[Info] Router-Sicherheit ... es gerät etwas in Bewegung ...

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
15,256
Punkte für Reaktionen
1,747
Punkte
113
http://heise.de/-2851354

Falls jemand hier nicht regelmäßig bei heise.de vorbeischaut ... gilt ausdrücklich nicht als Leseempfehlung für diejenigen, die bereits im dortigen Forum mitdiskutiert haben. :)

EDIT: Und wer sich ernsthaft dafür interessiert, der liest sich auch den Entwurf des BSI an sich durch ... man stellt dann mit Erstaunen fest, daß z.B. der (aus meiner Sicht nicht unsinnige) Punkt 3.1.4 (Redundante Firmware), auch wenn er deutlich als "Option" gekennzeichnet ist, sicherlich aus Kostengründen selbst von modernen AVM-Geräten wie der 4020 nicht erfüllt wird - was wohl zu einer Abwertung im "Ranking" führen würde ggü. einem Gerät, was diese Funktion bietet.

Am Ende wird das sicherlich ohnehin auf eine Entscheidung "Einsatz vertretbar" oder "Schrott mit Hacking-Garantie" hinauslaufen und bei den Geräten, die in die erste Gruppe fallen, in einer Art "Rangliste" enden. Dabei werden AVM-Geräte sicherlich nicht so sehr schlecht abschneiden, aber - auch daß das BSI eine "Fallback"-Firmware für ein sinnvolles Kriterium erachtet, zeigt das - sicherlich nur dann an der Spitze stehen können, wenn man nicht zuviele technische Kompromisse eingeht, um den Preis nach unten zu drücken und das Billig-Plastik (gut, Plastik ist das bei AVM auch alles, egal wie heiß es wird im Betrieb, aber billig ist es nicht wirklich) aus China da auch noch zu unterbieten.

Auch der Punkt, daß man aus der WLAN-SSID im Auslieferungszustand nicht auf das Modell des Gerätes schließen können sollte (Punkt 3.1.2.1), ist bei AVM derzeit nicht realisiert ... und es geht auch noch endlos weiter, was ich hier aber nicht mehr aufdröseln will - keine Angst.

Ich bin tatsächlich mal gespannt, wie weit diese Aspekte für einen "sicheren Router" (einiges davon wurde auch hier im IPPF oft genug angesprochen) Auswirkungen auf die nächste Firmware-Generation haben werden. In die aktuelle wird das wohl kaum noch Einzug halten ...

Was muß man eigentlich unternehmen, wenn man ein neues Unterforum anregen will? Die Idee, zu den Sicherheitsaspekten ein gesondertes Unterforum einzurichten, weil das eben in alle anderen Themen mit hineinspielt und dann Diskussionen dazu auch immer ausufern können, halte ich persönlich nach wie vor für sinnvoll. Wenn es noch ein paar "pro"-Stimmen gibt, kriegen wir dafür vielleicht eine "eigene Abteilung" (wen's nicht interessiert, der muß da ja nicht lesen) und das "Gequengel" (manchmal ja auch nachvollziehbar) über "off-topic" entsprechender Diskussionen in anderen Unterforen ist dann Vergangenheit.
 
Zuletzt bearbeitet:
Wird dieser Test verpflichtend oder fakultativ sein?
 
Keine Ahnung ... aber ich kann mir vorstellen, daß ein ISP, der seine Kunden mit einem Gerät versorgt, welches die Mindestanforderungen nicht erfüllt (AVM schafft sie, auch wenn ich Kapitel 4 und 5 erst einmal besorgen muß, die restlichen Seiten habe ich durch und es gibt einige - meist optionale - Punkte, wo AVM passen muß), dann entweder deutlich ins Hintertreffen gerät bei irgendwelchen Bewertungen/Empfehlungen oder daß vielleicht sogar das Haftungsrisiko beim Betrieb bekanntermaßen unsicherer Geräte, die im Bundle von ISPs angeboten werden, per Ukas an die ISPs delegiert wird. Das wäre jedenfalls in meinen Augen eine sinnvolle Erweiterung des Gültigkeitsbereichs bzw. eine sinnvolle Konsequenz, denn bisher ist der Kunde beim Zwangsrouter immer noch der Gekniffene (z.B. wenn jemand sein WLAN mißbraucht), selbst wenn andere nachweisbar Zugriff haben und das auch nutzen (Reset auf Werkseinstellung bei Kabel-Anbietern, womit dann die sicheren Einstellungen des Kunden (meist ohne Ankündigung und) ohne Kenntnis des Kunden zumindest vorübergehend abgeschaltet sind).

