FritzBox und FON.COM / Trennen Internes Netz von FON-Netz

[Moonbase]

So. Die Antwort ist da. Und meine Reaktion.

Hier der Text, den ich im englischen Fonboard schrieb, noch einmal auf Deutsch:

---

So, hier ist die Antwort von "FON" (wer auch immer das gewesen sein mag):
"Wir wollen nicht, dass es bekannt wird und hör' Du auf, unsere Sicherheitslücken zu finden!"
(in meinen Worten, denn so habe ich es verstanden)

Die Original-Antwort auf meine Bereichte und Hilfsangebote war diese:

some replys in the same.

* Fon responded to me that do not accept your beta-testing of our products.

* FON said that the firmware allow/deny the access between wifi and lan, and you could activate/de-activate it.

* FON said that "if a windows dont have a security system, its a pc/pcowner problem" and not a Firmware problem.

I´m sorry about this.

Hier noch einmal versucht, ähnlich schlecht ins Deutsche zu übersetzen:

einige Antworten in dem selben.

* FON antwortete zu mir dass nicht akzeptieren Dein Beta-Testen von unsere Produkte.

* FON sagte, dass die Firmware erlaubt/verbietet den Zugriff zwischen WiFi und LAN, und Du könntest es aktivieren/deaktivieren.

* FON sagte, dass "wenn ein Windows nicht hat ein Sicherheitssystem, es ist ein PC/Eigentümer-Problem" und nicht ein Firmware-Problem.

Es tut mir leid.

Nicht "ein Windows" hat ein Sicherheitsproblem, sondern "La Fonera" hat eine Menge Sicherheitsprobleme. Und damit alle "Foneros". Ohne Ausnahme.

---

Nun ja. Zeit, den Stecker zu ziehen, scheint es. Und dies ist meine momentane Empfehlung für jeden "Fonero", weltweit.
Es tut mir sehr leid, das hier schreiben zu müssen. Aber ein solch unglaubliches Verhalten seitens FON muss das Ganze zu einem NOTHALT bringen. SOFORT.

[Manuel]

Hallo,

@ Moonbase

Vielen Dank für die aufklärung.

Ich fasse es jawohl nicht was Fon da treibt, ich habe meinen LaFonero
vom Netz genommen.

Gruss Manu

[detg]

@Moonbase

Schreib doch mal deine Erfahrungen an die c't. Vielleicht interessieren die sich dafür und vielleicht reagiert Fon auf einen entsprechenden c't-Artikel.

Es wäre einen Versuch wert.

[clawiter]

Ich habe mich heute bei FON angemeldet und bin natürlich gleich auf das Problem gestossen, dass mein gesamtes privates Netz von außen erreichbar war. Im offiziellen (englischen) FON-Board bin ich dann auf diesen Workaround gestossen, der bei mir auch soweit zu funktionieren scheint (WRT54GS+FBF7170):

1. ssh to your router from the LAN Interface.
2. rm /etc/firewall.user
3. cp /rom/etc/firewall.user /etc/
4. vim /etc/firewall.user and add something like the following line at the ve
ry bottom:

Code:

iptables -I FORWARD 1 -s 192.168.182.0/24 -d 192.168.4.0/24 -j REJECT


where 192.168.182.0/24 is your FON-Router's WLAN Subnet and 192.168.4.0/24
is your normal subnet where your PCs are in.

5. reboot the router

Ich habe -d 192.168.0.0/16 genommen, das blockiert alles, was ich so benutze (Ich habe 192.168.1.* Adressen, aber die FBF ist ja auch unter 192.168.178.254 und unter 192.168.179.1 erreichbar). Wer will, kann natürlich auch noch die 10.*-Netze blocken.

Nur macht mir dieses automatische Firmware-Update Sorgen, weil es ist ja gut möglich dass die Änderungen nächste Woche gleich wieder überbügelt werden Irgendwie blöd, ich frag mich, warum FON das nicht von alleine fixt??

[jjbig]

Hat jemand eine Lösung, wie man eine Box von FON hinter die FritzBox packen kann und den Weg der FON vom eigenen Netz abtrennen kann?

