1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Routersicherheit: Fritzbox-Lücke…

Alternativer Workaround

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Alternativer Workaround

    Autor: dxp 07.07.17 - 13:58

    Alternativ sollte man doch auch einfach die UPnP Schnittstelle deaktivieren können, oder täusche ich mich da?

    Vor Allem sinnvoll bei Providerboxen im Kabelnetz, da hier die Option zur IPv6 Deaktivierung beschnitten wurde.

  2. Re: Alternativer Workaround

    Autor: My1 07.07.17 - 14:05

    dxp schrieb:
    --------------------------------------------------------------------------------
    > Alternativ sollte man doch auch einfach die UPnP Schnittstelle deaktivieren
    > können, oder täusche ich mich da?

    gute frage keine ahnung

    > Vor Allem sinnvoll bei Providerboxen im Kabelnetz, da hier die Option zur
    > IPv6 Deaktivierung beschnitten wurde.

    eigentlich sollte IPv6 gar nicht mehr deaktiviert werden und langsam mal pflicht werden, IPv4 wirds noch ne weile geben, klar aber man muss ja nicht IPv6 unnötig ausbremsen.

    Asperger inside(tm)

  3. Re: Alternativer Workaround

    Autor: dxp 07.07.17 - 14:18

    My1 schrieb:
    --------------------------------------------------------------------------------
    > dxp schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Alternativ sollte man doch auch einfach die UPnP Schnittstelle
    > deaktivieren
    > > können, oder täusche ich mich da?
    >
    > gute frage keine ahnung

    Also deaktivieren lässt sich UPnP relativ einfach über das Webfrontend, aber ist das auch die Schnittstelle, welche für den Angriff verwendet wird?

    > > Vor Allem sinnvoll bei Providerboxen im Kabelnetz, da hier die Option
    > zur
    > > IPv6 Deaktivierung beschnitten wurde.
    >
    > eigentlich sollte IPv6 gar nicht mehr deaktiviert werden und langsam mal
    > pflicht werden, IPv4 wirds noch ne weile geben, klar aber man muss ja nicht
    > IPv6 unnötig ausbremsen.

    Vollkommen richtig, aber es geht hier ja nur um einen temporären Workaround.

  4. Re: Alternativer Workaround

    Autor: My1 07.07.17 - 14:30

    dxp schrieb:
    --------------------------------------------------------------------------------
    > My1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > dxp schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Alternativ sollte man doch auch einfach die UPnP Schnittstelle
    > > deaktivieren
    > > > können, oder täusche ich mich da?
    > >
    > > gute frage keine ahnung
    >
    > Also deaktivieren lässt sich UPnP relativ einfach über das Webfrontend,
    > aber ist das auch die Schnittstelle, welche für den Angriff verwendet
    > wird?

    das meine ich. UPNP kann man absägen aber ob es hilft, weiß ich genauso wenig wie du.

    > Vollkommen richtig, aber es geht hier ja nur um einen temporären
    > Workaround.

    naja das kommt aufs selbe chaos wie mit den auto-updates. die werden auch wenns probleme gibt gern mal komplett inkl suche nach updates ausgemacht und später wenns behoben ist, macht mans nicht mehr an. tolle sülze.

    Asperger inside(tm)

  5. Re: Alternativer Workaround

    Autor: RipClaw 07.07.17 - 16:16

    dxp schrieb:
    --------------------------------------------------------------------------------
    > Alternativ sollte man doch auch einfach die UPnP Schnittstelle deaktivieren
    > können, oder täusche ich mich da?

    Was hat denn UPnP damit zu tun ?

  6. Re: Alternativer Workaround

    Autor: dxp 07.07.17 - 16:32

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > dxp schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Alternativ sollte man doch auch einfach die UPnP Schnittstelle
    > deaktivieren
    > > können, oder täusche ich mich da?
    >
    > Was hat denn UPnP damit zu tun ?

