Fremde Loginversuche auf Fritzbox

[DannyA4]

Den externen Zugriff auf die GUI eines Routers sollte man sowieso immer abschalten bzw. gar nicht erst einschalten.

Ist damit dieser Haken gemeint?


Ich habe mich auch noch nie mit VPN versucht/beschäftigt, vielleicht sollte ich das in heutigen Zeiten mal angehen.
Zum Verständnis, wenn ich eine VPN-Verbindung von meinem Smartphone zur FB einrichte, mein Smartphone aber "gehakt" wird, kann der Angreifer dann nicht auch auf meine FB zugreifen?
Oder ein Familienmitglied auf seinem Rechner in meinem Netzwerk eine verseuchte Mail öffnet, bekommt der Angreifer dann nicht auch Zugriff auf meine FB, weil er ja schon in meinem Netzwerk ist?
Habe davon so gar keinen Schimmer..

 

[Engaged]

@Engaged und wie bekomme ich dann immer das neuste FritzOS auf die Box?

Sofern du nicht so eine heftig kastrierte Box hast, zieht die Box sich das selber sofern du es eingestellt hast!? 🤷🏻

Möglicherweise geht es so nicht zb mit kastrierten Kabel Fritzboxen, für jede freie Box und für viele providerboxen gilt aber siehe Screenshots!

PS: Die reine Nutzung von MyFRITZ zB als DynDNS benötigt aber nicht den fernzugriff der FRITZ!Box, den kann man getrost ausmachen.

 

[Bob.Dig]

Habe davon so gar keinen Schimmer..

Merkt man. Aber eine Gegenfrage, wozu hast Du den Fernzugriff auf deine Fritzbox überhaupt aktiviert, ernsthaft.

 

[Leon_FR]

Eine Frage hierzu, wenn ich nur lokal auf die Fritzbox gehe also von meinem Heimrechner, dann brauche ich nichts deaktivieren oder einen VPN richtig? Ist ja nur lokal..

 

[meph!sto]

Nur weil du lokal zugreifst, bedeutet es nicht dass der Fernzugrffsdienst nicht aktiviert ist.
Also: überprüfen ob der Dienst aktiv ist.
Falls ja: stoppen / schließen
Falls nein: Kaffee trinken

 

[DannyA4]

Ist damit dieser Haken gemeint?

wozu hast Du den Fernzugriff auf deine Fritzbox überhaupt aktiviert,

Ist mit deiner Frage, meine Frage indirekt beantwortet?

Weil es in der Ersteinrichtung empfohlen wurde. Und weil ich dachte, dass ich dann über mein Handy auf die FB-App zugreifen könne. Habe einige Fritz Dect Steckdosen in meinem Smarthome, wollte die auch von Unterwegs steuern können.

Was ist nun wieder der Unterschied in diesen beiden Zugriffsvarianten?:

 

[Bob.Dig]

Weil es in der Ersteinrichtung empfohlen wurde. Und weil ich dachte, dass ich dann über mein Handy auf die FB-App zugreifen könne. Habe einige Fritz Dect Steckdosen in meinem Smarthome, wollte die auch von Unterwegs steuern können.

Warum sollte das empfohlen sein? Aber für die Fritzbox App mag das schon stimmen. Einfach mal deaktivieren und gucken, ob Du deine Steckdosen immer noch schalten kannst (und musst).

Btw. ich habe mal die Telefonie, die ich quasi nie nutze, und ACS deaktiviert und werde die Auswirkungen beobachten.

 

[DannyA4]

Jetzt habe ich, glaube ich zumindest, die richtige Einstellung gefunden:

Diesen Haken muss ich also deaktivieren

 

[Joe Dalton]

Was die IMAP Portweiterleitungen sollen habe ich mich auch gefragt, kann mir nicht vorstellen das der TE einen eigenen Mailserver zu Hause betreibt. Das wäre bei seinem Wissensstand auch äußerst fragwürdig.

