WinXP - Zugriff auf Fritzbox verhindern
Hallo Leute,
folgendes Problem:
Aufgrund der momentanen Sicherheitslücken in diversen FritzBox-Modellen möchte ich den Zugriff auf die FritzBox von allen Rechnern sperren um CSRF-Attacken vorzubeugen.
Bei den Linux- und Win7-Rechnern ist das über die Firewall ja kein Problem. Nur die XP-Firewall kann, soweit mir bekannt ist, keine IP-Adressen sperren...
Ist es möglich z.B. auf dem XP-Rechner die ARP-Tabelle dauerhaft zu manipulieren, so dass alle Zugriffe auf die FritzBox-IP-Adressen oder auch gerne die MAC-Adressen der FB ins Nirvana zu leiten?
Folgende Adressen sollen vom XP-Rechner aus nicht mehr erreichbar sein:
192.168.178.1
192.168.178.254
169.254.1.1
192.168.181.1
Der XP-Rechner greift auch nicht direkt auf die Fritzbox zu sondern steht noch hinter einem Billigrouter.
Wenn ich der FB dann eine ungewöhnliche IP vergebe, sollte das zumindest ein paar Script-Kiddies abhalten. Sehe ich das richtig?
folgendes Problem:
Aufgrund der momentanen Sicherheitslücken in diversen FritzBox-Modellen möchte ich den Zugriff auf die FritzBox von allen Rechnern sperren um CSRF-Attacken vorzubeugen.
Bei den Linux- und Win7-Rechnern ist das über die Firewall ja kein Problem. Nur die XP-Firewall kann, soweit mir bekannt ist, keine IP-Adressen sperren...
Ist es möglich z.B. auf dem XP-Rechner die ARP-Tabelle dauerhaft zu manipulieren, so dass alle Zugriffe auf die FritzBox-IP-Adressen oder auch gerne die MAC-Adressen der FB ins Nirvana zu leiten?
Folgende Adressen sollen vom XP-Rechner aus nicht mehr erreichbar sein:
192.168.178.1
192.168.178.254
169.254.1.1
192.168.181.1
Der XP-Rechner greift auch nicht direkt auf die Fritzbox zu sondern steht noch hinter einem Billigrouter.
Wenn ich der FB dann eine ungewöhnliche IP vergebe, sollte das zumindest ein paar Script-Kiddies abhalten. Sehe ich das richtig?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 231428
Url: https://administrator.de/forum/winxp-zugriff-auf-fritzbox-verhindern-231428.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
8 Kommentare
Neuester Kommentar
Du schreibst selber "...möchte ich den Zugriff AUF die FritzBox von allen Rechnern sperren !"
Du willst also den Zugriff auf die FB sperren. Logischerweise macht man das in der FB selber das die diese Zugriffe nicht annimmt.
Andersrum wäre es ja Blödsinn, denn wieviel Millionen rechner willst du denn im Internet "sperren" die über das DSL Interface auf deine FB zugreifen können ??
In deinem lokalen Netzwerk wo nur du und deine Komponenten bist ist das doch herzlich egal bzw. was nützt da ein Client Blocking wenn dein Nachbar es schafft sich in dein lokales Netzwerk einzuklinken. Auf dessen Rechner wirst du ja wohl kaum die FW manipulieren können, oder ?! Außerdem wenn einer ein Live OS von CD oder USB auf den Rechnern bootet guckst du in die Röhre...
Du begehst hier vermutlich einen gehörigen Denkfehler...kann das sein ?
Du willst also den Zugriff auf die FB sperren. Logischerweise macht man das in der FB selber das die diese Zugriffe nicht annimmt.
Andersrum wäre es ja Blödsinn, denn wieviel Millionen rechner willst du denn im Internet "sperren" die über das DSL Interface auf deine FB zugreifen können ??
In deinem lokalen Netzwerk wo nur du und deine Komponenten bist ist das doch herzlich egal bzw. was nützt da ein Client Blocking wenn dein Nachbar es schafft sich in dein lokales Netzwerk einzuklinken. Auf dessen Rechner wirst du ja wohl kaum die FW manipulieren können, oder ?! Außerdem wenn einer ein Live OS von CD oder USB auf den Rechnern bootet guckst du in die Röhre...
Du begehst hier vermutlich einen gehörigen Denkfehler...kann das sein ?
Zitat von @Anon0815:
Ich denke da nur an Cross-Site-Request-Forgery und möchte verhindert dass jemand (im internen Netz) beim Surfen eine
manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.
