Fritz!Box Fernzugriff per https - Sicherheit?

Benutzeravatar
Senderversteller
Mitglied
Beiträge: 239
Registriert: Do 11. Apr 2013, 18:12
Wohnort: Münchberg
Hat sich bedankt: 17 Mal
Danksagung erhalten: 12 Mal

Fritz!Box Fernzugriff per https - Sicherheit?

#1 Beitragvon Senderversteller » Fr 16. Okt 2015, 10:28

Hallo,

eine Frage an die Cracks hier: Wie sicher oder unsicher beurteilt ihr den in der Fritz!Box implementierten Fernzugriff auf die Box per https aus dem Internet?

Szenario: Ich nutze die Fritz als NAS Server mit angehängter USB Platte für persönliche Daten, die ich nicht in eine fremde Cloud laden möchte. Ab und zu brauch ich auch mal Zugriff vom Arbeitsplatz aus. VPN zur Box vom Arbeitsplatzsrechner aus geht nicht, weil hinter einer Firewall.
Bisher mache ich es also so: VPN mit iPhone zur Fritte, Fernzugriff aktivieren, per Browser vom Arbeitsplatz Fernzugriff auf's NAS, danach den Fernzugriff wieder mit iPhone deaktivieren. Das ist mir irgendwie zu umständlich!

Zurück zur Frage: Wie sicher oder unsicher ist es, den Port permanent offen zu lassen?

Ich würde mir von AVM eine OpenVPN Lösung wünschen, die auch hinter Firewalls funktioniert; oder wenigstens eine Funktion, IP Adressen/Bereiche zu filtern, da ich vom Arbeitsplatz immer mit der selben IP ins Netz komme.
Loewe Connect ID 55 DR+ (SL221), Software 2.4.51.0, Feature Upgrade Stick, Maxcam twin V2 mit HD+ (HD01 Karte)
Metz Linus 32 HDTV 100 R (MHD606/7), Software V4.52, Unicam v2.0 (HD01 Karte)
Synology DS214 (2 x 2TB RAID 1), FRITZ!Box 7490, Telekom FTTH 200/100Mbits
iPhone 6 silber 64GB, iPad 3 schwarz 16GB, MacBook Pro 13" i5 (Early 2011) SSD 128GB / DDR 16GB, Apple Thunderbolt Display 27"

Benutzeravatar
DanielaE
Spezialist
Beiträge: 2405
Registriert: Di 19. Apr 2011, 19:17
Wohnort: Nürnberg
Hat sich bedankt: 38 Mal
Danksagung erhalten: 595 Mal

#2 Beitragvon DanielaE » Fr 16. Okt 2015, 12:07

Wenn du nur die NAS-Daten per FTP? / HTTP? (sicherer ist FTP weil einfacheres Protokoll) freigeben möchtest, dann ist das Risiko eher vertretbar als die Freigabe kritischerer Funktionen. Besser wäre natürlich ein Tunnel auf HTTPS-Basis, weil der überall durchkommt :dani:
Ciao, Dani

Loewe bild 7.55 (4.sowas-von.β) an Screen-Wall-Mount 2, MaxCAM (v2/Fortuna 2.68) mit HD+ HD02,
Yamaha RX-A1060, Pioneer DV-LX50, MC-PC mit XBMC, FireTV Stick, 2xAlcone Pascal XT Front, 1xAlcone Dirac XT Center, 2xAlcone Lagrange XT Rears, 2xSolid Monitore Presence in Konfiguration 5.0.2

PGP:2CCB 3ECB 0954 5CD3 B0DB 6AA0 BA03 56A1 2C46 38C5

Benutzeravatar
Senderversteller
Mitglied
Beiträge: 239
Registriert: Do 11. Apr 2013, 18:12
Wohnort: Münchberg
Hat sich bedankt: 17 Mal
Danksagung erhalten: 12 Mal

#3 Beitragvon Senderversteller » Fr 16. Okt 2015, 13:03

Nur die NAS Dateien freizugeben schränkt das Risiko für Missbrauch deutlich ein, da hast du recht.

Zugriff (nur) per ftp klappt. ftps klappt anscheinend nicht, weil die Firewall der Firma das nicht durchlässt - meine Vermutung. Die Fritz lässt sich ja so einstellen nur ftps zu akzeptieren.
Allerdings: Bevor ich eine ungesicherte ftp Verbindung verwende, die ja nun wirklich jeder mitlauschen kann, bleib ich lieber bei der Lösung per https und schalte es nur bei Bedarf zu und ab.

