Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WinXP - Zugriff auf Fritzbox verhindern

Frage Sicherheit Firewall

Mitglied: Anon0815

Anon0815 (Level 1) - Jetzt verbinden

01.03.2014 um 14:40 Uhr, 2159 Aufrufe, 8 Kommentare

Hallo Leute,

folgendes Problem:

Aufgrund der momentanen Sicherheitslücken in diversen FritzBox-Modellen möchte ich den Zugriff auf die FritzBox von allen Rechnern sperren um CSRF-Attacken vorzubeugen.

Bei den Linux- und Win7-Rechnern ist das über die Firewall ja kein Problem. Nur die XP-Firewall kann, soweit mir bekannt ist, keine IP-Adressen sperren...

Ist es möglich z.B. auf dem XP-Rechner die ARP-Tabelle dauerhaft zu manipulieren, so dass alle Zugriffe auf die FritzBox-IP-Adressen oder auch gerne die MAC-Adressen der FB ins Nirvana zu leiten?

Folgende Adressen sollen vom XP-Rechner aus nicht mehr erreichbar sein:

192.168.178.1
192.168.178.254
169.254.1.1
192.168.181.1

Der XP-Rechner greift auch nicht direkt auf die Fritzbox zu sondern steht noch hinter einem Billigrouter.

Wenn ich der FB dann eine ungewöhnliche IP vergebe, sollte das zumindest ein paar Script-Kiddies abhalten. Sehe ich das richtig?
Mitglied: aqui
01.03.2014, aktualisiert um 14:59 Uhr
Du schreibst selber "...möchte ich den Zugriff AUF die FritzBox von allen Rechnern sperren !"
Du willst also den Zugriff auf die FB sperren. Logischerweise macht man das in der FB selber das die diese Zugriffe nicht annimmt.
Andersrum wäre es ja Blödsinn, denn wieviel Millionen rechner willst du denn im Internet "sperren" die über das DSL Interface auf deine FB zugreifen können ??
In deinem lokalen Netzwerk wo nur du und deine Komponenten bist ist das doch herzlich egal bzw. was nützt da ein Client Blocking wenn dein Nachbar es schafft sich in dein lokales Netzwerk einzuklinken. Auf dessen Rechner wirst du ja wohl kaum die FW manipulieren können, oder ?! Außerdem wenn einer ein Live OS von CD oder USB auf den Rechnern bootet guckst du in die Röhre...
Du begehst hier vermutlich einen gehörigen Denkfehler...kann das sein ?
Bitte warten ..
Mitglied: Anon0815
01.03.2014, aktualisiert um 15:31 Uhr
Ich hab mich etwas blöd ausgedrückt.

Ich denke da nur an Cross-Site-Request-Forgery und möchte verhindert dass jemand (im internen Netz) beim Surfen eine manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.

Bei vielen Fritzboxen ist es anscheinden recht einfach nur durch den Aufruf bestimmter Links im Browser die Konfigurationsdateien incl. Passwörter auszulesen.

Siehe Beitrag von Heise Security:

http://www.heise.de/security/meldung/Jetzt-Fritzbox-aktualisieren-Hack- ...
Bitte warten ..
Mitglied: Lochkartenstanzer
01.03.2014 um 15:34 Uhr
Zitat von Anon0815:

Ich denke da nur an Cross-Site-Request-Forgery und möchte verhindert dass jemand (im internen Netz) beim Surfen eine
manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.

Das machst Du trortzdem auf der Fritzbox.

1. benutzer udn paßwörter konfigurieren. damit verhinderst Du, daß hinz und kunz einfach so was ändern können.
2.Aktuelle Fritzbox-Firmware aufspielen. Damit hast Du mal die letztens gemeldeten Lücken umschifft.
3. wenn das nciht geht, Fritzboix austauschen gegen aktuelleres Modell (oder gelich einen ordetnlichen Router hinstellen).
4. Fritzbox freetzen und mit iptables die Zugriffe einschränken. ggf noch die Ports auf denen Servcies alaufen auf ander Ports legen udn schon hast Du genug Konfusion, daß kein Skript-Kiddie durchsteigt.

lks
Bitte warten ..
Mitglied: keine-ahnung
01.03.2014 um 15:48 Uhr
Moin,

einfach zu Ende lesen?

Dabei ist es ganz einfach, sich zu schützen: Fritzbox-Besitzer, die noch immer nicht eine der aktuellen Firmware-Versionen eingespielt haben - und davon soll es noch viele geben -, sollten das deshalb jetzt dringend nachholen.

LG, Thomas
Bitte warten ..
Mitglied: MrNetman
01.03.2014 um 16:33 Uhr
Du kannst doch selbst testen, ob du diese Adressen aus dem Internet erreichen kannst. Dann bist du bestimmt beruhigt.
Geh zu einem Freund oder Nachbarn und probiere die oben erwähnten IPs von da aus.
Die größte Herausforderung wird aber diese IP sein: 169.254.1.1

Viel Glück und denk an so einfache Dinge
wie rechtzeitige updates der Fritzbox, der PC-Software (XP)
der Benutzerverwaltung und Passwörter, die den Namen auch verdienen.
der Upnp Funktionalität und Deaktivierung derselben.