Div. NAS bieten entsprechende Erweiterungen und wer das Know-How hat, kann es ja auch nutzen.

Und wie immer an dieser Stelle, ein NAS sollte nie per Portweiterleitung aus dem Internet erreichbar sein. Die Kisten sind dafür nicht gemacht, egal was der Hersteller verspricht.

Genau...

 

[R00kie]

Zum Verständnis, wenn ich eine VPN-Verbindung von meinem Smartphone zur FB einrichte, mein Smartphone aber "gehakt" wird, kann der Angreifer dann nicht auch auf meine FB zugreifen?

Das sind berechtigte und gute Fragen und ich finde es gut, wenn man die Dinge derart hinterfragt.
Und es ist richtig, wenn auf deinem Smartphone ein VPN eingerichtet ist, das für den Verbindungsaufbau kein Passwort benötigt, dann braucht ein Angreifer nur noch den Schieberegler für das VPN betätigen und kann alle Geräte in deinem internen Netz erreichen. Erreichen(!), aber nicht zwingend darauf zugreifen. Mit einem sicheren Passwort auf der Fritzbox könnte er sich weiterhin die Zähne an ihr ausbeißen.

Aber es bestehen dann natürlich andere/ weitere Gefahren. Wenn auf der Fritzbox UPnP aktiviert ist, könnte sich der Angreife auch ohne Zugriff auf die WebGUI der FB einen Port in der Firewall öffnen.
Und natürlich könnte er auf ungesicherte Zugänge, Netzwerk-Shares, Netzwerk-Drucker, -Scanner usw. zugreifen.

Und die schwachen Geräte (leicht zu hacken) wie NAS, Drucker/ Scanner, IoT-Geräte könnten dann übernommen werden, sprich der Angreifer nistet sich darauf ein und nutzt deine Infrastruktur für ein Botnet oder versucht beharrlich deinen Computer bzw. Smartphones im WLAN zu übernehmen, um Daten zu stehlen oder zu verschlüsseln.

Damit will ich keine Panik schüren. Man sollte nur die möglichen Gefahren kennen. Und das Smartphone ist sowieso ein besonders schützenswertes Gerät, dass man stets bestens im Blick behalten sollte.

Oder ein Familienmitglied auf seinem Rechner in meinem Netzwerk eine verseuchte Mail öffnet, bekommt der Angreifer dann nicht auch Zugriff auf meine FB, weil er ja schon in meinem Netzwerk ist?

Siehe oben. Zugriff auf dein Netzwerk ja, aber nicht zwangsläufig auf die Fritzbox. Wichtig ist, dass man stets sichere Passwörter verwendet, egal, ob der Zugang von extern oder nur von intern möglich ist. Wenn jemand in das Netzwerk kommt, sollte es ihm nicht zu leicht gemacht werden, sich weiter auszubreiten und kritische Systeme zu übernehmen.
Und stets HTTPS verwenden! Auch wenn Geräte HTTP (unverschlüsselt) und HTTPS (verschlüsselt) parallel anbieten: immer HTTPS bevorzugen.

Es schadet nie Familienmitglieder auf mögliche Gefahren bei der Verwendung der Technik hinzuweisen und Tipps für einen sicheren Umgang mitzugeben.
Besonders die Angriffe über Mails sind leider richtig fies und teilweise sehr schwer zu erkennen.

 

[Raijin]

Ist damit dieser Haken gemeint?

Sieht so aus, ja. Ich hab keine Fritzbox und kann dir daher nicht exakt sagen wo der Haken zu finden ist. Zwar war ich der Meinung, dass der Haken im Menü "Freigaben" ist, aber da kann ich mich auch irren bzw. kann sich auch geändert haben.
*edit: Den Haken hast du ja gerade gefunden

Zum Verständnis, wenn ich eine VPN-Verbindung von meinem Smartphone zur FB einrichte, mein Smartphone aber "gehakt" wird, kann der Angreifer dann nicht auch auf meine FB zugreifen?