    Erstmal nichts, jedoch werden diverse Schnittstellen zusammen mit UPnP abgeschalten.
    Es ist nur die Frage, ob damit die hier verwendete Schnittstelle auch mit abgeschalten wird.

  7. Re: Alternativer Workaround

    Autor: RipClaw 07.07.17 - 17:01

    dxp schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > dxp schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Alternativ sollte man doch auch einfach die UPnP Schnittstelle
    > > deaktivieren
    > > > können, oder täusche ich mich da?
    > >
    > > Was hat denn UPnP damit zu tun ?
    >
    > Erstmal nichts, jedoch werden diverse Schnittstellen zusammen mit UPnP
    > abgeschalten.
    > Es ist nur die Frage, ob damit die hier verwendete Schnittstelle auch mit
    > abgeschalten wird.

    Man kann die Statusabfrage via UPnP deaktivieren. Das deaktiviert die Möglichkeit den Status der Fritzbox abzufragen.

    Den Punkt findet man in der aktuellen Oberfläche unter Heimnetz -> Heimnetzübersicht -> Netzwerkeinstellungen -> Statusinformationen über UPnP übertragen

  8. Re: Alternativer Workaround

    Autor: johnripper 07.07.17 - 17:14

    JA UND????

    LÖST ES DAS PROBLEM? -- das ist doch die Frage.

  9. Re: Alternativer Workaround

    Autor: RipClaw 07.07.17 - 18:06

    johnripper schrieb:
    --------------------------------------------------------------------------------
    > JA UND????
    >
    > LÖST ES DAS PROBLEM? -- das ist doch die Frage.

    Das das Problem als solches nicht genauer Beschrieben ist, ist die Frage nicht zu beantworten.

    Ich weiß das sich über diese Schnittstelle von innerhalb des Netzwerkes Statusinformationen abfragen lassen. Ich tracke damit z.B. meinen Traffic.

    Was ich nicht weiß ist ob sich die Informationen die im Screenshot vom Proof of Concept gezeigt wurden über diese Schnittstelle auslesen lassen. Wenn ja habe ich bisher keine Beschreibung dazu gefunden.

    Das in dem Artikel genannte DNS Rebinding ist eigentlich eine Methode um den Same Origin Mechanismus der Browser auszuhebeln. Das hat aber mit der Fritzbox nichts zu tun.

    Da weder Heise noch Golem einen Link zum Security Advisory haben und der Proof of Concept bisher nur Heise vorliegt lässt sich nicht sagen ob die Abschaltung von UPnP überhaupt irgendwas in der Hinsicht bringt.

    EDIT: Ich hab mir mal angesehen wie die Fritzbox den DNS Rebinding Schutz macht. Die Lücke ist offenbar keine Schnittstelle an der Fritzbox sondern das ein javascript mittels DNS Rebinding das Netz IP für IP abklopft und Informationen sammelt.



    1 mal bearbeitet, zuletzt am 07.07.17 18:25 durch RipClaw.

  10. Re: Alternativer Workaround

    Autor: RipClaw 07.07.17 - 18:31

    .



    1 mal bearbeitet, zuletzt am 07.07.17 18:38 durch RipClaw.

  11. Re: Alternativer Workaround

    Autor: RipClaw 07.07.17 - 18:39

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > johnripper schrieb:
    > ---------------------------------------------------------------------------
    > -----

    > EDIT: Ich hab mir mal angesehen wie die Fritzbox den DNS Rebinding Schutz
    > macht. Die Lücke ist offenbar keine Schnittstelle an der Fritzbox sondern
    > das ein javascript mittels DNS Rebinding das Netz IP für IP abklopft und
    > Informationen sammelt.

    Ok, den Teil kannst du streichen. Offenbar klemmt sich das Javascript dann doch an irgend eine Schnittstelle der Fritzbox. Aber an welche das weiß ich immer noch nicht.

