Sicherheitslücke durch Fritz!Fernzugang

[Brennerlein]

Mein "Unterwegs"Notebook sieht momentan so aus da es eine Partition hat, dort ein XP installiert ist. Die eigentlichen Nutzdaten liegen in einem Truecryptcontainerfile auf der Partition und werden nach dem Systemstart gemountet. Vollverschlüsselung der gesamten Systempartition ist mir nicht möglich da ich auf den Ruhezustand angewiesen bin.

Nun habe ich die Fernzugangsoftware von AVM installiert, habe dort aber keine Möglichkeit die Installation in ein anderes Verzeichnis, nämlich in den TruecryptContainer, zu legen.

So kann jeder der in den Besitz des Notebooks gelangt in mein VPN einsteigen und das geht garnicht....

 

[KuniGunther]

Das "das geht gar nicht" würde ich schon alleine dazu sagen, dass es offenbar zwingend notwendig ist, die Zugangsdaten mitabzuspeichern und man nicht die Möglichkeit hat, diese jedesmal manuell einzugeben - oder sie sonst irgendwie mit einem zusätzlichen Password zu sichern.

Den Installationspfad könntest Du eventuell umgehen, indem Du das Verzeichnis in den Truecryptcontainer verschiebst und eine Verknüpfung anlegst.

 

[Brennerlein]

Ich habe versucht das Verzeichnis zu verschieben, das gelingt aber nicht ganz, anscheinend greifen noch Prozesse darauf zu (Programm an sich ist definitiv geschlossen und im Taskmanager wird kein normaler "Fritz"Prozess mehr angezeigt). Lustigerweise werden auch einige Systemdateien nach dem rauslöschen sofort wieder automatisch angelegt.

 

[KuniGunther]

Das müsste dann im abgesicherten Modus passieren - allerding läuft da dann auch TrueCrypt wohl nicht. Also evtl. im abgesicherten Modus umbenennen (dann kann das Verzeichnis nicht verwendet werden) und im normalen Modus verschieben und den Link anlegen. Dann wieder booten.

 

[iceboy]

btw.: nimm doch TrueCrypt 5.1, das unterstütz den Ruhezustand

 

[on_the_way_with_fbf]

lt. Wikipedia ...
Eine Sicherheitslücke ist ein Fehler in einer Software, durch den ein schädliches Programm oder ein Angreifer in den Rechner eindringen kann.
Ist dein Titel noch angemessen ?

 

[0511medien]

Ja, ist er. Der Umstand, dass man Fritz!Fernzugang nicht durch eine Passphrase absichern kann ist sehr bedenklich, denn es kann darüber in das Firmennetzwerk eingedrungen werden, wenn man z.B. den Rechner unbeaufsichtigt lässt oder die Konfigurationsdatei in falsche Hände gerät.

 

[simfes]

Es wird aber kein Firmennetzwerk geben, dass sich auf eine Fritz!Box als "Einfallstor" verlässt.

Ok, sicherlich gibt es auch die 5188er für den Bereich, der ein wenig oberhalb des Consumer- oder SOHO angesiedelt ist, aber Fritz!Boxen sind definitiv keine Businesssysteme.

Die VPN-Geschichte bei AVM ist eher ein Gimmick, da es eben immer mehr Geräte und Systeme gibt, die sowas ab Werk anbieten. Nur muss man einschränken, dass die es eigentlich alle besser können.

 

[ktw2003]

Falls Du Dein Containerfile wie eine Festplatte mit eigenem Laufwerksbuchstaben mountest, dann kannst Du unter XP den Order in dem die unverschlüsselte AVM Fernzugangskonfiguration liegt, auch dort hineinverschieben und an der Quelle (wo der Ordner original war) einen Junktionpoint (linkd.exe) setzen. Für die Software ist dies wie der Originalordner, der Fernzugang klappt dann natürlich nur wenn TrueCrypt auch freigeschaltet ist.

 

[Black Eagle]

Aber eigentlich sollte es für AVM doch möglich sein, die Fernzugangssoftware mit einer Art "Master Passwort" auszustatten, ohne welches der Aufbau einer VPN Verbindung nicht möglich ist, oder auch ohne das die VPN Passwörter nicht abrufbar sind, oder ?

Das würde in der Tat die Sicherhiet erhöhen, falls der Laptop mal in "falsche" Hände gerät.
Cisco Client Software macht dies meines wissens doch auch...

Also wäre dies mal ein guter Vorschlag an AVM...

 

[ktw2003]

Wenn ein Laptop wirklich in falsche Hände gerät und das unverschlüsselt, dann hat man eigentlich andere Probleme.

Aber es sollte doch in so einem Fall nicht unbedingt das Problem sein den VPN-Zugang einfach zu sperren, sprich einfach in der Box abhaken oder löschen.

Oder vielleicht einfach gerade anlassen und hoffen das sich jemand verbindet, dann habe ich eine IP und eine Uhrzeit und vielleicht auch bald den neuen Besitzer des Notebooks?

 

[Black Eagle]

Wenn ein Laptop wirklich in falsche Hände gerät und das unverschlüsselt, dann hat man eigentlich andere Probleme.

....

Oder vielleicht einfach gerade anlassen und hoffen das sich jemand verbindet, dann habe ich eine IP und eine Uhrzeit und vielleicht auch bald den neuen Besitzer des Notebooks?

Hehe, letzteres hatte ich nicht bedacht...guter punkt !

Aber zu ersterem, auch wenns hier nicht hinpasst:
Du verschlüsselst Deinen gesammten Laptop sicher ? Wie denn ? Das wüsst ich gern, denn immerhin, ein Laptop wird ja immer mehr zum "persönlichen Begleiter mit zig persönl. Daten... !

Gibt es da kotenfreundliche Software zu ?

 

[ktw2003]

Ich verwende ein kommerzielles Produkt - SecureNotebook, aber ja es gibt auch ein kostenfreies OpenSource-Projekt dazu, such mal nach TrueCrypt, dieses hat sich rasant entwickelt und die Features sind doch beeindruckend.

Auch wenn dies jetzt etwas OT war, dient es ja im Endeffekt dazu das Ursprungsproblem eleganz zu lösen.