Eine VPN-Verbindung ist wie ein gedachtes Netzwerkkabel nach Hause, das du die ganze Zeit mit dir rumschleppst, überall hin. Durch die Verschlüsselung kann sich aber niemand "in der Mitte" einfach in die Verbindung einklinken. Erlangt derjenige aber Zugriff auf ein Gerät mit eingerichtetem VPN-Client - zB dein Smartphone - kann er auch auf das VPN und damit auf deine Fritzbox und ggfs dein komplettes Heimnetzwerk zugreifen. Ohne VPN und mit aktiviertem Fernzugriff bzw. Portweiterleitungen könnte derjenige, der dein Smartphone hackt, aber direkt deine Fritzbox angreifen, von überall auf der Welt, zu jeder Zeit.

VPN sind genau für diesen Zweck entwickelt worden. Verschlüsselter Zugriff auf entfernte Systeme bzw. Netzwerke über unsichere Netzwerke (zB Internet) hinweg. Deswegen kommen VPNs nicht nur für den Fernzugriff auf das Heimnetzwerk zum Einsatz, sondern eben auch bei Unternehmen für mobiles Arbeiten / Home Office.

Eine Frage hierzu, wenn ich nur lokal auf die Fritzbox gehe also von meinem Heimrechner, dann brauche ich nichts deaktivieren oder einen VPN richtig? Ist ja nur lokal..

lokal ist lokal. Im vorliegenden Fall kommt die Gefahr aus dem www. Wenn man einmal einen Server im www betrieben hat und sich die Logs anschaut, sieht man, dass die Bots der Skriptkiddies und Hacker 24/7 in Aktion sind und ein regelrechtes Bombardement stattfindet. Ein falscher offener Port bzw. ein Standardlogin kann schon reichen und binnen eines Tages hat man ungebetene Besucher. Ist der Zugriff aus dem www aber zu, kann die Gefahr nur aus dem eigenen lokalen Netzwerk kommen - zB durch Malware. Deswegen sollte man trotzdem ein vernünftiges Passwort für Router und Co verwenden.

 

[DeusoftheWired]

kleine Frage am Rande, wenn ich das alles deaktiviere, kann dann mein Provider trotzdem immer das neuste FritzOS einspielen?

Wenn du das nicht möchtest, einfach diese Optionen deaktivieren. Das ganze läuft über TR-069.

 

[DannyA4]

Vielen, vielen Dank! Die Erläuterungen sind für mich nun verständlich und auch erfassbar!
Ich werde das Thema Sicherheit in meinem Haushalt nun etwas intensiver angehen und die ersten, einfachen Schritte, gleich mal ausführen!(FB aus dem Internet nicht mehr erreichbar machen, mich in die Thematik VPN einlesen.)

Edit:
Ich habe gerade die Möglichkeit in der FB gefunden, dass man jenen Benutzern, welche Zugriff über das Internet auf meine FB haben, zusätzlich eine Bestätigung über eine Authenticator-App benötigen, um auf die Box zugreifen zu können.
Rein theoretisch, sollte es dann unmöglich sein, selbst wenn mein PW erraten wird, auf die Box zugreifen zu können?

 

[Engaged]

Dann kannst du nebenbei auch kontrollieren ob hier alle Haken an sind (außer wenn du eine Xbox besitzt, dann muss der teredo-filter aus):

 

[Raijin]

Noch eine Anmerkung zur automatischen Konfiguration durch den Provider:

Bei eigenen, gekauften Routern kann man diese Option jederzeit ausschalten. Bei gemieteten Geräten ist das aber etwas anderes. Zwar kann man das dort natürlich auch deaktivieren, aber die Frage ist ob man es darf. Bei der Telekom und gemieteten Speedports ist es so, dass in den Mietbedingungen festgehalten ist, dass die Wartungsfunktion immer eingeschaltet zu sein hat. Ob man sich daran hält und inwiefern der Provider Zuwiderhandlung ahnden würde, sei mal dahingestellt.

