martinallnet
Captain
- Registriert
- Aug. 2015
- Beiträge
- 3.718
Unter Umständen eine richtige Hotspot Lösung.
WLAN nutzen als Untermieter – Sicherheit
- Ersteller haZe1111
- Erstellt am
Mickey Mouse
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 10.710
ja, die hatten wir jetzt schon mehrfach...2Stoned schrieb:
Kausalkette beachten!
man kann sie erst dann für Botnetze oder Einfallstor zum Intranet nutzen, NACHDEM man eine LÜCKE ausnutzen konnte!
ein Ziel ist nicht automatisch ein Opfer, auch wenn es älter ist.
Nur stammt die letzte bekannte Schwachstelle in AVM Fritz Boxen von Januar 2016 im OS 6.30 (die CVE ist sogar noch von 2015: CVE-2015-7242), außer einer Schwachstelle in der 7490, die "nur" auf der DSL Ebene ausgenutzt werden kann (CVE-2017-8087), man muss der FB also einen DSLAM vorgaukeln.
bitte nicht falsch verstehen, aber hier wird immer gerne so getan, als wenn man mit "alter" Hardware automatisch völlig unsicher ist und vor allem, dass man sich gar keine weiteren Gedanken machen muss, nur weil man ja alles aktuell hält.
pcblizzard schrieb:
Weiß nicht was der da erlauben soll, kann ihm doch egal sein welchen Router ich nutze. Wenn ich ausziehe kann ich ihm ja wieder die ursprüngliche Fritzbox mit entsprechenden Zugangsdaten hinstellen.
2Stoned schrieb:Es gibt 2 Szenarien:
A: Deine FritzBox hängt am Router des Vermieters
Dann würdest du deine Fritzbox mit einem RJ45 LAN Kabel (die "gewöhnlichen" Ethernet-Kabel, mit denen du auch deine FritzBox mit deinem PC verbindest) an seinen Router anschliessen.
In dieser Variante könnte er eigentlich alles sehen. Er könnte den kompletten Internettraffic mitschneiden, alle übermittelten Hashes, alle aufgerufenen Webseiten, er könnte dir sogar gefälschte Webseiten unterjubeln, weil er z.B. meinebank.de intern, auf seinem Router, auf einen von ihm vorbereiteten Server umleitet und nicht auf den echten Server von meinebank.de. Aber das wäre ein enormer Aufwand und auch relativ riskant. Wenn er dabei erwischt wird, hätte er mit ordentlichen strafrechtlichen Konsequenzen zu leben. Wäre es das wert? Wohl kaum.
Wie aber könntest du dich schützen? Du könntest eine always-on VPN verbindung herstellen. Vielleicht kann das sogar die FritzBox? Dann würde die FritzBox selbst eine VPN-Verbindung zu einem von dir gewählten VPN-Anbieter aufbauen. So müsstest du nichtmal deine Geräte anders konfigurieren. Wenn die FritzBox das nicht selbst kann, müsstest du bei all deinen Netzwerkgeräten (PC, Handy, IoT-Dingers, Alexa, hue bridge, TV, was weiss ich) auch ne VPN-Verbindung einrichten. Allerdings dürfte die meisten Geräte, bis auf PC und Handy, dass gar nicht unterstützen. Also doch besser direkt über deinen Router/Fritzbox machen.
So würde zwar den mitlauschender Vermieter immer noch deinen Traffic mitschneiden können, aber er würde nur noch eines sehen: Eine verschlüsselte Verbindung zu deinem VPN-Anbieter. Da ist dann kaum noch was zu machen für Normalsterbliche, dass zu knacken / manipulieren.
Ebenfalls könntest du bei deiner FritzBox festlegen, wie sie überhaupt schauen soll, auf welchen Server sie denn zugreifen soll, wenn du meinebank.de aufrufen möchtest. Diese Namensauflösung (DNS), macht standardmässig dein Internetanbieter. Wenn deine FritzBox aber am Router deines Vermieters hängt, nutzt sie seinen Router als DNS-Dienst. Du kannst der FritzBox aber wahrscheinlich auch direkt einen anderen zuweisen. Da würde ich DNS-over-TLS empfehlen, z.B. bei Cloudflare (1.1.1.1 und 1.0.0.1) oder quad9 (9.9.9.9), und DNSSEC gleich mit aktivieren. Falls die Fritzbox das nicht kann, kannst du zumindest auf deinem PC stubby einsetzen.
B: Deine FritzBox hängt direkt am Telefon- / Coaxial- / Glasfaserkabel beziehungsweise an einem entsprechenden Modem
Dann kann dein Vermieter zumindest keinen Traffic mitschneiden. Nur sein Internetanbieter. Wenn du diesem nicht traust: VPN und DNS-over-TLS (siehe A).
