Abo
  1. Foren
  2. Kommentare
  3. PC-Hardware
  4. Alle Kommentare zum Artikel
  5. › Fritzbox: Sicherheitslücke…

Wenn Fernzugang, dann VPN

  1. Thema

Neues Thema Ansicht wechseln


  1. Wenn Fernzugang, dann VPN

    Autor: staples 08.02.14 - 08:33

    Das sind genau die Gründe, warum bei mir auf der Fritz keinerlei Dienste offen verfübar sind. Webdav, Konfiguration was auch immer erreicht man nur, wenn man sich zuvor über VPN mit der Box verbindet.
    Da VPN mittlerweile denkbar einfach funktioniert und bei Android, iOS und Mac mit Boardmitteln funktioniert, sollte AVM dies den Nutzern ans Herz legen.
    Zusätzlich habe ich einen "sicheren" Kanal, wenn ich mal in irgendeinem "offenen" WLAN bin (Hotel, Straße, Arbeit).

  2. Re: Wenn Fernzugang, dann VPN

    Autor: MarioWario 08.02.14 - 09:26

    Vllt. könnte man das auch auf spezielle Apps oder Browser-Plugins weiter begrenzen - Beispiel: Nut Zugriff mittels AVM-Chrome-App oder Playstore-Android-App von AVM.

  3. Re: Wenn Fernzugang, dann VPN

    Autor: staples 08.02.14 - 10:33

    Das ist keine Sicherheit. Das kann man faken. Sicher bleibt nur VPN.

  4. Re: Wenn Fernzugang, dann VPN

    Autor: Youssarian 08.02.14 - 12:02

    staples schrieb:

    > Das sind genau die Gründe, warum bei mir auf der Fritz keinerlei Dienste
    > offen verfübar sind. Webdav, Konfiguration was auch immer erreicht man nur,
    > wenn man sich zuvor über VPN mit der Box verbindet.

    Ursächlich ist ein Fehler in der Firmware der AVM-Router, nicht Fehler der Nutzer dieser Router. Wenn Dein Router eingehende Anforderungen, ein VPN aufzubauen, akzeptiert, dann könnte ein solcher Fehler auch in dem dafür zuständigen Modul stecken.

    Insofern geht Deine Empfehlung an den Ursachen dieses Desasters vorbei.

  5. Re: Wenn Fernzugang, dann VPN

    Autor: echnaton192 09.02.14 - 10:08

    Nein. Ein vpn setzt nicht nur das passwrt, sondern einen ellenlangen privaten schlüssel voraus, der nun einmal nicht in der box liegt. Und erstellen kannst du den nicht nur in der box, sondern lokal, man lädt nur den öffentlichen schlüssel auf die box.

    Sicherheitslücke hin oder her. Benutzername und Kennwort liegen in der Box, da kam man heran. Wenn Dein Handy / Tablet / Notebook, mit dem du dich verbindest, komprommittiert sind, hilft dir das nicht, weil der Schlüssel und die Passworteingabe abgegriffen werden können. Eine Sicherheitslücke des routers auszunutzen wird dagegen schwer, denn die Verbindung kann weder einfach gesnifft noch ohne den privaten key überhaupt hergestellt werden. Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher. Das ist zwei-faktor. Du benötigst das passwort und den privaten schlüssel.

  6. Re: Wenn Fernzugang, dann VPN

    Autor: anybody 09.02.14 - 12:05

    > Nein. Ein vpn setzt nicht nur das passwrt, sondern einen ellenlangen
    > privaten schlüssel voraus
    Es ging hier nicht um erratene Kennwörter insofern ist es völlig egal das der private Schlüssel "lang" ist.

    > Sicherheitslücke hin oder her. Benutzername und Kennwort liegen in der Box,
    > da kam man heran.
    Wenn man die Box über einen Buffer Overflow im VPN Daemon hackt kommt man genauso an die in der Box gespeicherten Zugangsdaten für DSL-Einwahl und VoIP Dienste ran.

    > Wenn Dein Handy / Tablet / Notebook, mit dem du dich
    > verbindest, komprommittiert sind, hilft dir das nicht, weil der Schlüssel
    > und die Passworteingabe abgegriffen werden können.
    Der Satz macht keinerlei sinn. Wenn das Gerät kompromitiert ist hilft das NICHT ?

