Wireguard Fritzbox - Wie sicher ist das eigentlich ?

[smashcb]

Hallo

ich habe heute spasseshalber mal wireguard mit der Fritzbox ausprobiert, weil IPSec Client unter Windows 11 nicht mehr wollte.

Das ganze ging ziemlich fix mit der FB. Einfach auf erstellen klicken und dann die conf Datei runterladen.

Diese hab ich jetzt in den Wireguardclient eingefügt und los ging es .

Das war komplett einfach und irgendwie hinterlässt das bei mir einen komischen Eindruck, als haette ich irgendwas übersehen bzw falsch gemacht.

Ich hab mich beispielsweise auch gefragt, wie sicher diese conf file ist. Ich musste das um es auf meinen anderen Rechner zu bekommen auf einen USB Stick kopieren.
Falls jetzt jemand den Stick findet, dann kann er doch das File wiederherstellen und sich dann ebenfalls mit meinem Rechner verbinden ?

 

[Enotsa]

Erstmal wieso bleibt die Datei überhaupt auf dem Stick? Wieso verliert man sowas überhaupt?

Und zweitens selbst wenn, scheiss egal. Du musst schließlich für jeden Client ein eigenes Profil bzw. Config anlegen.

 

[n1tro666]

Falls jetzt jemand den Stick findet, dann kann er doch das File wiederherstellen und sich dann ebenfalls mit meinem Rechner verbinden ?

naja zunächst mit deiner fritzbox und dein internet benutzen, dann je nach heimnetz absicherung
auch auf den rechner, ja

 

[mae1cum77]

Ich hab mich beispielsweise auch gefragt, wie sicher diese conf file ist. Ich musste das um es auf meinen anderen Rechner zu bekommen auf einen USB Stick kopieren.

Wireguard ist, vorrausgesetzt die Konfigs bleiben bei dir, sehr sicher. Das Protokoll ist einer der 'Leading Standards'. Die Verschlüssellung des Tunnels an sich ist iirc nicht 'knackbar'.

Muß natürlich sicher aufbewahrt werden. Die Konfigs nach dem Tausch nicht auf dem Stick lassen.

Schließt du den Tunnel bei dir, ist der Zugriff unmöglich.

 

[TomH22]

Muß natürlich sicher aufbewahrt werden. Die Konfigs nach dem Tausch nicht auf dem Stick lassen.

Das ist letztendlich die "organisatorische" Schwachstelle von Wireguard, da es zumindest in der FB Implementierung, kein 2FA oder z.B. eine zusätzliche Passphrase unterstützt. Jeder, der die Konfig in die Hände bekommt, kann sie benutzen. Das gilt z.B. auch wenn der Laptop geklaut wird, und die SSD nicht mit z.B. Bitlocker verschlüsselt ist.

Jetzt kann man im Privathaushalt davon ausgehen, dass dieses Risiko in der Praxis vernachlässigter ist, da der wirtschaftliche Nutzen einer gestohlenen VPN Verbindung in ein durchschnittliches Heimnetz einfach fast null ist.
Ist das Ziel ein Firmennetz oder eine "Person of Interest" kann das anders aussehen.

 

[mae1cum77]

@TomH22 berechtigter Einwand . Im Zusammenhang mit derartigen Themen sollte eh Zero-Trust gelten, ist die Konfig als kompromitiert anzusehen, muß der Tunnel geschlossen werden. Ist ja nicht so, daß man es nicht unter Kontrolle hätte.

Und ja, die Fritz!Box-Integration ist verbesserungswürdig. Neben TOTP-2FA fehlt auch das Einschränken auf definierte IPs im LAN, geht nur ganz oder garnicht. Ist ansonsten aber durchaus nutzbar.

 

[redjack1000]

Falls jetzt jemand den Stick findet, dann kann er doch das File wiederherstellen und sich dann ebenfalls mit meinem Rechner verbinden ?

Und was genau hat das mit deiner Frage zu tun?

Wireguard Fritzbox - Wie sicher ist das eigentlich ?​

Sieh zu das niemand Zugriff auf die Datei bekommt.

CU
redjack

 

[Engaged]

Stick formatieren, oder bei Paranoia zusätzlich überschreiben, Level extrahart, mit dem Hammer draufschlagen. 🫣

Pro Tip: Bei Stick Verlust die Berechtigung für diese config in der Fritzbox widerrufen!