Alter Router
Auch (oder gerade) Router sind beliebte Angriffsziele, lassen sie sich doch wunderbar als Botnetze missbrauchen oder bieten einen Zugang zum Intranet. Eine Fritzbox hatte ich noch nie, ich habe immer Router von ASUS, da die sozusagen nie end of life sind. Die haben eigentlich sogar alle ziemlich die gleiche Firmware und erhalten entsprechend ewig updates. Seit Jahren nutze ich einen AC-87U mit Merlin, einer angepassten, aber von asus offiziel zugelassenen Firmware, die viele nette Erweiterungen ermöglicht und weitere, sicherheitsrelevante Dienste oder auch direkt einen Ad-Blocker (der somit auch auf allen Handys und Tablets aktiv ist, ohne Zusatz-Apps). Die Router von asus haben aber i.d.R. kein Modem verbaut, was FritzBoxen wohl haben. Dafür würdest du dann halt ein Modem UND einen Router brauchen.🤷♂️🤷♀️
Wie dem auch sei - gutes und sicheres surfen wünsch ich dir.
Danke für deine Ausführungen. Szenario A ist natürlich interessant wenn auch irrelevant, da ja ich inzwischen schon mehrfach erwähnte dass ich inzwischen meine eigene Fritzbox nutze, wo ich direkt das Telefonkabel „aus der Wand“ reinstecke. Die ursprünglich gestellte Fritzbox ist abgebaut und im Schrank.
Mal aus Interesse: Angenommen Szenario A würde doch zutreffen, wie würde das dann ablaufen? Meines Wissens nach bietet FritzOS ja nicht einfach so Features um den Internetverkehr und besuchte Seiten von Netzwernutzern zu überwachen. Was wäre nötig um einen anderen Benutzer zu überwachen, wenn man selber vollen Fritzboxzugang hat?
Aber gut. Halten wir fest, ich könnte vielleicht mal in einem moderneren Router investieren, aber im Bezug darauf dass mein Vermieter mich nicht ausspioniert und meine besuchten Seiten/Bankdaten tracked bin ich soweit sicher?
BFF
¯\_(ツ)_/¯
- Registriert
- Okt. 2017
- Beiträge
- 33.181
haZe1111 schrieb:
Im einfachsten Fall kommt das Kabel von Deiner FB zu meinem Router welcher die Moeglichkeit hat Port-Spiegelung zu machen. Was damit machbar ist ist leicht per DuckDuckGo zu finden.
Im schwierigen Fall wuerde Dein Kabel in ein Geraet von mir gehen. Von meinem Geraet geht es zur FB mit Internet.
Irgendwie wuerde ich Dir ein Zertifikat von meinem Geraet unterjubeln. Damit waere fast alles was von Deiner FB kommt mitlesbar. Ware ich ganz boese haettest Du morgen ein "Tool" auf Deiner Kiste, was mir alles im Klartext gibt was Du treibst.
Alles klar?
BFF
BFF schrieb:Im einfachsten Fall kommt das Kabel von Deiner FB zu meinem Router welcher die Moeglichkeit hat Port-Spiegelung zu machen. Was damit machbar ist ist leicht per DuckDuckGo zu finden.
Im schwierigen Fall wuerde Dein Kabel in ein Geraet von mir gehen. Von meinem Geraet geht es zur FB mit Internet.
Irgendwie wuerde ich Dir ein Zertifikat von meinem Geraet unterjubeln. Damit waere fast alles was von Deiner FB kommt mitlesbar. Ware ich ganz boese haettest Du morgen ein "Tool" auf Deiner Kiste, was mir alles im Klartext gibt was Du treibst.
Alles klar?
BFF
Angenommen der Vermieter hätte jetzt noch seine eigene Fritzbox dazwischengeschaltet, könnte ich die Überwachung durch die Nutzung des TOR-Browsers umgehen? Oder mit einem VPN wie SurfShark oder NordVPN?
BFF
¯\_(ツ)_/¯
- Registriert
- Okt. 2017
- Beiträge
- 33.181
haZe1111 schrieb:
Nimm meine Bermerkung nach "ganz boese" aus Post #24 und Deine Tor-Experiment ist wirkungslos.
Abgesehen davon weisst Du ja auch nicht ob der Vermieter zufaellig einen Tor-Eingang betreibt.
Zu VPN siehe Post ueber mir von @Dr. McCoy
Ich denke, es driftet zuweit weg von dem Eingangspost.
Wenn Du nicht damit leben kannst was Du in Deiner Huette als Zugang zum Internet hast, musst Du Dir was anderes suchen. Fuer den Rest sollte ein klaerendes Gespraech mit dem Vermieter, welcher Dir scheinbar einen eigenen Internetzugang zur Verfuegung stellt, reichen. Manch einer waere gluecklich sowas zu bekommen in der Miete was Du das hast.
BFF