[frank_m24]

Hallo,

die einzige wirklich sinnvolle Möglichkeit scheint mir der Weg mit insgesamt 3 Routern zu sein, z.B. 2 Fritzboxen und der FON Router. Dann kann man eine Box als DSL Router einsetzen. An diesen Router werden dann der FON Router und die zweite BOX (NAT-Router über LAN) gehängt. So befindet sich zwischen FON Netz und LAN eine NAT Instanz, meines Erachtens die sicherste Möglichkeit, einen Zugriff vom FON Netz ins LAN zu verhindern. Quasi eine DMZ für Bastler.
Nicht verschwiegen werden soll, dass vom FON Router evtl. noch der Zugriff auf die erste Box möglich ist, und damit auf die Zugangsdaten für DSL und VoIP (VoIP kann man auch in die 2. Box verlagern). Konfiguriert man den FON entsprechend (das alle Subnetze der Box geblockt werden), so müsste sich ein potentieller Hacker dann erst durch den FON Schutz und die Zugriffsverwaltung der Box kämpfen. Beides wahrscheinlich nicht unmöglich, aber doch immerhin aufwendig.

Viele Grüße

Frank

[cb1]

Welche Funktionalität steckt hinter der Einrichtung eines Exposed Host?
Wird für diese IP nur die Firewall deaktiviert oder richtig in eine DMZ verschoben und hat damit auch keinen Zugriff auf das interne Netz?

Perfekt wären natürlich Möglichkeiten, VLANs einzurichten und die Fonera in ein eigenes zu stecken, aber das erwarte ich von einer FritzBox nicht

[frank_m24]

Hallo,

Wird für diese IP nur die Firewall deaktiviert

Genau das ist der Exposed Host in der Fritzbox. Im LAN ist der Rechner genau wie alle anderen Fritz-Clients.

Perfekt wären natürlich Möglichkeiten, VLANs einzurichten und die Fonera in ein eigenes zu stecken, aber das erwarte ich von einer FritzBox nicht.

Die Fritzboxen können VLAN in gewissen Grenzen - man muss es nur über Firmware MODs aktivieren. Lies die Threads zur 7050 und VDSL, da ist erklärt, wie man eine 7170 und eine 7050 zu VLANs überredet.

Viele Grüße

Frank

[cb1]

Danke für den Hinweis!

Die Fritzboxen können VLAN in gewissen Grenzen - man muss es nur über Firmware MODs aktivieren. Lies die Threads zur 7050 und VDSL, da ist erklärt, wie man eine 7170 und eine 7050 zu VLANs überredet.

Ich habe dann weiter gesucht und Nutzer gefunden, welche getrennte Netze in ihren Boxen implementiert haben, um FON, Freifunk bzw. Verwandte vom eigenen Netz fernzuhalten...

In folgenden Thread wird dies thematisiert: http://www.ip-phone-forum.de/showthr...t=97472&page=4

Details zur Konfiguration des internen Switches sind im Wiki enthalten:
http://wiki.ip-phone-forum.de/gatewa..._konfiguration

Ich werde dies demnächst mal testen, da dann egal ist, was La Fonera macht oder nicht macht, es wird einfach getrennt gehalten...

[PsychoMantis]

Ich habe immer noch nicht dieses Problem gelöst. Nach der erfolgreichen Authentizierung bei FON hat man auch den Zugriff auf meine andere PCs im privaten Netzwerk.

Es gibt da irgendwie die Möglichkeit das mit den iptables einzustellen, aber ich weiß nicht wie.

[DM41]

Für den Fonera-Router gab es doch zwischenzeitlich mindestens ein Update. Haben die dieses Sicherheitsleck immer noch nicht geschlossen? (Sorry, bin was Fon angeht nicht auf dem aktuellen Stand)

Dann spar ich mir nämlich das Firmware-Update und lasse den Router (wie Fon per Mail angekündigt) weiterhin so lange offline, bis das Problem gelöst ist.

[2000one]

Hallo,

mich würde auch mal ein aktueller Stand der Sicherheitsproblematik interessieren, da ich in naher Zukunft einen aktuellen La Fonera Fon Router hinter meine FB 7170 hängen möchte.
Kann evtl. jemand nachvollziehbare Schritte empfehlen mit denen ich mich so gut wie es nun gerade möglich ist absichern kann um einen Zugriff auf die Fritz!Box zu verhindern, ohne dass ich einen Rechnerpark in den Flur stellen muss um 2 physikalisch getrennte Netze zu haben.

Vielen Dank schon mal an die Profis für jeden kleinen Tip!

Viele Grüsse

[namevergeben]

Das Problem besteht nach meiner Erfahrung weiterhin.
Habe eben meine LaFonera wieder in Betrieb genommen - und über das öffentliche Netz komme ich auf die Fritz.Box.

