Warum eine Notfall-IP ? Warum der Zwang mit "fritz.box" ?

[ktw2003]

Alternativ kann man wirklich einfach einen anderen Router vor die Box setzen und dort zum einen ein anderes Subnetz aufspannen, sowie DHCP und DNS bereitstellen. Die Fritzbox ist dann von innen komplett abriegelbar und nur noch über die einem selbst bekannte (Nicht-Standard-) IP bzw. frei wählbaren Namen erreichbar.

 

[RalfFriedl]

Wenn ich es Fritzboxkonfigurationsrücksetztaste nennen würde wäre das ok ?
Es ging mir eigentlich nur um einen ersatz für die Notfall-IP.

Du kannst die Taste nennen, wie Du willst, aber wenn Du sie Fritzboxkonfigurationsrücksetztaste nennen würdest, würdest Du eine solche Taste hier nicht als Alternative zum Schraubenzieher kurzschließen betrachten.
Und das Rücksetzen der Konfiguration ist etwas anderes als die Notfall-IP, daher ist keines von beiden ein Ersatz für das andere.

Warum die Fritzbox Pingbefehle eines Linux-Systems aber beantwortet, bei Windows-Systemen aber nicht (ich glaub schon, dass die Anfragen Windows-seitig rausgehen, es dauert auch immer ein paar Sekunden, bevor "das Windows-Ping" die Anfrage wiederholt, standardmässig sendet Windows ja immer 4 Ping-Anfragen - und ich sehe gerade, dass die sogesehen schon erfolgreich sind laut Statistik, man muss nur genau hinsehen:

B:\Users\User>ping 169.254.1.1

Pinging 169.254.1.1 with 32 bytes of data:
Reply from 192.168.178.32: Destination host unreachable.
Reply from 192.168.178.32: Destination host unreachable.
Reply from 192.168.178.32: Destination host unreachable.
Reply from 192.168.178.32: Destination host unreachable.
Ping statistics for 169.254.1.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

da wirds mir immer unverständlicher

Die Rückmeldung kommt von der Adresse .32, also wohl vom PC selbst. Wenn die Box das als unreachable melden würde, sollte dort auch ihre Adresse stehen. Das ping unter Windows wartet wohl grundsätzlich auf eine Antwort, und zwar auch länger als 1 Sekunde. Mein Windows XP bekommt eine Antwort auf die Pings, wenn die Adresse konfiguriert ist, und ansonsten Zeitüberschreitung. Warum bei Dir unreachable kommt, aber dann 0% loss ist allerdings seltsam. Es ist eben Windows.

 

[sibsnonto]

Ja das Schraubenzieherproblem ist eine andere Baustelle...

Zurück zur Notfall-IP, so wie ich das bis jetzt mitbekommen habe ist sie ja nur dafür gut, um auf die Box zu kommen, wenn es über die normale IP nicht klappt, also wenn man da was verpfuscht hat. Dann könnte aber eine Taste, die nur die IPs auf Standard zurücksetzt, diese Funktion ersetzen ?

 

[scolopender]

Ja, das könnte sie. Das ist dann die Fritzbox-IP-Konfigurationsrücksetztaste. :lach:

G., -#####o:

 

[sibsnonto]

Ja hört sich doch gut an :lol:

 

[koyaanisqatsi]

Was der multid übrigens immer automatisch mit lan:0 macht (169.254.1.1),
wenn der merkt das die geändert oder runtergefahren wurde (ifconfig lan:0 down).
Der multid braucht eine Taste.

 

[Freetz!Box]

...also wenn man da was verpfuscht hat. Dann könnte aber eine Taste, die nur die IPs auf Standard zurücksetzt, diese Funktion ersetzen ?

Ich möchte daran erinnern das es sich um einen Router handelt und nicht um ein Experimentier- und Bastelset. Im produktiven Betrieb macht weder im Privatkunden- noch im Geschäftskundenbereich ein Resetbutton Sinn. Wenn so oft ein Reset durchgeführt werden muss das die Integration einer Taste eine Überlegung wert wäre, dann ist das Gerät technisch und/oder konzeptionell einfach Ausschuss.

 

[Gobi04]

Die Notfall IP würde ich, nur nach drücken der DECT Taste, für kurze Zeit wirksam werden lassen.

 

[scolopender]

Im produktiven Betrieb ...

... verbastelt man auch nicht die Konfiguration. Da bedarf es auch keiner Notfall-IP-Adresse.

