die Box zurücksetzen kannst, ist das Öffnen des kompletten Webinterfaces nach außen absolut fahrlässig.
Dadurch kommt von extern zwar immer noch niemand auf die Box, Du hast aber den Spaß, alles neu einrichten zu dürfen.

Das zurücksetzen klappt aber nur innerhalb der ersten 10 Min. nach Neustart der Box. Probier's mal aus.
Wenn man weiterhin für das Web-Interface einen hohen Port von aussen nimmt
(z.B. Port 54321 auf IP 192.168.179.1 / Port 80), dann ist die Gefahr schon deutlich geringer geworden, durch Fehler in der PW-Abfrage die Box zu hacken...

 

[wichard]

Das zurücksetzen klappt aber nur innerhalb der ersten 10 Min. nach Neustart der Box. Probier's mal aus.

Alles klar, das muß ich bisher überlesen haben. Aber das mit dem Ausprobieren lasse ich dann doch lieber...

 

[pmneo]

man müsste die vergessen.html umbennenen, und in der index.html den link rausnehmen, dann stellt es soher gesehn keine gefahr da

 

[siron]

Also hallo erstmal,
ich habe absolut nichts von dem hier verstanden, :?: ich habe mir einen dyndns acc gemacht und die daten bei meiner fritz.box eingegeben, wenn ich die ip abrufe dann funktioniert das auch, ich komme jedoch nich über die IP auf das Interface, ihr sagtet was von Port 80 freigeben aber der is doch immer frei für http :?: :!: Vielleicht könnt ihr das ganze mal für dumme erklären Thx for help

 

[MaZderMind]

Hi
@pmneo Wer weiß ob nicht der Rest des Webinterfaces auch anfällig ist... mit dem WebCM-Mod bekommt man erstmal eine Fehlermeldung wenn man von außen Zugreift. Das alte webcm wird umbenannt, und zwar nach einem zufallsschlüssel der beim installieren des Mods generiert wird. Dadurch heißt das original webcm bei jeder gemoddede Fritz-Box einen anderen namen. Innerhalb des lokalen Netzwerks kann es jedoch weiterhin wie bisher durch das webcm-shellscript angesprochen werden - nur nach außen wird geblockt

@siron die Fritz-Box ist ein NAT-Router (einfach nmal bei Wikipedia eingeben). Der Port 80 für das Webinterface ist nur für die beiden LAN-Schnittstellen offen und nicht über das Internet zu erreichen. Um ihn trotzdem erreichbar zu machen muss man Port 80 auf 192.168.178.254 freigeben - aber das macht das Webinterface nicht, wesshalb ein manueller Eingriff per telnet nötig ist. Später soll der WolMod das auchmal selbst können, aber das dauert noch...

Gruß, Peter

 

[siron]

Danke

Danke MaZderMind für die Antwort, aber kannst du mir vllt auch noch sagen was ich bei Telnet eingeben muss um Port 80 auf die 254 freizugeben?
Gruß S!R0n

 

[Manix]

Wie schon weiter oben beschrieben, kann man über das Webinterface z.B. Port 8080 für 192.168.179.1 an Port 80 freigeben, dafür benötigt man kein Telnet.

Ich lasse die Portfreigabe nur bei Bedarf einschalten, dazu muss natürlich jemand vor Ort sein.

Gruß Manfred

 

[freeekbert]

Hi

Hier wurde ja schon des öfteren beschrieben, dass die Fehlermeldung "Die angegebene IP-Adresse wird von FRITZ!Box verwendet." kam/kommt.
Hat irgendjemand eine Idee, welche Zeilen oder was auch immer man aus welchen Dateien in der FB löschen muss, um das abzuschalten?
Wäre echt dankbar für jede Hilfe.

Gruß

[EDIT]
Wäre auch nicht schlecht, wenn jemand wüsste, wie man das Dateisystem als "rw" mounten kann (also nicht "ro", wie es jetzt ist), damit man die login.html bearbeiten kann.

 

[shadow000]

Wäre auch nicht schlecht, wenn jemand wüsste, wie man das Dateisystem als "rw" mounten kann (also nicht "ro", wie es jetzt ist), damit man die login.html bearbeiten kann.

Gar nicht!
Zwischenspeichern in TMP, dort editieren
mount -o bind /var/tmp/login.html /usr/www/all/html/de/login.html

 

[MGTech]

Bitte, bitte, verwendet nicht Port 80!!! Modifiziert eure Firewall darauf alle Anfragen eines hohen Ports (z.b.: 54321) auf 80 umzuleiten (mir fällt grad der engl. Fachbegriff dafür nicht mehr ein ;-))
Fg M. Gattringer
PS: Ein Routerinterface ist für Hacker ein gefundenes Fressen.