  12. Re: Alternativer Workaround

    Autor: RipClaw 07.07.17 - 18:59

    johnripper schrieb:
    --------------------------------------------------------------------------------
    > JA UND????
    >
    > LÖST ES DAS PROBLEM? -- das ist doch die Frage.

    Ich hab jetzt mal nachgeschaut welche Schnittstellen die Fritzbox für Statusinformationen allgemein freigibt.

    Ich glaube der Angriff erfolgt über den TR-064 Zugang. Der wird über die Schaltfläche "Zugriff für Anwendungen zulassen" kontrolliert und nicht über das UPnP.

    Entsprechend wäre das wohl die Option die deaktiviert werden müsste.

  13. Re: Alternativer Workaround

    Autor: johnripper 07.07.17 - 19:36

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    >
    > Ich hab jetzt mal nachgeschaut welche Schnittstellen die Fritzbox für
    > Statusinformationen allgemein freigibt.
    >
    > Ich glaube der Angriff erfolgt über den TR-064 Zugang. Der wird über die
    > Schaltfläche "Zugriff für Anwendungen zulassen" kontrolliert und nicht über
    > das UPnP.
    >
    > Entsprechend wäre das wohl die Option die deaktiviert werden müsste.

    Also geht doch: Wenig bla, mehr nützliche Informationen ; -)

    Danke!

    nb Sowohl "Zugriff für Anwendungen zulassen" wie auch IPv6 sind bei mir eh deaktiviert.

  14. Re: Alternativer Workaround

    Autor: RipClaw 07.07.17 - 19:50

    johnripper schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > >
    > > Ich hab jetzt mal nachgeschaut welche Schnittstellen die Fritzbox für
    > > Statusinformationen allgemein freigibt.
    > >
    > > Ich glaube der Angriff erfolgt über den TR-064 Zugang. Der wird über die
    > > Schaltfläche "Zugriff für Anwendungen zulassen" kontrolliert und nicht
    > über
    > > das UPnP.
    > >
    > > Entsprechend wäre das wohl die Option die deaktiviert werden müsste.
    >
    > Also geht doch: Wenig bla, mehr nützliche Informationen ; -)
    >
    > Danke!
    >
    > nb Sowohl "Zugriff für Anwendungen zulassen" wie auch IPv6 sind bei mir eh
    > deaktiviert.

    Das ist aber nur geraten. Wie schon geschrieben. In dem Artikel steht nichts genaues und der Artikel bei Heise ist genau so uninformativ.

    Wenn du dir mal die Schnittstelleninfos antun willst findest du sie hier:

    [avm.de]



    1 mal bearbeitet, zuletzt am 07.07.17 19:55 durch RipClaw.

  15. Re: Alternativer Workaround

    Autor: robinx999 08.07.17 - 07:34

    > EDIT: Ich hab mir mal angesehen wie die Fritzbox den DNS Rebinding Schutz
    > macht. Die Lücke ist offenbar keine Schnittstelle an der Fritzbox sondern
    > das ein javascript mittels DNS Rebinding das Netz IP für IP abklopft und
    > Informationen sammelt.

    Funktioniert der DNS Rebind Schutz nicht einfach nur so, dass der DNS Server der Fritzbox meldet, dass die Domain nicht existiert, wenn die IP Adresse im Heimnetz ist. Wobei ich mich da auch Frage ob es nicht zu zusätzlichen Problemen führt, wenn man evtl. bei einem Client direkt einen anderen DNS eingetragen hat.
    Ich habe z.B.: für eine spezielle Domain bei einem Dynamischen DNS Anbieter den Rebind Schutz ausgeschaltet, damit dies auch funktioniert, so dass ich die Globale IPv6 Adresse des Gerätes auch im Heimnetz bekomme und die Geräte so schnell über IPv6 im Heimnetz kommunizieren können

