Aus Sicherheitsgründen möchte ich gerne verhindern, dass ein Zugriff auf die Weboberfläche der Fritz!Box per HTTP möglich ist. Ist es Möglich den Zugriff auf die Weboberfläche per HTTP zu deaktivieren oder ist es möglich, Zugriffe per HTTP auf HTTPS weiterzuleiten (analog wie z.B. bei einer Synology möglich)?
[Frage] Wie kann HTTP Zugriff auf Weboberfläche deaktiviert werden?
- Ersteller ffeldhaus
- Erstellt am
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,256
- Punkte für Reaktionen
- 1,747
- Punkte
- 113
Einfach mal suchen ... es ist ja nicht das erste Mal, daß diese Frage gestellt/diskutiert wird.
Generell läßt sich der HTTP-Zugriff nicht/nur sehr schlecht abschalten (in der ar7.cfg), aber der verwendete Port läßt sich "verbiegen" und dann muß man eben auf dem Port 80 seinen eigenen HTTP-Server betreiben (da reicht im Extremfall schon ein Shell-Skript, was einfach per inetd.conf eine Datei mit einem passenden 302-Fehler ausliefert), der die Zugriffe "umleitet".
Generell läßt sich der HTTP-Zugriff nicht/nur sehr schlecht abschalten (in der ar7.cfg), aber der verwendete Port läßt sich "verbiegen" und dann muß man eben auf dem Port 80 seinen eigenen HTTP-Server betreiben (da reicht im Extremfall schon ein Shell-Skript, was einfach per inetd.conf eine Datei mit einem passenden 302-Fehler ausliefert), der die Zugriffe "umleitet".
Ich habe vor dem Schreiben der Frage nach den Begriffen "weboberfläche http" gesucht und nichts passendes gefunen. Ich würde mich über einen kurzen Hinweis auf bestehende Diskussionen freuen.
Das der HTTP-Zugriff nicht abgeschaltet werden kann halte ich für ein relativ großes Sicherheitsrisiko. Ich würde mich sehr freuen, wenn AVM hier aktiv werde würde.
Ist das betreiben eines Shell Skript ohne Modifikationen der Firmware möglich?
Hast du Gründe, bestimmte Geräte innerhalb deines Netzes vom Zugriff abzuhalten? Warum reicht dir dabei die User/Passwort-Sicherung nicht? Dann bliebe noch die von HabNeFritzbox angebotene Lösung über das Gastnetz...
Es geht mir hierbei nicht darum, den Zugriff generell einzuschränken, sondern nur zu verhindern, dass ein unverschlüsselter Zugriff auf die Fritz!Box möglich ist, bei dem das Kennwort einfach abgefangen werden kann.
Suche einmal anders ...
https://www.google.de/#q=fritzbox+webinterface+sperren+site:www.ip-phone-forum.de
https://www.google.de/#q=fritzbox+webinterface+sperren+site:www.ip-phone-forum.de
qwertz.asdfgh
IPPF-Promi
- Mitglied seit
- 18 Feb 2011
- Beiträge
- 4,467
- Punkte für Reaktionen
- 65
- Punkte
- 48
Allein schon das Vorhandensein eines Internetanschlusses ist ein relativ großes Sicherheitsrisiko... Ich würde mich freuen, wenn dbzgl. die Netzbetreiber aktiv werden würden.
Bemühungen seitens AVM in diese Richtung sind zu bezweifeln, man würde sich damit evtl. selbst aussperren können (man hat ja bei AVM offenbar sogar schon davor "Angst", dass Nutzer die LEDs über das WebIf abschalten können und dadurch evtl. einen erhöhten Supportaufwand verursachen könnten).
Sinnvoll ist, dass das WebIf bereits im Auslieferungszustand mit einem individuellen Passwort gesichert ist (in diese Richtung ist AVM bereits aktiv geworden bei neuen FritzBox-Modellen, vermutlich hat man sich dabei teilweise am Testkonzept des BSI orientiert, s.h. z.B. Pkt. 3.4 ff., eine Abschaltbarkeit des WebIf im lokalen Netz wird darin übrigens nicht gefordert, lediglich https anstatt http wird zusätzlich empfohlen wobei http parallel existieren darf).
Nein (zumindest nicht offiziell), wäre ja schließlich ein Sicherheitsrisiko.
- - - Aktualisiert - - -
Das Passwort beim WebIf-Login wird selbst beim Zugriff per http nicht im Klartext übertragen. Im Gegensatz übrigens zu telnet, einige haben ja noch immer nicht akzeptiert, das AVM telnet "verbannt" hat (es hat eben einen guten Grund).
- - - Aktualisiert - - -
BTW:
Selbst https hat bei der webcm-Lücke nicht geholfen, also bei einem Bug in der Firmware würde das Abschalten von http u.U. noch nicht einmal helfen solange noch das WebIF per https erreichbar ist. Und eines von beiden muss weiterhin funktionieren (also selbst wenn AVM in die von dir gewünschte Richtung etwas unternehmen würde), sonst hilft u.U. nur noch das Laden der Werkseinstellungen bzw. das Wiederherstellungsprogramm weiter (z.B. bei FritzBoxen ohne FXS-Port).
