Abo
  1. Foren
  2. Kommentare
  3. PC-Hardware
  4. Alle Kommentare zum Artikel
  5. › Fritzbox: Sicherheitslücke…

Wenn Fernzugang, dann VPN

  1. Thema

Neues Thema Ansicht wechseln


  1. Wenn Fernzugang, dann VPN

    Autor: staples 08.02.14 - 08:33

    Das sind genau die Gründe, warum bei mir auf der Fritz keinerlei Dienste offen verfübar sind. Webdav, Konfiguration was auch immer erreicht man nur, wenn man sich zuvor über VPN mit der Box verbindet.
    Da VPN mittlerweile denkbar einfach funktioniert und bei Android, iOS und Mac mit Boardmitteln funktioniert, sollte AVM dies den Nutzern ans Herz legen.
    Zusätzlich habe ich einen "sicheren" Kanal, wenn ich mal in irgendeinem "offenen" WLAN bin (Hotel, Straße, Arbeit).

  2. Re: Wenn Fernzugang, dann VPN

    Autor: MarioWario 08.02.14 - 09:26

    Vllt. könnte man das auch auf spezielle Apps oder Browser-Plugins weiter begrenzen - Beispiel: Nut Zugriff mittels AVM-Chrome-App oder Playstore-Android-App von AVM.

  3. Re: Wenn Fernzugang, dann VPN

    Autor: staples 08.02.14 - 10:33

    Das ist keine Sicherheit. Das kann man faken. Sicher bleibt nur VPN.

  4. Re: Wenn Fernzugang, dann VPN

    Autor: Youssarian 08.02.14 - 12:02

    staples schrieb:

    > Das sind genau die Gründe, warum bei mir auf der Fritz keinerlei Dienste
    > offen verfübar sind. Webdav, Konfiguration was auch immer erreicht man nur,
    > wenn man sich zuvor über VPN mit der Box verbindet.

    Ursächlich ist ein Fehler in der Firmware der AVM-Router, nicht Fehler der Nutzer dieser Router. Wenn Dein Router eingehende Anforderungen, ein VPN aufzubauen, akzeptiert, dann könnte ein solcher Fehler auch in dem dafür zuständigen Modul stecken.

    Insofern geht Deine Empfehlung an den Ursachen dieses Desasters vorbei.

  5. Re: Wenn Fernzugang, dann VPN

    Autor: echnaton192 09.02.14 - 10:08

    Nein. Ein vpn setzt nicht nur das passwrt, sondern einen ellenlangen privaten schlüssel voraus, der nun einmal nicht in der box liegt. Und erstellen kannst du den nicht nur in der box, sondern lokal, man lädt nur den öffentlichen schlüssel auf die box.

    Sicherheitslücke hin oder her. Benutzername und Kennwort liegen in der Box, da kam man heran. Wenn Dein Handy / Tablet / Notebook, mit dem du dich verbindest, komprommittiert sind, hilft dir das nicht, weil der Schlüssel und die Passworteingabe abgegriffen werden können. Eine Sicherheitslücke des routers auszunutzen wird dagegen schwer, denn die Verbindung kann weder einfach gesnifft noch ohne den privaten key überhaupt hergestellt werden. Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher. Das ist zwei-faktor. Du benötigst das passwort und den privaten schlüssel.

  6. Re: Wenn Fernzugang, dann VPN

    Autor: anybody 09.02.14 - 12:05

    > Nein. Ein vpn setzt nicht nur das passwrt, sondern einen ellenlangen
    > privaten schlüssel voraus
    Es ging hier nicht um erratene Kennwörter insofern ist es völlig egal das der private Schlüssel "lang" ist.

    > Sicherheitslücke hin oder her. Benutzername und Kennwort liegen in der Box,
    > da kam man heran.
    Wenn man die Box über einen Buffer Overflow im VPN Daemon hackt kommt man genauso an die in der Box gespeicherten Zugangsdaten für DSL-Einwahl und VoIP Dienste ran.

    > Wenn Dein Handy / Tablet / Notebook, mit dem du dich
    > verbindest, komprommittiert sind, hilft dir das nicht, weil der Schlüssel
    > und die Passworteingabe abgegriffen werden können.
    Der Satz macht keinerlei sinn. Wenn das Gerät kompromitiert ist hilft das NICHT ?

