In der aktuellen Laborversion wird für die Fernwartung TLS 1.2 benutzt. Zertifikate können auch selbst erstellt werden. Also ist doch alles gut, oder nicht? Siehe hier: http://www.avm.de/de/Presse/Informationen/2014/2014_05_22.php3
Zustimmung an meine Vorredner. Ich würde die Fernwartung auch eher inaktiv lassen und entweder den VPN Zugang der FritzBox verwenden oder, so wie von mir umgesetzt, einen Raspberry PI mit OpenVPN verwenden.
Allerdings ist es teuer und auch aus Versicherungsgründen nicht zu empfehlen, Computer dauerhaft laufen zu lassen,
Seit wann dürfen Server (= Computer) nicht dauerhaft 24h an 366 Tagen eingeschaltet bleiben? Dann dürfte ja auch eine Fritzbox nicht dauerhaft am Stromnetz hängen, ist nämlich auch nur ein "Computer". Meine 7390 kann zumindest ziemlich warm werden. Und mein Kühlschrank nicht zu vergessen. Kein Versicherungsschutz. Oweh oweh.
Neuland ist regelrecht zugepflastert mit Stoppschildern, Ampeln und Notrufsäulen. Datenpakete müssen ja irgendwie transportiert werden auf dieser Datenautobahn, deshalb gelten seit 1. Mai Lenk- und Ruhezeiten wie für Lkw-Fahrer.
Sonntagsfahrverbot, Ladenschlussgesetz und E-Mail-Porto folgen.
Schon allein der Punkt mit der Fernwartung ist eher als peinlich sowie verantwortungslos zu bewerten und zeigt, dass dieser Artikel wohl nicht von einem "Fachmann" geschrieben wurde.
Also heutzutage gibts Powerrouter mit Powerfirmware, auf denen man alles laufen lassen kann und sich somit das starten eines Servers zuhause spart.
Ich hab hier einen Dual Core ARM Router, der als Telefonanlage dient und dazu auch noch mit Pydio eine nette Cloud bietet. Samba Share Performance auf ein externes Laufwerk ca ~40MB/s.
Die Zeiten in denen ich zuahsue noch einen Server/NAS benötigt habe sind vorbei. Das macht jetzt alles ein Gerät. Dank opkg kann man ganz einfach hunderte Programme nachinstallieren.
Darüberhinaus ne ganz andere Reichweite als ne Fritte.
Die Fritzboxen sind super für Leute, die Null Ahnung von Routern haben und das Ding vorkonfiguriert bekommen, aber, wenn man jetzt schon rumhacken will, dann sollte man sich gleich was brauchbares für den halben Preis holen.
In unserem Artikelarchiv ist einiges zu dem Thema zu finden. Ein aktueller Artikel wäre trotzdem willkommen
An sich ist das Aufsetzen eines Routers auch einfach. Minimalinstallation, Netzwerk-Konfiguration, Routing-Tabellen, Firewall. Weitere Dienste installiert man möglichst auf einem separaten Rechner, entweder im Intranet oder in der DMZ.
Sowas habe ich zum ersten Mal mit Suse 5.0 aufgesetzt. Besser geeignet sind aber Router-Distributionen wie fli4l und etliche andere...
Also heutzutage gibts Powerrouter mit Powerfirmware, auf denen man alles laufen lassen kann und sich somit das starten eines Servers zuhause spart.
Auf einem Nas, das nichts anderes als ein Server ist, können ja zusätzliche Dienste aufgesetzt werden. Aber ein Router mit Powerfirmware? Ist das ein Router mit 1000 zusätzlichen Diensten? Was ist mit dem Stichwort Sicherheit? Auf einem Router installiert man meiner Meinung nach nicht zig Server-Dienste zusätzlich zur vorhandenen Firewall, nur weil die Kiste wenig Strom zieht.