Ich bin durch den öffentlich einsehbaren Teil durch, das ist deutlich als "ENTWURF" gekennzeichnet und einiges ist noch etwas schwammig formuliert bzw. (meine Ansicht) nicht richtig zu Ende gedacht, zum Beispiel das Kriterium "MAC-Filter" beim WLAN, was ich persönlich total ablehnen würde und wo ich es am liebsten sähe, wenn diese Mätzchen generell abgeschafft werden, weil sie den Nutzern immer wieder (falsche) Sicherheit suggerieren (und das läßt sich auch nicht ausrotten, so ein Irrglaube, solange die Geräte das anbieten) und das Sicherheitsbewußtsein eher verringern ("ich habe ja den Filter, da kommen keine anderen Geräte rein", was natürlich totaler Unsinn ist). Wenigsten habe ich die Forderung nach dem "Verstecken" der SSID nicht gefunden auf Anhieb.

Andere Kriterien wie
Entwurf schrieb:
Darüber hinaus sollte eine Funktion bereitgestellt werden, die die Protokolldateien verschlüsselt per E-Mail versendet (3.10.2.3).
lassen wegen vager Formulierungen viel zu viel Interpretationsspielraum, oben ist zum Beispiel für mich absolut unklar, wie weit die Forderung nach "Verschlüsselung" gehen soll. Reicht es hier, die SMTP-Verbindung vom Router zum SMTP-Server zu verschlüsseln? Dann liegen die Daten im Postfach immer noch unverschlüsselt vor ... oder lautet die Empfehlung, die Protokolldateien z.B. zu einer verschlüsselten ZIP-Datei zusammenzuschnüren und diese Datei dann zu senden (da ist die Übertragung ggf. ungeschützt, dafür kann ein Angreifer auf das Postfach damit nichts anfangen und weitere Informationen abzweigen)? An solchen Stellen würde ich mir eine präzisere Festlegung wünschen, damit solche Überlegungen gar nicht erst angestellt werden müssen.
 
Zuletzt bearbeitet:
Nur der Vollständigkeit halber ... das (vorläufig) finale Testkonzept wurde vom BSI veröffentlicht.

Siehe auch http://heise.de/-3197282 ...
 
Hierzu muss das WLAN standardmäßig eine WPA2-Verschlüsselung aktiviert haben (3.2.2.1)
das ist natürlich Schwachsinn! Sinnvoll wäre es, eine Einrichtung nur Über LAN zuzulassen und WLAN per Voreinstellung ausgeschatet. Alles andere die Länge des PSK usw. ist Sache des Nutzers, hier einzugreifen ist Gängelei. Wie auch die Verhinderung alternativer FW.
 
Sinnvoll wäre es, eine Einrichtung nur Über LAN zuzulassen und WLAN per Voreinstellung ausgeschatet.
Sorry, das ist leider auch eine (ich sag' mal "total veraltete bzw. überholte") Sichtweise ... was macht bitte der Haushalt, der gar keine kabelgebundenen Geräte als Client für die Einrichtung mehr hat? Darf der dann keinen Router mehr verwenden?

Ich bin ja auch durchaus für sinnvolle Forderungen (und es gibt wahrscheinlich genug kritisierbare Stellen/Formulierungen), aber solche Kritik darf sich nicht sofort dadurch selbst disqualifizieren, daß sie ihrerseits unrealistische Forderungen aufstellt bzw. nur bis zum eigenen Tellerrand sehen kann/will.
 
