Anleitung: Box Security Check - Paranoia Edition.
Wem dies zu viel Aufwand ist sucht seine Zugangsdaten, macht einen
Werksreset und richtet die Box neu ein. Import einer gerade
gesicherten Konfiguration macht keinen Sinn.
Konfiguriert eure Box vom saubersten System aus wenn möglich per
LAN-Kabel und fahrt unsicherere Systeme und WLAN vorher herunter.
Mit steigender Paranoia=Vernunft:
- System >> Ereignisse auf Auffälligkeiten prüfen. Ist die Liste fast
leer ist das auffällig. Diese Liste könnte manipuliert sein.
- System >> Energiemonitor prüfen. An der Uptime (aktiv seit X Tagen)
erkennt man ob die Box neugestartet wurde.
- Telefonie >> Anrufliste auf Auffälligkeiten prüfen. Ist die Liste
leer ist das auffällig. Einzelne Einträge lassen sich nicht löschen.
- Telefonie >> Telefoniegeräte prüfen. Hier wurde eventuell ein
IP-Telefon eingerichtet und/oder ein vorhandenes in's Netz
freigegeben. Vorhandene editieren und Anmeldedaten >> Anmeldung aus
dem Internet erlauben prüfen.
- Telefonie >> Rufumleitungen prüfen. Hier könnten teure Zielnummern
eingerichtet werden.
- Telefonie >> Rufumleitungen >> Callthrough prüfen. Hier kann sich
jemand eine Telefonie-Backdoor einrichten und beliebige Nummern
wählen.
- System >> FRITZ!Box-Kennwort >> Benutzer prüfen. Hier könnte ein
zusätzlicher Account angelegt werden.
- Internet >> Freigaben >> Portfreigaben prüfen. Hier könnte ein Bot
eine Backdoor öffnen.
- Internet >> MyFRITZ! >> MyFRITZ!-Freigaben prüfen. Auch hier könnte
ein Bot eine Backdoor öffnen.
- Internet >> Freigaben >> FRITZ!Box-Dienste prüfen. Klüger ist es
HTTPS und FTP nie oder nicht dauerhaft in's Netz freizugeben.
- Internet >> Freigaben >> VPN prüfen. Hier könnte eine VPN Backdoor
eingerichtet sein.
- Heimnetz >> Netzwerk >> Programme prüfen. Zugriff für Programme
(=TR-064) und UPnP können mit Kenntnis des Passworts auch Frontdoors
sein.
- Zum Schluss: System >> FRITZ!Box-Kennwort ändern - lang und mit
Sonderzeichen und sonst nirgends benutzt.
- Dann erst alle Geräte und WLAN hochfahren.
Wenn der Anbieter es erlaubt: in dessen Kundenportal oder ggf
telefonisch teure Nummerngassen sperren. Sammlung je Anbieter im
vorherign Thread. Manche Anbieter (z.B. 1&1) ermöglichen zudem die
VoIP-Passwörter im Kundencenter zu ändern. Auch hier kryptische
Passwörter setzen und dann auch unter Telefonie >> Eigene Rufnummern
ändern.
MyFRITZ! selbst ist kein Problem, es gibt evtl. bei der Einrichtung
HTTPS frei, das aber separat abschaltbar ist. Sicherheitshalber
prüfen.
Bitte weiterführen/ergänzen/oder nach Wunsch mit "pfff Paranoia"
abtun.
Bedenkt: Eine Box ist so unsicher wie das unsicherste System das
während der Einrichtung verbunden war! Das könnte AVM verbessern
indem lokaler fritz.box Zugriff getrennt vom Internetzugriff HTTPS
unterstützt oder gar auf Wunsch forciert. Man muss dann zwar das
Self-Signed-Zertifikat einmalig akzeptieren aber braucht dafür weder
seinen Smartschrott noch Junior's wurmige Modeplattform auszuhängen.
An AVM: Neben HTTPS für das Webinterface bitte langfristig eine
Firewall nach innen erwägen. Immer mehr Smartschrott wird zu
potentiellen Angriffszielen / Sniffern / Datenlecks /
Krakenexportern. Die Kindersicherung wäre vielleicht die geeignete
Oberfläche per Gerät. Eine "keine weiteren Geräte zulassen" Funktion
für das LAN würde das Umgehen erschweren. Die Firewall sollte auch
auf die Subnetze von "Anbieterbypässen/Managed Services" anwendbar
sein. Es gibt bald kein vertrauenswürdiges LAN mehr. Wir kaufen uns
die Probleme und schalten sie ein.