Ich würde eine externe FW wie z.B. Pfsense oder Endian bevorzugen. Darauf könnte man auch noch einen WLan-Access-Point mit getrenntem Gäste Netz aufsetzen. Ein Server mit sonstigen Diensten würde ich dahinter schalten. Wo man evtl. einen zusätzlichen VPN-Server installiert (auf dem Firewall-Rechner oder dahinter) weiss ich nicht genau. Auf jeden Fall ist so ein "Powerrouter" nichts anderes als ein Server. Er wird wahrscheinlich eine geringe Stromaufnahme haben, im Gegensatz zu einem normalen Rechner. Ich würde immer zwei Rechner als Server bevorzugen, Firewall und Server im LAN dahinter mit VPN Zugang.
Ich benutze meine 7390 nur als Voip Telefonanlage. Sie hängt hinter einer Firewall, getrennt vom Server bzw. LAN. Nas-Dienste der FB würde ich nicht nutzen, schon alleine wegen TR069. Ausser Asterix kenne ich auch keine sonstige Software, die die Telefonie-Funktionen einer Fritzbox entsprechend gut nachbilden könnte, wobei mir Asterix zu kompliziert und aufwändig ist. Deswegen benutze ich noch eine FB. Aber nicht für Routing-Aufgaben im LAN. Man muss auch bedenken, das eine FB zusätzlich auch an Analog oder an ISDN hängen kann und mit entsprechenden Endgeräten umgehen kann.
Wie willst du darauf komplexe Anwendungen laufen lassen? Glaube kaum das ein popeliger Router mit max. 512MB RAM nen Tomcat vertragen kann. Klar brauch das nicht jeder aber "alles laufen lassen" ist ne unqualifizierte Aussage.
Zum Rumspielen wird darauf sicherlich auch ein Tomcat laufen und wer Tomcat professionell einsetzt, der stellt vor seinen Tomcat Server bestimmt keine FritzBox, denn bei der miserablen Performance einer Fritzbox ist die Anbindung an den Server dann grotten lahm.
Also das Webinterface ist echt lahm bei der Fritzbox. Ich habe die 6360 (von Kabel Deutschland) und kann daher auch nicht so ohne weiteres frei wählen, weil ich auch das Kabel-VoIP nutze, das fest an die Kabel-Deutschland-Version gebunden ist. Aber zu behaupten, das Routing fürs WAN und der "Switch"-Anteil fürs LAN wären lahm, ist echt an den Haaren herbei gezogen. Ein Ping von kleiner-gleich 30ms zu heise.de und < 15ms zum 2. Hop hinter der Box (der erste hinter der Fritzbox beantwortet leider kein ICMP) ist vollkommen in Ordnung.
Der integrierte File-Server ist mit unter 5MiB/s natürlich absolut unbrauchbar für größere Dateien und auch die Antwortzeiten sind unmöglich. Die Haupaufgaben erledigt meine Fritzbox allerdings im zu erwartenden Rahmen.
Für ernstere Spielereien mit Server-Software ist ohnehin ausgewachsener Rechner sinnvoll, ggf. auch als VM auf dem Hauptsystem oder ein schmaler, stromsparender Mini-ITX basierter PC, den man dann auch gut als HTPC nutzen kann.
Dann mal Namen und nicht nur Worthülsen. Welche Hardware und welche Powerfirmware soll das sein?
Als "Powerfirmware" fallen mir doch nur OpenWRT, DD-WRT und Tomato ein. Diese sind keinesfall frei von Sicherheitslücken. Funktionell sehr gut, aber auch hier vermisse ich so mache Funktion. Man kann eine Menge mit machen, auch professionell aber so Perfekt ist der Kram auch nicht. Dazu fallen in letzter Zeit so manche Hersteller mit ...WRT-fähigen Geräten wie Dlink oder netgear nicht besonders durch Qualität, Support und Sicherheit auf.
Die SoHo-Geräte wie die FritzBox sind immer ein Kompromiss aus Bedarf, Kosten und Bedienung. Ich mag die FritzBoxen nicht besonders. Die können irgendwie alles, aber nichts wirklich richtig gut. Aber in dem Umfeld leider das Beste, was auf dem Markt zu einem vertretbaren Preis erhältlich ist. Lieber wäre mir eine Lösung von Linksys, aber das ist nicht im Budget und der Aufwand ist gleich einiges höher.
