Spionierenden LG TV blockieren

[alis]

Hallo zusammen,

ich habe einen LG TV, der nach Hause telefoniert und meine Fernsehgewohnheiten übermittelt. Da das in der alten Firmware noch unverschlüsselt über http passierte, brauchte ich in meiner Fritzbox (7312, 06.03) einfach nur ein paar Domains sperren. Mittlerweile passiert das über https, daher funktioniert das ganze nicht mehr so leicht. Ich kann nur den gesamten https-Traffic blockieren, aber nicht gezielt nur manche Domains.

Ich bin derzeit am überlegen, ob es sinnvoller ist, die IPs zu sperren oder die DNS Einträge umzubiegen. Hat jemand noch eine bessere Idee? Was wäre der "einfachste Weg", so etwas zu erreichen? Reicht da die Standard-Firmware + Telnet? Oder muss ich tatsächlich mit Freetz und dnsmasq arbeiten? Ich würde mich über weitere Anregungen freuen! Ich habe auch noch eine Fritzbox 7330SL, falls das etwas einfacher macht.

 

[SF1975]

Hallo,
Du kannst doch mit der Kindersicherung arbeiten: Dem LG ein eigenes Profil geben und die Domains/IPs dort sperren.

 

[Benares]

Hast du dir schonmal die Möglichkeiten der "Kindersicherung" angeschaut? Evtl. geht es darüber.

 

[alis]

Hast du dir schonmal die Möglichkeiten der "Kindersicherung" angeschaut? Evtl. geht es darüber.

Leider nein. Die habe ich bisher genutzt. Die Fritzbox unterstützt aber über die Weboberfläche scheinbar nur die Möglichkeit, den gesamten HTTPS Verkehr zu blockieren, was ich aber nicht möchte, da ich manche Apps auf dem Fernseher habe, die https benötigen.

Wäre der dsld vielleicht eine Option? Habe nach etwas stöbern gefunden, dass man dort wohl einzelne IPs sperren kann.

dsldpconfig {
                        security = dpsec_firewall;
                         ....
                        highoutput {
                                policy = "permit";
                                accesslist = 
                                             ...
                                             "deny tcp any host <ip die ich sperren will> eq 443";
                        }
                }

Würde es so vielleicht klappen?

 

[SF1975]

Hallo,
Du kannst doch die Liste (Blacklist) nutzen, oder nicht?

 

[koyaanisqatsi]

Moin

Schwer zu sagen, ich würde es erstmal mit einem Profil versuchen, die sind ab...
Sicherungsdatei oder /var/flash/ar7.cfg

prios {
        profiles {

...zu finden. Eine Garantie gibt es aber nicht.
Was ist mit der von LG versprochenen Firmware?

EDIT: prios ??? Priorisierung? Ähem, wohl doch nicht...
(kram, raschel)
Oje, das sieht nicht so toll aus...
Die Profile sind: /var/flash/user.cfg

 

[alis]

Danke! Schaue ich mir mal an.

Die von LG versprochene Firmware hat nur einen Dialog eingebaut, in dem drinsteht, dass die Daten gesendet werden. Außerdem ist die Option zum deaktivieren ausgebaut worden und - das ist gerade mein Problem - die Daten werden nun verschlüsselt übertragen.

SF1975: Falls ich die Hilfe der Fritzbox nicht falsch verstanden habe, gelten diese Blacklists nur für http Verkehr - nicht für https. Hier hat man nur die Option, den Datenverkehr komplett zu unterbinden oder komplett zu erlauben. Da der Fernseher die Daten seit dem Update verschlüsselt überträgt, reicht die Blacklist daher nicht mehr.

 

[SF1975]

Hallo,
Aha. Steht in der KS nicht auch etwas von HTTPS? Habe gerade keinen Zugriff.

