anon0815
Goto Top

WinXP - Zugriff auf Fritzbox verhindern

Hallo Leute,

folgendes Problem:

Aufgrund der momentanen Sicherheitslücken in diversen FritzBox-Modellen möchte ich den Zugriff auf die FritzBox von allen Rechnern sperren um CSRF-Attacken vorzubeugen.

Bei den Linux- und Win7-Rechnern ist das über die Firewall ja kein Problem. Nur die XP-Firewall kann, soweit mir bekannt ist, keine IP-Adressen sperren...

Ist es möglich z.B. auf dem XP-Rechner die ARP-Tabelle dauerhaft zu manipulieren, so dass alle Zugriffe auf die FritzBox-IP-Adressen oder auch gerne die MAC-Adressen der FB ins Nirvana zu leiten?

Folgende Adressen sollen vom XP-Rechner aus nicht mehr erreichbar sein:

192.168.178.1
192.168.178.254
169.254.1.1
192.168.181.1

Der XP-Rechner greift auch nicht direkt auf die Fritzbox zu sondern steht noch hinter einem Billigrouter.

Wenn ich der FB dann eine ungewöhnliche IP vergebe, sollte das zumindest ein paar Script-Kiddies abhalten. Sehe ich das richtig?

Content-ID: 231428

Url: https://administrator.de/forum/winxp-zugriff-auf-fritzbox-verhindern-231428.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

aqui
aqui 01.03.2014 aktualisiert um 14:59:34 Uhr
Goto Top
Du schreibst selber "...möchte ich den Zugriff AUF die FritzBox von allen Rechnern sperren !"
Du willst also den Zugriff auf die FB sperren. Logischerweise macht man das in der FB selber das die diese Zugriffe nicht annimmt.
Andersrum wäre es ja Blödsinn, denn wieviel Millionen rechner willst du denn im Internet "sperren" die über das DSL Interface auf deine FB zugreifen können ??
In deinem lokalen Netzwerk wo nur du und deine Komponenten bist ist das doch herzlich egal bzw. was nützt da ein Client Blocking wenn dein Nachbar es schafft sich in dein lokales Netzwerk einzuklinken. Auf dessen Rechner wirst du ja wohl kaum die FW manipulieren können, oder ?! Außerdem wenn einer ein Live OS von CD oder USB auf den Rechnern bootet guckst du in die Röhre...
Du begehst hier vermutlich einen gehörigen Denkfehler...kann das sein ?
Anon0815
Anon0815 01.03.2014 aktualisiert um 15:31:08 Uhr
Goto Top
Ich hab mich etwas blöd ausgedrückt.

Ich denke da nur an Cross-Site-Request-Forgery und möchte verhindert dass jemand (im internen Netz) beim Surfen eine manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.

Bei vielen Fritzboxen ist es anscheinden recht einfach nur durch den Aufruf bestimmter Links im Browser die Konfigurationsdateien incl. Passwörter auszulesen.

Siehe Beitrag von Heise Security:

http://www.heise.de/security/meldung/Jetzt-Fritzbox-aktualisieren-Hack- ...
Lochkartenstanzer
Lochkartenstanzer 01.03.2014 um 15:34:50 Uhr
Goto Top
Zitat von @Anon0815:

Ich denke da nur an Cross-Site-Request-Forgery und möchte verhindert dass jemand (im internen Netz) beim Surfen eine
manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.

Das machst Du trortzdem auf der Fritzbox.

1. benutzer udn paßwörter konfigurieren. damit verhinderst Du, daß hinz und kunz einfach so was ändern können.
2.Aktuelle Fritzbox-Firmware aufspielen. Damit hast Du mal die letztens gemeldeten Lücken umschifft.
3. wenn das nciht geht, Fritzboix austauschen gegen aktuelleres Modell (oder gelich einen ordetnlichen Router hinstellen).
4. Fritzbox freetzen und mit iptables die Zugriffe einschränken. ggf noch die Ports auf denen Servcies alaufen auf ander Ports legen udn schon hast Du genug Konfusion, daß kein Skript-Kiddie durchsteigt. face-smile

lks
keine-ahnung
keine-ahnung 01.03.2014 um 15:48:15 Uhr
Goto Top
Moin,

einfach zu Ende lesen?

Dabei ist es ganz einfach, sich zu schützen: Fritzbox-Besitzer, die noch immer nicht eine der aktuellen Firmware-Versionen eingespielt haben - und davon soll es noch viele geben -, sollten das deshalb jetzt dringend nachholen.