 

[Pluto79]

Wie funktniert das genau mit dem Remote Management der FBF 7050, was muss ich einstellen, damit ich die Box von ausserhalb erreichen kann ?

Ich hab mich bei DynDNS.org registriert und auch die Daten bei FBF 7050 eingegeben. Nur wie geht es weiter ?

Muss man was per Telnet an der Box verändern, was ich mir nicht zutraue, da ich wenig Erfahrung habe.

Vielleicht kann mir das jemand Schritt für Schritt erklären.

Danke.

Thomas

 

[haeberlein]

Da aktuell wieder auf diesen Thread verwiesen wird, möchte ich hier auch noch einmal meine Sciherheitsbedenken gegen die Freigabe des Webinterfaces nach draussen (ohne einen SSH-Tunnel o.ä.) kundtun:

Da es auf der Loginseite ja auch den Button "Passwort vergessen" (sinngemäß) gibt, über den Du zwar nicht das Passwort ändern, wohl aber die Box zurücksetzen kannst, ist das Öffnen des kompletten Webinterfaces nach außen absolut fahrlässig.
Dadurch kommt von extern zwar immer noch niemand auf die Box, Du hast aber den Spaß, alles neu einrichten zu dürfen.

Wie komme ich mit Mac OSX über so einen SSH Tunnel auf meine Box. Gibts da irgendwelche Programme oder ist das nur was für Profis.

 

[fritzchen]

Wie komme ich mit Mac OSX über so einen SSH Tunnel auf meine Box. Gibts da irgendwelche Programme oder ist das nur was für Profis.

gooooooogle:

Instructions for using ssh via the Terminal utility

Mac OS X comes with a SSH client pre-installed.

* Go to Applications > Utilities
* Start the Terminal application
* Type ssh -l yourusername servername
* When the notice regarding "The key for this host has never been seen before." appears, accept and save the key.
* Enter your password

 

[Novize]

Da es auf der Loginseite ja auch den Button "Passwort vergessen" (sinngemäß) gibt, über den Du zwar nicht das Passwort ändern, wohl aber die Box zurücksetzen kannst, ist das Öffnen des kompletten Webinterfaces nach außen absolut fahrlässig.
Dadurch kommt von extern zwar immer noch niemand auf die Box, Du hast aber den Spaß, alles neu einrichten zu dürfen.

Das sollte im Normalfall keine Sicherheitslücke sein, da das Zurücksetzen auf Werkseinstellung nur innerhalb der ersten 10 Min. nach Start der box geht. Wer's nicht glaubt, soll es einfach mal ausprobieren - es ist so
Wenn man dann noch einen hohen Port für das Webinterface nimmt (>10000), dann ist das Risiko schon sehr gering, daß da jemand das WEBinterface überhaupt findet.
Ich hatte 3 Jahre einen Server hinter einer Firewall direkt an der Leitung.
Der Log dieser 3 Jahre zeigte nicht einen Scan überhalb von 10000, jedoch Scans und Verbindungsversuche im Minutentakt auf den normalen Ports (ftp, http, eMule, Dateifreigabe, Windows-Messagingsystem...)

 

[haeberlein]

gooooooogle:

Instructions for using ssh via the Terminal utility

Mac OS X comes with a SSH client pre-installed.

* Go to Applications > Utilities
* Start the Terminal application
* Type ssh -l yourusername servername
* When the notice regarding "The key for this host has never been seen before." appears, accept and save the key.
* Enter your password

Bin leider im englischen nicht so gewandet aber was ist denn nun der username? Fritz Box oder so? Servername ist garantiert meine IP Adresse bzw. der Dyndns Name.

 

[haveaniceday]

ssh -l root fritz.box
oder
ssh -l root 192.168.178.1

 

[fritzchen]

@haeberlein
ich befürchte fast, dass Du Deiner Box ssh noch nicht beigebracht hast?
http://ip-phone-forum.de/forum/viewtopic.php?t=26655

 

[haeberlein]

Nö rumfummeln tue ich an der Box nichts. Dann aktiviere ich eben das Remote Management nur ,wenn ich es benötige. Bin froh ,das meine Box läuft.

 

[mcjazzman]

hallo leute, habe folgendes problem:

habe das neue firware update von .86 auf .88 gemacht. vorher ging das remote management der box aus dem internet nun kann ich leider mit der neuen firmware nicht mehr portforwarding auf 192.168.179.1 durchführen es wird ein error angezeigt der mir sagt das die fritz.box diese adresse schon benutzt bzw. das diese ip in benutzung ist.

was kann ich da machen ohne jetzt direkt auf die box (ssh, telnet) zuzugreifen und diese so zu modifizieren?

würd mich über infos freuen.

lg

mcjazzman