Wie schon gesagt, ein ordentlicher Tunnel oder eine Einschränkung von IP Adresse wäre wünschenswert - ich habe es mal als Anregung an AVM geschrieben. Hören die sicher nicht zum ersten Mal.

Zurück zu meiner Frage: Dani, du schätzt das Risiko also als durchaus berechtigt ein?
Loewe Connect ID 55 DR+ (SL221), Software 2.4.51.0, Feature Upgrade Stick, Maxcam twin V2 mit HD+ (HD01 Karte)
Metz Linus 32 HDTV 100 R (MHD606/7), Software V4.52, Unicam v2.0 (HD01 Karte)
Synology DS214 (2 x 2TB RAID 1), FRITZ!Box 7490, Telekom FTTH 200/100Mbits
iPhone 6 silber 64GB, iPad 3 schwarz 16GB, MacBook Pro 13" i5 (Early 2011) SSD 128GB / DDR 16GB, Apple Thunderbolt Display 27"

Benutzeravatar
DanielaE
Spezialist
Beiträge: 2405
Registriert: Di 19. Apr 2011, 19:17
Wohnort: Nürnberg
Hat sich bedankt: 38 Mal
Danksagung erhalten: 595 Mal

#4 Beitragvon DanielaE » Fr 16. Okt 2015, 13:55

Aber hallo - natürlich ist das total unsicher. Ungeschützte Serverports findet heutzutage doch jedes minderbemittelte Scriptkiddie völlig automatisiert mit drei Tastendrücken.
Ciao, Dani

Loewe bild 7.55 (4.sowas-von.β) an Screen-Wall-Mount 2, MaxCAM (v2/Fortuna 2.68) mit HD+ HD02,
Yamaha RX-A1060, Pioneer DV-LX50, MC-PC mit XBMC, FireTV Stick, 2xAlcone Pascal XT Front, 1xAlcone Dirac XT Center, 2xAlcone Lagrange XT Rears, 2xSolid Monitore Presence in Konfiguration 5.0.2

PGP:2CCB 3ECB 0954 5CD3 B0DB 6AA0 BA03 56A1 2C46 38C5

Benutzeravatar
DanielaE
Spezialist
Beiträge: 2405
Registriert: Di 19. Apr 2011, 19:17
Wohnort: Nürnberg
Hat sich bedankt: 38 Mal
Danksagung erhalten: 595 Mal

#5 Beitragvon DanielaE » Fr 16. Okt 2015, 14:00

Vergiß, was ich zuvor hier stehen hatte. Https mit sicheren Credentials sollte die meisten Gefahren abhalten. Ich gehe davon aus, daß du eine aktuelle Firmware ohne die bekannten Lücken älterer Versionen installiert hast. Denn damals konnte man sich sogar ohne Paßwort als Admin einloggen.
Ciao, Dani

Loewe bild 7.55 (4.sowas-von.β) an Screen-Wall-Mount 2, MaxCAM (v2/Fortuna 2.68) mit HD+ HD02,
Yamaha RX-A1060, Pioneer DV-LX50, MC-PC mit XBMC, FireTV Stick, 2xAlcone Pascal XT Front, 1xAlcone Dirac XT Center, 2xAlcone Lagrange XT Rears, 2xSolid Monitore Presence in Konfiguration 5.0.2

PGP:2CCB 3ECB 0954 5CD3 B0DB 6AA0 BA03 56A1 2C46 38C5

Benutzeravatar
Senderversteller
Mitglied
Beiträge: 239
Registriert: Do 11. Apr 2013, 18:12
Wohnort: Münchberg
Hat sich bedankt: 17 Mal
Danksagung erhalten: 12 Mal

#6 Beitragvon Senderversteller » Fr 16. Okt 2015, 14:02

Das schon, die Frage ist nur ob der offene Port für einen Exploit zu gebrauchen ist.