 

[koyaanisqatsi]

Nicht bei der Blacklist.
Auch in der Hilfeseite zur Blacklist nichts zu HTTPS nur ein Beispiel für: http://und.rest.net
In der Profileinstellung selber ist nur komplettes sperren/erlauben von HTTPS vorgesehen.

 

[SF1975]

Hallo,
Aha, also Nachholbedarf in der FW

 

[Benares]

Ich würde es einfach mal probieren.
In der Hilfe steht, dass URLs gesperrt werden. Das ist doch nur ein String. Da ist doch egal, ob http... oder https.... Die Verschlüsselung kommt doch erst danach.
alis, kennst du die URL, die genutzt wird, oder nur die IP?

 

[alis]

Ich würde es einfach mal probieren.
In der Hilfe steht, dass URLs gesperrt werden. Das ist doch nur ein String. Da ist doch egal, ob http... oder https.... Die Verschlüsselung kommt doch erst danach.
alis, kennst du die URL, die genutzt wird, oder nur die IP?

Ich habe auch die URLs und habe diese bereits in einem Filter geblockt. Ich habe in der Fritzbox zur Zeit folgende Auswahlmöglichkeiten:


Es scheint auch so zu funktionieren, wie es dort beschrieben ist. Aktiviere ich das HTTPS-Häkchen, sehe ich, dass Anfragen durchgeleitet werden. Habe ich es deaktiviert, werden die Anfragen geblockt, aber auf meinem Fernseher funktionieren andere Apps, die HTTPS nutzen, nicht mehr.

 

[Benares]

Ah, jetzt verstehe ich dein Problem, hier liegt der Hund begraben:

Beachten Sie bitte, dass diese Option alle Aufrufe über das Protokoll HTTPS erlaubt! Das gilt auch dann, wenn die aufgerufene Seite in einer angewendeten Filterliste enthalten ist.

Wenn du https erlaubst, wirken die Filterlisten nicht mehr. Keine Ahnung, warum AVM das so implementiert hat. Ich sehe da keinen Sinn dahinter.
Frag doch einfach mal bei AVM nach.

 

[koyaanisqatsi]

Wenn AVM das schaffen sollte, HTTPS Filterlisten zu implementieren, dann schaffen sich bestimmt viele Netzwerkadmins heimlich eine Fritz!Box an.

 

[Benares]

Erklär mal, was du meinst.
Warum sollte es nicht möglich sein eine URL wie https://xxx.yyy.zzz (also xxx.yyy.zzz) beim initialen Verbindungsaufbau zu blocken und https://aaa.bbb.ccc durchzulassen?

 

[koyaanisqatsi]

Puh, die Frage ist (für mich) nicht einfach zu beantworten.
Vielleicht macht dies es ein wenig plausibler:

Bei Verwendung von https ist die aufzurufende URL nicht im Klartext ersichtlich. Die Domain und deren IP-Adresse sind allerdings, aufgrund des verwendeten Zertifikats, bekannt. Daher kann bei https nicht auf einzelne URLs gefiltert werden, sondern nur auf ganze Domains beziehungsweise IPs. Der Entscheid eine ganze Domain beziehungsweise IP zu sperren, liegt beim Filterhersteller. Eine komplette Filterung von https wäre möglich. Dafür müsste aber die Ende-zu-Ende-Verschlüsselung aufgebrochen werden – per Man-in-the-Middle-Angriff. Wir haben uns ausdrücklich gegen diese Methode entschieden."

Quelle

 

[PeterPawn]

Warum sollte es nicht möglich sein eine URL wie https://xxx.yyy.zzz ... beim initialen Verbindungsaufbau zu blocken

Die Fritz!Box "sieht" es nur dann, daß die Verbindung zur Domain "xxx.yyy.zzz" gehen soll, wenn sie diese Verbindung selbst aufbaut.

