Abo
  1. Foren
  2. Kommentare
  3. PC-Hardware
  4. Alle Kommentare zum Artikel
  5. › Fritzbox: Sicherheitslücke…

Wenn Fernzugang, dann VPN

  1. Thema

Neues Thema Ansicht wechseln


  1. Wenn Fernzugang, dann VPN

    Autor: staples 08.02.14 - 08:33

    Das sind genau die Gründe, warum bei mir auf der Fritz keinerlei Dienste offen verfübar sind. Webdav, Konfiguration was auch immer erreicht man nur, wenn man sich zuvor über VPN mit der Box verbindet.
    Da VPN mittlerweile denkbar einfach funktioniert und bei Android, iOS und Mac mit Boardmitteln funktioniert, sollte AVM dies den Nutzern ans Herz legen.
    Zusätzlich habe ich einen "sicheren" Kanal, wenn ich mal in irgendeinem "offenen" WLAN bin (Hotel, Straße, Arbeit).

  2. Re: Wenn Fernzugang, dann VPN

    Autor: MarioWario 08.02.14 - 09:26

    Vllt. könnte man das auch auf spezielle Apps oder Browser-Plugins weiter begrenzen - Beispiel: Nut Zugriff mittels AVM-Chrome-App oder Playstore-Android-App von AVM.

  3. Re: Wenn Fernzugang, dann VPN

    Autor: staples 08.02.14 - 10:33

    Das ist keine Sicherheit. Das kann man faken. Sicher bleibt nur VPN.

  4. Re: Wenn Fernzugang, dann VPN

    Autor: Youssarian 08.02.14 - 12:02

    staples schrieb:

    > Das sind genau die Gründe, warum bei mir auf der Fritz keinerlei Dienste
    > offen verfübar sind. Webdav, Konfiguration was auch immer erreicht man nur,
    > wenn man sich zuvor über VPN mit der Box verbindet.

    Ursächlich ist ein Fehler in der Firmware der AVM-Router, nicht Fehler der Nutzer dieser Router. Wenn Dein Router eingehende Anforderungen, ein VPN aufzubauen, akzeptiert, dann könnte ein solcher Fehler auch in dem dafür zuständigen Modul stecken.

    Insofern geht Deine Empfehlung an den Ursachen dieses Desasters vorbei.

  5. Re: Wenn Fernzugang, dann VPN

    Autor: echnaton192 09.02.14 - 10:08

    Nein. Ein vpn setzt nicht nur das passwrt, sondern einen ellenlangen privaten schlüssel voraus, der nun einmal nicht in der box liegt. Und erstellen kannst du den nicht nur in der box, sondern lokal, man lädt nur den öffentlichen schlüssel auf die box.

    Sicherheitslücke hin oder her. Benutzername und Kennwort liegen in der Box, da kam man heran. Wenn Dein Handy / Tablet / Notebook, mit dem du dich verbindest, komprommittiert sind, hilft dir das nicht, weil der Schlüssel und die Passworteingabe abgegriffen werden können. Eine Sicherheitslücke des routers auszunutzen wird dagegen schwer, denn die Verbindung kann weder einfach gesnifft noch ohne den privaten key überhaupt hergestellt werden. Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher. Das ist zwei-faktor. Du benötigst das passwort und den privaten schlüssel.

  6. Re: Wenn Fernzugang, dann VPN

    Autor: anybody 09.02.14 - 12:05

    > Nein. Ein vpn setzt nicht nur das passwrt, sondern einen ellenlangen
    > privaten schlüssel voraus
    Es ging hier nicht um erratene Kennwörter insofern ist es völlig egal das der private Schlüssel "lang" ist.

    > Sicherheitslücke hin oder her. Benutzername und Kennwort liegen in der Box,
    > da kam man heran.
    Wenn man die Box über einen Buffer Overflow im VPN Daemon hackt kommt man genauso an die in der Box gespeicherten Zugangsdaten für DSL-Einwahl und VoIP Dienste ran.

    > Wenn Dein Handy / Tablet / Notebook, mit dem du dich
    > verbindest, komprommittiert sind, hilft dir das nicht, weil der Schlüssel
    > und die Passworteingabe abgegriffen werden können.
    Der Satz macht keinerlei sinn. Wenn das Gerät kompromitiert ist hilft das NICHT ?