AVM ist ja Anfang 2014 mal deswegen in die Schlagzeilen geraten, aber aktuell kann ich nichts darüber finden, dass der Fernzugriff per https auf die Fritzbox als Schlupfloch genutzt werden kann. Deswegen meine dumme Frage :D Mir ist natürlich selbst klar, dass jeder Port den ich auf mache ein potentielles Sicherheitsrisiko darstellt und es nur eine Frage der Zeit ist, bis wieder eine verwundbare Stelle gefunden wird. Die Frage ist, welchen Preis bezahlt man - und ich will halt nur eine Aussage, dass ich damit ruhig schlafen kann. :)
Loewe Connect ID 55 DR+ (SL221), Software 2.4.51.0, Feature Upgrade Stick, Maxcam twin V2 mit HD+ (HD01 Karte)
Metz Linus 32 HDTV 100 R (MHD606/7), Software V4.52, Unicam v2.0 (HD01 Karte)
Synology DS214 (2 x 2TB RAID 1), FRITZ!Box 7490, Telekom FTTH 200/100Mbits
iPhone 6 silber 64GB, iPad 3 schwarz 16GB, MacBook Pro 13" i5 (Early 2011) SSD 128GB / DDR 16GB, Apple Thunderbolt Display 27"

Benutzeravatar
DanielaE
Spezialist
Beiträge: 2405
Registriert: Di 19. Apr 2011, 19:17
Wohnort: Nürnberg
Hat sich bedankt: 38 Mal
Danksagung erhalten: 595 Mal

#7 Beitragvon DanielaE » Fr 16. Okt 2015, 14:27

Preisfrage: wie soll jemand wie ich eine belastbare Aussage darüber abgeben, wie kritisch bisher unbekannte Sicherheitslücken in den nach außen sichtbaren Serverfunktionen der Fritte sind? :think:
Ciao, Dani

Loewe bild 7.55 (4.sowas-von.β) an Screen-Wall-Mount 2, MaxCAM (v2/Fortuna 2.68) mit HD+ HD02,
Yamaha RX-A1060, Pioneer DV-LX50, MC-PC mit XBMC, FireTV Stick, 2xAlcone Pascal XT Front, 1xAlcone Dirac XT Center, 2xAlcone Lagrange XT Rears, 2xSolid Monitore Presence in Konfiguration 5.0.2

PGP:2CCB 3ECB 0954 5CD3 B0DB 6AA0 BA03 56A1 2C46 38C5

Benutzeravatar
Senderversteller
Mitglied
Beiträge: 239
Registriert: Do 11. Apr 2013, 18:12
Wohnort: Münchberg
Hat sich bedankt: 17 Mal
Danksagung erhalten: 12 Mal

#8 Beitragvon Senderversteller » Fr 16. Okt 2015, 14:37

OK OK - ich hab's ja selbst schon eingesehen :us:
Allerdings könnte AVM, die sowieso schon gute Fritz!Box dahingehend nachbessern, dass man die Autorisation auf IP Adressen oder Adressbereiche eingrenzt. Wünsche darf man ja haben... :bye:
Loewe Connect ID 55 DR+ (SL221), Software 2.4.51.0, Feature Upgrade Stick, Maxcam twin V2 mit HD+ (HD01 Karte)
Metz Linus 32 HDTV 100 R (MHD606/7), Software V4.52, Unicam v2.0 (HD01 Karte)
Synology DS214 (2 x 2TB RAID 1), FRITZ!Box 7490, Telekom FTTH 200/100Mbits
iPhone 6 silber 64GB, iPad 3 schwarz 16GB, MacBook Pro 13" i5 (Early 2011) SSD 128GB / DDR 16GB, Apple Thunderbolt Display 27"

Marder

#9 Beitragvon Marder » Mo 19. Okt 2015, 21:34

Zitat : Das schon, die Frage ist nur ob der offene Port für einen Exploit zu gebrauchen ist.

Sicher ist jeder offene Port dafür gut. Watt für eine naive Frage....
Auch https bietet keine so gute Sicherheit, wie einige es glauben wollen.
Es kommt auf das Protokoll dahinter an und selbst die meisten Online banking Protokolle sind höchst unsicher.
Es forderte ja mal einer hier https, was ich als zu überschätzt einstufe bei so einem Forum. Kaum ein solches Forum nutzt https zum einloggen.
Selbst wenn, dann nur mit sicherem Protokoll, sonst wird der Zweck verfehlt finde ich.

Einen Router ohne VPN Tunnel von aussen zu steuern, ist schon sehr gewagt, um nicht zu sagen deppert.
Aber es ist ja auch alles so umständlich mal 2 knöppe mehr zu drücken......