Wem dies zu viel Aufwand ist sucht seine Zugangsdaten, macht einen
Werksreset und richtet die Box neu ein. Import einer gerade
gesicherten Konfiguration macht keinen Sinn.
Konfiguriert eure Box vom saubersten System aus wenn möglich per
LAN-Kabel und fahrt unsicherere Systeme und WLAN vorher herunter.
Mit steigender Paranoia=Vernunft:
- System >> Ereignisse auf Auffälligkeiten prüfen. Ist die Liste fast
leer ist das auffällig. Diese Liste könnte manipuliert sein.
- System >> Energiemonitor prüfen. An der Uptime (aktiv seit X Tagen)
erkennt man ob die Box neugestartet wurde.
- Telefonie >> Anrufliste auf Auffälligkeiten prüfen. Ist die Liste
leer ist das auffällig. Einzelne Einträge lassen sich nicht löschen.
- Telefonie >> Telefoniegeräte prüfen. Hier wurde eventuell ein
IP-Telefon eingerichtet und/oder ein vorhandenes in's Netz
freigegeben. Vorhandene editieren und Anmeldedaten >> Anmeldung aus
dem Internet erlauben prüfen.
- Telefonie >> Rufumleitungen prüfen. Hier könnten teure Zielnummern
eingerichtet werden.
- Telefonie >> Rufumleitungen >> Callthrough prüfen. Hier kann sich
jemand eine Telefonie-Backdoor einrichten und beliebige Nummern
wählen.
- System >> FRITZ!Box-Kennwort >> Benutzer prüfen. Hier könnte ein
zusätzlicher Account angelegt werden.
- Internet >> Freigaben >> Portfreigaben prüfen. Hier könnte ein Bot
eine Backdoor öffnen.
- Internet >> MyFRITZ! >> MyFRITZ!-Freigaben prüfen. Auch hier könnte
ein Bot eine Backdoor öffnen.
- Internet >> Freigaben >> FRITZ!Box-Dienste prüfen. Klüger ist es
HTTPS und FTP nie oder nicht dauerhaft in's Netz freizugeben.
- Internet >> Freigaben >> VPN prüfen. Hier könnte eine VPN Backdoor
eingerichtet sein.
- Heimnetz >> Netzwerk >> Programme prüfen. Zugriff für Programme
(=TR-064) und UPnP können mit Kenntnis des Passworts auch Frontdoors
sein.
- Zum Schluss: System >> FRITZ!Box-Kennwort ändern - lang und mit
Sonderzeichen und sonst nirgends benutzt.
- Dann erst alle Geräte und WLAN hochfahren.
Wenn der Anbieter es erlaubt: in dessen Kundenportal oder ggf
telefonisch teure Nummerngassen sperren. Sammlung je Anbieter im
vorherign Thread. Manche Anbieter (z.B. 1&1) ermöglichen zudem die
VoIP-Passwörter im Kundencenter zu ändern. Auch hier kryptische
Passwörter setzen und dann auch unter Telefonie >> Eigene Rufnummern
ändern.
MyFRITZ! selbst ist kein Problem, es gibt evtl. bei der Einrichtung
HTTPS frei, das aber separat abschaltbar ist. Sicherheitshalber
prüfen.
Bitte weiterführen/ergänzen/oder nach Wunsch mit "pfff Paranoia"
abtun.
Bedenkt: Eine Box ist so unsicher wie das unsicherste System das
während der Einrichtung verbunden war! Das könnte AVM verbessern
indem lokaler fritz.box Zugriff getrennt vom Internetzugriff HTTPS
unterstützt oder gar auf Wunsch forciert. Man muss dann zwar das
Self-Signed-Zertifikat einmalig akzeptieren aber braucht dafür weder
seinen Smartschrott noch Junior's wurmige Modeplattform auszuhängen.
An AVM: Neben HTTPS für das Webinterface bitte langfristig eine
Firewall nach innen erwägen. Immer mehr Smartschrott wird zu
potentiellen Angriffszielen / Sniffern / Datenlecks /
Krakenexportern. Die Kindersicherung wäre vielleicht die geeignete
Oberfläche per Gerät. Eine "keine weiteren Geräte zulassen" Funktion
für das LAN würde das Umgehen erschweren. Die Firewall sollte auch
auf die Subnetze von "Anbieterbypässen/Managed Services" anwendbar
sein. Es gibt bald kein vertrauenswürdiges LAN mehr. Wir kaufen uns
die Probleme und schalten sie ein.