AVM
und was wir alle akzeptieren müssen...
Auch bei uns wurde die Umstellung zu VDSL "ALLIP" vollzogen und wir waren gezwungen ein anderes Endgerät für unseren Anschluss ins Netz zu beschaffen.
Da wir in der Vergangenheit mit AVM Produkten die wenigsten Bedenken und Probleme hatten, blieb die Wahl bei AVM, jetzt jedoch die 7390, anstelle der 7170.
Während der Auswahl der gewünschten Konfiguration, mussten wir feststellen, dass weitestgehend die Dokumentation durch AVM zu diversen wichtigen Einstellungen fehlt, als auch die Standardeinstellungen in der 7390 der 7170 sehr ähneln und die Fritz!Box (FB) wiedermal die erforderliche Konfiguration nicht besitzt.
Bedenken Sie bei den Aussage hier, dass wir nicht primär von den Einstellungsmöglichkeiten in der Weboberfläche (http://fritz.box) reden, sondern von den Einstellungen in der Konfiguration, welche durch die Weboberfläche gespeichert, als auch geladen werden kann.
Wir haben vor einigen Monaten AVM angeschrieben und auf unsere Erkenntnisse hingewiesen. Hier ein Auszug unserer eMail:
Es gibt 2 Bug's...
1. Wenn ein Benutzer an der WebUI angemeldet ist und noch keine DSL Synchronisation besteht und man dann die DSL Verbindung initiiert, wird durch die FB ein neues Zertifikat mit der öffentlichen IP erstellt.
Solange der Benutzer auf der Statusseite bleibt, kein Problem. Sobald er aber Einstellungen in der FB vornimmt und die aktive Verbindung nicht mehr "hergestellt", sondern zu "last ack" wechselt (netstat), gibt es einen "ssl handshake loop" (wireshark) und die Verbindung endet im DOS.
Ein 0-Timeout auf alle Verbindungen die vor einer aktiven DSL Verbindung angemeldet sind, löst das Problem ohne groß Gefrickel.
2. Wenn man in der Konfigurationsdatei den WebUI Port 80 ändert, ist danach kein erneutes "flashen" der Konfiguration mehr möglich. (Werksreset erforderlich)
Ganz krank wird es, wenn man den HTTP Port komplett weg lässt! (Endet in Recover.exe mit Flash-Modus beim Start der FB, sonst geht nix mehr...)
Es gibt einige weitere Punkte:
(Ich schweife hier jetzt nicht zu sehr aus, bei Fragen stehe ich gern zur Verfügung!)
:srtp_supported = yes - Erzwingt dies SRTP für VoIP, falls die Gegenstelle die gleiche Einstellung nutzt?
:WLan's splitten - ethinterfaces - also 2Ghz vom 5'er...
:Richtiges iptables mit Weboberfläche, am besten mit IP-Listen Import (zum sperren).
:IPv6 iptables fehlt komplett!?
:IPv6 trotz Unterstützung deaktiviert, aktiviert!? Die FB sendet die ganze Zeit DHCP und andere Anfragen für IPv6. Laut Konfiguration ist IPv6 aus! Wieso?
:HOSTS, nicht nur die limitierte WebUI Kindersicherungsversion - Liste derzeit zu begrenzt!
:OpenVPN als VPN Alternative...
:Filterlisten erlaubte/gesperrte auch Wildcard, anstatt nur Domains
(Schonmal gut, dass Domains mit Subdomains ist, jedoch kann es auch sein nur eine Subdomain sperren zu wollen).
:Bei gesperrten Seiten wäre es sinnvoll DNS Abfragen zu diesen auch mit zu unterbrechen.
:Definierte WLan Geräte werden nicht immer in der Kindersicherung angezeigt.
:AVM logd wo findet man den log? Kann dieser nicht auch im WebUI angezeigt werden, zB bei erweiterter Ansicht?
:encryption = pppcfg_crypt_none - was gibt es sonst???
:is_mcupstream - was ist das und wieso immer yes?
:Warum wird nach dem anstecken von DSL der Router neu gestartet und die WLan Lampe blinkt ca. 4-7x?
:Firmware in der Recover.exe hat Fehler mit WLan - Wenn man die Recover.exe flasht, funktioniert WLan nicht mehr und die Lampe blinkt nur noch wild herum. Nur wenn man zusätzlich nochmal das reine Image danach flasht, funktioniert WLan wieder.
:Kindersicherung wiedermal... Alle neuen Geräte erhalten das Standard Profil, dies ist auch nicht wechselbar, es bleibt nur Standard zu limitieren. Macht keinen Sinn.