Deinen wunsch kann man selbst realisieren, man muß nur Ahnung von Routern und PCs haben....

Benutzeravatar
Senderversteller
Mitglied
Beiträge: 239
Registriert: Do 11. Apr 2013, 18:12
Wohnort: Münchberg
Hat sich bedankt: 17 Mal
Danksagung erhalten: 12 Mal

#10 Beitragvon Senderversteller » Di 20. Okt 2015, 08:45

Marder hat geschrieben:Deinen wunsch kann man selbst realisieren, man muß nur Ahnung von Routern und PCs haben....


Danke für dein Kompliment :D
Es geht "out of the box" aber eben nicht, ich müsste irgend eine veränderte SW auf die Fritz aufspielen (Danisahne Mod, Freetz, o.ä.), was ich aber nicht möchte.
Ich möchte es von AVM mit der offiziellen SW gelöst haben und nicht eine Bastelsoftware Dritter.
Loewe Connect ID 55 DR+ (SL221), Software 2.4.51.0, Feature Upgrade Stick, Maxcam twin V2 mit HD+ (HD01 Karte)
Metz Linus 32 HDTV 100 R (MHD606/7), Software V4.52, Unicam v2.0 (HD01 Karte)
Synology DS214 (2 x 2TB RAID 1), FRITZ!Box 7490, Telekom FTTH 200/100Mbits
iPhone 6 silber 64GB, iPad 3 schwarz 16GB, MacBook Pro 13" i5 (Early 2011) SSD 128GB / DDR 16GB, Apple Thunderbolt Display 27"

Marder

#11 Beitragvon Marder » So 25. Okt 2015, 10:19

Moin,
das sollte keine Beleidigung oder ähnliches sein. ;)
Es gibt dafür einige Möglichkeiten, das selbst zu realisieren.
Früher hat AVM eine eigene Konfiguration für einen VPN Tunnel angeboten für die Fritzboxen in der Software.
Schau doch mal auf deren Seite, ob es das noch gibt.

Ich würde Dir raten, sonst sowas zu machen : http://www.heise.de/netze/artikel/DMZ-s ... 21656.html

Alternativ ein Nas von Qnap, welches nach 10 Fehlversuchen beim einloggen die IP sperrt, oder nur eine zulässt (je nachdem).
Klappt prima kann ich Dir sagen, man kann ja die Versuche sehen auf dem NAS, was die für Namen probieren. :D

Aber nie einen Port öffnen, wo man einen Router oder NAS mit konfigurieren kann übers I-Net.
http://www.netzwelt.de/news/72750-dmz-n ... ewall.html

Benutzeravatar
Senderversteller
Mitglied
Beiträge: 239
Registriert: Do 11. Apr 2013, 18:12
Wohnort: Münchberg
Hat sich bedankt: 17 Mal
Danksagung erhalten: 12 Mal

#12 Beitragvon Senderversteller » So 25. Okt 2015, 21:06

Habe mir ein Synology NAS gekauft, eine DS214. Ich denke, die sollte das auch können. Aber ich werde wohl bei der VPN Lösung bleiben und keine Ports öffnen. Danke für deine Hinweise.
Loewe Connect ID 55 DR+ (SL221), Software 2.4.51.0, Feature Upgrade Stick, Maxcam twin V2 mit HD+ (HD01 Karte)
Metz Linus 32 HDTV 100 R (MHD606/7), Software V4.52, Unicam v2.0 (HD01 Karte)
Synology DS214 (2 x 2TB RAID 1), FRITZ!Box 7490, Telekom FTTH 200/100Mbits
iPhone 6 silber 64GB, iPad 3 schwarz 16GB, MacBook Pro 13" i5 (Early 2011) SSD 128GB / DDR 16GB, Apple Thunderbolt Display 27"

Benutzeravatar
Senderversteller
Mitglied
Beiträge: 239
Registriert: Do 11. Apr 2013, 18:12
Wohnort: Münchberg
Hat sich bedankt: 17 Mal
Danksagung erhalten: 12 Mal

#13 Beitragvon Senderversteller » Fr 30. Okt 2015, 10:03

Mit der Synology NAS konnte ich erreichen was ich wollte und die Fritz!Box per se nicht kann:

Ich habe es nun so gelöst, indem ich den Port durch die Fritte durchleite und die Firewall der Synology aktiviert habe. Durch die Firewall der NAS werden nur die LAN IPs sowie die kurzen IP Range meines Arbeitgebers akzeptiert; alle Anfragen von unbekannten IPs auf dem Port bleiben unbeantwortet (und sehen per Portscan als geschlossen nach außen aus). Zugang aus sonstigen Netzen kann ich sowieso per VPN zur Fritte erreichen.