Da teile ich auch die Ansicht vom BSI und PeterPawn, bei Consumer-Routern ein von Werk aus deaktiviertes WLAN-Interface zu verlangen ist einfach nicht (mehr) realistisch. Es gibt mittlerweile auch schon Notebooks die serienmäßig keinen Ethernetport mehr haben sondern nur noch mit WLAN ausgestattet sind. Eine standardmäßige WPA2-Verschlüsselung auch noch als Schwachsinn zu bezeichnen ist der eigentliche Schwachsinn...

Ein von Werk aus deaktiviertes WLAN-Interface kann man m.E. nur bei WLAN-Routern/APs praktizieren die für den professionellen Bereich gedacht sind (z.B. bei Produkten von Bintec, Lancom, MicroTik usw.) aber ganz sicher nicht bei FritzBox, Speedport, EasyBox und Co, da gilt u.a. eben auch einfaches einrichten (Plug'n'Play) mit dem auch eher unbedarfte zurechtkommen.
 
Moins


Nun, die (WLAN) Router sollen schön dicht gemacht werden, damit Modder nicht am WLAN rumspielen können.
Die Router mit oder ohne WLAN sollen dicht gemacht werden, damit Modder, oder neugieriges Reverse Engineering keine Peinlichkeiten mehr finden kann.

Das erinnert mich doch wieder zwangsläufig an Zaphods Brille die bei Gefahr undurchsichtig wird.
Oder: "Danger Glasses" für normale "Consumer"

Und was ist mit den Geräten hinterm Router?
Meiner IP-Kamera muss ich explizit verbieten nach Hause zu telefonieren.
Ohne erlaubten Internetzugriff: "tcp 0 0 ::ffff:169.254.1.1:8182 ::ffff:192.168.178.12:3637 TIME_WAIT -"
...aber welcher "Consumer" kann damit schon was anfangen?


Gesendet von meinem AKOYA mit Tippelboard
 
Zuletzt bearbeitet:
Ich halte nicht die WPA2 Verschlüsselung für Schwachsinn, sondern die Gängelei die dahinter steht. Denn hier geht es ja um die Empfehlungskriterien, es werden demnach die WLANkisten empfohlen die die Verschlüsselung aktiviert haben und tatsächlich gute und sichere Geräte bei denen das nicht der Fall ist werden als schlecht bewertet. Man siehe nur die dümmlichen Stiftung Warentest Tests. Und was das "unbedarfte" zurechtkommen angeht. Ist es denn zuviel verlangt das sich der Nutzer die Sachkunde verschafft das Gerät sicher zu betreiben? Die Forderung die in Ansätzen in diesem Kriterienkatalog besteht, nämlich nach einer ausführlichen die Protokolle und Dienste beschreibenden Anleitung geht doch viel eher in die Richtung mündiger verständiger Nutzer. Und hier hätte sinnvoller Weise der schwerpunkt gesetzt werden müßen. Ein schriftliche in jeweilger Landessprache verfasste ausführliche alle Obliegenheiten des Geräts erfassende ausführliche Beschreibung. Früher ging das doch auch, ich erinnere mich noch gut an die Handbücher die früher beilagen. Unzumutbar war das nicht, unzumutbar ist heutiges Verhalten der Hersteller mit dümmlichen Videos oder einer albernen nichtssagenden Bilderflut. Unzumutbar ist auch die Forderung vieler Nutzer die Sicherheit vor eigener Denkfaulheit und Blödheit ins Gerät zu implementieren.
 
