8
Digitaler Bilderrahmen und Sicherheit
Hallo Forum,
in einem Haushalt wird ein digitaler Bilderrahmen genutzt.
Darauf läuft anscheinend ein vom Hersteller zurecht geschnitztes Android.
Desweiteren läuft ein FTP-Server darauf.
Der Rahmen hängt bisher im Gast-WLAN der zuständigen Fritzbox.
Jetzt soll allerdings per FTP von außerhalb darauf zugegriffen werden.
Dafür muss er anscheinend in das "richtige" WLAN aufgenommen werden, da die FB keine Portfreigaben ins Gast-WLAN ermöglicht.
In dem "richtigen" WLAN hängen weitere PCs, Smartphones und per LAN an die Fritzbox angeschlossen sind noch ein paar Windows Clients.
Mir geht es in diesem Beitrag nicht darum, wie der FTP-Zugang zum Bilderrahmen eingerichtet wird.
Es geht mir um mögliche Gefahren, die von so einem Bilderrahmen/Gerät ausgehen.
Da ich dem Hersteller des Rahmens nicht vertraue, ist das Gerät für mich erstmal generell unsicher.
Was kann so ein Gerät im WLAN anstellen?
Welche Maßnahmen würdet ihr ergreifen, um es betreiben zu können?
Viele Grüße
André
in einem Haushalt wird ein digitaler Bilderrahmen genutzt.
Darauf läuft anscheinend ein vom Hersteller zurecht geschnitztes Android.
Desweiteren läuft ein FTP-Server darauf.
Der Rahmen hängt bisher im Gast-WLAN der zuständigen Fritzbox.
Jetzt soll allerdings per FTP von außerhalb darauf zugegriffen werden.
Dafür muss er anscheinend in das "richtige" WLAN aufgenommen werden, da die FB keine Portfreigaben ins Gast-WLAN ermöglicht.
In dem "richtigen" WLAN hängen weitere PCs, Smartphones und per LAN an die Fritzbox angeschlossen sind noch ein paar Windows Clients.
Mir geht es in diesem Beitrag nicht darum, wie der FTP-Zugang zum Bilderrahmen eingerichtet wird.
Es geht mir um mögliche Gefahren, die von so einem Bilderrahmen/Gerät ausgehen.
Da ich dem Hersteller des Rahmens nicht vertraue, ist das Gerät für mich erstmal generell unsicher.
Was kann so ein Gerät im WLAN anstellen?
Welche Maßnahmen würdet ihr ergreifen, um es betreiben zu können?
Viele Grüße
André
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667010
Url: https://administrator.de/contentid/667010
Ausgedruckt am: 25.11.2024 um 19:11 Uhr
8 Kommentare
Neuester Kommentar
Das wird so ein richtig altes Android sein.
Ergo keine Sicherheitsupdates.
Das Teil kann man also ggf. nutzen, um Angriffe auf die anderen Rechner durchzuführen.
Da du die mit deiner Fritte nicht auf Ethernet-Ebene trennen kannst, musst du diese absichern (eigentlich auch so, wenn die SPI-FW der Fritte nicht tut bzw. bei IPv4 eh NAT davor ist).
Also prüfen, welche Netzwerkdienste da auf den einzelnen Rechnern laufen und diese, wenn nicht gewollt abstellen bzw. mit ACLs versehen.
Auf Layer 2 geht da schon ekliges Zeug, z.B. DHCP-Server, der dann als Gateway sich einträgt, das gleiche mit dem IPv6-Router-Advertisement.
IP-Spoofing, dazu noch ARP bzw. NDP für IPv6.
Maßnahmen:
Fritte durch ein Gerät mit mehr Funktionen ersetzen (z.B. die Cisco IAD-Apparate) und dann die Netze trennen (beachte, dass du da für IPv6 evtl. 2 /64-Netze brauchst oder kein EUI64 nutzen kannst) und mit passenden FW-Regeln versehen.
