[Problem] 7270 V3 - FTP Server aus dem Internet ohne user/pass erreichbar!

[vel_tins]

Meine 7270 V3 hängt als IP-Client hinter einem Asus Router.
Portforwarding im Asus auf Port 21 der 7270 wurde eingerichtet.

Ein USB Stick ist an der Fritz angesteckt und freigegeben.

Ein User wurde angelegt und dieser hat Zugriff auf ein bestimmtes
Verzeichnis des Sticks. (Sollte zumindest so sein)
Nun habe ich festgestellt, das dieser Fritz FTP Server aus dem
Internet ohne Benutzername und Password erreichbar ist!

Bzw. jeder Benutzername und Password wird akzeptiert...
Und zwar nicht nur das freigegebene Verzeichnis sondern das Root
Verzeichnis des Servers (Nicht nur des USB Sticks) wird angezeigt.
Das ganze sogar mit Schreibzugriff.
Getestet mit Filezilla und diversen Internet Browsern.
Muss das so, oder mein Fehler?
PS: selbst wenn irgendwas falsch konfiguriert sein
sollte.....Vollzugriff aus dem Internet?

EDIT:gerade auch noch mal aus dem Mobilnetz getestet, kein Problem ohne
user/pass auf den Server zuzugreifen!

Filezilla Log:
Der markierte Teil ist interessant...(User lmaa existiert übrigen nicht in der FB)

Status: Auflösen der IP-Adresse für xxx.zapto.org
Status: Verbinde mit xxx.180.1.90:2221...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 FRITZ!BoxFonWLAN7270v3 FTP server ready.
Befehl: USER lmaa
Antwort: 230 User @SkipAuthFromHomenetwork logged in.
Befehl: SYST
Antwort: 215 UNIX Type: L8 Version: Linux 2.6.32.41
Befehl: FEAT
Antwort: 211- Extensions supported:
Antwort: UTF8
Antwort: MDTM
Antwort: SIZE
Antwort: AUTH TLS
Antwort: PBSZ
Antwort: PROT
Antwort: 211 end
Befehl: OPTS UTF8 ON
Antwort: 200 UTF8 ON
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (xxx,180,1,90,159,176)
Befehl: LIST
Antwort: 150 Opening BINARY mode data connection for '/bin/ls -lgA'.
Antwort: 226 Transfer complete.
Status: Anzeigen des Verzeichnisinhalts abgeschlossen
Antwort: 421 Timeout (120 seconds): closing control connection.
Fehler: Verbindung vom Server geschlossen

 

[PeterPawn]

Muss das so, oder mein Fehler?
PS: selbst wenn irgendwas falsch konfiguriert sein
sollte.....Vollzugriff aus dem Internet?

Soll sicherlich nicht so sein ... aber die generelle Authentifizierung mit Nutzername/Passwort für die gesamte Box hast Du schon aktiviert ?

Der Benutzer @SkipAuthFromHomeNetwork kommt eigentlich nur zum Einsatz, wenn man die Authentifizierung ausschaltet.

Wenn dann die WAN-Seite auch noch mit einer "privaten" IP-Adresse läuft, hatte der FTP-Server schon immer seine Probleme, das sauber zu unterscheiden. Am Schluß kommt ja beim ftpd die Verbindung (nach dem internen Forwarding für die Freigabe vom WAN- zum LAN-Interface) immer an derselben Stelle raus.

Ich würde Dein Protokoll so interpretieren, daß Du an Deinem Border-Router ein Forwarding für 2221 auf 21 an der Box im IP-Client-Modus eingerichtet hast.

 

[vel_tins]

die generelle Authentifizierung mit Nutzername/Passwort für die gesamte Box hast Du schon aktiviert

Nein, nutze die Box nur noch als VOIP Adapter, Fernzugriff, VPN alles deaktiviert, somit also Anmeldung aus dem HEIMNETZ = KEINE

Der Benutzer @SkipAuthFromHomeNetwork kommt eigentlich nur zum Einsatz, wenn man die Authentifizierung ausschaltet.