Ok, das sind ja auch wieder ganz andere Punkte, die man (zumindest teilweise) "unterschreiben" kann (was die Forderung nach einer allgemeinverständlichen Anleitung angeht, wobei da AVM nach meiner Ansicht schon nicht soo schlecht ist im Vergleich mit anderen Produkten/Anbietern) - trotzdem muß man für "Empfehlungen" eben einen Forderungskatalog aufstellen und nicht einfach "frei Schnauze" wechselnde Kriterien verwenden oder andere Maßstäbe anlegen. Wenn ein Consumer-Gerät heutzutage ohne weiteres die Aktivierung von WLAN ohne Verschlüsselung oder mit WEP zuläßt, kann es (für diese Zielgruppe wohlgemerkt, die sich in aller Regel eben nicht damit auskennt) eigentlich nicht "gut und sicher" sein ... und wenn ein Hersteller seine Firmware aufgrund der nachlesbaren Kriterien jetzt nachbessert, wird so eine Aktivierung einer WPA2-Verschlüsselung als Standardeinstellung in aller Regel wenige Auswirkungen auf den Rest der ansonsten "guten und sicheren" Firmware haben. Man muß nun einmal irgendwelche Kriterien festlegen, ob alle betroffenen Hersteller und Kunden die Priorisierung dieser Kriterien (und die damit einhergehenden Punktwerte) teilen, spielt am Ende gar keine Rolle. Will ein Hersteller ein "besseres Ergebnis" erzielen, weiß er dank des veröffentlichten Katalogs ja genau, worauf er sein Augenmerk richten sollte.

Zum WLAN-Thema war ich vielleicht auch etwas zu unpräzise ... der Forderung nach sicherer Verschlüsselung (nach heutigem Kenntnisstand) kann/muß man genauso zustimmen, wie der Forderung nach einem standardmäßig deaktivierten WLAN, solange man das am Gerät (wie eben z.B. bei den FRITZ!Boxen mit dem WLAN-Button) per Hardware-Eingriff auch wieder aktivieren kann, damit der Benutzer ohne LAN-Geräte dann auch die Konfiguration per WLAN vornehmen kann. Ich hatte auch extra die Formulierung bzgl. "nur über LAN zulassen" hervorgehoben, weil nur das der Teil war, wo ich nicht folgen mag.

Zumal so ein werkseitig bereits aktiviertes WLAN eben auch (negative) Auswirkungen hat, wenn dann ein Provider per TR-069 das Gerät auf diese Werkseinstellungen zurücksetzt. Wie das dann mit etwas Pech sogar in einem offenen WLAN enden kann, hatte erst im Nov. 2015 Vodafone bei einigen Kunden mit der 6490 demonstriert. Ein - in der Werkseinstellung - erst per Knopfdruck zu aktivierendes WLAN wäre m.E. genauso eine gute Idee, wie ein erst per Knopfdruck (oder gebrücktem LAN-Kabel, wie bei einigen HP-Switches) auf FTP-Verbindungsversuche reagierender Bootloader (um mal wieder ein Fernziel zu formulieren).
 
Von "oben" verordnete "Sicherheit". Köstlich.
 
Wenn ein Consumer-Gerät heutzutage ohne weiteres die Aktivierung von WLAN ohne Verschlüsselung oder mit WEP zuläßt, kann es (für diese Zielgruppe wohlgemerkt, die sich in aller Regel eben nicht damit auskennt) eigentlich nicht "gut und sicher" sein .
Und hier stelle ich die Frage, soll es für diese Gruppe die sich nicht damit auskennt, ich möchte nicht Zielgruppe schreiben, obschon es scheint das die Hersteller wie auch die Politik es bewusst kalkulieren genau diese Gruppe zu vergrößern, einen zusätlichen Schutz, vermeintl. Sicherheit geben. Ich sehe solche Anforderung nicht außer der entmündigte bürger wäre Staatsziel.

Denn so banal und sinnvoll es erscheint, den Bürger umfassend zu schützen, sehe ich eine schleichende alle Lebensbereiche umfassende Lebensuntüchtigkeit mit dieser Vorsorge einhergehen.

Ich sehe es dort wie grauGolz
Von "oben" verordnete "Sicherheit". Köstlich.
 
