Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WinXP - Zugriff auf Fritzbox verhindern

Frage Sicherheit Firewall

Mitglied: Anon0815

Anon0815 (Level 1) - Jetzt verbinden

01.03.2014 um 14:40 Uhr, 2227 Aufrufe, 8 Kommentare

Hallo Leute,

folgendes Problem:

Aufgrund der momentanen Sicherheitslücken in diversen FritzBox-Modellen möchte ich den Zugriff auf die FritzBox von allen Rechnern sperren um CSRF-Attacken vorzubeugen.

Bei den Linux- und Win7-Rechnern ist das über die Firewall ja kein Problem. Nur die XP-Firewall kann, soweit mir bekannt ist, keine IP-Adressen sperren...

Ist es möglich z.B. auf dem XP-Rechner die ARP-Tabelle dauerhaft zu manipulieren, so dass alle Zugriffe auf die FritzBox-IP-Adressen oder auch gerne die MAC-Adressen der FB ins Nirvana zu leiten?

Folgende Adressen sollen vom XP-Rechner aus nicht mehr erreichbar sein:

192.168.178.1
192.168.178.254
169.254.1.1
192.168.181.1

Der XP-Rechner greift auch nicht direkt auf die Fritzbox zu sondern steht noch hinter einem Billigrouter.

Wenn ich der FB dann eine ungewöhnliche IP vergebe, sollte das zumindest ein paar Script-Kiddies abhalten. Sehe ich das richtig?
Mitglied: aqui
01.03.2014, aktualisiert um 14:59 Uhr
Du schreibst selber "...möchte ich den Zugriff AUF die FritzBox von allen Rechnern sperren !"
Du willst also den Zugriff auf die FB sperren. Logischerweise macht man das in der FB selber das die diese Zugriffe nicht annimmt.
Andersrum wäre es ja Blödsinn, denn wieviel Millionen rechner willst du denn im Internet "sperren" die über das DSL Interface auf deine FB zugreifen können ??
In deinem lokalen Netzwerk wo nur du und deine Komponenten bist ist das doch herzlich egal bzw. was nützt da ein Client Blocking wenn dein Nachbar es schafft sich in dein lokales Netzwerk einzuklinken. Auf dessen Rechner wirst du ja wohl kaum die FW manipulieren können, oder ?! Außerdem wenn einer ein Live OS von CD oder USB auf den Rechnern bootet guckst du in die Röhre...
Du begehst hier vermutlich einen gehörigen Denkfehler...kann das sein ?
Bitte warten ..
Mitglied: Anon0815
01.03.2014, aktualisiert um 15:31 Uhr
Ich hab mich etwas blöd ausgedrückt.

Ich denke da nur an Cross-Site-Request-Forgery und möchte verhindert dass jemand (im internen Netz) beim Surfen eine manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.

Bei vielen Fritzboxen ist es anscheinden recht einfach nur durch den Aufruf bestimmter Links im Browser die Konfigurationsdateien incl. Passwörter auszulesen.

Siehe Beitrag von Heise Security:

http://www.heise.de/security/meldung/Jetzt-Fritzbox-aktualisieren-Hack- ...
Bitte warten ..
Mitglied: Lochkartenstanzer
01.03.2014 um 15:34 Uhr
Zitat von Anon0815:

Ich denke da nur an Cross-Site-Request-Forgery und möchte verhindert dass jemand (im internen Netz) beim Surfen eine
manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.

Das machst Du trortzdem auf der Fritzbox.

1. benutzer udn paßwörter konfigurieren. damit verhinderst Du, daß hinz und kunz einfach so was ändern können.
2.Aktuelle Fritzbox-Firmware aufspielen. Damit hast Du mal die letztens gemeldeten Lücken umschifft.
3. wenn das nciht geht, Fritzboix austauschen gegen aktuelleres Modell (oder gelich einen ordetnlichen Router hinstellen).
4. Fritzbox freetzen und mit iptables die Zugriffe einschränken. ggf noch die Ports auf denen Servcies alaufen auf ander Ports legen udn schon hast Du genug Konfusion, daß kein Skript-Kiddie durchsteigt.

lks
Bitte warten ..
Mitglied: keine-ahnung
01.03.2014 um 15:48 Uhr
Moin,

einfach zu Ende lesen?

Dabei ist es ganz einfach, sich zu schützen: Fritzbox-Besitzer, die noch immer nicht eine der aktuellen Firmware-Versionen eingespielt haben - und davon soll es noch viele geben -, sollten das deshalb jetzt dringend nachholen.

LG, Thomas
Bitte warten ..
Mitglied: MrNetman
01.03.2014 um 16:33 Uhr
Du kannst doch selbst testen, ob du diese Adressen aus dem Internet erreichen kannst. Dann bist du bestimmt beruhigt.
Geh zu einem Freund oder Nachbarn und probiere die oben erwähnten IPs von da aus.
Die größte Herausforderung wird aber diese IP sein: 169.254.1.1

Viel Glück und denk an so einfache Dinge
wie rechtzeitige updates der Fritzbox, der PC-Software (XP)
der Benutzerverwaltung und Passwörter, die den Namen auch verdienen.
der Upnp Funktionalität und Deaktivierung derselben.

