Warum eine Notfall-IP ? Warum der Zwang mit "fritz.box" ?

[scolopender]

Die Zieladresse ist auch bei dem Windows Beispiel im gleichen Subnetz...

Bei dem?

G., -#####o:

 

[sibsnonto]

...Stichwort "Gateway". Genau da steht wie in einem Adressbuch die echte IP-Adresse des Gateways drin.

Ist es denn genauso leicht, wie man Zuggriff mit der letzten Sicherheitslücke bekam auf die FritzBox, auch über das Gateway die Standard IP auszulesen ?
Also könnte man das über eine modifizierte Webseite, ohne Javascript (bzw. geht es mir Javascript) ?

 

[koyaanisqatsi]

Wie wärs mit UPnP und XML?

Alles lokal frei zugänglich...

<html>
<head>
<meta http-equiv="refresh" content="3;URL=http://fritz.fonwlan.box:49000/igdconnSCPD.xml">
<title>Test</title>
</head>
<body>
<a href="http://fritz.box:49000/any.xml">any.xml</a>
<br/>
<a href="http://fritz.box:49000/igddesc.xml">igddesc.xml</a>
<br/>
<a href="http://fritz.box:49000/igdicfgSCPD.xml">igdicfgSCPD.xml</a>
<br/>
<a href="http://fritz.box:49000/igddslSCPD.xml">igddslSCPD.xml</a>
<br/>
<a href="http://fritz.box:49000/igdconnSCPD.xml">igdconnSCPD.xml</a>
</body>
</html>

 

[sibsnonto]

Klappt bei mir nicht, UPnP habe ich nicht aktiviert. Es setzt auch vorraus das die Namen "fritz.box","fritz.wlanfon.box" etc. nicht in der hosts umgeleitet wurden, bzw. dem Standard entsprechend funktionieren.

 

[scolopender]

Ist es denn genauso leicht...

Die erwähnte Gateway-Angabe ist die aus der TCP/IP-Konfiguration des Rechners. Das ist die "Standard-IP".

Also könnte man das ...

Das wäre dann genauso, als ob Du jemanden anrufst und ihn dann nach seiner Telefonnummer fragst. :lach:

G., -#####o:

 

[sibsnonto]

Kannst du mal eine Html-Datei erstellen, die mir im Webbrowser die IP zur Fritzbox darstellt, also die, mit der man zum Webinterface der FritzBox kommt (natürlich auch wenn sie geändert wurde) ?

 

[RalfFriedl]

Wie wärs mit UPnP und XML?

Alles lokal frei zugänglich...

Was soll uns das jetzt sagen? Ist es die Fortsetzung der Reihe von URLs, die ohne Passwort abrufbar sind? Wenn ja, dann erläutere doch bitte, was zumindest potentiell daran ein Problem sein könnte.
Oder ist es die Antwort auf den Betrag darüber, wo gefragt wurde, wir man das Default Gateway auslesen kann? Auch dann erläutere bitte, was man mit den genannten URLs anfangen kann.

 

[koyaanisqatsi]

Die XML Aufrufe liefern dir die (UPnP) Funktionen frei Haus,
die dann über einen "seifigen" (SOAP) Aufruf verwendet werden können.

Zum Beispiel...

<?php
header('Content-Type: text/html');
$client = new SoapClient(
    null,
    array(
        'location'   => "http://fritz.box:49000/upnp/control/WANIPConn1",
        'uri'        => "urn:schemas-upnp-org:service:WANIPConnection:1",
        'soapaction' => "",
        'noroot'     => True
    )
);
$status = $client->GetExternalIPAddress();
$status2 = $client->GetStatusInfo();

print_r($status);
/*
print_r($status2);
*/
?>

...liefert die öffentliche IP.
Etwas trivial, kann aber mit $_SERVER["REMOTE_ADDR"] verglichen werden.
Dann weiss der Angreifer ob noch ein (ELITE) Proxy im Spiel ist, oder nicht.
Sowas geht wohl auch in VBS, Java etc ff

 

[sibsnonto]

Das setzt vorraus, dass man den Zugang zur Fritzbox kennt, dann braucht man auch keine Upnp Anfrage mehr zu machen.