Ja, so etwas gibt es an anderen Stellen tatsächlich auch ... Sicherheitsgurte im Auto oder die Helmpflicht für Biker waren genauso "beliebt" bei ihrer Einführung und es hindert an dieser Stelle auch niemand einen Kunden daran, sich seinen eigenen Router auch dann anzuschaffen, wenn der in Bausch und Bogen beim Anlegen der Kriterien des BSI-Kataloges durchrauschen sollte; trotzdem kann/soll das ja auch eher für die Kunden eine Entscheidungshilfe sein (und die ist eben unabhängig von irgendwelchen "Verbrauchertests" und sogar von Tests irgendwelcher Zeitschriften, weil das BSI mit einiger Wahrscheinlichkeit nicht von der Werbung irgendeines Herstellers zumindest in Teilen abhängig ist).

Niemand hat jemals behauptet, daß ein "ungenügendes Gerät" nicht mehr vertrieben werden darf ... für eine reine Liste von Kriterien, wie ein Consumer-Router für das Heimnetzwerk heutzutage sicher(er) zu gestalten wäre, ist das nach wie vor ein bemerkenswert gelungenes Werk - selbst wenn es wohl nie zu 100% mit irgendwelchen persönlichen Einstellungen/Vorlieben übereinstimmen wird, muß man eben auch (unter Beachtung der Zielgruppe) Abstriche machen und auch zu Kompromissen bereit sein.

Klar, ein Router mit eingebautem Radius-Server fürs WLAN, der auch gleich noch die Benutzer- und Rollenverwaltung im gesamten Heimnetz übernimmt, wäre für einige (verständige) Nutzer vielleicht wünschenswert (um mal ein Beispiel herauszugreifen), aber bei der überwiegenden Zahl der Kunden in der Zielgruppe wohl doch übertrieben - aus dem eigenen Bedarf jetzt eine allgemeingültige Forderung abzuleiten, wäre recht kurzsichtig und egozentrisch.

Ich habe die finale Version noch gar nicht abschließend gelesen ... aber einem großen Teil der Kriterien des Entwurfs konnte man die Notwendigkeit und sogar die "Beschränkung auf das Notwendige und Sinnvolle" nicht absprechen und nur weil man vielleicht mit 5 Prozent der Kriterien nicht konform geht, muß man ja nicht gleich den ganzen Katalog ablehnen.
 
Niemand hat jemals behauptet, daß ein "ungenügendes Gerät" nicht mehr vertrieben werden darf
Was ist ein ungenügendes Gerät? Ist ein Router deshalb ungenügend weil das WLAN bei Auslieferung nicht verschlüsselt ist? Wohl kaum. aber genau dieses wird mit dem Katalog sugeriert. Das bei der Ameldung an den Router eine MFA gefordert wird ist ebenfalls lächerlich. Auch die Empfehlung die Konfigurationsdatei mit Password sichern zu können, albern. Dadurch wird der Router nicht sicherer, diese Maßnahmen nehmen dem Nutzer allerdings das Nachdenken ab.

Das Bundesamt für Sicherheit in der Informationstechnik versucht mit diesen Nebenkriegsschauplätzen anscheinend heimische Hersteller, hier vor allem AVM zu bevorteilen, dessen Dreckskisten anscheinend immer noch nicht genug Käufer finden.
 
@hyperbel:
Glückwunsch ... das ist doch mal ein echter Anwärter auf den "goldenen Aluhut" ... Protektionismus über (durchaus sinnvolle) Empfehlungen für Aspekte, die ein mehr oder weniger sicherer Router erfüllen sollte.

Wobei sich vermutlich ohnehin jede Diskussion erübrigt, wenn man in der Forderung nach einem zusätzlichen Sicherungsmechanismus für eine Konfigurationssicherung den Sinn nicht erkennen kann oder will ... wenn einfach jeder Idiot mit so einer erbeuteten Datei die Einstellungen in einem Gerät desselben Modells wiederherstellen und dann dort auslesen kann, steht dem Mißbrauch dort enthaltener Credentials nichts mehr entgegen.

Aber das ist eigentlich "Klippschule" in puncto Sicherheit und wenn man solche Maßnahmen als Versuch sieht, "dem Nutzer das Nachdenken abzunehmen" (worüber eigentlich?), dann erübrigt sich jede weitere Diskussion und damit bin ich hier dann auch raus ... ich verschließe mich keiner sinnvollen Diskussion, aber dazu gehört dann auch, daß man seine Thesen nicht nur einfach aufstellt, sondern auch - wenigstens im Ansatz - nachvollziehbar begründet.