Ohne einem Hersteller irgend etwas böses unterstellen zu wollen. Auf Grund der Bugs in diversen Routern habe ich mich entschieden interne Dienste vom Router zu trennen. Zwischen Heimnetz und Router ist noch eine Firewall und ein Proxy. Ein kleiner Server für Daten und diverse kleinere Aufgaben im Heimnetz. Ein "dummes" Nas ist für die Backups da. Der Router stellt nur die Internetverbindung für das Heimnetz sowie demnächst geplant freifunk bereit.
Funktionell sehr gut, aber auch hier vermisse ich so mache Funktion. Man kann eine Menge mit machen, auch professionell aber so Perfekt ist der Kram auch nicht.
Kannste ja einfach selber dazu bauen, ist ja Opensource, kannst aber selber die Sicherheitslücken rausmachen, wenn du welche findest. Frei von Sicherheitslücken ist niemand, aber du hast hier ganz andere Möglichkeiten bei der Konfiguration Enfluss zu nehmen, z.B. kannst du ja die Konfiguration des Routers nur noch über SSH machen, mit SSH Keys, sonst keinen Dienst von aussen anbieten, dann gibts nur noch einen Angriffsvektor, den SSH Server. Keine Eigenbrödler GUI wie z.B. des Mist von AVM, bei dem ein Praktikant vergessen hat die Inputs zu checken.
Aber in dem Umfeld leider das Beste, was auf dem Markt zu einem vertretbaren Preis erhältlich ist
Nein es ist eine Speziallösung für DE, in denen Lieschen Müller noch ihr altes TAE Telefon benutzen will und die meisten Leute DSL nutzen, genau darauf wurde die Box gebaut. Die CPU in der 7490 mit 500Mhz ist ne Lachnummer, dagegen steht ein Netgear R7000 mit 2x1000Mhz ARM. Ich hatte Jahre lang selbst Fritten, die nie 100% stabil liefen und die WLAN Reichweite ist unter aller Sau.
Du kannst dir gerne zehn Rechner hinstellen und das alles auf die verteilen, statt 10W reden wir dann über 200W, welche die Umwelt schön belasten.
Naja... die Firewall und damit die Perimeter-Security gleich mit einem datenhaltenden System zu verheiraten, erhöht das Risiko von Datenabfluss natürlich drastisch. Strom sparen, hin, Hardware her- da sollte sich jeder einmal fragen, was einem die Daten wert sind. Habe ich in einem solchen Konstrukt ersteinmal den Router gekapert, habe ich auch gleich alle Daten... nicht schön! Besser ein separates NAS ohne Defaultroute im Regelbetrieb, das erhöht die Hürde für Angreifer deutlich.
Das ist alles nur blabla, nen router mit nem Embeddedsystem zu kapern auf dem nur ein Dienst von aussen erreichbar ist, z.B. SSH, zu kapern, ist wohl extrem schwierig, das ist einfach extrem ausgereifte Software.
Alle anderen Dienste auf dem Router kann ich über nen SSH Tunnel erreichen. Somit ist genau ein Angriffsvektor vorhanden und den könnte ich auch noch z.B. durch Port Knocking schützen.
Es ist mit Sicherheit einfacher nen normalen Rechner in einem Haushalt zu kapern(z.B. infizierte Webseite, Email ....) und von dem aus, das LAN abgrasen. Da ist es dann egal ob du das auf 3 Rechner verteilt hast.
Die FritzBox hat natürlich gezeigt, dass man nen Router mit Murx Firmware ganz leicht übernehmen kann. Das Problem sind die mies gewarteten OEM Firmwares mit eigens entwickelten Anwendungen, die unsicher sind.
Wenn man sich die Router Lücken der letzten Jahre angesehen hat, dann waren das immer Lücken in Hersteller Anwendungen, Backdoors, Default Passwörter etc.. Heartbleed Bug hatte aber auch keinen Einfluss auf nen Router, bei dem nur OpenSSH läuft.