Theoretisch könnte es so gehen http://indisnip.wordpress.com/2010/07/30/get-localgateway-ip-addresses/
Allerdings führt nur der IE VBS aus, außerdem habe ich den Script Host nicht aktiviert. Der IE blockt auch in der Regel die VBS Scripts und lässt sie nur auf ausdrücklichen Wunsch zu.

Geht das auch ohne VBS ?

 

[koyaanisqatsi]

Hat aber mit Port 80 so gar nichts zu tun.
Der UPnP Webserver läuft auf Port 49000 und den haste bestimmt nicht geändert.
Probier mal: http://fritz.box:49000/MediaReceiverRegistrar.xml

 

[sibsnonto]

Ja stimmt. Aber das hat wie gesagt zur Vorraussetzung, dass UPnP aktiv ist und "fritz.box" aufgelöst wird. Dann brauche ich auch nicht mehr den Default-Gateway, weil ja "fritz.box" funktioniert...

http://fritz.box:49000/MediaReceiverRegistrar.xml gibt es bei meiner Testbox 5140 nicht auch wenn UPnP aktiv ist.

 

[koyaanisqatsi]

Nun, will man sich komplett schützen, gilt es eine Menge zu beachten.
Demzufolge wohl auch eine Menge Know How.
Das schreib ich mir aber selber ab, und von Otto Normal mal ganz zu schweigen.
Obwohl ein lokal laufender filternder Proxy genau hier helfen könnte.
Die müssten nur easy zu installieren und zu konfigurieren sein.

 

[RalfFriedl]

Probier mal: http://fritz.box:49000/MediaReceiverRegistrar.xml

Ok, habe ich probiert. Könntest Du endlich aufhören, mit URLs um Dich zu werfen, und auch erläutern, was Du an denen interessant findest?
PHP läuft auf dem Server und nicht auf dem Browser, von daher kann man mit PHP nichts auf der Box anfragen. Und natürlich hat es keinen Sinn, die Box nach ihrer IP Adresse zu fragen, weil man diese IP Adresse schon braucht, um die Frage an die Box zu richten.

 

[koyaanisqatsi]

Diese Abfrage funktioniert bei einer 7270v2 bei im Webinterface deaktivierten UPnP.
Der UPnP Webserver st aber definitiv nicht abgeschaltet.
Das Verzeichnis /var/tmp/upnpwebsrv/ kann also munter für eigene Seiten und CGIs dienen?

 

[scolopender]

Das Verzeichnis /var/tmp/upnpwebsrv/ ...

Von Haus aus stehen da nur

./var/tmp/upnpwebsrv/MediaReceiverRegistrar.xml
./var/tmp/upnpwebsrv/MediaServerConnectionManager.xml

drin - unkritisch.

... kann also munter für eigene Seiten und CGIs dienen?

Für das, was Du da reinmüllst, bist Du verantwortlich.

G., -#####o:

 

[koyaanisqatsi]

Genau, und deswegen setze ich diese Dateien auf Null Byte.
AVM gaukelt einen abgeschaltetes UPnP nur vor.
Denn...

deepbase # pscan -p 49000 -P 49000 7270v2.fritz.box
Scanning 7270v2.fritz.box ports 49000 to 49000
 Port   Proto   State   Service
49000   tcp     open    unknown
0 closed, 1 open, 0 timed out (or blocked) ports
deepbase # curl http://7270v2.fritz.box:49000/any.xml
<?xml version="1.0"?>
<scpd xmlns="urn:schemas-upnp-org:service-1-0">
<specVersion>
<major>1</major>
<minor>0</minor>
</specVersion>
<serviceStateTable>
<stateVariable sendEvents="no">
<name>Dummy</name>
<dataType>string</dataType>
</stateVariable>
</serviceStateTable>
<actionList />
</scpd>
deepbase #

...Abfragen gehen noch.
Die in Post #88 demonstrierte SOAP allerdings nicht mehr.
Ist UPnP auf dem Repeater aktiv bekommt man die Router IP,
wenn eine Abfrage auf GetCommonLinkProperties abgesetzt wird.
Denn die Router IP ist meist: NewDNSServer1
...und sehr wahrscheinlich: NewVoipDNSServer1
Die brauchen den bestimmt für so uraltes Zeug, wie das AVM-Startcenter.
Die 7270v2 ist als reiner WLAN-Repeater konfiguriert.
Nichts ist aktiviert, kein: NAS, My!FRITZ oder Mediaserver aktiv
Deswegen auch UPnP deaktiviert, aber denkste! Isses eben nicht.