Kurzum: Für einen DSL-Router, welcher primär für den durchschnittlichen Privatanwender ausgelegt/entwickelt wird (aka Consumer-Gerät und dazu gehört die FritzBox-Modellreihe von AVM), sind deine vom Hersteller gewünschten Bemühungen eher unrealistisch.
Zuletzt bearbeitet:
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,256
- Punkte für Reaktionen
- 1,747
- Punkte
- 113
Der betreffende Abschnitt in der "ar7.cfg" heißt "websrv" und dort steht der Name "port" für die Variable mit dem Port, welcher vom HTTP-Server verwendet wird.
Die Frage nach dem "Modifizieren der Firmware" ist schwer zu beantworten ... mit der "originalen Firmware" ist eben nur das Umbiegen des HTTP-Ports möglich, eine automatische Weiterleitung von Port 80 auf 443 braucht eben entsprechende Zusatzsoftware - aber das habe ich ja bereits geschrieben.
Ansonsten hilft es auch, wenn man sich das Login-Verfahren bei AVM einmal ansieht - auch bei HTTP-Zugriff wird kein Kennwort übertragen. Allerdings kann man tatsächlich mit den dabei "abzugreifenden" Informationen (SID und eigene IP-Adresse) einen nicht erwünschten Zugriff auf das GUI der Box erlangen - insofern ist die Verwendung einer HTTPS-Verbindung (ein geeigneter Browser würde die (spätestens per HSTS) sogar automatisch verwenden nach dem ersten Versuch) durchaus zu empfehlen. Allerdings hilft das gegen JS-basierte Angriffe am Ende auch nicht - es wird ja nur der Transport der HTTP-Daten gesichert und nicht die weitere Verarbeitung im Browser.
Die Frage nach dem "Modifizieren der Firmware" ist schwer zu beantworten ... mit der "originalen Firmware" ist eben nur das Umbiegen des HTTP-Ports möglich, eine automatische Weiterleitung von Port 80 auf 443 braucht eben entsprechende Zusatzsoftware - aber das habe ich ja bereits geschrieben.
Ansonsten hilft es auch, wenn man sich das Login-Verfahren bei AVM einmal ansieht - auch bei HTTP-Zugriff wird kein Kennwort übertragen. Allerdings kann man tatsächlich mit den dabei "abzugreifenden" Informationen (SID und eigene IP-Adresse) einen nicht erwünschten Zugriff auf das GUI der Box erlangen - insofern ist die Verwendung einer HTTPS-Verbindung (ein geeigneter Browser würde die (spätestens per HSTS) sogar automatisch verwenden nach dem ersten Versuch) durchaus zu empfehlen. Allerdings hilft das gegen JS-basierte Angriffe am Ende auch nicht - es wird ja nur der Transport der HTTP-Daten gesichert und nicht die weitere Verarbeitung im Browser.
Die vorgeschlagene Änderung der ar7.cfg hat den gewünschten Effekt. Für normale User ist das natürlich deutlich zu kompliziert.
Ich gehe davon aus, dass AVM in sehr naher Zukunft etwas tun muss, um nicht deutlich mehr Support Anfragen zu bekommen. Firefox und Chrome führen vermehrt Warnungen und Hinweise ein für Seiten die per HTTP abgerufen werden und auf denen ein Passwort Feld vorhanden ist. Google hat sogar angekündigt, in Chrome den Aufruf von Webseiten mit Passwortfeldern über HTTP in Zukunft ganz zu unterbinden.
Mehr Infos hier:
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/
Letztendlich fehlt natürlich auch noch eine saubere Implementierung von Zertifikaten für lokale Webseiten. Da AVM ja eine nicht standardisierte TLD verwendet und für jede Fritzbox den gleichen DNS Namen nimmt, können Zertifikate nicht einfach mit z.B. Let's Encrypt erstellt werden. Hier ist sicherlich noch einiges an Arbeit notwendig.
Ich gehe davon aus, dass AVM in sehr naher Zukunft etwas tun muss, um nicht deutlich mehr Support Anfragen zu bekommen. Firefox und Chrome führen vermehrt Warnungen und Hinweise ein für Seiten die per HTTP abgerufen werden und auf denen ein Passwort Feld vorhanden ist. Google hat sogar angekündigt, in Chrome den Aufruf von Webseiten mit Passwortfeldern über HTTP in Zukunft ganz zu unterbinden.
Mehr Infos hier:
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/
Letztendlich fehlt natürlich auch noch eine saubere Implementierung von Zertifikaten für lokale Webseiten. Da AVM ja eine nicht standardisierte TLD verwendet und für jede Fritzbox den gleichen DNS Namen nimmt, können Zertifikate nicht einfach mit z.B. Let's Encrypt erstellt werden. Hier ist sicherlich noch einiges an Arbeit notwendig.
Neueste Beiträge
-
[Problem] Home Server Tausch 7590AX zu 7690 funktioniert nicht
- Letzte: fisch-li
-
Gigaset Comfort 520A IP Base an Telekom Company Pro 50
- Letzte: bigboi
-
[Frage] SIM Karte auf Defekt prüfen ?- Letzte: hexadezimal
-
[Sammlung] AVM-Gateway-kompatible Zigbee-Geräte
- Letzte: zorro neu
-
TL-WA850RE als W-Lan-Adapter an 7490?
- Letzte: t.phi