Das gleiche für das "uneingeschränkt" Profil, dies sollte zwar uneingeschränkt vordefiniert sein, aber ab änderbar, falls gewollt/benötigt.
Meine Websuchen nach gewissen genannten Begriffen, war stets erfolglos, aus diesem Grund bleibt nur die direkte Frage.
Was ich aber im Web gefunden habe, sind Berichte, zB auf sicherheit.info, wo Herr Tom Vierke aussagt, dass man bei AVM nach Lösungen zu ZRTP bzw SRTP sucht, bzw bald etwas entsprechendes umsetzen will.
Hier ist die Lösung... die Einstellung ist ja vorhanden, also braucht sie nur noch aktiviert zu werden, also anstatt "no" ein "yes", zumindest bei SRTP und ich hoffe ja, ZRTP kommt bald mit einer Aktualisierung der Firmware.
In dem Bericht war etwas zu lesen, dass es ein Zertifikatsproblem geben soll, aber die FB stellt dieses doch bereit und es besitzt sogar die öffentliche IP, somit ist eine entsprechende Authentifizierung doch uneingeschränkt anwendbar, oder sehe ich das falsch?
Wenn srtp_supported auf allen FB immer mit "yes" vordefiniert ist, müsste doch eigentlich das meiste bereits erledigt sein und zumindest alle die eine FB angeschlossen haben sollten untereinander mit SRTP kommunizieren können, richtig?
Es war schon interessant zu sehen, dass SRTP bereits in der 7170 vorhanden ist/war, doch auch dort wurde per Standard mit "no" definiert. Wieso?
Auch die Firewall Einstellungen sind gelinde gesagt sehr einfach gehalten. Smartphones, Tablets, PC's, IoT und sonstige Geräte haben alle samt offene Ports, welche durch die Standardvorgaben kompromittiert werden könnten. Immerhin werden eingehende Verbindungen für "connection-related" zugelassen, wobei wiederum eine Kompromittierung möglich ist.
Ich möchte Ihnen bei AVM vorschlagen das Thema Sicherheit bei Ihren Produkten noch mehr in den Vordergrund zu stellen.
Was wäre zu tun...
Grundlegende Verbesserungsvorschläge wären zB:
1. TLS/SSL in WebUI erzwingen.
2. Bei der Erstinstallation wird WLan deaktiviert voreingestellt. Es ist weiterhin möglich per Taster WLan zu aktivieren.
3. Auswahl-Presets für Sicherheitsvorgaben. Entsprechend der Auswahl wird dann eine vordefinierte Konfiguration bei der Erst-Installation geladen.
Es gibt hierzu etliche Punkte die ich nun aufzählen könnte...(siehe 1. und 2.)
Ich bin gern bereit Ihnen meine 100% funktionierende Konfiguration zur Ansicht bereit zu stellen, welche dann das Maximum an Sicherheit bei den Presets darstellen könnte.
4. Jegliche Konfigurations- bzw. Sicherheitseinstellung in die WebUI integrieren (erweiterter Sicherheitsmodus).
5. Zu allen Sicherheitsrelevanten Einstellungen der Konfiguration gibt es ein Online-Wiki, wo alles wichtige nachgelesen werden kann.
Nicht jeder kennt alles ohne Erklärung.
Wenn Sie meine Vorschläge interessant finden und auch umsetzen, können Sie gezielt zu diesen Punkten der Sicherheit Ihre Produkte vermarkten und das Vertrauen Ihrer Kunden weiter ausbauen. Was sagen Sie dazu?
Wissen Sie, letztendlich werden Sie meine Vorschläge doch umsetzen, die Frage wird sein, möchte AVM ein Vorreiter in Sachen IT-Sicherheit sein, oder auf den Markt erst irgendwann reagieren?
Was halten Sie von einer Kooperation zwischen AVM und WSecure bezüglich der Sicherheit in AVM Produkten?
EOF
Aus Datenschutzgründen rezitiere ich die Antwort von AVM:
Kein Interesse an einer Kooperation.
Man sieht keinen Handlungsbedarf.
Okay!
Wir waren der Annahme, dass AVM bestimmt ein Interesse daran finden wird, wenn sie ihre Produkte auch mit dem Aspekt der IT-Sicherheit bei ihren Kunden bewerben können. Doch wir mussten erkennen, dass AVM andere Pläne für die eigene Zukunft hat. Welche das sind, können wir schwer beurteilen, doch anscheinend kann, oder will AVM seinen Kunden die Sicherheit, die problemlos benutzbar wäre, nicht zur Verfügung stellen.
Es ist bedauerlich...
