FritzOS 7.19: Bessere WLAN-Verschlüsselung WPA3 für AVMs Fritzboxen
Neben WPA3 gibt das Fritz-Labor 7.19 einen Ausblick auf modernisierte Dateifreigaben und sicheres DNS, die vermutlich zum Jahresende in FritzOS 7.20 erscheinen.
- Andrijan Möcker
- Ernst Ahlers
Der Routerhersteller AVM liefert traditionell vor vielen neuen FritzOS-Ausgaben eine "Fritz!Labor" genannte Beta-Version, die die kommenden Neuerungen schon enthält, aber noch keine Funktionsgarantie hat.
Das seit dem 22. November verfügbare Fritz-Labor 7.19 bringt die verbesserte WLAN-Verschlüsselung WPA3, das lang ersehnte SMBv3 für Windows-Freigaben von per USB angeschlossenen Massenspeichern (NAS-Funktion) und das bei AVM ganz neue DNS-over-TLS auf die beiden Fritzbox-Topmodelle 7490 und 7590. heise online hat FritzOS 7.19 auf einer Fritzbox 7590 ausprobiert.
NAS mit SMBv3
Das aktuelle FritzOS 7.12 verwendet für die NAS-Funktion noch das antike Übertragungsprotokoll SMB1 (Server Message Block Version 1). Es stammt aus dem Jahr 1983 und gilt seit einigen Jahren als unsicher. Schon im Januar 2019 versuchte AVM mit dem Fritz-Labor 7.08 den Wechsel zu SMB2 und 3, übernahm diese Verbesserung aber nicht in die Serien-Firmware.
Das Fritz-Labor 7.19 unternimmt einen neuen Anlauf und deaktiviert SMBv1. Die Leistung wird den Enthusiasmus von Intensivnutzern der NAS-Funktion jedoch dämpfen: Zwar blieben die Schreib- und Leseraten in unserem Test mit kleinen Dateien (256 KByte) auf dem gleichen, niedrigen Niveau (5 bis 7 MByte pro Sekunde). Beim Lesen großer Dateien (400 MByte) lieferte die Fritzbox 7590 unter 7.19 mit 26 bis 29 MByte/s aber nur wenig mehr als die Hälfte wie noch mit 7.12 (46 – 52 MByte/s). Den Leseratenschwund beobachteten wir mit drei unterstützten Dateisystemen (FAT32, NTFS, EXT4) auf einer per USB 3.0 angeschlossenen 1-TByte-SSD.
WPA3
Die WPA3-Umsetzung in FritzOS 7.19 bringt das SAE-Verfahren (Simultaneous Authentication of Equals), was für den Nutzer nicht anders aussieht als WPA2-PSK: Nach Eingabe des Netzwerkschlüssels ist man authentifiziert. Unser Test unter Windows 10 mit einer im Notebook nachgerüsteten Wi-Fi-6-WLAN-Karte AX200 verlief ebenso erfolgreich wie unter Kubuntu 19.10. Dort behauptete der NetworkManager jedoch, die Verbindung sei unverschlüsselt. Die Fritzbox-Übersicht wies für unser Gerät aber WPA3 aus.
Mit einer anderen WLAN-Karte (Qualcomm QCA6174) hatten wir kein Glück: Weder unter Windows noch Linux baute das Notebook eine WPA3-Verbindung auf. Laut Qualcomm soll im Frühjahr 2020 über die Windows-Update-Funktion ein verbesserter Treiber ausgeliefert werden, der WPA3 versteht.
DNS-over-TLS
Mit DNS-over-TLS (DoT) ist FritzOS erstmalig in der Lage, DNS-Anfragen verschlüsselt ins Internet zu versenden. DoT und verwandte Techniken sollen unter anderem das Ausspähen des Nutzerverhaltens erschweren. AVM hat die Integration leicht verständlich und kompakt gelöst. Vordefinierte Konfigurationen wie etwa für die Server von Cloudflare oder Digitalcourage gibt es aber nicht. Der Nutzer muss die IPv4- und IPv6-Adressen DoT-fähiger DNS-Server selbst suchen und eintragen.
Wir trugen testweise die Cloudflare-Server und den für die Zertifikatsvalidierung notwendigen Hostnamen ein. Die Fritzbox bestätigt die korrekte Konfiguration im Log mit "Es wurde erfolgreich eine Verbindung - samt vollständiger Validierung - zu den verschlüsselten DNS-Servern aufgebaut". Ein Mitschnitt des Internetverkehrs bestätigte, dass die Fritzbox DNS-Anfragen nur noch verschlüsselt schickt. Einen Unterschied bei der gefühlten Surfgeschwindigkeit konnten wir nicht ausmachen.
(amo)