Oder den Bilderrahmen entsorgen und durch ein gescheites System ersetzen, z.B. durch einen Raspi mit Monitor dran und mit aktuellem OS, auf das man Zugriff hat.
Ergo keine Sicherheitsupdates.
Das Teil kann man also ggf. nutzen, um Angriffe auf die anderen Rechner durchzuführen.
Da du die mit deiner Fritte nicht auf Ethernet-Ebene trennen kannst, musst du diese absichern (eigentlich auch so, wenn die SPI-FW der Fritte nicht tut bzw. bei IPv4 eh NAT davor ist).
Also prüfen, welche Netzwerkdienste da auf den einzelnen Rechnern laufen und diese, wenn nicht gewollt abstellen bzw. mit ACLs versehen.
Was kann so ein Gerät im WLAN anstellen?
Wenn jemand darauf Vollzugriff hat, dann kann der auf Layer 2 Schabernack treiben, auf Layer 3 auch. Auf Layer 3 würde auch aus dem Internet gehen, da ist aber die SPI-FW der Fritte dazuwischen.Auf Layer 2 geht da schon ekliges Zeug, z.B. DHCP-Server, der dann als Gateway sich einträgt, das gleiche mit dem IPv6-Router-Advertisement.
IP-Spoofing, dazu noch ARP bzw. NDP für IPv6.
Maßnahmen:
Fritte durch ein Gerät mit mehr Funktionen ersetzen (z.B. die Cisco IAD-Apparate) und dann die Netze trennen (beachte, dass du da für IPv6 evtl. 2 /64-Netze brauchst oder kein EUI64 nutzen kannst) und mit passenden FW-Regeln versehen.
Oder den Bilderrahmen entsorgen und durch ein gescheites System ersetzen, z.B. durch einen Raspi mit Monitor dran und mit aktuellem OS, auf das man Zugriff hat.
Moin,
Wenn da direkt per ftp drauf zugegriffen werden kann, kann man damit den Rahmen übernehmen, weil das Ding vermutlich veraltete Firmware drauf hat, daß bisherige Lücken nicht geschlossen hat.
Und was solche übernommen IoT-geräte machen, wenn sie übernommen werden, sieht man z.B. bei diesen Suchergebnissen.
lks
Wenn da direkt per ftp drauf zugegriffen werden kann, kann man damit den Rahmen übernehmen, weil das Ding vermutlich veraltete Firmware drauf hat, daß bisherige Lücken nicht geschlossen hat.
Und was solche übernommen IoT-geräte machen, wenn sie übernommen werden, sieht man z.B. bei diesen Suchergebnissen.
lks
Das ist 100 pro ein uraltes Android und ich würde es nie im Leben in ein Netzwerk stecken wo andere, egal ob wichtig oder nicht, Geräte laufen. Sowas kannst du eigentlich nur alleine in einem gekapselten Netz laufen lassen.
Man hat dann halt für die anderen Geräte nicht mehr den Schutz der SPI-Firewall der Fritte, aber sonst sehe ich da keine weitere Gefahr für die anderen Geräte.
Größer sehe ich die Gefahr, dass der FTP-Server auf dem Android (der ja aus dem Internet erreichbar gemacht wird) ein Einfallstor bietet und das Gerät dann für Schabernack wie DDoS-Angriffe oder Botnetze genutzt wird.
Am besten das auf bestimmte IPs beschränken oder falls das nicht geht VPN einrichten.
Größer sehe ich die Gefahr, dass der FTP-Server auf dem Android (der ja aus dem Internet erreichbar gemacht wird) ein Einfallstor bietet und das Gerät dann für Schabernack wie DDoS-Angriffe oder Botnetze genutzt wird.
Am besten das auf bestimmte IPs beschränken oder falls das nicht geht VPN einrichten.
Ich hätte da eher die Angst das irgendwelche Kiddys - wenn das Ding FTP macht - da einfach Blödsinn machen und man plötzlich irgendwelche XXX-Fotos oder sonstwas auf dem Bilderrahmen hat. Was ich jetzt persönlich nich unbedingt begrüssen würde wenn das mein Rahmen wäre und ggf. grad Besuch da is..