---
Gut, dass Sie immer noch lesen, nur so kennen Sie auch den kompletten Hintergrund bei diesem wichtigen Thema.
Wir hatten gehofft, dass AVM zu den diversen sonstigen Fragen auch eine Aussage macht; um so mehr Licht in die undokumentierte Konfiguration zu bringen, doch leider ist der Support von AVM nicht auf einen einzigen unserer genannten Punkte eingegangen.
Es wäre wirklich interessant gewesen zu erfahren, ob unsere Annahme richtig liegt, dass zwei ALLIP Anschluss Teilnehmer mit Fritz!Box via SRTP (Verschlüsselte Telefonie) bzw. später mit ZRTP telefonieren können, wenn beide die Konfiguration entsprechend anpassen. (Dies kommt einem Fritz!Box Hack gleich, da AVM das Einstellen der SRTP Konfiguration nicht direkt erlaubt.)
Die Frage zu Gunsten des AVM Support könnte sein, ist der Support von AVM überhaupt dazu geschult um qualifizierte Aussagen zu den von uns genannten Fragen zu geben?
- DENKPAUSE -
Was uns am gesamten Sachverhalt so schockiert, dass die Telekom und andere Netz-Betreiber bereits aktiv mit "WLAN to Go" werben.
Wir rezitieren das Telefonat mit einer Telekom Mitarbeiterin:
Bei WLAN to Go haben Sie quasi überall Internet, selbst im dunklen Wald!
Sie verbinden sich einfach mit Ihrem Router zu Hause und wenn Sie das Haus verlassen, haben Sie ab da an überall wo Sie gerade unterwegs sind; WLAN, von Ihrem Gerät zu Hause aus, klar oder?
Na Sonnenklar(er)... Bullshit!
Als wenn dies so machbar wäre...
Die meisten WLAN Router haben eine effektive Übertragungsreichweite von wenigen Metern. Auf dem Land gibt es z.B. gar kein WLAN to Go, sondern wenn dann nur in der Stadt, wo genug Endgeräte vorhanden sind.
Der einzig mögliche Ansatz um WLAN to Go umzusetzen ist, dass Ihr WLAN Router einen zweiten ACCESS-POINT (AP) öffnet und dieser dann einen öffentlichen Zugang von z.B. der Telekom, Unity-Media, etc. darstellt. Klingelt's?
Wir weisen ausdrücklich darauf hin, dass die Fritz!Box von AVM derzeit keine Firewall für das gesamte interne Netzwerk bereit stellt. Es ist lediglich möglich das PPPoE, das Internet und das VOIP Netz durch selbst erstellte Firewallregeln zu limitieren.
Zusätzlich weisen wir darauf hin, dass die WLAN Netze, ja eine Fritz!Box kann gleichzeitig mehrere Netze aktiv schalten, nicht durch eine Firewall von einander getrennt sind.
Wenn nun Ihr Netzbetreiber auf Ihrem Gerät (Router) beschließt einen öffentlichen WLAN Hot-Spot zu betreiben, womit wie gesagt jetzt viele Betreiber werben, wird bei der derzeitigen Konfiguration Ihr gesamter interner Netzwerkverkehr durch unbekannte Hot-Spot Teilnehmer kompromittiert und
Sie wissen davon wiedermal nichts.
Resümee
AVM war leider wenig Gesprächsbereit.
Die Fritz!Box stellt Ihnen derzeit nur eine sehr begrenzte Firewall bereit. (IPv6 fehlt komplett)
SRTP ist via Standardvorgabe deaktiviert und soll es wohl auch bleiben.
Diverse Anregungen sind für AVM nicht von Relevanz.
Was Sie nun machen können?!
Bis jetzt ist es, auch mit derzeitiger Firmware (Fritz!OS), möglich auf die Konfiguration der Fritz!Box Einfluss zu nehmen und so eine sehr gesicherte Konfiguration in einer Fritz!Box zu benutzen. Entweder Konfigurieren Sie nun Ihre Fritz!Box selbst, oder Sie beauftragen jemanden, der die Einstellungen (Firewall, SRTP, TR-069, upnp_cors, etc.) für Sie entsprechend Ihren Wünschen anpasst.
Was Sie machen sollten...
Schreiben Sie Ihren DSL-Netzbetreiber an und erklären Sie, dass Sie der Bereitstellung eines öffentlichen WLAN Access-Point (AP) nicht zustimmen und er diese Einstellung bei Ihrem Gerät nicht anwenden darf.
Was hätte die Telekom und AVM vor Zwangsumstellung zu ALLIP machen sollen?
Die Gefahren erkennen, die Kunden schützen, handeln.