Solange ein hinter der Fritz!Box befindlicher Client diese URL aufruft, ist die Verbindung Punkt-zu-Punkt verschlüsselt und die Fritz!Box ist auf dem Weg zwischen dem Client und dem HTTPS-Server nicht privilegierter, als jeder x-beliebige andere Router, den der Traffic dabei passieren muß.

Eine Blockade der Verbindung wäre natürlich weiterhin auf der Ebene der IP-Adressen möglich ... wenn die Box also eine Blacklist für IP-Adressen führt (keine Ahnung, ob das so ist), sollte auch eine Verbindung zu einer bestimmten IP-Adresse auf Port 443 (oder was auch immer als Port-Nummer benutzt wird) blockiert werden können.

Wenn eine Filterung auf IP-Adressen nicht sinnvoll erscheint (z.B. bei großen Pools und/oder Doppelverwendung), kann man aber immer noch versuchen, die Umsetzung der Domain auf die IP-Adresse zu unterbinden, indem man einen eigenen DNS-Server verwendet. Wenn der dann einfach fälschlicherweise behauptet, für die Domain "yyy.zzz" zuständig zu sein und auf eine falsche Adresse (vorzugsweise im LAN, damit man nicht unnötigen WAN-Traffic erzeugt) auflöst, ist auch Ruhe. Alles außerhalb des lokalen Netzes und der Domain "yyy.zzz" leitet er dann als Forwarder an einen "richtigen" DNS-Server weiter.

Edit: Um es noch klar herauszustellen ... es geht nicht darum, den per DHCP an lokale Clients übermittelten DNS-Server zu "ersetzen". Es soll der "externe" DNS-Server der Fritz!Box modifiziert werden.

Hat man z.B. noch ein NAS o.ä. in seinem lokalen Netz, auf dem man einen DNS-Server installieren kann, muß man dann nicht unbedingt die Fritz!Box modifizieren, nur ihre Einstellungen. Selbst bei meiner KDG-6360, die ansonsten eher spröde ist, wenn es um eigene Einstellungen geht, läßt sich ein entsprechender DNS-Server konfigurieren.

Edit2: Genau solch eine Ausnahme, daß ein "externer" Name auf eine lokale Adresse aufgelöst wird, muß dann allerdings unter "Heimnetz/Netzwerkeinstellungen" beim DNS-Rebind-Schutz eingetragen werden, ansonsten ignoriert die Box solche "falschen" Antworten als Sicherheitsmaßnahme.

 

[Benares]

Hallo PeterPawn,

vielen Dank für die ausführliche Erklärung. Aber eine Frage zu

Die Fritz!Box "sieht" es nur dann, daß die Verbindung zur Domain "xxx.yyy.zzz" gehen soll, wenn sie diese Verbindung selbst aufbaut.

Ist das im privaten Bereich nicht immer so? Beim initialen Verbindungsaufbau muss ja erstmal der DNS-Name aufgelöst werden. Schon das könnte man verweigern, solange die URL in einer Sperrliste auftaucht. Das würde für das hier hier beschriebene Problem doch schon reichen.

Wenn der Verkehr erst einmal verschlüsselt ist, ist es natürlich unmöglich so etwas zu sperren (z.B. https://aaa.bbb.ccc (erlaubt) verlinkt wieder https://xxx.yyy.zzz (verboten) o.ä. ), oder?

Ist nicht soooo mein Themengebiet, aber es interessiert mich.

Edit: Früher hatte ich mal einen eigenen DNS-Server am laufen, mit DNS-Weiterleitung unbekannter Adresssen nach extern. Da hätte ich einfach einen Dummy-Eintrag für den zu blockenden DNS-Namen gemacht - fertig. Die Fritzbox lässt scheinbar keine solchen Einträge zu. Wenn ich z.B. www.suse.de auf 192.168.0.x (Dummy-IP) verpointern will, behauptet die Oberfläche, der Name dürfe nur A-Z, a-z und . usw. enthalten - tut er doch.

