Checkitout
Neuer User
- Mitglied seit
- 21 Mai 2005
- Beiträge
- 142
- Punkte für Reaktionen
- 0
- Punkte
- 0
FRITZ!Box Fon WLAN 7170 Version 29.04.57 online
- Ersteller Bommel_0507
- Erstellt am
- Mitglied seit
- 9 Mai 2007
- Beiträge
- 5,224
- Punkte für Reaktionen
- 0
- Punkte
- 0
Und was ist mit dem Zugriff über Internet!? Eine feste Adresse (DynDNS) hast du ja immerhin schon konfiguriert. Du hast ja ein wirklich "großes" Vertrauen...
Checkitout
Neuer User
- Mitglied seit
- 21 Mai 2005
- Beiträge
- 142
- Punkte für Reaktionen
- 0
- Punkte
- 0
Es muss ja nichtmal dein DynDNS-Name sein, da reicht schon deine externe IP.
Und die bekommt ja jeder mit, dessen Webseite du ansurfst oder den du per VoIP antelefonierst.
HTTPS bringt da auch keinen zusätzlichen Schutz, es sorgt nur dafür, dass Daten (und Passwörter) verschlüsselt übertragen werden.
Und die bekommt ja jeder mit, dessen Webseite du ansurfst oder den du per VoIP antelefonierst.
HTTPS bringt da auch keinen zusätzlichen Schutz, es sorgt nur dafür, dass Daten (und Passwörter
) verschlüsselt übertragen werden.wiso sollte es eigentlich gefährlich sein, seine Fritzbox-Oberfläche ohne passwort zu betreiben? da kommt von aussen eh niemand dran, solange man nicht über "fremdsoftware" diese oberfläche von aussen zugänglich macht.
dass natürlich ohne passwort keine schnellwahl per anrufliste geht ist, zumindest für mich, der wichtigere grund für das passwort.
mfg
Hans
dass natürlich ohne passwort keine schnellwahl per anrufliste geht ist, zumindest für mich, der wichtigere grund für das passwort.
mfg
Hans
- Mitglied seit
- 9 Mai 2007
- Beiträge
- 5,224
- Punkte für Reaktionen
- 0
- Punkte
- 0
Ich gebe zu, dass dies wieder ein richtiges Thema zum Diskutieren ist, doch das will ich nicht...
. Aber zu deiner Aussage und zu der Ansicht von Checkitout möchte ich nur folgendes hinzufügen:Sicheres Surfen mit FRITZ!Box
Möglich ist alles - auch wenn das Risiko eines Angriffes relativ gering ist - Checkitout fördert diese und andere Vorgehensweisen erst recht durch seine fahrlässige Einstellung. Und damit meinerseits wieder zurück zum eigentlichen Thema...
bommel das mit dem CrossSiteScripting ist eine lücke vor der ein passwort in der oberfläche schütz, aber auch nur wenn es kein "einfaches standard passwort" ist, das ist richtig.
allerdings hat das wiederum nichts mit dem dyndns-name bzw der IP von aussen zu tun.
mfg
Hans
allerdings hat das wiederum nichts mit dem dyndns-name bzw der IP von aussen zu tun.
mfg
Hans
peter_altherr
Neuer User
- Mitglied seit
- 12 Aug 2005
- Beiträge
- 180
- Punkte für Reaktionen
- 16
- Punkte
- 18
aktuelle 29.04.57 erzeugt unsichere ssl-zertifikate
hab grad bei http://www.heise.de/netze/tools/chksslkey das ssl-zertifikat meiner 7170 mit aktivierter fernwartung gecheckt. ergebnis:
Das Zertifikat von xxx.dyndns.org:443 mit dem SHA1-Fingerprint XX YY ZZ... ist verwundbar. Sie sollten schnellstens handeln: Widerrufen Sie Ihr Zertifikat und lassen Sie sich ein neues ausstellen, wobei Sie darauf achten müssen, einen neuen privaten Schlüssel zu benutzen.