G., -#####o:

 

[sibsnonto]

@Gobi04
Die Idee finde ich auch nicht schlecht. Man könnte sie auch wie die Telnet-Funktion über einen Code vom Telefon ein- und abschaltbar machen.

 

[Novize]

Zurück zur Notfall-IP, so wie ich das bis jetzt mitbekommen habe ist sie ja nur dafür gut, um auf die Box zu kommen, wenn es über die normale IP nicht klappt, also wenn man da was verpfuscht hat.

Bevor Du Dich hier noch weiter mit der IP-Adresse verrennst ein Bildnis zur Notfall-IP aus dem realen Leben:

Eine IP-Adresse ist wie eine postalische Adresse.
Wenn nun neben der normalen postalischen Adresse "Gassenhauer 13 in 12345 Kleinkleckersdorf"
noch die Notfalladresse "Gassenhauer 15 in 12345 Kleinkleckersdorf" existent wäre
- was bitteschön hat das für einen sicherheitstechnischen Nachteil? Kommen dann mehr Einbrecher zu Dir? Lässt sich dann das Schloss der Haustüre leichter knacken?

Beachte bitte, das Einfallstor ist nicht die Adresse sondern die Haustür, also bei der Fritz der WEB-Zugang. Der ist aber bei beiden (postalischen) Adressen der selbe! Nicht nur der gleiche. Eine weitere Hausnummer an der Eingangtür macht das Haus nicht unsicherer.

 

[Theo Tintensich]

B:\Users\User>ping 169.254.1.1

Pinging 169.254.1.1 with 32 bytes of data:
Reply from 192.168.178.32: Destination host unreachable.
Reply from 192.168.178.32: Destination host unreachable.
Reply from 192.168.178.32: Destination host unreachable.
Reply from 192.168.178.32: Destination host unreachable.
Ping statistics for 169.254.1.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

da wirds mir immer unverständlicher

Wie kommst du darauf, dass das erfolgreich war?

Dein Computer sagt doch ganz deutlich Destination host unreachable
Das bedeutet ganz einfach, dass der Rechner nicht weiß, wie er das Ziel "169.254.1.1" erreichen soll. Denn es steht nicht in seiner Routing-Tabelle.
Das am Ende "Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)" steht, also er für jedes paket eine antwort bekommen hat, ist in diesem Fall keine Erfolgsmeldung, dass das Ziel erreicht wurde.

Das Netz 169.254.0.0/16 ist kein normales Netz, es ist durch den Eintrag

Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.178.1   192.168.178.32    266

in der Routing-Tabelle nicht abgedeckt.

deshalb auch das "Host unreachable"

 

[RalfFriedl]

Wie kommst du darauf, dass das erfolgreich war?

Auf einem Linux System würde es so aussehen:

PING 192.168.178.253 (192.168.178.253) 56(84) bytes of data.
From 192.168.178.25 icmp_seq=1 Destination Host Unreachable
From 192.168.178.25 icmp_seq=2 Destination Host Unreachable
From 192.168.178.25 icmp_seq=3 Destination Host Unreachable
From 192.168.178.25 icmp_seq=4 Destination Host Unreachable

--- 192.168.178.253 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3015ms

Kein 0% loss, nur weil für jedes Paket einFehler kam.

Das Netz 169.254.0.0/16 ist kein normales Netz, es ist durch den Eintrag 0.0.0.0/0 in der Routing-Tabelle nicht abgedeckt.

Das Netz 169.254.0.0/16 ist ebenso wie 10.0.0.0/8 oder 127.0.0.0/8 oder 192.168.0.0/16 ein ganz normales Netz, was das Routing betrifft. Es gibt nur Konventionen, wie es verwendet werden soll.

 

[Novize]

Warum die Fritzbox Pingbefehle eines Linux-Systems aber beantwortet, bei Windows-Systemen aber nicht (ich glaub schon, dass die Anfragen Windows-seitig rausgehen, es dauert auch immer ein paar Sekunden, bevor "das Windows-Ping" die Anfrage wiederholt, standardmässig sendet Windows ja immer 4 Ping-Anfragen - und ich sehe gerade, dass die sogesehen schon erfolgreich sind laut Statistik, man muss nur genau hinsehen

Bei meinen Windows-Systemen (XP, Vista, Win 7) wird dieser Ping komplett fehlerfrei beantwortet...