    > Eine Sicherheitslücke
    > des routers auszunutzen wird dagegen schwer, denn die Verbindung kann weder
    > einfach gesnifft noch ohne den privaten key überhaupt hergestellt werden.
    Eine normale Passworteingabe die über https läuft kann auch nicht einfach gesnifft werden.
    Und ob ein Herstellen zum Webinterface durch eine Sicherheitslücke ohne Prüfung des Kennworts möglich ist, oder ein Herstellen des VPNs durch eine Sicherheitslücke ohne Prüfung des Keys möglich ist sind keine unterschiedlichen Sachen.

    > Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher. Das
    > ist zwei-faktor. Du benötigst das passwort und den privaten schlüssel.
    Eine Zwei-Faktor Authentifizierung ist etwas ganz anderes. Ein VPN mit einem Private-Key und einem dazugehörigen Kennwort ist KEINE Zwei-Faktor Authentifizierung.

  7. Re: Wenn Fernzugang, dann VPN

    Autor: Youssarian 09.02.14 - 13:46

    echnaton192 schrieb:

    > Nein. [...]

    Da kann ich mir nur 'anybody' anschließen. Ich glaube, wir reden aneinander vorbei.

    > Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher.

    Ja, das ist gewiss so. Aber für einen Fehler in der Firmware gilt dies im Allgemeinen nicht. Es ginge dem Angreifer ja nicht darum, tatsächlich eine VPN-Verbindung aufzubauen, sondern nur 'irgendwie in den Router' zu kommen.



    1 mal bearbeitet, zuletzt am 09.02.14 13:47 durch Youssarian.

  8. Re: Wenn Fernzugang, dann VPN

    Autor: echnaton192 09.02.14 - 18:56

    anybody schrieb:
    --------------------------------------------------------------------------------
    > > Nein. Ein vpn setzt nicht nur das passwrt, sondern einen ellenlangen
    > > privaten schlüssel voraus
    > Es ging hier nicht um erratene Kennwörter insofern ist es völlig egal das
    > der private Schlüssel "lang" ist.

    Es geht darum, dass der private Schlüssel nicht auf der Box vorliegt. Dass der Schlüssel auf dem zweiten Faktor lang ist, ist dabei nicht (!) egal.

    Die sind an die Kennwörter gekommen, weil diese auf der Box liegen. Oder hast Du hier andere Erkenntnisse.

    > > Sicherheitslücke hin oder her. Benutzername und Kennwort liegen in der
    > Box,
    > > da kam man heran.
    > Wenn man die Box über einen Buffer Overflow im VPN Daemon hackt kommt man
    > genauso an die in der Box gespeicherten Zugangsdaten für DSL-Einwahl und
    > VoIP Dienste ran.

    OK. Point taken.

    > > Wenn Dein Handy / Tablet / Notebook, mit dem du dich
    > > verbindest, komprommittiert sind, hilft dir das nicht, weil der
    > Schlüssel
    > > und die Passworteingabe abgegriffen werden können.
    > Der Satz macht keinerlei sinn. Wenn das Gerät kompromitiert ist hilft das
    > NICHT ?

    Korrekt. Wenn die Bankkarte kopiert wird, hilft Dir das bei der zwei-Faktor-Authentifizierung Bankkarte und PIN auch nicht. Wenn die Daten der Chipkarte bei HBCI ausgelesen werden können und die Passworteingabe mitgelesen werden kann, hilft dir das bei dieser zwei-Faktor-Authentifizierung auch nicht. Wenn das Gerät, von dem aus Du Dich verbindest komprommittiert ist, hilft alles nicht. Darum auch der Aufwand bei Chipkartenlesegeräten mit separater Tastatur. Dennoch ist selbst bei Chipkartenlesern mit PIN über die Tatstatur eine höhere Sicherheit vorhanden, weil immer noch der key auf der Karte benötigt wird. Und da sollte (!) man nicht so einfach rankommen: ein einfacher keyloggertrojaner reicht nicht, du musst die Karte und die Eingabe angreifen. Es müssen zwei getrennte Dinge angegriffen werden.