Grüße Netman
Bitte warten ..
Mitglied: Anon0815
01.03.2014, aktualisiert um 17:17 Uhr
Die letzten gemeldeten Lücken betreffen aber den Fernzugang von außen zur Fritzbox.

Das neue proof-of-concept von Heise stellt sich für mich als eine neue Lücke, unabhängig von der aktuellen Fernwartungslücke, dar.

Passwörter bringen nichts wenn du sie einfach auslesen kannst. Die getestete FB lieferte dem Angreifer einfach seine Konfigurationsdateien mitsamt Passwörtern auf dem Silbertablett.

Ich selbst hab hier eine FB 2110vt stehen. Für die gibt es kein Update. Angeblich soll sie auch nicht von der Lücke betroffen sein. Aber zum Einem hieß es zu erst auch andere AVM-Produkte wie Repeater usw. wären nicht betroffen, was sich als falsch herausstellte und zum Anderem wenn der "Heise-Angriff" unabhängig von der bekannten Fernwarungslücke funktioniert bringt mir ein Update derselben auch nichts.

@MrNetman

Die genannten IP-Adressen sind natürlich von außen (so einfach) nicht erreichbar, da sie ja in einem ganz anderem Subnet liegen und du vom Internet sowieso nicht so einfach auf Private IP-Adressräume zugreifen kannst.

Allerdings beruht der Angriff ja darauf, dass der User eine komprimitierte Seite aufruft von der aus dann ein Script auf dem Rechner des Angegriffenen geladen und ausgeführt wird, welches dann die Dateien von der FB zieht und auf deinen Remoteserver lädt.

PS: Rechnerupdates, Linuxsicherheitstools/erweiterungen wie SELinux und apparmor sind natürlich aktiv und aktuell...

Trotzdem könnte man wenn man es schafft dass die diversen Managementipadressen der FB auch von innen gar nicht mehr erreichbar wären auch neuen noch unbekannten Angriffen vorbeugen.
Mir reicht es von einem Rechner aus auf die FB zuzugreifen. Da muss sie nicht aus dem ganzen Lan erreichbar sein...
Bitte warten ..
Mitglied: Lochkartenstanzer
01.03.2014 um 19:14 Uhr
Zitat von Anon0815:

Ich selbst hab hier eine FB 2110vt stehen. Für die gibt es kein Update. Angeblich soll sie auch nicht von der Lücke
betroffen sein. Aber zum Einem hieß es zu erst auch andere AVM-Produkte wie Repeater usw. wären nicht betroffen, was
sich als falsch herausstellte und zum Anderem wenn der "Heise-Angriff" unabhängig von der bekannten
Fernwarungslücke funktioniert bringt mir ein Update derselben auch nichts.

Wenn Du der fritzbox nicht traust, ist es das sinnvollste diese zu ersetzen.

Den zugriff auf die fritzbox beim jeweiligen Client einschränken zu wollen ist ein sehr fehleranfälliges Verfahren, weil schon der nöchste client der einfach so ins Netz gehängt wird, das wieder aushebeln kann. Du müsstest auf der fritzbox selbst schon dafür sorgen, daß keiner draufkommt. Aber da Du dieser ja nicht straustm wäre es sinnvoller diese gleich auszumustern.

lks
Bitte warten ..
Mitglied: 108012
01.03.2014 um 21:44 Uhr
Hallo zusammen,

Der XP-Rechner greift auch nicht direkt auf die Fritzbox
zu sondern steht noch hinter einem Billigrouter.
Dann mach da DD-WRt oder OpenWRT drauf und gut ist es.

Ich denke da nur an Cross-Site-Request-Forgery und möchte
verhindert dass jemand (im internen Netz) beim Surfen eine
manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.
Dann lieber einen andere Router kaufen und/oder die Fritz!Box mal schnell updaten!

Siehe Beitrag von Heise Security:
Schau Dir doch einmal die Überschrift an!!!
Jetzt Fritzbox aktualisieren! Hack gegen AVM-Router auch ohne Fernzugang

Na und was macht man dann, updaten!

grey| Gruß
Dobby##
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO - Zugriff auf Powershell verhindern
Frage von Didi2014Windows Server2 Kommentare

Hallo zusammen, gibt es eine GPO, die es den Clients verbietet die Powershell zu Öffnen? Kenne nur die "Zugriff ...

Router & Routing
Wie Zugriff auf Management-LAN korrekt verhindern?
Frage von stephan902Router & Routing3 Kommentare

Hallo nochmal, mein Management-LAN hat die IP-Range 192.168.254.0/24 und es liegt (neben diversen VLANs) untagged auf eth0 an. Aktuell ...

Router & Routing
Zugriff auf Fritzbox Netzwerk
Frage von daquickRouter & Routing21 Kommentare

Hallo ich habe aktuell 3 Router. und zwar: Hauptgerät : Netgear JWNR2000v2 WANIP: Dynamisch LANIP: 192.168.1.1 Büro: Netgear RP616v4 ...

Router & Routing
Fritzbox Routing bzw. Zugriff vom Gastnetzwerk auf das FritzBox Netzwerk
Frage von hhaushhRouter & Routing6 Kommentare

Hallo miteinander, ich bräuchte mal eure Hilfe, ich glaube ich stehe mittlerweile auf dem Schlauch. Ich würde gerne vom ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 104 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell13 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...