Ping wird ausgeführt für 169.254.1.1 mit 32 Bytes Daten:
Antwort von 169.254.1.1: Bytes=32 Zeit=2ms TTL=64
Antwort von 169.254.1.1: Bytes=32 Zeit=2ms TTL=64
Antwort von 169.254.1.1: Bytes=32 Zeit=2ms TTL=64
Antwort von 169.254.1.1: Bytes=32 Zeit=2ms TTL=64

Ping-Statistik für 169.254.1.1:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 2ms, Maximum = 2ms, Mittelwert = 2ms

 

[sibsnonto]

Beachte bitte, das Einfallstor ist nicht die Adresse sondern die Haustür, also bei der Fritz der WEB-Zugang. Der ist aber bei beiden (postalischen) Adressen der selbe! Nicht nur der gleiche. Eine weitere Hausnummer an der Eingangtür macht das Haus nicht unsicherer.

Für den Webzugang braucht man erstmal die IP (bzw. den Namen), wenn der Einbrecher aber die Hausnummer nicht kennt (um jetzt mal bei deinem Vergleich zu bleiben), dann kann er auch schlecht die Haustür finden ! Es ist nicht direkt ein Sicherheitsrisiko, aber durch den Zwang der zweiten Hausnummer (und dem Namen "fritz.box") ist es halt leichter die Haustür zu finden.

MfG

 

[koyaanisqatsi]

Wenns einen stört, kann auch was dagegen unternehmen...
nonfip.sh

#!/bin/sh
# Bis zur Unendlichkeit, und noch viel weiter!
while true
do
# Nur ein Ping, Vasilly!
ping -c1 169.254.1.1 2>/dev/null
if [ $? -eq 0 ]
then
# Das down Kommando
ifconfig lan:0 down
ifconfig lan:0 10.10.10.10 up
# ...lange warten...
sleep 300
else
# ...kurz warten...
sleep 5
fi
done
#EOF

...dann...

nonfip.sh &

...Kontrolle...

ps
30109 root       0:03 {nonfip.sh} /bin/sh /var/media/ftp/SanDisk-Cruzer-01/scripts/nonfip.sh

...wirklich?

ifconfig lan:0
lan:0     Link encap:Ethernet  HWaddr 9C:C7:A6:XX:XX:XX
          inet addr:10.10.10.10  Bcast:10.255.255.255  Mask:255.0.0.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

Darauf lass ich jetzt einen filternden Proxy (tinyproxy) laufen.

 

[Novize]

Es ist nicht direkt ein Sicherheitsrisiko, aber durch den Zwang der zweiten Hausnummer (und dem Namen "fritz.box") ist es halt leichter die Haustür zu finden.

Dann würdest Du aber nicht die Ursache Sicherheitsloch bekämpfen können sondern nur an dem Symtom "Fritzbox-lokalisieren" etwas rumfrickeln. Und das ist auch keine Einshränkung der Angriffsfläche weil es recht einfach ist, den Weg der Daten Richtung Internet zu analysieren, Stichwort "Gateway". Genau da steht wie in einem Adressbuch die echte IP-Adresse des Gateways drin.

 

[scolopender]

Auf einem Linux System würde es so aussehen ...

Da ist aber ein kleiner Unterschied zum anderen Beispiel: Die Zieladresse ist im selben Subnetz.

G., -#####o:

 

[koyaanisqatsi]

Der Klientrechner wird über die 169.254.1.1 die fritz.box erreichen wenn:
Die Fritz!Box Gateway und DNS automatisch via DHCP wird.

Beides ist nicht mehr gegeben, wenn der Klient DNS manuell eingetragen bekommt.
Wie zum Beispiel die von Google (8.8.8.8 und 8.8.8.4) und/oder OpenDNS.
Auch bei den IPv6 Protokoll, nicht vergessen.

 

[RalfFriedl]

Da ist aber ein kleiner Unterschied zum anderen Beispiel: Die Zieladresse ist im selben Subnetz.

Die Zieladresse ist auch bei dem Windows Beispiel im gleichen Subnetz, oder sie wird von einem lokalen Firewall gefiltert. sonst käme eine Rückmeldungen nämlich, wenn überhaupt, vom Router und nicht von der lokalen Adresse.

Der Klientrechner wird über die 169.254.1.1 die fritz.box erreichen wenn:
Die Fritz!Box Gateway und DNS automatisch via DHCP wird.

Der Klientrechner wird über die 169.254.1.1 die fritz.box erreichen wenn:
Die Fritz!Box Gateway ist, ob über DHCP oder anderweitig. DNS spielt dafür überhaupt keine Rolle.