Von daher du kannst dir beim Autofahren auch 5 Sicherheitsgurte anlegen, es kann dir da aber auch passieren, dass die 5 Gurte dir bei nem Unfall mehr schaden als gut tun. Ein funktionierender Gurt, der tut was er soll ist in der Regel das non plus ultra. Wenn er natürlich vom Hersteller schon angeritzt würde oder der Fahrer ihn nicht richtig angelegt hat, gehts in die Hose.
Segmentierung und minimale (Zugriffs-)rechte sind absolute Basics, wenn's um Informationssicherheit geht. Das gilt in Unternehmen schon lange und bei weiter fortschreitender Digitalisierung des Heims auch für Privatleute.
Und wenn wir schon mal bei Sicherheitslücken sind:
Meine aktuelle Fritzi-boxi macht ziemlich zicken: - Sie generiert Anrufe die sie beim Abheben dann selbst beendet (zuerst dachte ich, jemand will mich verar...) - Echte Anrufe lässt sie dagegen nur nach Gusto durch - es gibt einfach keinen Ton oder irgendwann ein Besetztzeichen, obwohl frei ist.
So ein Teil als Telefon und du kannst dich aufhängen!
Der Provider ist ratlos und das Ticket bei AVM hängt seit vielen Monaten. Das ist das wirklich schlimme, dass AVM es nicht schafft, endlich Fixes für diese well-known-bugs rauszubringen... die waren auch schon mal besser. Wegen Reichtums geschlossen oder so ... Die wirklich bemerkenswerten (und in den vorigen Kommentaren bereits erwähnten) Sicherheitslücken kommen noch dazu - aber ein VoIP-Router, der nach Gusto arbeitet und sich selbst anruft, ist eine Lachnummer.
J, hab ein Austauschgerät bekommen - selbe Probleme. Dann hab ich einen alten Router dafür in Einsatz gebracht. Die F*Box verstaubt jetzt in einer Ecke und wartet weiter auf den angekündigten AVM-Fix - bin gespannt, ob der eher kommt als Hurd.
Falls du daran eine analoge Telefonleitung (Amtsleitung) angeschlossen hast, tausche mal a und b. Ich hatte a und b mal versehentlich falsch herum angeschlossen und die selben Probleme (ständige Phantomanrufe welche beim Abheben dann selbst beendet werden).
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 23. Mai 2014 um 16:17.
1000 Dank für diesenArtikel. Er hat kurz und klar erklärt, wie man einen USB-Stick an der Fritz-Box zu laufen bringt. Alles funzt ohne Probleme. Hatte schon lange vergeblich danach gesucht.
Als die AVM-Sicherheitslücken bekannt wurden, wenig später auch von anderen Herstellern, habe ich meinen Router einfach rausgenommen und durch ein herkömmliches DSL-Modem ersetzt.
Dienste wie VoIP und der ganze Schnickschnack sollten imho nicht dorthin ausgelagert werden sondern als Application abgesichert auf dem Rechner laufen. Hier habe das IDS und die Firewallregeln verbessert. Wenn mein Router gehackt wird, bekomme ich das viel später bis gar nicht mit, als wenn ich die Dienste auf dem Rechner monitore.
An dieser Stelle sei ein Hinweis auf eine Python-Bibliothek / Skriptsammlung zum Zugriff auf die Remote-Steuerunng der Fritzbox angebracht:
http://www.bremer-media.de/extras/fritzconnection.html
Gerade die Fernwartung ist in der letzten Zeit durch böse Sicherheitslücken aufgefallen, siehe hier: http://www.heise.de/security/meldung/Hack-gegen-AVM-Router-Fritzbox-Luecke-offengelegt-Millionen-Router-in-Gefahr-2136784.html
Auch wenn AVM hier eigentlich vorbildlich reagiert hat- die Fernwartung sollte besser abgeschaltet bleiben. Wenn man einen Fernzugriff benötigt, ist VPN die bessere Wahl; das geht mit FritzBoxen schon lange, siehe hier: http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?portal=VPN
Gruss- yalsi
In der aktuellen Laborversion wird für die Fernwartung TLS 1.2 benutzt. Zertifikate können auch selbst erstellt werden. Also ist doch alles gut, oder nicht?