    > Eine Sicherheitslücke
    > des routers auszunutzen wird dagegen schwer, denn die Verbindung kann weder
    > einfach gesnifft noch ohne den privaten key überhaupt hergestellt werden.
    Eine normale Passworteingabe die über https läuft kann auch nicht einfach gesnifft werden.
    Und ob ein Herstellen zum Webinterface durch eine Sicherheitslücke ohne Prüfung des Kennworts möglich ist, oder ein Herstellen des VPNs durch eine Sicherheitslücke ohne Prüfung des Keys möglich ist sind keine unterschiedlichen Sachen.

    > Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher. Das
    > ist zwei-faktor. Du benötigst das passwort und den privaten schlüssel.
    Eine Zwei-Faktor Authentifizierung ist etwas ganz anderes. Ein VPN mit einem Private-Key und einem dazugehörigen Kennwort ist KEINE Zwei-Faktor Authentifizierung.

  7. Re: Wenn Fernzugang, dann VPN

    Autor: Youssarian 09.02.14 - 13:46

    echnaton192 schrieb:

    > Nein. [...]

    Da kann ich mir nur 'anybody' anschließen. Ich glaube, wir reden aneinander vorbei.

    > Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher.

    Ja, das ist gewiss so. Aber für einen Fehler in der Firmware gilt dies im Allgemeinen nicht. Es ginge dem Angreifer ja nicht darum, tatsächlich eine VPN-Verbindung aufzubauen, sondern nur 'irgendwie in den Router' zu kommen.



    1 mal bearbeitet, zuletzt am 09.02.14 13:47 durch Youssarian.

  8. Re: Wenn Fernzugang, dann VPN

    Autor: echnaton192 09.02.14 - 18:56

    anybody schrieb:
    --------------------------------------------------------------------------------
    > > Nein. Ein vpn setzt nicht nur das passwrt, sondern einen ellenlangen
    > > privaten schlüssel voraus
    > Es ging hier nicht um erratene Kennwörter insofern ist es völlig egal das
    > der private Schlüssel "lang" ist.

    Es geht darum, dass der private Schlüssel nicht auf der Box vorliegt. Dass der Schlüssel auf dem zweiten Faktor lang ist, ist dabei nicht (!) egal.

    Die sind an die Kennwörter gekommen, weil diese auf der Box liegen. Oder hast Du hier andere Erkenntnisse.

    > > Sicherheitslücke hin oder her. Benutzername und Kennwort liegen in der
    > Box,
    > > da kam man heran.
    > Wenn man die Box über einen Buffer Overflow im VPN Daemon hackt kommt man
    > genauso an die in der Box gespeicherten Zugangsdaten für DSL-Einwahl und
    > VoIP Dienste ran.

    OK. Point taken.

    > > Wenn Dein Handy / Tablet / Notebook, mit dem du dich
    > > verbindest, komprommittiert sind, hilft dir das nicht, weil der
    > Schlüssel
    > > und die Passworteingabe abgegriffen werden können.
    > Der Satz macht keinerlei sinn. Wenn das Gerät kompromitiert ist hilft das
    > NICHT ?

    Korrekt. Wenn die Bankkarte kopiert wird, hilft Dir das bei der zwei-Faktor-Authentifizierung Bankkarte und PIN auch nicht. Wenn die Daten der Chipkarte bei HBCI ausgelesen werden können und die Passworteingabe mitgelesen werden kann, hilft dir das bei dieser zwei-Faktor-Authentifizierung auch nicht. Wenn das Gerät, von dem aus Du Dich verbindest komprommittiert ist, hilft alles nicht. Darum auch der Aufwand bei Chipkartenlesegeräten mit separater Tastatur. Dennoch ist selbst bei Chipkartenlesern mit PIN über die Tatstatur eine höhere Sicherheit vorhanden, weil immer noch der key auf der Karte benötigt wird. Und da sollte (!) man nicht so einfach rankommen: ein einfacher keyloggertrojaner reicht nicht, du musst die Karte und die Eingabe angreifen. Es müssen zwei getrennte Dinge angegriffen werden.

    > > Eine Sicherheitslücke
    > > des routers auszunutzen wird dagegen schwer, denn die Verbindung kann
    > weder
    > > einfach gesnifft noch ohne den privaten key überhaupt hergestellt
    > werden.
    > Eine normale Passworteingabe die über https läuft kann auch nicht einfach
    > gesnifft werden.

