Fritz!Load… / Sicherheitslücke immer noch Offen

Antw.: Sicherheitslücke immer noch Offen

dummy@example.com (schlawiener) — Fri, 17 Apr 2015 10:27:08 +0000

@Stulle84

Die Idee mit der zweiten IP für die Box finde ich gut. Macht auf jeden Fall mehr Sinn, als jedes Mal nach einem Update die ar7.conf zu editieren. Muss ja nicht zwingend in die Einstellungen mit rein, aber ein entsprechendes Feld in den Einstellungen mit Vermerk, das man noch die Portweiterleitung manuell einrichten muss, wäre schon schick.

Antw.: Sicherheitslücke immer noch Offen

dummy@example.com (stulle84) — Sun, 15 Mar 2015 09:57:00 +0000

So, ich hab mir noch mal Gedanken zu dem Thema gemacht. Ich glaube wir versuchen das falsch anzugehen.
Ich hab mir überlegt, dass man vielleicht besser mit einer virtuelle IP-Adresse arbeiten sollte. Da die Fritzbox allerdings merkt, dass die IP-Adresse auf sich selber zeigt, muss man erst die Freigabe eintragen.
Dazu in der Fritzbox Portfreigabe und "manuelle Eingabe der IP-Adresse" auswählen und z.B. 192.168.178.3 eingeben. Ich habe einfach mal den Port 9090 auf 90 weitergeleitet.

Dann habe ich über Telnet folgendes eingeben:

 ifconfig lan:fritzload 192.168.178.3 up

Fertig ist die Freigabe.
Nachteil, wenn die FritzBox sich neu startet ist die temporäre virtuelle IP verschwunden. Man müsste die IP also mit in die Konfiguration von Fritzload einbauen.

Was mein Ihr?
Gruß
Stulle

Antw.: Sicherheitslücke immer noch Offen

dummy@example.com (rolex0815) — Fri, 06 Mar 2015 11:17:01 +0000

Das erste Problem ist, es sind schon mal unterschiedliche Einträge bei einer 7270 und einer 7390 - auf diese beiden Geräte hab ich Zugriff.

Das andere ist, was machen, wenn der User die Freigabe wieder rückgängig machen will, bzw. ändert? Man muss das irgendwo mitspeichern und was, wenn diese Datei verloren geht? Bei allen config Dateien bzgl. FL ist das ja nicht schlimm, bzgl. einer conf Datei der Box schon.
Die Warnhinweise bzgl. Ändern der Regeln auf der Freetz Seite sind auch nicht zu verachten ...

Antw.: Sicherheitslücke immer noch Offen

dummy@example.com (stulle84) — Thu, 05 Mar 2015 19:50:20 +0000

Naja, vom Grunde her ist es auch ohne Freetz möglich. Man muss nur die verschiedenen Ansätze zusammen bringen.
Mein erster Ansatz wäre, die Regeln einzutragen

 cat /var/flash/ar7.cfg | sed -e '/internet_forwardrules/,/;/ s/"tcp 0.0.0.0:443 0.0.0.0:$freigabeport 0",/"tcp 0.0.0.0:443 0.0.0.0:$freigabeport 0", "tcp 0.0.0.0:90 0.0.0.0:90 0",/' > /var/tmp/ar7.cfg

Diese Regel funktioniert aber nur, wenn Port nicht von 443 geändert wurde. Also sollte man unbedingt den Port vorher überprüfen:

freigabeport=$(grep -A 1 "https_port" /var/flash/ar7.cfg | sed -n 's|.*https_port = "\([^<>"]*\).*|\1|p')

Wenn man diese beiden Argumente nun miteinander verbindet, sollte eine Freigabe möglich sein!

Antw.: Sicherheitslücke immer noch Offen

dummy@example.com (rolex0815) — Thu, 05 Mar 2015 15:45:44 +0000

Hmm, interessant, die macht genau das Gewünschte.
Funktioniert das für NICHT Freetz Boxen auch? Wenn ja könnte man das Gerüst ja in FL übernehmen?

Antw.: Sicherheitslücke immer noch Offen

dummy@example.com (roadman17) — Thu, 05 Mar 2015 15:38:29 +0000

Fireball3. In Freetz gibt es eine GUI für das Port-Forwarding

http://freetz.org/wiki/packages/avm-firewall

http://freetz.org/browser/trunk/make/avm-firewall
http://freetz.org/browser/trunk/make/avm-forwarding

Antw.: Sicherheitslücke immer noch Offen

dummy@example.com (rolex0815) — Thu, 05 Mar 2015 15:31:10 +0000

Was meinst du mit "Einstellungen bequem in den Optionen anpassen" bzw. auf welcher Revision von FL bist du?
stunnel ist nun implementiert, d.h. du gibst einfach den stunnel Port nach außen frei. Somit hast du eine SSL gesicherte Verbindung von außen zu FL.
Ob die Portfreigabe direkt in FL kommt ist noch ungewiss, ich habe zwar mal damit angefangen, aber das ist nicht reif/stabil genug für die Freigabe.

Antw.: Sicherheitslücke immer noch Offen

dummy@example.com (Fireball3) — Thu, 05 Mar 2015 11:24:28 +0000

Hier ist der Beitrag.

Wird evtl. die GUI dahingehend angepasst, dass man die Einstellungen bequem in den Optionen anpassen kann?

Ansonsten sollte bei diesem heiklen Thema eine vernünftige Anleitung mitgegeben werden.
Kann jemand ein howto erstellen, wie man die Konfiguration des "eigenen Servers" durchzuführen hat
um einen gesicherten Fernzugriff zu ermöglichen?
Die Informationen sind in dem angegebenen Thread verstreut, beziehen sich auf unterschiedliche Anwendungsszenarien und sind manchmal auch widersprüchlich.

Gibt es darüber hinaus Tests, die man durchführen sollte, um die Wirkung (Sicherheit) bezüglich der vorgenommenen Optionen zu prüfen?

Antw.: Sicherheitslücke immer noch Offen

dummy@example.com (rolex0815) — Thu, 05 Mar 2015 11:06:24 +0000

FL ist auf einen eigenen Webserver umgezogen, Problem gelöst.

Sicherheitslücke immer noch Offen

dummy@example.com (Scheka) — Sun, 04 Jan 2015 13:37:49 +0000

Ich habe die FRITZ!LOAD Trunk-Revision: 2639 und mir ist aufgefallen, wenn man den MyFritz URL der FritzBox kenn, so kann man ohne Eingabe des Benutzer und Password auf die FRITZ!LOAD Seite landen.
Wie kann man es vermeinden? Denn ich habe keine Lust, dass jemand fremder der mein MyFritz Link rausfindet auf der FRITZ!LOAD Seite von mir landet.

Gibt es schon Lösungen dafür? Oder Wird es irgendwann mal gelöst?

Danke im Voraus.

Grüße
Eugen