Nun ja, ich war ja der Meinung, das die Authentifizierung bei der Anmeldung übers Internet, durch den extra dafür angelegten Benutzer erfolgt, wie auch hier beschrieben:


Somit ist es ein Fehler im FTP Server, dass er nicht erkennt, das der Zugriff über Internet erfolgt?
Der Client (Filezilla z.B.) wird sich doch wohl mit seiner IP anmelden, oder nicht?
Wie auch immer, eine ganz haarige Kiste, die ich auch nur zufällig entdeckt habe.
Wenn bekannt ist, das der FTP Server solch einen gravierenden Fehler enthält, warum wird dann bei seiner Aktivierung nicht zwingend ein FRITZBOX Kennwort vorrausgesetzt?
So wird der Benutzer im Glauben gelassen, der angelegt User, wird die Authentifizierung schon handlen...
Mann Mann Mann.

 

[PeterPawn]

Somit ist es ein Fehler im FTP Server, dass er nicht erkennt, das der Zugriff über Internet erfolgt?
Der Client (Filezilla z.B.) wird sich doch wohl mit seiner IP anmelden, oder nicht?

Welche IP bei der Fritz!Box auf der WAN-Seite ankommt, entscheidet Dein Asus-Router mit der Methode des Portforwardings. Sieh doch mal nach, was auf der Fritz!Box als Gegenstelle angezeigt wird.

Wie auch immer, eine ganz haarige Kiste, die ich auch nur zufällig entdeckt habe.
Wenn bekannt ist, das der FTP Server solch einen gravierenden Fehler enthält, warum wird dann bei seiner Aktivierung nicht zwingend ein FRITZBOX Kennwort vorrausgesetzt?
So wird der Benutzer im Glauben gelassen, der angelegt User, wird die Authentifizierung schon handlen...

Zitat aus der Datei "info.txt" (für die 7390, dürfte aber bei der 7270 genauso drinstehen):

5) Nur für Anwender wichtig, die Ihre FRITZ!Box als IP-Client nutzen und 
die https-Fernwartung aktiviert haben: Bislang wurden beim https-Zugriff 
auch im IP-Client-Modus die Zugangsdaten für die Fernwartung abgefragt. 
Dies entfällt nun. Alle Zugriffe auf den IP-Client werden als lokale 
Zugriffe behandelt. Richten Sie die lokale Anmeldung mit FRITZ!Box-
Benutzernamen und -Kennwort ein, bevor Sie eine FRITZ!Box im IP-Client-Modus
aus dem Internet zugänglich machen (via vorgelagerter Firewall-Portfreigabe o.ä.).

Steht zwar ausdrücklich "https-Fernwartung" drin, ist aber dasselbe Problem ...

 

[vel_tins]

Zitat aus der Datei "info.txt" (für die 7390, dürfte aber bei der 7270 genauso drinstehen):

Aaalsoo, das lass ich jetzt nicht als Entschuldigung gelten
1. bekommt man info.txt überhaupt zu Gesicht wenn man ein Update über die Weboberfläche, bzw. AVM Website macht, oder ist das eher was für Nerds, die sich ein Image vom AVM FTP laden?
2. steht da nix von FTP Server, also im Prinzip ein ganz anderer Anwendungsfall
3. bezieht sich das wohl auf eine alte 5.00 Firmware, die aber nun schon diverse Patches erhalten hat.
4. welcher (normale User) soll das alles bitteschön lesen, verstehen und dann noch daraus (ab Zeile 545) schließen, das es mit dem FTP Server genauso läuft wie mit https Fernwartung?

Ich kann mich erinnern, das bei älteren Firmwares eine Aktivierung der Fernwartung gar nicht möglich war, ohne ein BOX/Oberflächen Passwort zu vergeben.
Wie auch immer, so was darf einfach nicht passieren, da gehört bei solch einer kritischen Dienste Aktivierung zumindest eine richtig fette Warnung wegen fehlender Passwörter angezeigt!
Werde ich jetzt also doch den Proftpd auf dem Asus installieren, was ich eigentlich vermeiden wollte, da ich dafür einige Scripte ändern muss.