Siehe hier: http://www.avm.de/de/Presse/Informationen/2014/2014_05_22.php3
Vorbildlich reagiert? Erst wurde das Problem geleugnet, dann wurde es schlampig gefixt.
Zustimmung an meine Vorredner. Ich würde die Fernwartung auch eher inaktiv lassen und entweder den VPN Zugang der FritzBox verwenden oder, so wie von mir umgesetzt, einen Raspberry PI mit OpenVPN verwenden.
Vor allem kann die Fritzbox als NAS dienen. Wozu sollte ich dann noch meinen Rechner aufwecken?
Neuland ist regelrecht zugepflastert mit Stoppschildern, Ampeln und Notrufsäulen. Datenpakete müssen ja irgendwie transportiert werden auf dieser Datenautobahn, deshalb gelten seit 1. Mai Lenk- und Ruhezeiten wie für Lkw-Fahrer.
Sonntagsfahrverbot, Ladenschlussgesetz und E-Mail-Porto folgen.
.... als ich "Fernwartung" las, habe ich aufgehört weiterzulesen.
Schon allein der Punkt mit der Fernwartung ist eher als peinlich sowie verantwortungslos zu bewerten und zeigt, dass dieser Artikel wohl nicht von einem "Fachmann" geschrieben wurde.
Yep, ein echter "Schlamprecht" halt.
Dieses Artikel ist bei PC-Welt erschienen und damit dürfte alles gesagt sein.
Also heutzutage gibts Powerrouter mit Powerfirmware, auf denen man alles laufen lassen kann und sich somit das starten eines Servers zuhause spart.
Ich hab hier einen Dual Core ARM Router, der als Telefonanlage dient und dazu auch noch mit Pydio eine nette Cloud bietet. Samba Share Performance auf ein externes Laufwerk ca ~40MB/s.
Die Zeiten in denen ich zuahsue noch einen Server/NAS benötigt habe sind vorbei. Das macht jetzt alles ein Gerät. Dank opkg kann man ganz einfach hunderte Programme nachinstallieren.
Darüberhinaus ne ganz andere Reichweite als ne Fritte.
Die Fritzboxen sind super für Leute, die Null Ahnung von Routern haben und das Ding vorkonfiguriert bekommen, aber, wenn man jetzt schon rumhacken will, dann sollte man sich gleich was brauchbares für den halben Preis holen.
Und welche Router würdest du empfehlen?
Kannst du ein paar Beispiele nennen?
In der Tat wäre ein Artikel "Router selbst einrichten" aus meiner Sicht nützlicher als die liebe FritzBox.
:-)
In unserem Artikelarchiv ist einiges zu dem Thema zu finden. Ein aktueller Artikel wäre trotzdem willkommen
An sich ist das Aufsetzen eines Routers auch einfach. Minimalinstallation, Netzwerk-Konfiguration, Routing-Tabellen, Firewall. Weitere Dienste installiert man möglichst auf einem separaten Rechner, entweder im Intranet oder in der DMZ.
Sowas habe ich zum ersten Mal mit Suse 5.0 aufgesetzt. Besser geeignet sind aber Router-Distributionen wie fli4l und etliche andere...
Ich würde eine externe FW wie z.B. Pfsense oder Endian bevorzugen. Darauf könnte man auch noch einen WLan-Access-Point mit getrenntem Gäste Netz aufsetzen. Ein Server mit sonstigen Diensten würde ich dahinter schalten. Wo man evtl. einen zusätzlichen VPN-Server installiert (auf dem Firewall-Rechner oder dahinter) weiss ich nicht genau.
Auf jeden Fall ist so ein "Powerrouter" nichts anderes als ein Server. Er wird wahrscheinlich eine geringe Stromaufnahme haben, im Gegensatz zu einem normalen Rechner. Ich würde immer zwei Rechner als Server bevorzugen, Firewall und Server im LAN dahinter mit VPN Zugang.
