Sicherheitslücke immer noch Offen

Scheka · am 04. Jan. 2015 um 14:37 Uhr

Ich habe die FRITZ!LOAD Trunk-Revision: 2639 und mir ist aufgefallen, wenn man den MyFritz URL der FritzBox kenn, so kann man ohne Eingabe des Benutzer und Password auf die FRITZ!LOAD Seite landen.
Wie kann man es vermeinden? Denn ich habe keine Lust, dass jemand fremder der mein MyFritz Link rausfindet auf der FRITZ!LOAD Seite von mir landet.

Gibt es schon Lösungen dafür? Oder Wird es irgendwann mal gelöst?

Danke im Voraus.

Grüße
Eugen

rolex0815 · am 05. Mar. 2015 um 12:06 Uhr

FL ist auf einen eigenen Webserver umgezogen, Problem gelöst.

Fireball3 · am 05. Mar. 2015 um 12:24 Uhr

Hier ist der Beitrag.

Wird evtl. die GUI dahingehend angepasst, dass man die Einstellungen bequem in den Optionen anpassen kann?

Ansonsten sollte bei diesem heiklen Thema eine vernünftige Anleitung mitgegeben werden.
Kann jemand ein howto erstellen, wie man die Konfiguration des "eigenen Servers" durchzuführen hat
um einen gesicherten Fernzugriff zu ermöglichen?
Die Informationen sind in dem angegebenen Thread verstreut, beziehen sich auf unterschiedliche Anwendungsszenarien und sind manchmal auch widersprüchlich.

Gibt es darüber hinaus Tests, die man durchführen sollte, um die Wirkung (Sicherheit) bezüglich der vorgenommenen Optionen zu prüfen?

Der Beitrag wurde geändert von Fireball3 (am 05. Mar. 2015 um 12:25 Uhr)

rolex0815 · am 05. Mar. 2015 um 16:31 Uhr

Was meinst du mit "Einstellungen bequem in den Optionen anpassen" bzw. auf welcher Revision von FL bist du? wink
stunnel ist nun implementiert, d.h. du gibst einfach den stunnel Port nach außen frei. Somit hast du eine SSL gesicherte Verbindung von außen zu FL.
Ob die Portfreigabe direkt in FL kommt ist noch ungewiss, ich habe zwar mal damit angefangen, aber das ist nicht reif/stabil genug für die Freigabe.

roadman17 · am 05. Mar. 2015 um 16:38 Uhr

Fireball3. In Freetz gibt es eine GUI für das Port-Forwarding

http://freetz.org/wiki/packages/avm-firewall

http://freetz.org/browser/trunk/make/avm-firewall
http://freetz.org/browser/trunk/make/avm-forwarding

Der Beitrag wurde geändert von roadman17 (am 05. Mar. 2015 um 16:41 Uhr)

rolex0815 · am 05. Mar. 2015 um 16:45 Uhr

Hmm, interessant, die macht genau das Gewünschte.
Funktioniert das für NICHT Freetz Boxen auch? Wenn ja könnte man das Gerüst ja in FL übernehmen?

stulle84 · am 05. Mar. 2015 um 20:50 Uhr

Naja, vom Grunde her ist es auch ohne Freetz möglich. Man muss nur die verschiedenen Ansätze zusammen bringen.
Mein erster Ansatz wäre, die Regeln einzutragen

 cat /var/flash/ar7.cfg | sed -e '/internet_forwardrules/,/;/ s/"tcp 0.0.0.0:443 0.0.0.0:$freigabeport 0",/"tcp 0.0.0.0:443 0.0.0.0:$freigabeport 0", "tcp 0.0.0.0:90 0.0.0.0:90 0",/' > /var/tmp/ar7.cfg

Diese Regel funktioniert aber nur, wenn Port nicht von 443 geändert wurde. Also sollte man unbedingt den Port vorher überprüfen:

freigabeport=$(grep -A 1 "https_port" /var/flash/ar7.cfg | sed -n 's|.*https_port = "\([^<>"]*\).*|\1|p')

Wenn man diese beiden Argumente nun miteinander verbindet, sollte eine Freigabe möglich sein!

rolex0815 · am 06. Mar. 2015 um 12:17 Uhr

Das erste Problem ist, es sind schon mal unterschiedliche Einträge bei einer 7270 und einer 7390 - auf diese beiden Geräte hab ich Zugriff.