Wobei man den FTP-Server ja mit Authentifizierung versehen kann.
Wenn dann halt ne Sicherheitslücke da ist, hat man eh verloren.
Wenn dann halt ne Sicherheitslücke da ist, hat man eh verloren.
Danke für das Feedback.
Wie gesagt, geht es um ein privates Netzwerk. Wenn ich darüber nachdenke, habe ich mit jedem PC, Tablet, Handy, Netzwerk-Drucker, Netzwerk-Lautsprecher, NAS, Chromecast, Amazon Firestick, Amazon Echo und SmartTV dutzende potentielle "BadBoys" im Netzwerk. - den Kühlschrank und die IP-Kamera nicht zu vergessen...
Firmwareupdates gibt es meist nur solange Geräte neu sind. Dazu kommt noch, das viele Geräte die Möglichkeit bieten "Erweiterungen" (Apps, Plugins usw.) von Dritten zu installieren. Wodurch die Anzahl der Mitspieler im Netzwerk sich weiter erhöht.
Die alle in verschiedene Subnetze zu sperren wird schwierig, da sie sich natürlich miteinander unterhalten wollen (Spotify auf dem Handy steuert Netzwerk-Lautsprecher, Screen-Mirroring vom Handy zum Chromecast, Scanner scannt auf eine Freigabe auf dem NAS ...).
Wie macht ihr das?
Vertickt ihr eure Geräte auf ebay, wenn es länger als drei Monate keine Sicherheitsupdates mehr dafür gibt?
Habt ihr das "Heimnetz" als vertrauenswürdige Zone aufgegeben und verrammelt jedes konfigurierbare Gerät soweit es geht?
Wie gesagt, geht es um ein privates Netzwerk. Wenn ich darüber nachdenke, habe ich mit jedem PC, Tablet, Handy, Netzwerk-Drucker, Netzwerk-Lautsprecher, NAS, Chromecast, Amazon Firestick, Amazon Echo und SmartTV dutzende potentielle "BadBoys" im Netzwerk. - den Kühlschrank und die IP-Kamera nicht zu vergessen...
Firmwareupdates gibt es meist nur solange Geräte neu sind. Dazu kommt noch, das viele Geräte die Möglichkeit bieten "Erweiterungen" (Apps, Plugins usw.) von Dritten zu installieren. Wodurch die Anzahl der Mitspieler im Netzwerk sich weiter erhöht.
Die alle in verschiedene Subnetze zu sperren wird schwierig, da sie sich natürlich miteinander unterhalten wollen (Spotify auf dem Handy steuert Netzwerk-Lautsprecher, Screen-Mirroring vom Handy zum Chromecast, Scanner scannt auf eine Freigabe auf dem NAS ...).
Wie macht ihr das?
Vertickt ihr eure Geräte auf ebay, wenn es länger als drei Monate keine Sicherheitsupdates mehr dafür gibt?
Habt ihr das "Heimnetz" als vertrauenswürdige Zone aufgegeben und verrammelt jedes konfigurierbare Gerät soweit es geht?
Mit vLan die Geräte separieren. Dann ggf. nur in bestimmten Zeitfenstern zugänglich machen und wenn es sich anbietet auch nur von bestimmten Quellen.
Vertickt ihr eure Geräte auf ebay, wenn es länger als drei Monate keine Sicherheitsupdates mehr dafür gibt?
Habt ihr das "Heimnetz" als vertrauenswürdige Zone aufgegeben und verrammelt jedes konfigurierbare Gerät soweit es geht?
Alle können mit dem Server reden, aber niemals untereinander. Server sind in eigenen Netzen.Habt ihr das "Heimnetz" als vertrauenswürdige Zone aufgegeben und verrammelt jedes konfigurierbare Gerät soweit es geht?