    > Eine Sicherheitslücke
    > des routers auszunutzen wird dagegen schwer, denn die Verbindung kann weder
    > einfach gesnifft noch ohne den privaten key überhaupt hergestellt werden.
    Eine normale Passworteingabe die über https läuft kann auch nicht einfach gesnifft werden.
    Und ob ein Herstellen zum Webinterface durch eine Sicherheitslücke ohne Prüfung des Kennworts möglich ist, oder ein Herstellen des VPNs durch eine Sicherheitslücke ohne Prüfung des Keys möglich ist sind keine unterschiedlichen Sachen.

    > Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher. Das
    > ist zwei-faktor. Du benötigst das passwort und den privaten schlüssel.
    Eine Zwei-Faktor Authentifizierung ist etwas ganz anderes. Ein VPN mit einem Private-Key und einem dazugehörigen Kennwort ist KEINE Zwei-Faktor Authentifizierung.

  7. Re: Wenn Fernzugang, dann VPN

    Autor: Youssarian 09.02.14 - 13:46

    echnaton192 schrieb:

    > Nein. [...]

    Da kann ich mir nur 'anybody' anschließen. Ich glaube, wir reden aneinander vorbei.

    > Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher.

    Ja, das ist gewiss so. Aber für einen Fehler in der Firmware gilt dies im Allgemeinen nicht. Es ginge dem Angreifer ja nicht darum, tatsächlich eine VPN-Verbindung aufzubauen, sondern nur 'irgendwie in den Router' zu kommen.



    1 mal bearbeitet, zuletzt am 09.02.14 13:47 durch Youssarian.

  8. Re: Wenn Fernzugang, dann VPN

    Autor: echnaton192 09.02.14 - 18:56

    anybody schrieb:
    --------------------------------------------------------------------------------
    > > Nein. Ein vpn setzt nicht nur das passwrt, sondern einen ellenlangen
    > > privaten schlüssel voraus
    > Es ging hier nicht um erratene Kennwörter insofern ist es völlig egal das
    > der private Schlüssel "lang" ist.

    Es geht darum, dass der private Schlüssel nicht auf der Box vorliegt. Dass der Schlüssel auf dem zweiten Faktor lang ist, ist dabei nicht (!) egal.

    Die sind an die Kennwörter gekommen, weil diese auf der Box liegen. Oder hast Du hier andere Erkenntnisse.

    > > Sicherheitslücke hin oder her. Benutzername und Kennwort liegen in der
    > Box,
    > > da kam man heran.
    > Wenn man die Box über einen Buffer Overflow im VPN Daemon hackt kommt man
    > genauso an die in der Box gespeicherten Zugangsdaten für DSL-Einwahl und
    > VoIP Dienste ran.

    OK. Point taken.

    > > Wenn Dein Handy / Tablet / Notebook, mit dem du dich
    > > verbindest, komprommittiert sind, hilft dir das nicht, weil der
    > Schlüssel
    > > und die Passworteingabe abgegriffen werden können.
    > Der Satz macht keinerlei sinn. Wenn das Gerät kompromitiert ist hilft das
    > NICHT ?

    Korrekt. Wenn die Bankkarte kopiert wird, hilft Dir das bei der zwei-Faktor-Authentifizierung Bankkarte und PIN auch nicht. Wenn die Daten der Chipkarte bei HBCI ausgelesen werden können und die Passworteingabe mitgelesen werden kann, hilft dir das bei dieser zwei-Faktor-Authentifizierung auch nicht. Wenn das Gerät, von dem aus Du Dich verbindest komprommittiert ist, hilft alles nicht. Darum auch der Aufwand bei Chipkartenlesegeräten mit separater Tastatur. Dennoch ist selbst bei Chipkartenlesern mit PIN über die Tatstatur eine höhere Sicherheit vorhanden, weil immer noch der key auf der Karte benötigt wird. Und da sollte (!) man nicht so einfach rankommen: ein einfacher keyloggertrojaner reicht nicht, du musst die Karte und die Eingabe angreifen. Es müssen zwei getrennte Dinge angegriffen werden.