 

[PeterPawn]

Aaalsoo, das lass ich jetzt nicht als Entschuldigung gelten

Da ich nichts davon "verbrochen" habe, würde ich es auch nicht als Entschuldigung verstanden wissen wollen ...

1. bekommt man info.txt überhaupt zu Gesicht wenn man ein Update über die Weboberfläche, bzw. AVM Website macht, oder ist das eher was für Nerds, die sich ein Image vom AVM FTP laden?

Jein ... wenn man unter "Online-Update" den Link "Wichtige Informationen und Neuigkeiten zum neuen FRITZ!OS." anwählt, wird genau diese Datei angezeigt.

2. steht da nix von FTP Server, also im Prinzip ein ganz anderer Anwendungsfall

Deshalb habe ich ja extra dazu geschrieben, daß es sich um dasselbe Problem handelt.

3. bezieht sich das wohl auf eine alte 5.00 Firmware, die aber nun schon diverse Patches erhalten hat.

Da siehst Du mal, wie lange dieses "Problem" schon bekannt ist ...
Um es noch mal ganz klar zu sagen: Bei IP-Client-Betrieb wird kein Unterschied zwischen externen und internen Zugriffen gemacht (das ist die Essenz der Aussage in der info.txt), das hat u.a. programmtechnische Ursachen. Dieses Verhalten ist im Endeffekt "by design" und AVM wird den Teufel tun und da irgendetwas ändern ... Wer im IP-Client-Modus eine Zugriffskontrolle von "außen" will, muß sie eben auch für "innen" aktivieren.

4. welcher (normale User) soll das ...

Da ich nur einen einzelnen Punkt herausgegriffen habe, wird die Umstellung des kompletten Authentifizierungsvorgangs nicht so deutlich, wie in der AVM-Infodatei. Wenn man sich den Kontext dieser ganzen Geschichte ab

Achtung! Mit diesem Update wird das Modell für die Zugriffsrechte zu Ihrer 
FRITZ!Box geändert. Bitte beachten Sie zu Ihrer Sicherheit die folgenden 
Hinweise:

ansieht, wird es deutlicher. Wenn da nicht ausdrücklich der FTP-Server erwähnt wird, ist das in meinen Augen vertretbar. Auch bei genauer Lektüre der heutigen Erläuterungen im GUI könnte man zumindest hellhörig werden und seine Einstellungen einfach mal testen.

OT: Unfaßbar, daß ich mal AVM quasi verteidigen muß ...

Ich kann mich erinnern, das bei älteren Firmwares eine Aktivierung der Fernwartung gar nicht möglich war, ohne ein BOX/Oberflächen Passwort zu vergeben.

Vor 05.50, da gab es auch nur ein generelles Passwort und keine Benutzerverwaltung.

Wie auch immer, so was darf einfach nicht passieren, da gehört bei solch einer kritischen Dienste Aktivierung zumindest ... wegen fehlender Passwörter angezeigt!

Es liegt ja nicht in erster Linie am Dienst, eher am IP-Client-Modus (und dann an allen Diensten). Also sollte vielleicht bei der Aktivierung von "LAN1" als Internetanschluß klarer gewarnt werden ?

Aber es ist ja eigentlich müßig ... die Informationen von AVM interpretiert ohnehin jeder nach eigenem Gusto.

Ich wollte Dich auch nur "auf die richtige Schiene setzen" ... bevor man sich bei AVM "blamiert".

 

[vel_tins]

Um es noch mal ganz klar zu sagen: Bei IP-Client-Betrieb wird kein Unterschied zwischen externen und internen Zugriffen gemacht (das ist die Essenz der Aussage in der info.txt), das hat u.a. programmtechnische Ursachen. Dieses Verhalten ist im Endeffekt "by design" und AVM wird den Teufel tun und da irgendetwas ändern ... Wer im IP-Client-Modus eine Zugriffskontrolle von "außen" will, muß sie eben auch für "innen" aktivieren.