worum es geht wird hier beschrieben: http://www.heise.de/security/Gute-Zahlen-schlechte-Zahlen--/artikel/108272
kurz gesagt ist bei der wartung des programmcodes für openssl etwas schiefgegangen, so dass unter bestimmten umständen zwar funktionierende, aber vorhersehbare schlüssel erzeugt werden und eine https-verbindung übers internet zur box kompromittiert werden kann. wie es aussieht ist die von avm verwendete openssl version davon betroffen. ich habe heute eine support-anfrage an avm gestellt, wann und wie sie gedenken, diesen bug zu fixen.
grüsse
peter
hab grad bei http://www.heise.de/netze/tools/chksslkey das ssl-zertifikat meiner 7170 mit aktivierter fernwartung gecheckt. ergebnis:
Das Zertifikat von xxx.dyndns.org:443 mit dem SHA1-Fingerprint XX YY ZZ... ist verwundbar. Sie sollten schnellstens handeln: Widerrufen Sie Ihr Zertifikat und lassen Sie sich ein neues ausstellen, wobei Sie darauf achten müssen, einen neuen privaten Schlüssel zu benutzen.
worum es geht wird hier beschrieben: http://www.heise.de/security/Gute-Zahlen-schlechte-Zahlen--/artikel/108272
kurz gesagt ist bei der wartung des programmcodes für openssl etwas schiefgegangen, so dass unter bestimmten umständen zwar funktionierende, aber vorhersehbare schlüssel erzeugt werden und eine https-verbindung übers internet zur box kompromittiert werden kann. wie es aussieht ist die von avm verwendete openssl version davon betroffen. ich habe heute eine support-anfrage an avm gestellt, wann und wie sie gedenken, diesen bug zu fixen.
grüsse
peter
Das zeigt, dass die ganze Diskussion über die Sicherheit der Box doch nicht ganz unberechtigt ist.
Auch mit der neuesten Laborfirmware bekommt man das gleiche Ergebnis. Heißt das nun man sollte die Fernwartung besser abschalten?
Gruß
Thomas
peter_altherr
Neuer User
- Mitglied seit
- 12 Aug 2005
- Beiträge
- 180
- Punkte für Reaktionen
- 16
- Punkte
- 18
hi thomas,
wenn du zu paranoia neigst, dann auf jeden fall. ansonsten gilt: es ist unwahrscheinlich, dass ausgerechnet du mit deiner dyndns-adresse opfer eines angriffs wirst. zur sicherheit hab ich aber meine dyndns-adresse im beitrag anonymisiert. es ist einiges an aufwand nötig um die verbindung abzuhören und die frage ist, wo ein angreifer einen nutzen sieht, also warum er es genau auf dich (oder vielleicht mich) abgesehen hat. es gibt sicher attraktiviere ziele z.b. webshops, die auf unsichere ssl-zertifikate setzen. trotzdem muss avm das loch schnellstens stopfen, wenn sie weiter mit dem feature "sichere" fernwartung werben wollen.
grüsse
peter
wenn du zu paranoia neigst, dann auf jeden fall. ansonsten gilt: es ist unwahrscheinlich, dass ausgerechnet du mit deiner dyndns-adresse opfer eines angriffs wirst. zur sicherheit hab ich aber meine dyndns-adresse im beitrag anonymisiert. es ist einiges an aufwand nötig um die verbindung abzuhören und die frage ist, wo ein angreifer einen nutzen sieht, also warum er es genau auf dich (oder vielleicht mich) abgesehen hat. es gibt sicher attraktiviere ziele z.b. webshops, die auf unsichere ssl-zertifikate setzen. trotzdem muss avm das loch schnellstens stopfen, wenn sie weiter mit dem feature "sichere" fernwartung werben wollen.
grüsse
peter
Okay, da ist was dran.