 

[DannyA4]

außer wenn du eine Xbox besitzt,

...oder, wie mein Sohn, Forza Horizon auf dem Rechner hat und im Multiplayer spielen möchte. Auch dafür muss dieser tredo Filter deaktiviert werden.


Edit:
Gut aber, dass man mal darüber spricht, habe ihn gerade gefragt, er spielt das Spiel eh nicht mehr, also...Haken in der FB ist wieder drin!

 

[Raijin]

Rein theoretisch, sollte es dann unmöglich sein, selbst wenn mein PW erraten wird, auf die Box zugreifen zu können?

In der Theorie ja, in der Praxis ist aber selbst eine Zwei-Faktor-Authentifizierung unter bestimmten Voraussetzungen hackbar.

Letztendlich spielt das aber sowieso nur eine untergeordnete Rolle. Alles, was man von außen per aktivierter Fernwartung und/oder Portweiterleitungen auf dem Router bzw. im Heimnetzwerk tun könnte, kann man mit einem VPN auch. Der Unterschied besteht darin, dass ein VPN explizit für solche Zwecke gedacht ist.

Hier im Forum wurde schon mal gefragt welchen Port man denn für den Drucker weiterleiten müsste, wenn man von unterwegs drucken möchte. Kein Thema, TCP 9100. Das Problem dabei ist aber, dass dann j e d e r auf diesem Drucker drucken kann - und das werden mit Sicherheit keine hübschen Bilder von Blumenwiesen sein...

Der beste Schutz ist also einfach das sinngemäße Zumauern nicht genutzter Türen (GUI-Zugriff / Portweiterleitungen) und nicht die doppelt und dreifache Absicherung mit starkem Passwort, 2FA, Fingerabdruck, Retinascanner und DNA-Profil. Das macht man nur, wenn die Tür wirklich zugänglich sein muss.

Wie oft fummelst du unterwegs in den Einstellungen deines Routers rum? Und was tust du da genau, was so dringend ist, dass es nicht warten kann bis du zu Hause bist? Wenn es dir schwerfällt diese Fragen für dich plausibel zu beantworten, ist das eine überflüssige Tür...

 

[DannyA4]

Ok, leuchtet ein.
Eigentlich ist es tatsächlich nur blanke Spielerei.
Ich habe z.B. Alexa Zugriff auf die Smart Home Funktionen der FB gestattet, damit ich mit Alexa meine Heizungsthermostate (Temperatur im Raum) per Sprache regeln kann.
Ist lustig, braucht man aber natürlich nicht unbedingt.

Man muss sich halt entscheiden, Komfort/Spielerei oder eher Sicherheit.

 

[Engaged]

Das ist aber wiederum was anderes, die Handeln ihre Verknüpfung ja nicht über irgendeinen öffentlichen Hotspot oder whatever aus, und garantiert auch https gesichertegesicherte Verbindungen, hoffe ich zumindest für AVM. 😅

 

[Raijin]

Man muss sich halt entscheiden, Komfort/Spielerei oder eher Sicherheit.

Das ist die Crux dabei. Computer, Netzwerke und das Internet sind technisch so komplex und vor allem schnelllebig, dass es für Otto Normal kaum möglich ist, die Gefahren überhaupt zu erkennen. Andersherum wird aber die Bedienung immer einfacher und günstiger (zB Mietserver im www ab 1€/Monat). Gefahren im Internet sind allerdings nicht sichtbar wie zB die rotierenden Messer eines Mixers und werden daher oft unterschätzt.

Ich habe z.B. Alexa Zugriff auf die Smart Home Funktionen der FB gestattet, damit ich mit Alexa meine Heizungsthermostate (Temperatur im Raum) per Sprache regeln kann.

Ok, das ist nochmal was anderes, aber auch da steckt natürlich ein gewisses Gefahrenpotenzial. Smart Home ist generell so eine Sache, nicht nur etwaige Fernzugriffe, sondern zB auch Cloud-Anbindungen und dergleichen. Im Rahmen dieses Threads führt das aber zu weit.