Ich benutze meine 7390 nur als Voip Telefonanlage. Sie hängt hinter einer Firewall, getrennt vom Server bzw. LAN. Nas-Dienste der FB würde ich nicht nutzen, schon alleine wegen TR069. Ausser Asterix kenne ich auch keine sonstige Software, die die Telefonie-Funktionen einer Fritzbox entsprechend gut nachbilden könnte, wobei mir Asterix zu kompliziert und aufwändig ist. Deswegen benutze ich noch eine FB. Aber nicht für Routing-Aufgaben im LAN.
Man muss auch bedenken, das eine FB zusätzlich auch an Analog oder an ISDN hängen kann und mit entsprechenden Endgeräten umgehen kann.
Wie willst du darauf komplexe Anwendungen laufen lassen? Glaube kaum das ein popeliger Router mit max. 512MB RAM nen Tomcat vertragen kann. Klar brauch das nicht jeder aber "alles laufen lassen" ist ne unqualifizierte Aussage.
Zum Rumspielen wird darauf sicherlich auch ein Tomcat laufen und wer Tomcat professionell einsetzt, der stellt vor seinen Tomcat Server bestimmt keine FritzBox, denn bei der miserablen Performance einer Fritzbox ist die Anbindung an den Server dann grotten lahm.
ich kann mich nicht beklagen, Glassfish 4 Server an an einer Fritz, lokal gehts ab wie Schmitz Katz.
Gruß
Steven
Also das Webinterface ist echt lahm bei der Fritzbox. Ich habe die 6360 (von Kabel Deutschland) und kann daher auch nicht so ohne weiteres frei wählen, weil ich auch das Kabel-VoIP nutze, das fest an die Kabel-Deutschland-Version gebunden ist.
Aber zu behaupten, das Routing fürs WAN und der "Switch"-Anteil fürs LAN wären lahm, ist echt an den Haaren herbei gezogen. Ein Ping von kleiner-gleich 30ms zu heise.de und < 15ms zum 2. Hop hinter der Box (der erste hinter der Fritzbox beantwortet leider kein ICMP) ist vollkommen in Ordnung.
Der integrierte File-Server ist mit unter 5MiB/s natürlich absolut unbrauchbar für größere Dateien und auch die Antwortzeiten sind unmöglich. Die Haupaufgaben erledigt meine Fritzbox allerdings im zu erwartenden Rahmen.
Für ernstere Spielereien mit Server-Software ist ohnehin ausgewachsener Rechner sinnvoll, ggf. auch als VM auf dem Hauptsystem oder ein schmaler, stromsparender Mini-ITX basierter PC, den man dann auch gut als HTPC nutzen kann.
Dann mal Namen und nicht nur Worthülsen. Welche Hardware und welche Powerfirmware soll das sein?
Als "Powerfirmware" fallen mir doch nur OpenWRT, DD-WRT und Tomato ein. Diese sind keinesfall frei von Sicherheitslücken. Funktionell sehr gut, aber auch hier vermisse ich so mache Funktion. Man kann eine Menge mit machen, auch professionell aber so Perfekt ist der Kram auch nicht. Dazu fallen in letzter Zeit so manche Hersteller mit ...WRT-fähigen Geräten wie Dlink oder netgear nicht besonders durch Qualität, Support und Sicherheit auf.
Die SoHo-Geräte wie die FritzBox sind immer ein Kompromiss aus Bedarf, Kosten und Bedienung. Ich mag die FritzBoxen nicht besonders. Die können irgendwie alles, aber nichts wirklich richtig gut. Aber in dem Umfeld leider das Beste, was auf dem Markt zu einem vertretbaren Preis erhältlich ist. Lieber wäre mir eine Lösung von Linksys, aber das ist nicht im Budget und der Aufwand ist gleich einiges höher.
Ohne einem Hersteller irgend etwas böses unterstellen zu wollen. Auf Grund der Bugs in diversen Routern habe ich mich entschieden interne Dienste vom Router zu trennen. Zwischen Heimnetz und Router ist noch eine Firewall und ein Proxy. Ein kleiner Server für Daten und diverse kleinere Aufgaben im Heimnetz. Ein "dummes" Nas ist für die Backups da. Der Router stellt nur die Internetverbindung für das Heimnetz sowie demnächst geplant freifunk bereit.