Nur möchte ich nicht durch Nachlässigkeit dazu beitragen, dass irgendwer Fritz!Boxen hackt und wiederum andere schädigt.
Gruß
Thomas
Zu glauben, dass man selbst nicht Ziel von Angriffen wird ist sehr blauäugig. Genauso sind die riesigen Bot-Netze entstanden, die uns alle mit Spam überhäufen. Deswegen ist auch JEDER Rechner im Netz ein attraktives Angriffsziel.
Es laufen ständig Port-Scans auf ganzen IP Subnetzen. Bestes Beispiel: man schließe ein original Windows XP ohne Patches und Firewall ans Internet an und warte wie schnell es dauert, bis es von Außen übernommen wurde. Ihr wärt überrascht wie schnell das geht
Was hat jemand davon wenn er vollen Zugriff auf die Fritz!Box Oberfläche von Außen bekommt ? Ganz einfach: man hat direkt sämtlichen DSL Zugangsdaten, Daten von VOIP-Accounts - besonders schön, wenn man auf Kosten anderer telefonieren/surfen will. Dann kann man den Netz-Traffic des LANs mitschneiden, praktisch um Benutzernamen/Passwörter von E-Mail-Konten, ebay usw. abzugreifen.
Deswegen: Fernzugriff nicht auf dem Standard-Port laufen lassen und UNBEDINGT mit einem guten Passwort sichern.
Es laufen ständig Port-Scans auf ganzen IP Subnetzen. Bestes Beispiel: man schließe ein original Windows XP ohne Patches und Firewall ans Internet an und warte wie schnell es dauert, bis es von Außen übernommen wurde. Ihr wärt überrascht wie schnell das geht
Was hat jemand davon wenn er vollen Zugriff auf die Fritz!Box Oberfläche von Außen bekommt ? Ganz einfach: man hat direkt sämtlichen DSL Zugangsdaten, Daten von VOIP-Accounts - besonders schön, wenn man auf Kosten anderer telefonieren/surfen will. Dann kann man den Netz-Traffic des LANs mitschneiden, praktisch um Benutzernamen/Passwörter von E-Mail-Konten, ebay usw. abzugreifen.
Deswegen: Fernzugriff nicht auf dem Standard-Port laufen lassen und UNBEDINGT mit einem guten Passwort sichern.
frizz
Neuer User
- Mitglied seit
- 24 Mai 2007
- Beiträge
- 114
- Punkte für Reaktionen
- 0
- Punkte
- 16
So sehe ich das auch.
@Checkitout
Einmal das hier. Und dann hab ich noch einen, ein bißchen härter. Wer sowas immer noch ignoriert, dem ist nicht zu helfen.
Sicher ist, dass nichts sicher ist. Selbst das nicht.
Folgendes habe ich als Antwort zu dem unsicheren SSL Cert von AVM bekommen:
Mir ist nicht ganz klar wie ohne Benutzung des Zertifikats eine sichere Verschlüsselung der Passworteingabe und des restlichen Transfers möglich ist.
Ich könnt euch ja an das Ticket mit dran hängen, hab die Nummer deswegen extra mit angegeben.
Mir ist nicht ganz klar wie ohne Benutzung des Zertifikats eine sichere Verschlüsselung der Passworteingabe und des restlichen Transfers möglich ist.
Ich könnt euch ja an das Ticket mit dran hängen, hab die Nummer deswegen extra mit angegeben.
Zuletzt bearbeitet:
Bei mir lag die Meldung bezüglich der nicht aktuellen FW an der Mini-Unterstützung. Ich habe einen Mini-Simulator an beiden Boxen angemeldet, dadurch hat die Box heute nach dem Starten des Simulators das Update gemacht. Bei der zweiten Box musste ich das Update manuell fahren, aber danach war auch hier Ruhe...;-)
Soweit ich mich erinnere, ist das Debian-OpenSSL-Loch hauptsächlich aus dem Grund gefährlich, dass das Zertifikat leicht zu fälschen ist (z.B. kann sich dann eine Phishing-Seite als echte Bank-Seite ausgeben).