    Korrekt. Aber die Lücke "ich lese die Daten am Router aus und habe alles zusammen" hätte es nicht gegeben. Du musst den key (liegt in meinem Fall auf iPad und iPhone in der vpn-Konfiguration) und meine Passworteingabe haben, wenn es richtig implementiert ist. Zwei-Faktor.

    > Und ob ein Herstellen zum Webinterface durch eine Sicherheitslücke ohne
    > Prüfung des Kennworts möglich ist, oder ein Herstellen des VPNs durch eine
    > Sicherheitslücke ohne Prüfung des Keys möglich ist sind keine
    > unterschiedlichen Sachen.

    Meines Wissens wurnden die Daten des Routers abgegriffen. Das ist ungleich "Es ist eine Verbindung ohne Authentifizierung möglich". Siehe ausführlicher unten.

    > > Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher.
    > Das
    > > ist zwei-faktor. Du benötigst das passwort und den privaten schlüssel.
    > Eine Zwei-Faktor Authentifizierung ist etwas ganz anderes. Ein VPN mit
    > einem Private-Key und einem dazugehörigen Kennwort ist KEINE Zwei-Faktor
    > Authentifizierung.

    Aber selbstverständlich:

    http://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung#Komponenten

    Die Zwei-Faktor-Authentifizierung als Identitätsnachweis ist nur dann funktionsfähig, wenn beide benötigten Faktoren eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Identität nicht zweifelsfrei feststellen. Der Zugriff, der durch die Zwei-Faktor-Authentifizierung geschützt ist, bleibt verweigert. Die Faktoren können sein:

    - etwas, das der Nutzer besitzt: z. B. ein Token (USB-Stick etc.), eine Bankkarte, ein Schlüssel u. Ä.,
    - etwas, das der Nutzer weiß: z. B. sein Benutzername, Passwort, PIN, TAN u. Ä.
    ...

    Konkret: Der Angreifer muss nicht nur den PIN kennen, er muss auch den auf dem Handy oder dem USB-Stick oder dem Laptop hinterlegten private key haben. Das ist eine klassische zwei-Faktor-Authentifizierung.

    Der Angreifer der Fritzbox benötigte nur das, was der Nutzer weiß, um Zugriff zu erhalten. Daher ist das unsicherer. Und alle Daten liegen auf dem Angriffsziel herum, man musste nicht erst die Seite des Nutzers und dann das Angriffsziel hacken. Das wäre aufwändiger gewesen. Ergo ist das unsicherer.

    Dein Punkt mit der Sicherheitslücke im vpn ist jedoch valide. Wobei es IMO früher aufgefallen wäre, denn ob ein connect ohne token möglich ist, hätte man wohl gemerkt. Es wäre aber sonst schwerer gewesen, denn der Router könnte die Authentifizierungsdaten nicht herausrücken, da er sie nicht hat.

    Einen Verbindungsversuch kann man bei https nicht ausschließen, so lange nicht zwingend auf clientseite ein Zertifikat benötigt wird. Jeder kann also erst mal versuchen, auf die box zu gelangen. Mit Benutzername und Kennwort. Ohne einen ellenlangen Schlüssel, den der User gar nicht kennt oder eingibt und der nur auf dem zulässigen Gerät vorliegt, das sich zu verbinden sucht. Jedes einzelne Paket wird in beide Richtungen auf Authentizität geprüft. Anhand der keys. Das geht aber bei https nicht, wenn nicht in beide Richtungen ein Zertifikat geprüft wird.

    Du und jeder andere kann von jedem Gerät mit der Fritzbox sprechen und Benzutzername und Kennwort eingeben. Das geht bei vpn wegen des notwendigen Tokens nicht. Es sei denn, die Sicherheitslücke betrifft just diese Sicherung, wie bei Dir beschrieben. OK?

  9. Re: Wenn Fernzugang, dann VPN

    Autor: echnaton192 09.02.14 - 19:00

    Youssarian schrieb:
    --------------------------------------------------------------------------------
    > echnaton192 schrieb:
    >
    > > Nein. [...]
    >
    > Da kann ich mir nur 'anybody' anschließen. Ich glaube, wir reden aneinander
    > vorbei.
    >
    > > Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher.
    >
    > Ja, das ist gewiss so. Aber für einen Fehler in der Firmware gilt dies im
    > Allgemeinen nicht. Es ginge dem Angreifer ja nicht darum, tatsächlich eine
    > VPN-Verbindung aufzubauen, sondern nur 'irgendwie in den Router' zu kommen.

    Ja. Ich bedaure nur, dass Du Dich auch der Ansicht anschließt, vpn mit ipsec bei der Fritzbox wäre keine Zwei-Faktor-Authentifizierung, denn das ist nachweislich falsch.

    Ansonsten stimmt es natürlich: Lässt die Sicherheitslücke ohne beide Faktoren eine Verbindung zu, nutzt die prinzipiell höhere Sihcherheit nichts.

  10. Re: Wenn Fernzugang, dann VPN

    Autor: katzenpisse 10.02.14 - 09:13

    staples schrieb:
    --------------------------------------------------------------------------------
    > Das ist keine Sicherheit. Das kann man faken. Sicher bleibt nur VPN.

    Und warum sollte ein SSH-Tunnel nicht sicher sein? :-P

  11. Re: Wenn Fernzugang, dann VPN

    Autor: 0xDEADC0DE 10.02.14 - 10:22

    echnaton192 schrieb:
    --------------------------------------------------------------------------------
    > Ansonsten stimmt es natürlich: Lässt die Sicherheitslücke ohne beide
    > Faktoren eine Verbindung zu, nutzt die prinzipiell höhere Sihcherheit
    > nichts.

    Vor allem hilft das überhaupt nichts, wenn es aus dem lokalen Netz heraus geschieht. Das genau Vorgehen ist nach wie vor unklar, aber diese Möglichkeit ist am plausibelsten und am wahrscheinlichsten.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, Meckenheim, Wilhelmshaven, Frankfurt
  2. thyssenkrupp Digital Projects, Essen
  3. Aximpro GmbH, Freising bei München
  4. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 122,89€
  2. GRATIS
  3. (u. a. Twilight Struggle, Carcassonne, Mysterium, Scythe)
  4. 149,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  2. Automatisierung Roboterhotel entlässt Roboter
  3. Cimon Die ISS bekommt einen sensiblen Kommunikationsroboter

Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
Jobporträt
Wenn die Software für den Anwalt kurzen Prozess macht

IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
Von Maja Hoock

  1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  3. Recruiting Wenn die KI passende Mitarbeiter findet

Falcon Heavy: Beim zweiten Mal wird alles besser
Falcon Heavy
Beim zweiten Mal wird alles besser

Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
Von Frank Wunderlich-Pfeiffer und dpa

  1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
  2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
  3. Raumfahrt SpaceX - Die Rückkehr des Drachen

  1. Alphabet: Wing Aviation darf in den USA per Drohne ausliefern
    Alphabet
    Wing Aviation darf in den USA per Drohne ausliefern

    Alphabet hat jetzt eine eigene Fluglinie: Das Tochterunternehmen Wing Aviation hat die Zulassung als Luftfahrtunternehmen und damit die Genehmigung für kommerzielle Lieferungen der Drohne bekommen.

  2. May 2019 Update: Vor der Installation sollten Datenträger entfernt werden
    May 2019 Update
    Vor der Installation sollten Datenträger entfernt werden

    Wer das May 2019 Update von Windows 10 installiert, könnte eine unerwartete Fehlermeldung bekommen. Der Grund liegt in der alten Zuteilung von Laufwerksbuchstaben. Während des Updates will Microsoft eine Neuzuteilung verhindern.

  3. Epic Games: Erfolg von Fortnite überfordert Entwicklerstudio
    Epic Games
    Erfolg von Fortnite überfordert Entwicklerstudio

    Ständig Updates mit neuen Inhalten, dazu Turniere und viele Plattformen: Epic Games ist offenbar vom riesigen Erfolg von Fortnite überfordert, die Mitarbeiter müssen seit Monaten extrem viele Überstunden absolvieren - immerhin bei guter Bezahlung.


  1. 11:27

  2. 11:14

  3. 10:59

  4. 10:44

  5. 10:30

  6. 10:13

  7. 10:00

  8. 09:53