Habe das Teil schon wieder vom Netz - und auf der Website die Fonera im Stausee versenkt

Gruss
Andy

[mayfly]

Tjo, dann bleibt meiner wohl auch noch offline...

[PsychoMantis]

Ich will FON eigentlich nicht verteidigen, aber ich glaube, hier liegt ein Irrtum vor.

Ganz einfach Anleitung:

1. La Fonera auspacken
2. An PC dranhängen und über die IP 169.254.255.1 auf die Weboberfläche gehen
3. Aus FON_AP FON_ADDON machen und als DNS-Server 88.198.165.155 einstellen.
4. La Fonera ausschalten.
5. La Fonera mit dem Internet verbinden und einschalten.
Jetzt holt sich die La Fonera die sogenannten freewlan-addons.
6. Jetzt könnt ihr gerne nochmal probieren, ob man nach dem Einloggen über FON_AP immer noch auf die Fritzbox zugreifen kann.


Ich kann nur sagen, dass die Jungs von freewlan.info alles richtig gut gelöst haben und eine La Fonera funktioniert mit ihren Addons mindestens so gut wie die es sollte oder sogar besser. Ich kann nur jedem empfehlen es auszuprobieren.

Nachtrag: Es kann sein, dass eure La Fonera bereits mit der neusten Firmware von FON ausgestattet ist. In dem Fall müsst ihr die Kiste erst resetten, damit wieder die alte Firmware daur ist. Erst dann fuktioniert die oben beschriebene Anleitung.

[mayfly]

Das werde ich dann mal testen - Vielen Dank!

[DM41]

Ich will FON eigentlich nicht verteidigen, aber ich glaube, hier liegt ein Irrtum vor.

Irrtum würde ich nicht sagen. Habe davon noch nichts gehört. Ich habe Fon mehrfach wegen des Problems angeschrieben und auch im Fon-Forum wurde groß und breit darüber diskutiert. Hätten sie mir eine Lösung beschrieben, hätte ich es gern versucht. Irgendwann habe ich dann aufgegeben und Fon offline gelassen. Seitdem habe ich mich nicht mehr damit befasst und auf eine Reaktion/Update seitens Fon gewartet.

So wie ich das sehe, stammen die Addons ja auch nicht von Fon sondern der Gemeinde drumherum.

Vielen Dank jedenfalls für die Info. Werde es mir mal anschauen.

[PsychoMantis]

Ja, richtig. FON hat was das betrifft versagt. Nicht FON hat das Problem gelöst, sondern die Gemeinde.

Mit den Addons ist jedenfalls einiges möglich. Das wofür die Addons eigentlich gedacht waren, ist die Möglichkeit, die La Fonera an ein vorhandenes WLAN dran zu hängen, so dass man kein Netzwerkkabel zur La Fonera ziehen muss. So kann man die Kiste bequem irgendwo ans Fenster stellen und einfach mit einer Fritz!Box (oder irgendeinem anderen WLAN-Access Point) verbinden. Die meisten, die eine La Fonera haben, haben nämlich eh schon WLAN im Haus. Den jetzt frei gewordenen RJ45-Anschluss der La Fonera kann man nun auch nutzen, um einen PC da zu verbinden, der keinen WLAN dran hat. Die Möglichkeiten sind unbegrenzt.

Ferner kommen zu den Addons ständig irgendwelche neuen Features hinzu. Falls jemand ein Feature vermisst, kann man das gerne unter http://freewlan.info vorschlagen. Manchmal vergehen nur wenige Tage vom Vorschlag bis zur Implimentierung.

[mayfly]

Das werde ich dann mal testen - Vielen Dank!

Meine Tests waren Erfogreich. Mit dem FreeWLAN-Addon in der Version 0.9.3 bin ich vollauf zufrieden.

...
Mit den Addons ist jedenfalls einiges möglich. Das wofür die Addons eigentlich gedacht waren, ist die Möglichkeit, die La Fonera an ein vorhandenes WLAN dran zu hängen, so dass man kein Netzwerkkabel zur La Fonera ziehen muss. So kann man die Kiste bequem irgendwo ans Fenster stellen und einfach mit einer Fritz!Box (oder irgendeinem anderen WLAN-Access Point) verbinden. Die meisten, die eine La Fonera haben, haben nämlich eh schon WLAN im Haus. Den jetzt frei gewordenen RJ45-Anschluss der La Fonera kann man nun auch nutzen, um einen PC da zu verbinden, der keinen WLAN dran hat. Die Möglichkeiten sind unbegrenzt.
...

Das wird mein nächstes Ziel sein