    > > Eine Sicherheitslücke
    > > des routers auszunutzen wird dagegen schwer, denn die Verbindung kann
    > weder
    > > einfach gesnifft noch ohne den privaten key überhaupt hergestellt
    > werden.
    > Eine normale Passworteingabe die über https läuft kann auch nicht einfach
    > gesnifft werden.

    Korrekt. Aber die Lücke "ich lese die Daten am Router aus und habe alles zusammen" hätte es nicht gegeben. Du musst den key (liegt in meinem Fall auf iPad und iPhone in der vpn-Konfiguration) und meine Passworteingabe haben, wenn es richtig implementiert ist. Zwei-Faktor.

    > Und ob ein Herstellen zum Webinterface durch eine Sicherheitslücke ohne
    > Prüfung des Kennworts möglich ist, oder ein Herstellen des VPNs durch eine
    > Sicherheitslücke ohne Prüfung des Keys möglich ist sind keine
    > unterschiedlichen Sachen.

    Meines Wissens wurnden die Daten des Routers abgegriffen. Das ist ungleich "Es ist eine Verbindung ohne Authentifizierung möglich". Siehe ausführlicher unten.

    > > Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher.
    > Das
    > > ist zwei-faktor. Du benötigst das passwort und den privaten schlüssel.
    > Eine Zwei-Faktor Authentifizierung ist etwas ganz anderes. Ein VPN mit
    > einem Private-Key und einem dazugehörigen Kennwort ist KEINE Zwei-Faktor
    > Authentifizierung.

    Aber selbstverständlich:

    http://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung#Komponenten

    Die Zwei-Faktor-Authentifizierung als Identitätsnachweis ist nur dann funktionsfähig, wenn beide benötigten Faktoren eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Identität nicht zweifelsfrei feststellen. Der Zugriff, der durch die Zwei-Faktor-Authentifizierung geschützt ist, bleibt verweigert. Die Faktoren können sein:

    - etwas, das der Nutzer besitzt: z. B. ein Token (USB-Stick etc.), eine Bankkarte, ein Schlüssel u. Ä.,
    - etwas, das der Nutzer weiß: z. B. sein Benutzername, Passwort, PIN, TAN u. Ä.
    ...

    Konkret: Der Angreifer muss nicht nur den PIN kennen, er muss auch den auf dem Handy oder dem USB-Stick oder dem Laptop hinterlegten private key haben. Das ist eine klassische zwei-Faktor-Authentifizierung.

    Der Angreifer der Fritzbox benötigte nur das, was der Nutzer weiß, um Zugriff zu erhalten. Daher ist das unsicherer. Und alle Daten liegen auf dem Angriffsziel herum, man musste nicht erst die Seite des Nutzers und dann das Angriffsziel hacken. Das wäre aufwändiger gewesen. Ergo ist das unsicherer.

    Dein Punkt mit der Sicherheitslücke im vpn ist jedoch valide. Wobei es IMO früher aufgefallen wäre, denn ob ein connect ohne token möglich ist, hätte man wohl gemerkt. Es wäre aber sonst schwerer gewesen, denn der Router könnte die Authentifizierungsdaten nicht herausrücken, da er sie nicht hat.

    Einen Verbindungsversuch kann man bei https nicht ausschließen, so lange nicht zwingend auf clientseite ein Zertifikat benötigt wird. Jeder kann also erst mal versuchen, auf die box zu gelangen. Mit Benutzername und Kennwort. Ohne einen ellenlangen Schlüssel, den der User gar nicht kennt oder eingibt und der nur auf dem zulässigen Gerät vorliegt, das sich zu verbinden sucht. Jedes einzelne Paket wird in beide Richtungen auf Authentizität geprüft. Anhand der keys. Das geht aber bei https nicht, wenn nicht in beide Richtungen ein Zertifikat geprüft wird.

    Du und jeder andere kann von jedem Gerät mit der Fritzbox sprechen und Benzutzername und Kennwort eingeben. Das geht bei vpn wegen des notwendigen Tokens nicht. Es sei denn, die Sicherheitslücke betrifft just diese Sicherung, wie bei Dir beschrieben. OK?