Ich denke, dass ist das Maximum an Sicherheit, was ich erreichen kann wenn ich es möchte.
Loewe Connect ID 55 DR+ (SL221), Software 2.4.51.0, Feature Upgrade Stick, Maxcam twin V2 mit HD+ (HD01 Karte)
Metz Linus 32 HDTV 100 R (MHD606/7), Software V4.52, Unicam v2.0 (HD01 Karte)
Synology DS214 (2 x 2TB RAID 1), FRITZ!Box 7490, Telekom FTTH 200/100Mbits
iPhone 6 silber 64GB, iPad 3 schwarz 16GB, MacBook Pro 13" i5 (Early 2011) SSD 128GB / DDR 16GB, Apple Thunderbolt Display 27"

Marder

#14 Beitragvon Marder » Mo 2. Nov 2015, 21:29

Mal als Tip, die beste Sicherheit ist ein gutes Passwort (hIer236koMmt013diE48sOnne)o.ä.,was nicht gleich mit einem simplen Bruteforce Hack geknackt wird.

Wenn ein Port offen ist, kann er von aussen gescannt und angegriffen werden.
Hier kannst Du schauen, welche bei Dir offen sind :
http://www.dnstools.ch/port-scanner.html

Der Router hat eine Firewall die auch hilft, aber bei einem NAS ist sowas unnütz.
Die sperrt auch keine IPs aus, sowas macht die Sicherheitssoftware eines NAS.
Das hat man oder nicht.
Meinst Du sonst eine NAT Firewall ? Die kann sowas auch, kenne ich aber nur bei Routern, wo man bestimmte Ranges und IPs zulässt.

Selbst bei Sony oder Panasonic wurde der Server schon gehackt, mit Kundendaten.... :D

Benutzeravatar
Senderversteller
Mitglied
Beiträge: 239
Registriert: Do 11. Apr 2013, 18:12
Wohnort: Münchberg
Hat sich bedankt: 17 Mal
Danksagung erhalten: 12 Mal

#15 Beitragvon Senderversteller » Di 3. Nov 2015, 10:20

Ich verstehe nicht, was du meinst... wenn ich meine aktuelle IP scanne (z.B. mit dem von dir vorgeschlagenen Tool), sind alle Ports geschlossen. Ich habe zwar einen bestimmten Port an meine Synology weitergeleitet, aber auch dieser Port erscheint ins Internet als geschlossen, wenn er nicht von der richtigen IP gescannt/angesprochen wird. Und zwar deshalb, weil die Firewall des NAS nur lokale IP Adressen aus meinem LAN und die kurze IP Range von 4 Adressen zulässt, die ich ihr eingetragen habe. Alles andere wird gefiltert.

Klar könnte man jetzt mit IP Spoofing kommen, aber ich glaube so ein interessantes Ziel ist meine NAS nun auch nicht. Entsprechend starke Passwörter verwende ich natürlich schon sein vielen Jahren :D
Loewe Connect ID 55 DR+ (SL221), Software 2.4.51.0, Feature Upgrade Stick, Maxcam twin V2 mit HD+ (HD01 Karte)
Metz Linus 32 HDTV 100 R (MHD606/7), Software V4.52, Unicam v2.0 (HD01 Karte)
Synology DS214 (2 x 2TB RAID 1), FRITZ!Box 7490, Telekom FTTH 200/100Mbits
iPhone 6 silber 64GB, iPad 3 schwarz 16GB, MacBook Pro 13" i5 (Early 2011) SSD 128GB / DDR 16GB, Apple Thunderbolt Display 27"

Marder

#16 Beitragvon Marder » Fr 6. Nov 2015, 21:19

Egal, Hauptsache Du hast ein gut gesichertes NAS.
Die Software des NAS kann nur bestimme IPS zulassen, ist nur gut, wenn die IP statisch ist. Wird wohl so sein....

Der BND oder die NSA ist bestimmt nicht so scharf drauf. :D

Ausser da sind Schweizer Bankgeheimnisse druff...


Zurück zu „NAS, Server, Router“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste