Lieber Besucher, herzlich willkommen bei: EDV-Dompteur/Forum. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »Desi« (6. März 2014, 17:15)
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Desi« (6. März 2014, 17:12)
Zitat
Anleitung: Box Security Check - Paranoia Edition.
Wem dies zu viel Aufwand ist sucht seine Zugangsdaten, macht einen Werksreset und richtet die Box neu ein.
Import einer gerade gesicherten Konfiguration macht keinen Sinn.
Konfiguriert eure Box vom saubersten System aus wenn möglich per LAN-Kabel und fahrt unsicherere Systeme und WLAN vorher herunter.
Mit steigender Paranoia=Vernunft:
- System >> Ereignisse
Auf Auffälligkeiten prüfen. Ist die Liste fast leer ist das auffällig. Diese Liste könnte manipuliert sein.
- System >> Energiemonitor
An der Uptime (aktiv seit X Tagen) erkennt man ob die Box neugestartet wurde.
- Telefonie >> Anrufliste
Auf Auffälligkeiten prüfen. Ist die Liste leer ist das auffällig. Einzelne Einträge lassen sich nicht löschen.
- Telefonie >> Telefoniegeräte
Prüfen, gegebenenfalls editieren. Hier wurde eventuell ein IP-Telefon eingerichtet und/oder ein vorhandenes in's Netz freigegeben.
- Anmeldedaten >> Anmeldung aus dem Internet erlauben
Prüfen.
- Telefonie >> Rufumleitungen
Prüfen. Hier könnten teure Zielnummern eingerichtet werden.
- Telefonie >> Rufumleitungen >> Callthrough
Prüfen. Hier kann sich jemand eine Telefonie-Backdoor einrichten und beliebige Nummern wählen.
- System >> FRITZ!Box-Kennwort >> Benutzer
Prüfen. Hier könnte ein zusätzlicher Account angelegt werden.
- Internet >> Freigaben >> Portfreigaben
Prüfen. Hier könnte ein Bot eine Backdoor öffnen.
- Internet >> MyFRITZ! >> MyFRITZ!-Freigaben
Prüfen. Auch hier könnte ein Bot eine Backdoor öffnen.
- Internet >> Freigaben >> FRITZ!Box-Dienste
Prüfen. Klüger ist es HTTPS und FTP nie oder nicht dauerhaft in's Netz freizugeben.
- Internet >> Freigaben >> VPN
Prüfen. Hier könnte eine VPN Backdoor eingerichtet sein.
- Heimnetz >> Netzwerk >> Programme
Prüfen. Zugriff für Programme (=TR-064) und UPnP können mit Kenntnis des Passworts auch Frontdoors sein.
Zum Schluss:
- System >> FRITZ!Box-Kennwort
Ändern - lang und mit Sonderzeichen und sonst nirgends benutzt.
- Dann erst alle Geräte und WLAN hochfahren.
Wenn der Anbieter es erlaubt: in dessen Kundenportal oder ggf telefonisch teure Nummerngassen sperren. Sammlung je Anbieter im vorherigen Thread.
Manche Anbieter (z.B. 1&1) ermöglichen zudem die VoIP-Passwörter im Kundencenter zu ändern. Auch hier kryptische Passwörter setzen und dann ändern unter:
- Telefonie >> Eigene Rufnummern
MyFRITZ! selbst ist kein Problem, es gibt evtl. bei der Einrichtung HTTPS frei, das aber separat abschaltbar ist. Sicherheitshalber prüfen.
Bitte weiterführen/ergänzen/oder nach Wunsch mit "pfff Paranoia" abtun.
Bedenkt: Eine Box ist so unsicher wie das unsicherste System das während der Einrichtung verbunden war!
Das könnte AVM verbessern indem lokaler fritz.box Zugriff getrennt vom Internetzugriff HTTPS unterstützt oder gar auf Wunsch forciert. Man muss dann zwar das Self-Signed-Zertifikat einmalig akzeptieren aber braucht dafür weder seinen Smartschrott noch Junior's wurmige Modeplattform auszuhängen.
An AVM:
Neben HTTPS für das Webinterface bitte langfristig eine Firewall nach innen erwägen.
Immer mehr Smartschrott wird zu potentiellen Angriffszielen / Sniffern / Datenlecks / Krakenexportern. Die Kindersicherung wäre vielleicht die geeignete Oberfläche per Gerät.
Eine "keine weiteren Geräte zulassen" Funktion für das LAN würde das Umgehen erschweren.
Die Firewall sollte auch auf die Subnetze von "Anbieterbypässen/Managed Services" anwendbar sein.
Es gibt bald kein vertrauenswürdiges LAN mehr. Wir kaufen uns die Probleme und schalten sie ein.
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Desi« (6. März 2014, 16:55)
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Desi« (24. April 2014, 01:12)
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Desi« (31. Mai 2015, 18:05)
Forensoftware: Burning Board® 3.1.7, entwickelt von WoltLab® GmbH