Meinte nicht Linksys, sondern Lancom, als bevorzugten Hersteller.
Funktionell sehr gut, aber auch hier vermisse ich so mache Funktion. Man kann eine Menge mit machen, auch professionell aber so Perfekt ist der Kram auch nicht.
Kannste ja einfach selber dazu bauen, ist ja Opensource, kannst aber selber die Sicherheitslücken rausmachen, wenn du welche findest. Frei von Sicherheitslücken ist niemand, aber du hast hier ganz andere Möglichkeiten bei der Konfiguration Enfluss zu nehmen, z.B. kannst du ja die Konfiguration des Routers nur noch über SSH machen, mit SSH Keys, sonst keinen Dienst von aussen anbieten, dann gibts nur noch einen Angriffsvektor, den SSH Server. Keine Eigenbrödler GUI wie z.B. des Mist von AVM, bei dem ein Praktikant vergessen hat die Inputs zu checken.
Aber in dem Umfeld leider das Beste, was auf dem Markt zu einem vertretbaren Preis erhältlich ist
Nein es ist eine Speziallösung für DE, in denen Lieschen Müller noch ihr altes TAE Telefon benutzen will und die meisten Leute DSL nutzen, genau darauf wurde die Box gebaut. Die CPU in der 7490 mit 500Mhz ist ne Lachnummer, dagegen steht ein Netgear R7000 mit 2x1000Mhz ARM. Ich hatte Jahre lang selbst Fritten, die nie 100% stabil liefen und die WLAN Reichweite ist unter aller Sau.
Du kannst dir gerne zehn Rechner hinstellen und das alles auf die verteilen, statt 10W reden wir dann über 200W, welche die Umwelt schön belasten.
Netgear kann auf dem Datenblatt noch so toll aussehen, bei dem, was die regelmäßig verbuggen mache ich da einen großen bogen drum.
Naja... die Firewall und damit die Perimeter-Security gleich mit einem datenhaltenden System zu verheiraten, erhöht das Risiko von Datenabfluss natürlich drastisch. Strom sparen, hin, Hardware her- da sollte sich jeder einmal fragen, was einem die Daten wert sind. Habe ich in einem solchen Konstrukt ersteinmal den Router gekapert, habe ich auch gleich alle Daten... nicht schön! Besser ein separates NAS ohne Defaultroute im Regelbetrieb, das erhöht die Hürde für Angreifer deutlich.
Das ist alles nur blabla, nen router mit nem Embeddedsystem zu kapern auf dem nur ein Dienst von aussen erreichbar ist, z.B. SSH, zu kapern, ist wohl extrem schwierig, das ist einfach extrem ausgereifte Software.
Alle anderen Dienste auf dem Router kann ich über nen SSH Tunnel erreichen. Somit ist genau ein Angriffsvektor vorhanden und den könnte ich auch noch z.B. durch Port Knocking schützen.
Es ist mit Sicherheit einfacher nen normalen Rechner in einem Haushalt zu kapern(z.B. infizierte Webseite, Email ....) und von dem aus, das LAN abgrasen. Da ist es dann egal ob du das auf 3 Rechner verteilt hast.
Die FritzBox hat natürlich gezeigt, dass man nen Router mit Murx Firmware ganz leicht übernehmen kann.
Das Problem sind die mies gewarteten OEM Firmwares mit eigens entwickelten Anwendungen, die unsicher sind.
Wenn man sich die Router Lücken der letzten Jahre angesehen hat, dann waren das immer Lücken in Hersteller Anwendungen, Backdoors, Default Passwörter etc.. Heartbleed Bug hatte aber auch keinen Einfluss auf nen Router, bei dem nur OpenSSH läuft.
Von daher du kannst dir beim Autofahren auch 5 Sicherheitsgurte anlegen, es kann dir da aber auch passieren, dass die 5 Gurte dir bei nem Unfall mehr schaden als gut tun.
Ein funktionierender Gurt, der tut was er soll ist in der Regel das non plus ultra. Wenn er natürlich vom Hersteller schon angeritzt würde oder der Fahrer ihn nicht richtig angelegt hat, gehts in die Hose.