    > > Eine Sicherheitslücke
    > > des routers auszunutzen wird dagegen schwer, denn die Verbindung kann
    > weder
    > > einfach gesnifft noch ohne den privaten key überhaupt hergestellt
    > werden.
    > Eine normale Passworteingabe die über https läuft kann auch nicht einfach
    > gesnifft werden.

    Korrekt. Aber die Lücke "ich lese die Daten am Router aus und habe alles zusammen" hätte es nicht gegeben. Du musst den key (liegt in meinem Fall auf iPad und iPhone in der vpn-Konfiguration) und meine Passworteingabe haben, wenn es richtig implementiert ist. Zwei-Faktor.

    > Und ob ein Herstellen zum Webinterface durch eine Sicherheitslücke ohne
    > Prüfung des Kennworts möglich ist, oder ein Herstellen des VPNs durch eine
    > Sicherheitslücke ohne Prüfung des Keys möglich ist sind keine
    > unterschiedlichen Sachen.

    Meines Wissens wurnden die Daten des Routers abgegriffen. Das ist ungleich "Es ist eine Verbindung ohne Authentifizierung möglich". Siehe ausführlicher unten.

    > > Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher.
    > Das
    > > ist zwei-faktor. Du benötigst das passwort und den privaten schlüssel.
    > Eine Zwei-Faktor Authentifizierung ist etwas ganz anderes. Ein VPN mit
    > einem Private-Key und einem dazugehörigen Kennwort ist KEINE Zwei-Faktor
    > Authentifizierung.

    Aber selbstverständlich:

    http://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung#Komponenten

    Die Zwei-Faktor-Authentifizierung als Identitätsnachweis ist nur dann funktionsfähig, wenn beide benötigten Faktoren eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Identität nicht zweifelsfrei feststellen. Der Zugriff, der durch die Zwei-Faktor-Authentifizierung geschützt ist, bleibt verweigert. Die Faktoren können sein:

    - etwas, das der Nutzer besitzt: z. B. ein Token (USB-Stick etc.), eine Bankkarte, ein Schlüssel u. Ä.,
    - etwas, das der Nutzer weiß: z. B. sein Benutzername, Passwort, PIN, TAN u. Ä.
    ...

    Konkret: Der Angreifer muss nicht nur den PIN kennen, er muss auch den auf dem Handy oder dem USB-Stick oder dem Laptop hinterlegten private key haben. Das ist eine klassische zwei-Faktor-Authentifizierung.

    Der Angreifer der Fritzbox benötigte nur das, was der Nutzer weiß, um Zugriff zu erhalten. Daher ist das unsicherer. Und alle Daten liegen auf dem Angriffsziel herum, man musste nicht erst die Seite des Nutzers und dann das Angriffsziel hacken. Das wäre aufwändiger gewesen. Ergo ist das unsicherer.

    Dein Punkt mit der Sicherheitslücke im vpn ist jedoch valide. Wobei es IMO früher aufgefallen wäre, denn ob ein connect ohne token möglich ist, hätte man wohl gemerkt. Es wäre aber sonst schwerer gewesen, denn der Router könnte die Authentifizierungsdaten nicht herausrücken, da er sie nicht hat.

    Einen Verbindungsversuch kann man bei https nicht ausschließen, so lange nicht zwingend auf clientseite ein Zertifikat benötigt wird. Jeder kann also erst mal versuchen, auf die box zu gelangen. Mit Benutzername und Kennwort. Ohne einen ellenlangen Schlüssel, den der User gar nicht kennt oder eingibt und der nur auf dem zulässigen Gerät vorliegt, das sich zu verbinden sucht. Jedes einzelne Paket wird in beide Richtungen auf Authentizität geprüft. Anhand der keys. Das geht aber bei https nicht, wenn nicht in beide Richtungen ein Zertifikat geprüft wird.

    Du und jeder andere kann von jedem Gerät mit der Fritzbox sprechen und Benzutzername und Kennwort eingeben. Das geht bei vpn wegen des notwendigen Tokens nicht. Es sei denn, die Sicherheitslücke betrifft just diese Sicherung, wie bei Dir beschrieben. OK?