 

[Nilson]

1. Ja, wenn jemand die Datei hat, könnte er damit eine Verbindung zu deinem Heimnetz aufmachen. Das ist eine schwäche von Wireguard. Die Datei sollte daher nicht "irgendwo" abgelegt werden.
2. Für jeden Client solltest du eine eigene Config anlegen. Dann kannst du direkt bei Verlust den Client in der FB sperren. Dann musst du auch nichts auf USB-Sticks speichern
3. Die gelöschte Datei auf einem USB-Stick wiederherzustellen ist doch eine recht gezielte Attacke. Ist doch recht unwahrscheinlich.

 

[TomH22]

Wofür eigentlich einen Stick? Bei meinen Rechnern lade ich die Konfig einfach, wenn sie im LAN der Fritzbox sind, direkt von der Fritzbox herunter.

Als ich neulich einem, sich gerade 5000km entfernten, Haushaltsangehörigen einen Zugang eingerichtet habe, habe ich die Konfig per Ende-zu-Ende verschlüsseltem Messenger (in meinen Fall Signal) zugeschickt.

Für mein "Risikoprofil" (siehe oben) ist das sicher genug.

 

[smashcb]

Hi.
Danke für die Rückmeldungen.
@mae1cum77 ich glaube ich hab da ein AVM Video gesehen, wo man die IP Zugriff haendisch einstellene kann. Wenn ich das richtig verstanden hab.

Also ist die Handhabung doch etwas unsicher, wenn man mit dem Stick nicht richtig umgeht.

ich meinte mit Zugriff auf "Rechner" natuerlich mein Heimnetz.

@TomH22 Ich hab die Datei vom Standort 1 auf einem Stick zu Standort 2 transportiert. Über messenger schicken ist auch irgendwie komisch, egal wie verschlüsselt das?

 

[mae1cum77]

1. Ja, wenn jemand die Datei hat, könnte er damit eine Verbindung zu deinem Heimnetz aufmachen. Das ist eine schwäche von Wireguard.

Solange der zugehörige Tunnel/Peer existiert. Wird der gelöscht, sind die enthaltenen Schlüssel wertlos. Ist nicht so, daß die Konfig Zugriff von außen erlaubt, ohne Gegenpart.

wo man die IP Zugriff haendisch einstellene kann. Wenn ich das richtig verstanden hab.

Ist mit den Konfigs der Box schwierig und funktioniert nur bedingt.

 

[smashcb]

Also zusammenfassend, ist Wireguard grundlegend sicher, außer man schlampt mit der Konfigdatei und die Implementierung von AVM könnte besser sein ?

 

[mae1cum77]

Das dürfte es ganz gut treffen .

Wie gesagt, der Tunnel kann nicht von außen erstellt werden. Löscht du die zur Konfig gehörenden Peers in der FB, ist die Konfig nutzlos.

 

[TomH22]

Über messenger schicken ist auch irgendwie komisch, egal wie verschlüsselt das?

Das denken die Leute immer, aber eigentlich ist eine Ende-zu-Ende verschlüsselter Messenger (sofern man er wirklich verschlüsselt) eine der sichersten Methode eine Datei zu verschicken. Das gilt selbst für WhatsApp...

 

[|Moppel|]

Also zusammenfassend, ist Wireguard grundlegend sicher, außer man schlampt mit der Konfigdatei und die Implementierung von AVM könnte besser sein ?

Das wäre damit auch die Zusammenfassung für quasi alles was mit Sicherheit zu tun hat.

Das Problem ist zu 99% der Fälle der Anwender, der im Umgang schlampt; mal altertümliche Kryptographiemethoden, die nicht gut gealtert sind, ausgenommen.

An der Implementierung von AVM ist meiner Meinung nach auch nichts auszusetzten. Es ist eben oft die Waage zwischen Komfort und Nutzbarkeit.
Gerade für den Durschschnittsverbraucher muss man auf ersteres schauen, sonst nutzt der es nämlich nicht.

 

[mae1cum77]

An der Implementierung von AVM ist meiner Meinung nach auch nichts auszusetzten.