Ich denke da nur an Cross-Site-Request-Forgery und möchte verhindert dass jemand (im internen Netz) beim Surfen eine
manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.
Das machst Du trortzdem auf der Fritzbox.
1. benutzer udn paßwörter konfigurieren. damit verhinderst Du, daß hinz und kunz einfach so was ändern können.
2.Aktuelle Fritzbox-Firmware aufspielen. Damit hast Du mal die letztens gemeldeten Lücken umschifft.
3. wenn das nciht geht, Fritzboix austauschen gegen aktuelleres Modell (oder gelich einen ordetnlichen Router hinstellen).
4. Fritzbox freetzen und mit iptables die Zugriffe einschränken. ggf noch die Ports auf denen Servcies alaufen auf ander Ports legen udn schon hast Du genug Konfusion, daß kein Skript-Kiddie durchsteigt.
lks
Du kannst doch selbst testen, ob du diese Adressen aus dem Internet erreichen kannst. Dann bist du bestimmt beruhigt.
Geh zu einem Freund oder Nachbarn und probiere die oben erwähnten IPs von da aus.
Die größte Herausforderung wird aber diese IP sein: 169.254.1.1
Viel Glück und denk an so einfache Dinge
wie rechtzeitige updates der Fritzbox, der PC-Software (XP)
der Benutzerverwaltung und Passwörter, die den Namen auch verdienen.
der Upnp Funktionalität und Deaktivierung derselben.
Grüße Netman
Geh zu einem Freund oder Nachbarn und probiere die oben erwähnten IPs von da aus.
Die größte Herausforderung wird aber diese IP sein: 169.254.1.1
Viel Glück und denk an so einfache Dinge
wie rechtzeitige updates der Fritzbox, der PC-Software (XP)
der Benutzerverwaltung und Passwörter, die den Namen auch verdienen.
der Upnp Funktionalität und Deaktivierung derselben.
Grüße Netman
Zitat von @Anon0815:
Ich selbst hab hier eine FB 2110vt stehen. Für die gibt es kein Update. Angeblich soll sie auch nicht von der Lücke
betroffen sein. Aber zum Einem hieß es zu erst auch andere AVM-Produkte wie Repeater usw. wären nicht betroffen, was
sich als falsch herausstellte und zum Anderem wenn der "Heise-Angriff" unabhängig von der bekannten
Fernwarungslücke funktioniert bringt mir ein Update derselben auch nichts.
Ich selbst hab hier eine FB 2110vt stehen. Für die gibt es kein Update. Angeblich soll sie auch nicht von der Lücke
betroffen sein. Aber zum Einem hieß es zu erst auch andere AVM-Produkte wie Repeater usw. wären nicht betroffen, was
sich als falsch herausstellte und zum Anderem wenn der "Heise-Angriff" unabhängig von der bekannten
Fernwarungslücke funktioniert bringt mir ein Update derselben auch nichts.
Wenn Du der fritzbox nicht traust, ist es das sinnvollste diese zu ersetzen.
Den zugriff auf die fritzbox beim jeweiligen Client einschränken zu wollen ist ein sehr fehleranfälliges Verfahren, weil schon der nöchste client der einfach so ins Netz gehängt wird, das wieder aushebeln kann. Du müsstest auf der fritzbox selbst schon dafür sorgen, daß keiner draufkommt. Aber da Du dieser ja nicht straustm wäre es sinnvoller diese gleich auszumustern.
lks
Hallo zusammen,
Jetzt Fritzbox aktualisieren! Hack gegen AVM-Router auch ohne Fernzugang
Na und was macht man dann, updaten!
grey| Gruß
Dobby##
Der XP-Rechner greift auch nicht direkt auf die Fritzbox
zu sondern steht noch hinter einem Billigrouter.
Dann mach da DD-WRt oder OpenWRT drauf und gut ist es.zu sondern steht noch hinter einem Billigrouter.
Ich denke da nur an Cross-Site-Request-Forgery und möchte
verhindert dass jemand (im internen Netz) beim Surfen eine
manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.
Dann lieber einen andere Router kaufen und/oder die Fritz!Box mal schnell updaten!verhindert dass jemand (im internen Netz) beim Surfen eine
manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.
Siehe Beitrag von Heise Security:
Schau Dir doch einmal die Überschrift an!!!Jetzt Fritzbox aktualisieren! Hack gegen AVM-Router auch ohne Fernzugang
Na und was macht man dann, updaten!
grey| Gruß
Dobby##