  16. Re: Alternativer Workaround

    Autor: RipClaw 08.07.17 - 08:26

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > > EDIT: Ich hab mir mal angesehen wie die Fritzbox den DNS Rebinding
    > Schutz
    > > macht. Die Lücke ist offenbar keine Schnittstelle an der Fritzbox
    > sondern
    > > das ein javascript mittels DNS Rebinding das Netz IP für IP abklopft und
    > > Informationen sammelt.
    >
    > Funktioniert der DNS Rebind Schutz nicht einfach nur so, dass der DNS
    > Server der Fritzbox meldet, dass die Domain nicht existiert, wenn die IP
    > Adresse im Heimnetz ist. Wobei ich mich da auch Frage ob es nicht zu
    > zusätzlichen Problemen führt, wenn man evtl. bei einem Client direkt einen
    > anderen DNS eingetragen hat.

    Ich hatte mich über die Art des Angriffs getäuscht. Ich dachte der würde IP für IP durchgehen aber anscheinend wird auf die TR-064 Schnittstelle am Router abgefragt. Anders wüsste ich nicht wie der an die Informationen kommt.

    Das Problem mit dem DNS Rebind Schutz ist das er so funktioniert das Private IP Adressen aus den DNS Antworten ausgefiltert werden. Allerdings funktioniert das bei IPv6 bei der FritzBox nicht wirklich da hier ein globales IP Netz nach innen weitergereicht wird.

    Die Fritzbox müsste hier dynamisch agieren und alles ausfiltern was das übermittelte Prefix enthält.

  17. Re: Alternativer Workaround

    Autor: robinx999 08.07.17 - 09:21

    >
    > Das Problem mit dem DNS Rebind Schutz ist das er so funktioniert das
    > Private IP Adressen aus den DNS Antworten ausgefiltert werden. Allerdings
    > funktioniert das bei IPv6 bei der FritzBox nicht wirklich da hier ein
    > globales IP Netz nach innen weitergereicht wird.
    >
    Wobei die Fritzbox das eigentlich auch blockiert, wohl nicht vollständig, da der Angriff sonst nicht möglich wäre.
    Und zwar habe ich bei dynv6 eine Dynamische Adresse für meine Nextcloud eingetragen. Und für die Adresse musste ich den Rebind Schutz rausnehmen, da ich sonst bei der IPv6 Abfrage nie eine Rückantwort bekommen habe und da kommt die globale IPv6 Adresse des Nextcloud Servers zurück.
    Gemacht ist das ganze natürlich, da im Heimnetz die Selben Serverdaten verwendet werden können ohne Irgendwo statische IP-Adressen eintragen zu müssen und so kommunizieren die Geräte im Heimnetz halt über die globale IPv6 Adresse mit dem Server, was eigentlich ganz in Ordnung ist.

  18. Re: Alternativer Workaround

    Autor: whitbread 08.07.17 - 13:14

    Der erstbeste workaround wäre keine Fritzbox einzusetzen.
    Und Dienste wie TR-069, uPnP und IPv6 gehören per se deaktiviert!

  19. Re: Alternativer Workaround

    Autor: robinx999 08.07.17 - 13:40

    Keine Frittbox wäre eine Möglichkeit, aber da hat man dann wieder andere Sicherheitslücken. Wobei es auch nicht so viele Geräte gibt wo ich direkt DECT Telefone Anmelden kann und es ist schon Praktisch eine Anrufbeantworter Nachricht per E-Mail weiter zu leiten. Und gleich einen kompletten Asterix Server wollte ich nicht betreiben.

    IPv6 hingegen würde ich mittlerweile als absolut Sinnvoll bezeichnen. So etwas sollte man nicht abschalten. Schon allein mein Fall kleiner Server mit Nextcloud. Von außen über einen Dyndns Dienst erreichbar von Innen auch erreichbar über die Globale IPv6 Adresse des Dyndns Dienstes. Man muss das ganze nur an einer Stelle pflegen. Und mit der Globalen IPv4 Adresse die der Dyndns Dienst auch zurück liefert komme ich im Internen Netz nicht weit. Und da Intern den DNS umzubiegen, dass Intern die Lokale IPv4 Adresse zurück kommt macht die Sache auch nicht besser. Der Nextcloud Client synchronisiert im Internen Netz so schön über die Globalen IPv6 Adressen und da es alles im Internen Netz ist geht es auch schön schnell.
    Vor allem kann ich bei IPv6 auch endlich zwei Rechner haben die von außen auf dem Selben Port erreichbar sind, so etwas macht mit IPv4 und den Portweiterleitungen überhaupt keinen Spass