Das andere ist, was machen, wenn der User die Freigabe wieder rückgängig machen will, bzw. ändert? Man muss das irgendwo mitspeichern und was, wenn diese Datei verloren geht? Bei allen config Dateien bzgl. FL ist das ja nicht schlimm, bzgl. einer conf Datei der Box schon.
Die Warnhinweise bzgl. Ändern der Regeln auf der Freetz Seite sind auch nicht zu verachten ...

stulle84 · am 15. Mar. 2015 um 10:57 Uhr

So, ich hab mir noch mal Gedanken zu dem Thema gemacht. Ich glaube wir versuchen das falsch anzugehen.
Ich hab mir überlegt, dass man vielleicht besser mit einer virtuelle IP-Adresse arbeiten sollte. Da die Fritzbox allerdings merkt, dass die IP-Adresse auf sich selber zeigt, muss man erst die Freigabe eintragen.
Dazu in der Fritzbox Portfreigabe und "manuelle Eingabe der IP-Adresse" auswählen und z.B. 192.168.178.3 eingeben. Ich habe einfach mal den Port 9090 auf 90 weitergeleitet.

Dann habe ich über Telnet folgendes eingeben:

 ifconfig lan:fritzload 192.168.178.3 up

Fertig ist die Freigabe.
Nachteil, wenn die FritzBox sich neu startet ist die temporäre virtuelle IP verschwunden. Man müsste die IP also mit in die Konfiguration von Fritzload einbauen.

Was mein Ihr?
Gruß
Stulle

Der Beitrag wurde geändert von stulle84 (am 16. Mar. 2015 um 20:35 Uhr)

schlawiener · am 17. Apr. 2015 um 11:27 Uhr

@Stulle84

Die Idee mit der zweiten IP für die Box finde ich gut. Macht auf jeden Fall mehr Sinn, als jedes Mal nach einem Update die ar7.conf zu editieren. Muss ja nicht zwingend in die Einstellungen mit rein, aber ein entsprechendes Feld in den Einstellungen mit Vermerk, das man noch die Portweiterleitung manuell einrichten muss, wäre schon schick.

Fritz!Load…

Ankündigung

#1 am 04. Jan. 2015 um 14:37 Uhr

Sicherheitslücke immer noch Offen

#2 am 05. Mar. 2015 um 12:06 Uhr

Antw.: Sicherheitslücke immer noch Offen

#3 am 05. Mar. 2015 um 12:24 Uhr

Antw.: Sicherheitslücke immer noch Offen

#4 am 05. Mar. 2015 um 16:31 Uhr

Antw.: Sicherheitslücke immer noch Offen

#5 am 05. Mar. 2015 um 16:38 Uhr

Antw.: Sicherheitslücke immer noch Offen

#6 am 05. Mar. 2015 um 16:45 Uhr

Antw.: Sicherheitslücke immer noch Offen

#7 am 05. Mar. 2015 um 20:50 Uhr

Antw.: Sicherheitslücke immer noch Offen

#8 am 06. Mar. 2015 um 12:17 Uhr

Antw.: Sicherheitslücke immer noch Offen

#9 am 15. Mar. 2015 um 10:57 Uhr

Antw.: Sicherheitslücke immer noch Offen

#10 am 17. Apr. 2015 um 11:27 Uhr

Antw.: Sicherheitslücke immer noch Offen

Fußzeile des Forums