LG, Thomas
MrNetman
MrNetman 01.03.2014 um 16:33:52 Uhr
Goto Top
Du kannst doch selbst testen, ob du diese Adressen aus dem Internet erreichen kannst. Dann bist du bestimmt beruhigt.
Geh zu einem Freund oder Nachbarn und probiere die oben erwähnten IPs von da aus.
Die größte Herausforderung wird aber diese IP sein: 169.254.1.1

Viel Glück und denk an so einfache Dinge
wie rechtzeitige updates der Fritzbox, der PC-Software (XP)
der Benutzerverwaltung und Passwörter, die den Namen auch verdienen.
der Upnp Funktionalität und Deaktivierung derselben.

Grüße Netman
Anon0815
Anon0815 01.03.2014 aktualisiert um 17:17:36 Uhr
Goto Top
Die letzten gemeldeten Lücken betreffen aber den Fernzugang von außen zur Fritzbox.

Das neue proof-of-concept von Heise stellt sich für mich als eine neue Lücke, unabhängig von der aktuellen Fernwartungslücke, dar.

Passwörter bringen nichts wenn du sie einfach auslesen kannst. Die getestete FB lieferte dem Angreifer einfach seine Konfigurationsdateien mitsamt Passwörtern auf dem Silbertablett.

Ich selbst hab hier eine FB 2110vt stehen. Für die gibt es kein Update. Angeblich soll sie auch nicht von der Lücke betroffen sein. Aber zum Einem hieß es zu erst auch andere AVM-Produkte wie Repeater usw. wären nicht betroffen, was sich als falsch herausstellte und zum Anderem wenn der "Heise-Angriff" unabhängig von der bekannten Fernwarungslücke funktioniert bringt mir ein Update derselben auch nichts.

@MrNetman

Die genannten IP-Adressen sind natürlich von außen (so einfach) nicht erreichbar, da sie ja in einem ganz anderem Subnet liegen und du vom Internet sowieso nicht so einfach auf Private IP-Adressräume zugreifen kannst.

Allerdings beruht der Angriff ja darauf, dass der User eine komprimitierte Seite aufruft von der aus dann ein Script auf dem Rechner des Angegriffenen geladen und ausgeführt wird, welches dann die Dateien von der FB zieht und auf deinen Remoteserver lädt.

PS: Rechnerupdates, Linuxsicherheitstools/erweiterungen wie SELinux und apparmor sind natürlich aktiv und aktuell...

Trotzdem könnte man wenn man es schafft dass die diversen Managementipadressen der FB auch von innen gar nicht mehr erreichbar wären auch neuen noch unbekannten Angriffen vorbeugen.
Mir reicht es von einem Rechner aus auf die FB zuzugreifen. Da muss sie nicht aus dem ganzen Lan erreichbar sein...
Lochkartenstanzer
Lochkartenstanzer 01.03.2014 um 19:14:50 Uhr
Goto Top
Zitat von @Anon0815:

Ich selbst hab hier eine FB 2110vt stehen. Für die gibt es kein Update. Angeblich soll sie auch nicht von der Lücke
betroffen sein. Aber zum Einem hieß es zu erst auch andere AVM-Produkte wie Repeater usw. wären nicht betroffen, was
sich als falsch herausstellte und zum Anderem wenn der "Heise-Angriff" unabhängig von der bekannten
Fernwarungslücke funktioniert bringt mir ein Update derselben auch nichts.

Wenn Du der fritzbox nicht traust, ist es das sinnvollste diese zu ersetzen.

Den zugriff auf die fritzbox beim jeweiligen Client einschränken zu wollen ist ein sehr fehleranfälliges Verfahren, weil schon der nöchste client der einfach so ins Netz gehängt wird, das wieder aushebeln kann. Du müsstest auf der fritzbox selbst schon dafür sorgen, daß keiner draufkommt. Aber da Du dieser ja nicht straustm wäre es sinnvoller diese gleich auszumustern.

lks
108012
108012 01.03.2014 um 21:44:07 Uhr
Goto Top
Hallo zusammen,

Der XP-Rechner greift auch nicht direkt auf die Fritzbox
zu sondern steht noch hinter einem Billigrouter.
Dann mach da DD-WRt oder OpenWRT drauf und gut ist es.

Ich denke da nur an Cross-Site-Request-Forgery und möchte
verhindert dass jemand (im internen Netz) beim Surfen eine
manipulierte Seite aufruft und damit die Routerkonfiguration ausgelesen wird.
Dann lieber einen andere Router kaufen und/oder die Fritz!Box mal schnell updaten!

Siehe Beitrag von Heise Security:
Schau Dir doch einmal die Überschrift an!!!
Jetzt Fritzbox aktualisieren! Hack gegen AVM-Router auch ohne Fernzugang

Na und was macht man dann, updaten!

grey| Gruß
Dobby##