Jetzt bin ich wirklich überrascht- Dir sind wahrscheinlich die Meldungen der letzten Jahre nur entgangen, beispielsweise diese hier:
http://www.heise.de/security/meldung/Neue-und-alte-Router-Luecken-bei-Netgear-Tenda-und-DrayTek-1984597.html
http://www.heise.de/security/meldung/Netgear-schliesst-Hintertuer-in-Modemrouter-DGN1000-2165017.html
http://www.heise.de/security/meldung/Backdoor-in-Routern-Hersteller-raetseln-und-analysieren-2077308.html
http://www.heise.de/security/meldung/Netgear-Router-lassen-sich-aus-dem-Gaestenetz-kapern-2112333.html
usw. Am besten mal selber googlen... .
Segmentierung und minimale (Zugriffs-)rechte sind absolute Basics, wenn's um Informationssicherheit geht. Das gilt in Unternehmen schon lange und bei weiter fortschreitender Digitalisierung des Heims auch für Privatleute.
Und wenn wir schon mal bei Sicherheitslücken sind:
http://secunia.com/community/advisories/search/?search=openssh
und hier:
https://access.redhat.com/search/browse/search/#?&col=rhn_errata&language=en&keyword=openssh
Wieder nur blabla?
Gruss- yalsi
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 25. Mai 2014 um 13:48.Meine aktuelle Fritzi-boxi macht ziemlich zicken:
- Sie generiert Anrufe die sie beim Abheben dann selbst beendet (zuerst dachte ich, jemand will mich verar...)
- Echte Anrufe lässt sie dagegen nur nach Gusto durch - es gibt einfach keinen Ton oder irgendwann ein Besetztzeichen, obwohl frei ist.
So ein Teil als Telefon und du kannst dich aufhängen!
Der Provider ist ratlos und das Ticket bei AVM hängt seit vielen Monaten. Das ist das wirklich schlimme, dass AVM es nicht schafft, endlich Fixes für diese well-known-bugs rauszubringen... die waren auch schon mal besser. Wegen Reichtums geschlossen oder so ...
Die wirklich bemerkenswerten (und in den vorigen Kommentaren bereits erwähnten) Sicherheitslücken kommen noch dazu - aber ein VoIP-Router, der nach Gusto arbeitet und sich selbst anruft, ist eine Lachnummer.
Schon mal daran gedacht das Ding in die Tonne zu treten?
Gruß
Steven
J, hab ein Austauschgerät bekommen - selbe Probleme.
Dann hab ich einen alten Router dafür in Einsatz gebracht.
Die F*Box verstaubt jetzt in einer Ecke und wartet weiter auf den angekündigten AVM-Fix - bin gespannt, ob der eher kommt als Hurd.
Welches Modell ist denn das? Hab AVM schon seit fast 20 Jahren im Einsatz uns so etwas noch nie erlebt.
Gruß
Steven
Falls du daran eine analoge Telefonleitung (Amtsleitung) angeschlossen hast, tausche mal a und b. Ich hatte a und b mal versehentlich falsch herum angeschlossen und die selben Probleme (ständige Phantomanrufe welche beim Abheben dann selbst beendet werden).
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 23. Mai 2014 um 16:17.1000 Dank für diesenArtikel.
Er hat kurz und klar erklärt, wie man einen USB-Stick an der Fritz-Box zu laufen bringt. Alles funzt ohne Probleme. Hatte schon lange vergeblich danach gesucht.
Gruß
Als die AVM-Sicherheitslücken bekannt wurden, wenig später auch von anderen Herstellern, habe ich meinen Router einfach rausgenommen und durch ein herkömmliches DSL-Modem ersetzt.
Dienste wie VoIP und der ganze Schnickschnack sollten imho nicht dorthin ausgelagert werden sondern als Application abgesichert auf dem Rechner laufen.
Hier habe das IDS und die Firewallregeln verbessert.
Wenn mein Router gehackt wird, bekomme ich das viel später bis gar nicht mit, als wenn ich die Dienste auf dem Rechner monitore.