  9. Re: Wenn Fernzugang, dann VPN

    Autor: echnaton192 09.02.14 - 19:00

    Youssarian schrieb:
    --------------------------------------------------------------------------------
    > echnaton192 schrieb:
    >
    > > Nein. [...]
    >
    > Da kann ich mir nur 'anybody' anschließen. Ich glaube, wir reden aneinander
    > vorbei.
    >
    > > Das ist ein ganz anderes Verfahren, die Sicherheit ist deutlich höher.
    >
    > Ja, das ist gewiss so. Aber für einen Fehler in der Firmware gilt dies im
    > Allgemeinen nicht. Es ginge dem Angreifer ja nicht darum, tatsächlich eine
    > VPN-Verbindung aufzubauen, sondern nur 'irgendwie in den Router' zu kommen.

    Ja. Ich bedaure nur, dass Du Dich auch der Ansicht anschließt, vpn mit ipsec bei der Fritzbox wäre keine Zwei-Faktor-Authentifizierung, denn das ist nachweislich falsch.

    Ansonsten stimmt es natürlich: Lässt die Sicherheitslücke ohne beide Faktoren eine Verbindung zu, nutzt die prinzipiell höhere Sihcherheit nichts.

  10. Re: Wenn Fernzugang, dann VPN

    Autor: katzenpisse 10.02.14 - 09:13

    staples schrieb:
    --------------------------------------------------------------------------------
    > Das ist keine Sicherheit. Das kann man faken. Sicher bleibt nur VPN.

    Und warum sollte ein SSH-Tunnel nicht sicher sein? :-P

  11. Re: Wenn Fernzugang, dann VPN

    Autor: 0xDEADC0DE 10.02.14 - 10:22

    echnaton192 schrieb:
    --------------------------------------------------------------------------------
    > Ansonsten stimmt es natürlich: Lässt die Sicherheitslücke ohne beide
    > Faktoren eine Verbindung zu, nutzt die prinzipiell höhere Sihcherheit
    > nichts.

    Vor allem hilft das überhaupt nichts, wenn es aus dem lokalen Netz heraus geschieht. Das genau Vorgehen ist nach wie vor unklar, aber diese Möglichkeit ist am plausibelsten und am wahrscheinlichsten.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Interhyp Gruppe, München
  2. Computacenter AG & Co. oHG, verschiedene Standorte
  3. ING-DiBa AG, Nürnberg
  4. BWI GmbH, Bonn, Meckenheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 1,19€
  2. 50,99€
  3. (-56%) 19,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ursula von der Leyen: Von Zensursula zur EU-Kommissionspräsidentin
Ursula von der Leyen
Von "Zensursula" zur EU-Kommissionspräsidentin

Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.
Ein Bericht von Justus Staufburg

  1. Adsense for Search Neue Milliardenstrafe gegen Google in der EU

Projektorkauf: Lumen, ANSI und mehr
Projektorkauf
Lumen, ANSI und mehr

Gerade bei Projektoren werden auf Plattformen verschiedener Onlinehändler kuriose Angaben zur Helligkeit beziehungsweise Leuchtstärke gemacht - sofern diese überhaupt angegeben werden. Wir bringen etwas Licht ins Dunkel und beschäftigen uns mit Einheiten rund um das Thema Helligkeit.
Von Mike Wobker


    Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
    Ricoh GR III im Test
    Kompaktkamera mit Riesensensor, aber ohne Zoom

    Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
    Ein Test von Andreas Donath

    1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
    2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

    1. TLS-Zertifikat: Gesamter Internetverkehr in Kasachstan kann überwacht werden
      TLS-Zertifikat
      Gesamter Internetverkehr in Kasachstan kann überwacht werden

      In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land.

    2. Ari 458: Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro
      Ari 458
      Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro

      Ari 458 ist ein kleiner Lieferwagen mit Elektroantrieb, den der Hersteller mit Aufbauten für verschiedene Einsatzzwecke anbietet. Die Ausstattung ist einfach, dafür ist das Auto günstig.

    3. Quake: Tim Willits verlässt id Software
      Quake
      Tim Willits verlässt id Software

      Seit 24 Jahren ist Tim Willits einer der entscheidenden Macher bei id Software, nun kündigt er seinen Rückzug an. Was er künftig vorhat, will der ehemalige Leveldesigner und studierte Computerwissenschaftler erst nach der Quakecon verraten.


    1. 17:52

    2. 15:50

    3. 15:24

    4. 15:01

    5. 14:19

    6. 13:05

    7. 12:01

    8. 11:33