 

[koyaanisqatsi]

"Wennm eine Filterung auf IP-Adressen nicht sinnvoll erscheint (z.B. bei großen Pools und/oder Doppelverwendung)"

Ja, mir. Ich hab grad versucht Google mittels der nicht angehakten erlaubten IPs auszusperren.
fritz.box/internet/kids_blockedip_list.lua
Da ist mir DNS und/oder ein Proxy (mit Filter) lieber.

:mrgreen: Apropos Proxy: fritz.box:8181 :mrgreen:

 

[PeterPawn]

Beim initialen Verbindungsaufbau muss ja erstmal der DNS-Name aufgelöst werden. Schon das könnte man verweigern, solange die URL in einer Sperrliste auftaucht. Das würde für das hier hier beschriebene Problem doch schon reichen.

Da diese Filterung über DNS-Auflösung eigentlich sinnlos ist, weil sie durch die direkte Adressangabe oder Verwendung eines "nicht sperrenden" DNS-Servers kinderleicht zu umgehen ist (die leidige Diskussion mit dem Stopschild gegen KiPo vor einigen Jahren basierte ja auch derselben Methode), implementiert AVM - meines Wissens - keine Sperrliste beim DNS-Server; auch die BPJM-Filterung dürfte (angesichts der Beschränkungen) auf dem "Belauschen" und Analysieren des HTTP-Traffics basieren.

Das ist eben eher als Kindersicherung denn als Schutz gegen spionierende Geräte/Gadgets angelegt.

Ob da vielleicht doch auch eine DNS-Sperrliste verwendet wird, wäre aufgrund der Vorgehensweise (die Liste enthält dem Vernehmen nach nur Hashes - von Adressen und - vermutlich - von Domainnamen) nur dann zu überprüfen, wenn man eine dieser von der BPJM indizierten Adressen kennen würde und damit entsprechende Tests ausführen könnte.
Das würde dann aber wieder gerade diese Adresse besonders interessant machen und so bleibt der Inhalt der Liste eben geheim.
Da man (wieder nur nach meinem Wissensstand) dort auch keinen Kontrollmechanismus - wie z.B. EICAR bei Virenscannern - implementiert hat, kann man die Qualität und die Vorgehensweise der BPJM-Filterung der Fritz!Box auch nur erraten.

Aber Du hast natürlich insofern recht, als daß es letzten Endes egal ist, wo und warum die DNS-Auflösung gefälscht oder unterdrückt wird ... das Ergebnis ist dasselbe. Die Box implementiert es aber - zumindest für "frei eingetragene" Domainnamen - derzeit wohl nicht.

Die Kenntnisse zum Filtern von IP-Adressen (mit ar7.cfg-Einstellungen, was aber die Reaktion auf dynamische Änderungen wirklich kompliziert macht) und dem "Umbiegen" von DNS-Namen hatte der TE ja auch selbst. Ich wollte mehr auf seine Frage eingehen, ob dazu unbedingt Freetz mit dnsmasq erforderlich ist oder ob es sich mit "Bordmitteln" der AVM-Software irgendwie lösen läßt. Durch den zusätzlich notwendigen DNS-Server ist es zwar nicht direkt mit Bordmitteln möglich, aber er sprach ja auch von einem zweiten vorhandenen Gerät.

Wenn der Verkehr erst einmal verschlüsselt ist, ist es natürlich unmöglich so etwas zu sperren ... oder?

Warum sollte ein Link und/oder eine Weiterleitung zu einer anderen(!) Adresse/Domain innerhalb einer bestehenden Verbindung aufgelöst/ausgeführt werden ? Bei HTTPS ist es immer eine Punkt-zu-Punkt-Verbindung ... ändert sich einer der beiden Punkte (in diesem Falle ja immer der Server), braucht man auch eine neue Verbindung, jedenfalls solange der Server nicht als Proxy arbeitet und seinerseits die Daten als "Stellvertreter" abholt - das ist ja das Prinzip eines Proxies.