Daß ich nicht weiß, was ein "ungenügendes Gerät" ist (das sind eben keine Zensuren, die da vergeben werden, aber bei 10% der erreichbaren Punktzahl (bei sinnvollen Kriterien) wäre das Gerät sicherlich nicht nur nach meinen Begriffen "durchgefallen"), wollte ich schon durch die zusätzlichen Anführungszeichen verdeutlichen ... da ist die persönliche Schmerzgrenze sicherlich auch bei jedem anders definiert. Ich kenne sogar Leute, für die ist jedes Gerät ohne pfSense absolut ungenügend ...

Ich bleibe jedenfalls auch beim Abschied aus diesem Thread dabei, daß dieser Kriterienkatalog dem "normalen Benutzer" durchaus eine Check-Liste an die Hand geben kann, anhand derer man auch ohne umfassende "Fachkenntnisse" wenigstens grob die Spreu vom Weizen trennen kann und wenn ein Gerät an einer Stelle besondere Stärken hat, mit denen Schwächen an anderer Stelle kompensiert/kaschiert werden, dann ist das vielleicht "problematisch", aber auch noch kein Beinbruch.

Im Moment gibt es gar keine allgemeinen Kriterien, was so ein "sicherer Router" eigentlich sein könnte/sollte (selbst die diversen Tests von Webseiten und/oder Fachzeitschriften erfolgen ja lange nicht nach einheitlichen Kriterien und welcher "normale Kunde" studiert vor dem Erwerb eines Routers erst solche Berichte - es gibt sicherlich einige (auch hier immer wieder), aber das ist definitiv nicht die Mehrheit der Kunden) und wenn man dann gleich mit einem "Beißreflex" auf solche Vorschläge reagiert (wer hat sich eigentlich im Vorfeld (also seit Spätherbst 2015) an der Diskussion um diesen Katalog beteiligt?), wird man eher nicht mehr wirklich ernst genommen und wird seine eigenen Vorstellungen, warum einzelne Punkte event. nicht sinnvoll oder unnötig sind, wohl kaum noch in einer Art und Weise transportieren können, daß andere diese wenigstens lesen wollen und dann selbst darüber nachdenken können.

Viel Spaß noch ... ich bin dann mal weg.

EDIT: Doch noch nicht ganz weg ... der Punkt "MFA" (es gibt auch Leute, die an dieser Stelle "Multifaktor-Authentifizierung" ausschreiben würden, aber das sind wohl alles "Beamte") hat mir dann doch keine Ruhe gelassen. Wenn man einfach mal "jenseits der Überschriften" liest, stellt man sehr schnell fest, daß dort eben genau eine "Präsenzlösung" für tiefgreifende Konfigurationsänderungen beschrieben ist (da hätte ich auch nicht "Multifaktor-Authentifizierung" als Überschrift gewählt, weil das der Durchschnittsnutzer nach meiner Überzeugung mit den Lösungen bei Google/Apple/MS/usw. assoziiert, bei denen auf einem zweiten Weg beim Login die Identität sichergestellt wird) und wer den Sinn solch einer Lösung in Frage stellt, dem ist meiner Meinung nach ohnehin nicht mehr wirklich zu helfen ... jedenfalls kommt wohl niemand beim Lesen der Erläuterungen in Punkt 3.10.4 auf die Idee, daß da für die Anmeldung am Router eine Multifaktor-Authentifizierung auch nur in Erwägung gezogen wird (geschweige denn "gefordert", denn davor steht deutlich "optional" im Text in Punkt 3.10):
hyperbel schrieb:
Das bei der Ameldung an den Router eine MFA gefordert wird ist ebenfalls lächerlich.
 
Zuletzt bearbeitet:

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,046
Beiträge
2,244,990
Mitglieder
373,451
Neuestes Mitglied
Ayzham
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.