  9. Re: Wenn Fernzugang, dann VPN

    Autor: echnaton192 09.02.14 - 19:00

    Youssarian schrieb:
    --------------------------------------------------------------------------------
    > echnaton192 schrieb:
    >
    > > Nein. [...]
    >
    > Da kann ich mir nur 'anybody' anschließen. Ich glaube, wir reden aneinander
    > vorbei.
    >
    > > Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher.
    >
    > Ja, das ist gewiss so. Aber für einen Fehler in der Firmware gilt dies im
    > Allgemeinen nicht. Es ginge dem Angreifer ja nicht darum, tatsächlich eine
    > VPN-Verbindung aufzubauen, sondern nur 'irgendwie in den Router' zu kommen.

    Ja. Ich bedaure nur, dass Du Dich auch der Ansicht anschließt, vpn mit ipsec bei der Fritzbox wäre keine Zwei-Faktor-Authentifizierung, denn das ist nachweislich falsch.

    Ansonsten stimmt es natürlich: Lässt die Sicherheitslücke ohne beide Faktoren eine Verbindung zu, nutzt die prinzipiell höhere Sihcherheit nichts.

  10. Re: Wenn Fernzugang, dann VPN

    Autor: katzenpisse 10.02.14 - 09:13

    staples schrieb:
    --------------------------------------------------------------------------------
    > Das ist keine Sicherheit. Das kann man faken. Sicher bleibt nur VPN.

    Und warum sollte ein SSH-Tunnel nicht sicher sein? :-P

  11. Re: Wenn Fernzugang, dann VPN

    Autor: 0xDEADC0DE 10.02.14 - 10:22

    echnaton192 schrieb:
    --------------------------------------------------------------------------------
    > Ansonsten stimmt es natürlich: Lässt die Sicherheitslücke ohne beide
    > Faktoren eine Verbindung zu, nutzt die prinzipiell höhere Sihcherheit
    > nichts.

    Vor allem hilft das überhaupt nichts, wenn es aus dem lokalen Netz heraus geschieht. Das genau Vorgehen ist nach wie vor unklar, aber diese Möglichkeit ist am plausibelsten und am wahrscheinlichsten.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Basler AG, Ahrensburg
  2. ip&more GmbH, Ismaning
  3. Siltronic AG, Freiberg
  4. Dataport, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Fallout 4 GOTY für 10,99€, Civilization VI für 9,99€)
  2. 1.149,00€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. IT-Arbeitsmarkt Jobgarantie gibt es nie
  2. IT-Fachkräftemangel Freie sind gefragt
  3. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Nachhaltigkeit Bauen fürs Klima
  2. Autos Elektro, Brennstoffzelle oder Diesel?
  3. Energie Wo die Wasserstoffqualität getestet wird

  1. Routerfreiheit: Vodafone will noch keine eigenen Glasfasermodems zulassen
    Routerfreiheit
    Vodafone will noch keine eigenen Glasfasermodems zulassen

    Vodafone streitet sich mit der Bundesnetzagentur, ob die Routerfreiheit in Glasfasernetzen auch für das Glasfasermodem (ONT) gilt. Ein Nutzer argumentiert dagegen, das öffentliche Glasfasernetz ende an der Glasfaser-Teilnehmeranschlussdose, wo man als Endkunde sein ONT verbinden kann.

  2. Mercedes EQV: Daimler zeigt elektrische Großraumlimousine
    Mercedes EQV
    Daimler zeigt elektrische Großraumlimousine

    Stilvoll elektrisch shuttlen: Daimler hat für die IAA die serienreife Version des Mercedes EQC angekündigt. In dem Elektro-Van haben sechs bis acht Insassen Platz.

  3. Fogcam: Älteste bestehende Webcam wird nach 25 Jahren abgeschaltet
    Fogcam
    Älteste bestehende Webcam wird nach 25 Jahren abgeschaltet

    Die Webcam Fogcam nimmt seit 1994 Bilder vom Gelände der San Francisco State University aus auf. Nach 25 Jahren wird die Kamera nun abgeschaltet, laut den Machern unter anderem wegen fehlender guter Aussicht.


  1. 18:01

  2. 17:40

  3. 17:03

  4. 16:41

  5. 16:04

  6. 15:01

  7. 15:00

  8. 14:42