  20. Re: Alternativer Workaround

    Autor: dxp 08.07.17 - 14:43

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > Der erstbeste workaround wäre keine Fritzbox einzusetzen.
    > Und Dienste wie TR-069, uPnP und IPv6 gehören per se deaktiviert!

    Keine Fritzbox im Kabelnetz funktioniert nicht.
    Es gibt leider keine Alternative zur 6490(6590). Diese windigen 8x4 Kabelmodems die es gibt sind leider heillos überfordert und liefern nicht die gewünschte Bandbreite.

    Da die Fritzbox keine Bridge Funktionalität bietet, bleibt einem nurnoch der Exposed Host (double NAT) oder die Fritzbox direkt nutzen. Die war ja schon teuer genug, neben Switch und FB dann auch noch ne UTM ist meines Erachtens ein wenig zu viel Geld fürs Heimnetz.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hochschule Furtwangen, Furtwangen
  2. Müller Holding GmbH & Co. KG, Ulm-Jungingen
  3. Polizeipräsidium Unterfranken, Aschaffenburg, Würzburg
  4. Stadt Bochum, Bochum

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
Macbook Pro 16 Zoll im Test
Ein Schritt zurück sind zwei Schritte nach vorn

Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
Ein Test von Oliver Nickel

  1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
  2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
  3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

Energiewende: Grüner Wasserstoff aus der Zinnschmelze
Energiewende
Grüner Wasserstoff aus der Zinnschmelze

Wasserstoff ist wichtig für die Energiewende. Er kann als Treibstoff für Brennstoffzellenautos genutzt werden und gilt als sauber. Seine Herstellung ist es aber bislang nicht. Karlsruher Forscher haben nun ein Verfahren entwickelt, bei dem kein schädliches Kohlendioxid entsteht.
Ein Bericht von Werner Pluta

  1. Brennstoffzelle Deutschland bekommt mehr Wasserstofftankstellen
  2. Energiewende Hamburg will große Wasserstoff-Elektrolyseanlage bauen

  1. Snapdragon XR2: Qualcomm hat ersten XR-Chip mit 5G-Option
    Snapdragon XR2
    Qualcomm hat ersten XR-Chip mit 5G-Option

    Egal ob Brille oder Headset: Mit dem Snapdragon XR2 sollen AR-, MR- und VR-Geräte deutlich besser werden. Der Chip ist eine Version des Snapdragon 865, er unterstützt Augen-, Gesichts- und Hand-Tracking.

  2. Snapdragon 8c/7c: Zwei Chips für Chromebooks und Win10 on ARM
    Snapdragon 8c/7c
    Zwei Chips für Chromebooks und Win10 on ARM

    Qualcomm stellt sich breiter auf: Der Snapdragon 8c folgt auf den Snapdragon 8cx und ist für 500-Dollar-Notebooks mit Windows 10 on ARM gedacht, der noch günstigere Snapdragon 7c wird zusätzlich in Chromebooks stecken.

  3. Bundeskartellamt: Telekom und Ewe dürfen zusammen Glasfaser ausbauen
    Bundeskartellamt
    Telekom und Ewe dürfen zusammen Glasfaser ausbauen

    Mit hohen Auflagen hat das Bundeskartellamt wesentliche Teile der Glasfaser-Kooperation zwischen Telekom und Ewe genehmigt. Die Partner haben sich noch nicht dazu geäußert.


  1. 01:12

  2. 21:30

  3. 16:40

  4. 16:12

  5. 15:50

  6. 15:28

  7. 15:11

  8. 14:45