[zyn]Es gibt übrigens eine schwarze Sonnenbrille auf der Fritz!Box.
Für alle die Gefahren nicht sehen wollen:
http://fritz.box:8181/
So ist man relativ sicher unterwegs.
Einfach als Proxy eintragen.[/zyn]

 

[scolopender]

Genau, und deswegen setze ich diese Dateien auf Null Byte.

Dadurch wird Deine FRITZ!Box nicht sicherer.

Für alle die Gefahren nicht sehen wollen ...

Noch sicherer bist Du, wenn Du das Stromkabel von der FRITZ!Box abziehst.

(Mit Deiner Sicherheits-Psychose nimmt Dich hier kaum jeniemand mehr ernst.)

G., -#####o:

 

[sibsnonto]

Vielleicht könnten wir nochmal etwas mehr zum Thema zurück (UPnP wäre nochmal ein extra Thema)...

So wie es aussieht ist es eben nicht möglich den den lokale Standardgateway zur Fritzbox einfach rauszubekommen (von außerhalb) ohne einen Trojaner oder Virus. Hier diese Möglichkeit http://indisnip.wordpress.com/2010/07/30/get-localgateway-ip-addresses/ ist zu sehr von den Umgebungsvariablen abhängig (IE notwendig, Script Host aktiv, VBS-Block im Browser nicht aktiv) und somit untauglich. Wenn es eine reine Javascript Lösung gäbe, wäre das was anderes.

 

[Benares]

Ich hab mir mit Wireshark grad mal angesehen, was da abgeht, wenn ich die 169.254.1.1 von meinem PC aus anpinge und auch eine Antwort erhalten, obwohl es keine Route dorthin gibt. Weiterhin hab ich mich gefragt, wieso gerade meine Repeaterbox unter der IP zu erreichen ist (ich hab ja mehrere, s. Signatur).

Die Antwort ist ganz einfach:
1.) Der PC schickt eine ARP-Request raus
2.) alle 3 Fritzboxen antworten mit ihrer MAC, die schnellste zuerst (7490), der 1. ping geht an die 7490
3.) die 7390-Basis antwortet mit ihrer MAC, währenddessen trifft die Antwort der 7490 ein. Der 2. ping-Request geht schon an die Basis-7390.
4.) als letztes antwortet die Repeater-7390 mit ihrer MAC, die ping-Antwort der Basis-7390 trifft ein.
5.) alle weiteren ping-Requests gehen an die Repeater-7390 und werden von der beantwortet.

Im ARP-Cache bleibt die letzte Antwort gespeichert, daher komm ich anschliessend im IE über die 169.254.1.1 ausgerechnet auf die Repeater-7390. Routing ist da garnicht nicht im Spiel, das läuft direkt über ARP. Ich könnte da z.B. auch manuell mit "arp -s <IP> <MAC>" jede beliebige IP eintragen und nachher das zug. Gerät über diese IP ansprechen.

Da die Fritzboxen auf ARP-Anfragen von aussen ganz sicherlich nicht antworten (höchstens mit ihrer WAN-MAC) gibt es extern keine 2. IP und damit auch kein Sicherheitsloch.

 

[sibsnonto]

Der Begriff Sicherheitsloch ist vielleicht etwas irreführend in dem Fall. Es ist ja nur ein Zugang zum Webinterface. Aber ich hätte halt gern das AVM es erleichtert die Zugangsmöglichkeiten zur Fritzbox selbst zu bestimmen (u.a. die Notfall-IP per Telfon-Code aus und anschalten zu können).

Du sagst es ist dann für dich möglich über den IE mit 169.254.1.1 auf eine Box zu kommen. Dann könnte es auch passieren, wenn du auf eine preparierte Seite kommst, dass du einen Link untergeschoben bekommst, wo dann unbemerkt deine FritzBox aufgerufen wird und (wenn eine Sicherheitslücke bestehten würde wie die letzte) die Daten der Box abgerufen werden.