Grüße Netman
Bitte warten ..
Mitglied: Anon0815
01.03.2014, aktualisiert um 17:17 Uhr
Die letzten gemeldeten Lücken betreffen aber den Fernzugang von außen zur Fritzbox.

Das neue proof-of-concept von Heise stellt sich für mich als eine neue Lücke, unabhängig von der aktuellen Fernwartungslücke, dar.

Passwörter bringen nichts wenn du sie einfach auslesen kannst. Die getestete FB lieferte dem Angreifer einfach seine Konfigurationsdateien mitsamt Passwörtern auf dem Silbertablett.

Ich selbst hab hier eine FB 2110vt stehen. Für die gibt es kein Update. Angeblich soll sie auch nicht von der Lücke betroffen sein. Aber zum Einem hieß es zu erst auch andere AVM-Produkte wie Repeater usw. wären nicht betroffen, was sich als falsch herausstellte und zum Anderem wenn der "Heise-Angriff" unabhängig von der bekannten Fernwarungslücke funktioniert bringt mir ein Update derselben auch nichts.

@MrNetman

Die genannten IP-Adressen sind natürlich von außen (so einfach) nicht erreichbar, da sie ja in einem ganz anderem Subnet liegen und du vom Internet sowieso nicht so einfach auf Private IP-Adressräume zugreifen kannst.

Allerdings beruht der Angriff ja darauf, dass der User eine komprimitierte Seite aufruft von der aus dann ein Script auf dem Rechner des Angegriffenen geladen und ausgeführt wird, welches dann die Dateien von der FB zieht und auf deinen Remoteserver lädt.

PS: Rechnerupdates, Linuxsicherheitstools/erweiterungen wie SELinux und apparmor sind natürlich aktiv und aktuell...

Trotzdem könnte man wenn man es schafft dass die diversen Managementipadressen der FB auch von innen gar nicht mehr erreichbar wären auch neuen noch unbekannten Angriffen vorbeugen.
Mir reicht es von einem Rechner aus auf die FB zuzugreifen. Da muss sie nicht aus dem ganzen Lan erreichbar sein...
Bitte warten ..
Mitglied: Lochkartenstanzer
01.03.2014 um 19:14 Uhr
Zitat von Anon0815:

Ich selbst hab hier eine FB 2110vt stehen. Für die gibt es kein Update. Angeblich soll sie auch nicht von der Lücke
betroffen sein. Aber zum Einem hieß es zu erst auch andere AVM-Produkte wie Repeater usw. wären nicht betroffen, was
sich als falsch herausstellte und zum Anderem wenn der "Heise-Angriff" unabhängig von der bekannten
Fernwarungslücke funktioniert bringt mir ein Update derselben auch nichts.

Wenn Du der fritzbox nicht traust, ist es das sinnvollste diese zu ersetzen.

Den zugriff auf die fritzbox beim jeweiligen Client einschränken zu wollen ist ein sehr fehleranfälliges Verfahren, weil schon der nöchste client der einfach so ins Netz gehängt wird, das wieder aushebeln kann. Du müsstest auf der fritzbox selbst schon dafür sorgen, daß keiner draufkommt. Aber da Du dieser ja nicht straustm wäre es sinnvoller diese gleich auszumustern.

lks
Bitte warten ..
Mitglied: Dobby
01.03.2014 um 21:44 Uhr
Hallo zusammen,

Der XP-Rechner greift auch nicht direkt auf die Fritzbox
zu sondern steht noch hinter einem Billigrouter.
Dann mach da DD-WRt oder OpenWRT drauf und gut ist es.

Ich denke da nur an Cross-Site-Request-Forgery und möchte
verhindert dass jemand (im internen Netz) beim Surfen eine
manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.
Dann lieber einen andere Router kaufen und/oder die Fritz!Box mal schnell updaten!

Siehe Beitrag von Heise Security:
Schau Dir doch einmal die Überschrift an!!!
Jetzt Fritzbox aktualisieren! Hack gegen AVM-Router auch ohne Fernzugang

Na und was macht man dann, updaten!

grey| Gruß
Dobby##
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Fritzbox 7490 - WLAN Geräte zugriff auf LAN Kamera hinter SONICWALL (25)

Frage von GoriBoy zum Thema LAN, WAN, Wireless ...

Router & Routing
Externer Zugriff auf NAS mit Glasfasermodem + Fritzbox (1)

Frage von sadi191 zum Thema Router & Routing ...

Router & Routing
Wie Zugriff auf Management-LAN korrekt verhindern? (3)

Frage von stephan902 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...