Laut Heise ist die Verbindung nur abhörbar, wenn sich Server und Browser auf den RSA-Schlüsselaustausch (der Client generiert einen gemeinsamen Schlüssel, verschlüsselt ihn mit dem Public Key des Servers, und schickt ihn an den Server, der ihn dann mit seinem Private Key entschlüsselt) einigen. Wenn sich Server und Browser auf den Diffie-Hellman-Exhange einigen, ist der Schlüsseltausch komplizierter und nicht davon betroffen.
Hier war vorher ein Post, in dem jemand eine AVM-Support-Mail zitierte, ihn aber dann wohl wieder gelöscht hat.
Hmm, dann müssten aber alle FBFs dasselbe HTTPS-Zertifikat verwenden (ansonsten müsste es ja auf der Box generiert werden) und damit sowieso jeder FBF-Besitzer sich die nötigen Keys von der Box holen kann, um z.B. eine per RSA-Schlüsselaustausch gesicherte Verbindung zu entschlüsseln.
Laut Heise ist die Verbindung nur abhörbar, wenn sich Server und Browser auf den RSA-Schlüsselaustausch (der Client generiert einen gemeinsamen Schlüssel, verschlüsselt ihn mit dem Public Key des Servers, und schickt ihn an den Server, der ihn dann mit seinem Private Key entschlüsselt) einigen. Wenn sich Server und Browser auf den Diffie-Hellman-Exhange einigen, ist der Schlüsseltausch komplizierter und nicht davon betroffen.
Hier war vorher ein Post, in dem jemand eine AVM-Support-Mail zitierte, ihn aber dann wohl wieder gelöscht hat.
Prof. Dr. YoMan schrieb:
Hmm, dann müssten aber alle FBFs dasselbe HTTPS-Zertifikat verwenden (ansonsten müsste es ja auf der Box generiert werden) und damit sowieso jeder FBF-Besitzer sich die nötigen Keys von der Box holen kann, um z.B. eine per RSA-Schlüsselaustausch gesicherte Verbindung zu entschlüsseln.
Zuletzt bearbeitet:
Test hier:
http://www.heise.de/netze/tools/chksslkey
Auf meinen Ferzugang ergibt:
Das Zertifikat von xxxx.dyndns.org:443 mit dem SHA1-Fingerprint
4D 8D 76 96 AC DD 41 5B 6A 56 BF B5 84 96 84 B0 60 89 F8 43
ist verwundbar.
Habt ihr den gleichen Fingerprint und damit wohl das gleiche Zertifikat?
http://www.heise.de/netze/tools/chksslkey
Auf meinen Ferzugang ergibt:
Das Zertifikat von xxxx.dyndns.org:443 mit dem SHA1-Fingerprint
4D 8D 76 96 AC DD 41 5B 6A 56 BF B5 84 96 84 B0 60 89 F8 43
ist verwundbar.
Habt ihr den gleichen Fingerprint und damit wohl das gleiche Zertifikat?
Neueste Beiträge
-
[Frage] Kann die Fritz!Box 6850 LTE den IP-Client-Modus?- Letzte: Micha0815
-
[Sammlung] Aktuelle Konditionen für Vertragsverlängerung
- Letzte: RollinCHK
-
Octopus F400: Wartezeit für die nächste Ziffer ändern?
- Letzte: doremifajb
-
FRITZ!Box 5690 Pro INHAUS FCS23- Letzte: Jstessi
-
FRITZ!Box 7590 - Labor 7.90 - Sammelthema- Letzte: genuede
-
-
[Sammlung] Fritz!Box 7690 INHAUS Zyklus FCS23
- Letzte: Jstessi