Wäre nur interessant, erweiterten Zugriff auf die zentrale Konfig JSON zu ermöglichen, ohne Gefahr zu laufen, die Integrität zu verletzen. Muß ja nicht prominent im Vordergrund angeboten werden.

 

[smashcb]

Das denken die Leute immer, aber eigentlich ist eine Ende-zu-Ende verschlüsselter Messenger (sofern man er wirklich verschlüsselt) eine der sichersten Methode eine Datei zu verschicken. Das gilt selbst für WhatsApp...

Ich bezog das eher darauf, das ich ja bspw bei Signal auch Desktop Apps nutze, die sich synchronisieren. Sprich die Datei ist dann auch schnell mal auf mehreren Rechnern.

Ja klar ist ein Anwenderfehler, aber ein Angriffsvektor.

Ergänzung (15. Februar 2024)

Gerade für den Durschschnittsverbraucher muss man auf ersteres schauen, sonst nutzt der es nämlich nicht.

Da hast du Recht! Das sollte öfter umgesetzt werden.

 

[Raijin]

Wäre nur interessant, erweiterten Zugriff auf die zentrale Konfig JSON zu ermöglichen, ohne Gefahr zu laufen, die Integrität zu verletzen. Muß ja nicht prominent im Vordergrund angeboten werden.

Ich weiß was du meinst, aber bedenke, dass Fritzboxxen an Otto Normal, Steffi Standard und Peter Planlos gerichtet sind. Das sind 08/15 Kisten und da ist es schlicht und ergreifend nicht gewollt, dass man mehr ändern kann als vorgesehen ist. Man kann schon froh sein, dass AVM im Expertenmodus wenigsten etwas mehr zulässt, aber individuell konfigurierte VPNs oder gar noch nativen Zugriff auf die Firewall und das NAT (ohne Wizardgedöns) sind einfach nicht gewollt. Die Zielgruppe sind Laien, bestenfalls ambitionierte Laien und da muss zwangsläufig eine Grenze gezogen werden zwischen einfach und komfortabel vs komplex und individuell.

Wenn einem die Funktionen einer Fritzbox nicht ausreichen, ist nicht ein Über-Experten-Modus in der Fritzbox die Lösung, sondern ganz banal ein anderer Router

Ich hab mich beispielsweise auch gefragt, wie sicher diese conf file ist. Ich musste das um es auf meinen anderen Rechner zu bekommen auf einen USB Stick kopieren.
Falls jetzt jemand den Stick findet, dann kann er doch das File wiederherstellen und sich dann ebenfalls mit meinem Rechner verbinden ?

Letztendlich kann keine VPN-Technologie die Schwachstelle Mensch ausschalten. Egal über welches VPN wir sprechen, wenn jemand Zugriff auf das Profil bzw. das Zertifikat bekommt, kann er diese Informationen missbrauchen. Das ist letztendlich nichts anderes als wenn du in der Bahn deinen Rucksack mit Schlüssel und Portemonnaie vergisst. Der listige Finder kann sich mit dem Schlüssel und deiner Adresse in der Brieftasche Zugang zu deinem Haus verschaffen, einfach so, weil du zu schluderig warst und deinen Rucksack hast liegen lassen.

Für alle sicherheitsrelevanten Gegenstände - seien sie physisch oder virtuell - gilt also dasselbe:

Nicht verlieren!

Und wenn es doch passiert, muss man eben die Kreditkarte sperren, Schlösser austauschen und .. .. VPN dichtmachen.

Solange aber niemand Zugriff auf das Profil, das Zertifikat, den Hausschlüssel, die Kreditkarte oder den Ausweis hat, kann auch niemand damit Unfug treiben. Dahingehend sind VPNs sicherer als Türschlösser, weil man letztere zum Teil seeeeehr einfach knacken kann, aber verschlüsselte VPNs sind im Rahmen der Möglichkeiten nahezu unknackbar, wenn man nicht nen Rechenzentrum hinter sich hat.

 

[mae1cum77]

Wenn einem die Funktionen einer Fritzbox nicht ausreichen, ist nicht ein Über-Experten-Modus in der Fritzbox die Lösung, sondern ganz banal ein anderer Router

Touche . Alternativ ein Kleinrechner mit Docker, der unabhängig vom Router agiert. Meine dumme Box kann nur Internet, ist aber in Ordnung.