Warum auch immer AVM das so gemacht hat ist ja letztendlich egal für den User und es stellt ja auch kein Problem dar, die Zugriffskontrolle zu aktivieren, wenn.....
Ja wenn man es denn weiß.
Aber es gibt keine Warnung, Hinweis oder sonstiges beim aktivieren des FTP Servers, egal in welchem Modus die Box betrieben wird.
Unglücklicherweise funktioniert der Server trotzdem, jedoch OHNE Zugriffskontrolle, sperrangelweit offen im Inet!

Es liegt ja nicht in erster Linie am Dienst, eher am IP-Client-Modus (und dann an allen Diensten). Also sollte vielleicht bei der Aktivierung von "LAN1" als Internetanschluß klarer gewarnt werden ?

Vollkommen egal, wer oder was letztendlich der "Verursacher" ist, zudem laufen ja jede Menge Boxen über "Lan1", z.B. die hinter einem Kabelboxen!
Egal welcher Box-Modus, info.txt (lachhaft) oder was auch immer, das ist eine riesen Sicherheitslücke und gar nichts anderes.
So was darf nicht passieren, Dienste wie FTP Server oder Fernwartung OHNE PASSWORT im Internet, unfassbar.
Da gibts auch nichts "schön zu reden"!

Aber es ist ja eigentlich müßig ... die Informationen von AVM interpretiert ohnehin jeder nach eigenem Gusto

Sehe ich anders, wenn bei Aktivierung des Dienstes im Client Modus so eine Warnung (oder ähnlich) erscheint, gibt's keine Spielraum bei der Interpretation...

ACHTUNG!
Sie betreiben ihre BOX im IP-Client Modus.
Sie haben aber KEIN Fritzbox PASSWORT gesetzt.
Wenn Sie diesen Dienst jetzt aktivieren, wird ihre Fritzbox und alle angeschlossenen USB Speicher
ungeschützt für jedermann aus dem Internet OHNE Passwort erreichbar sein!
Wenn sie das WIRKLICH wollen, klicken Sie auf "weiter"
​

Nach Klick auf den TEXTLINK "weiter": Sie haben sich entschlossen trotz der Sicherheitswarnung, ihre Box ungeschützt........bla bla.
Klicken Sie auf bestätigen.

Noch sicherer und einfacher wäre es natürlich, den Nutzer zu zwingen, ein Passwort zu setzen.

PS: was mir noch zu dem Thema einfällt..
Wenn ich als "NON-IT Profi" z.B. schnell mal eben den "NAS Speicher" aktiviere, um im Heimnetzwerk ein paar Dateien frei zu geben, steht danach ein FTP Server ungeschützt im Internet.....wunderbar
Ok, es braucht noch eine Portweiterleitung (oder DMZ), aber trotzdem.
Wenn ich jetzt so im Nachhinein bedenke, wie lange ich eine externe Festplatte als XBMC Quelle an der Box so angeschlossen hatte.:kotz:
Oder wie viele ungeschützte Fritz FTP Server oder Boxen mit aktivierter FERNWARTUNG wohl so im Netz hängen.
Wie viele Kabel-Internet User wissen überhaupt, was ein IP-Client Modus ist....Fragen über Fragen

 

[PeterPawn]

(Wahrscheinlich) letzte Antwort meinerseits, da ich

1. nicht bei/für AVM arbeite
2. selbst genug Sicherheitsprobleme im Fritz!OS kenne, die ich für dringender halte (meine persönliche Meinung)
3. eigentlich keine Lust habe, für AVM Partei zu ergreifen, da auch mir einige Sachen gewaltig gegen den Strich gehen

... schnell mal eben den "NAS Speicher" aktiviere, um im Heimnetzwerk ein paar Dateien frei zu geben, steht danach ein FTP Server ungeschützt im Internet.....wunderbar

Eigentlich solltest Du aber genau zwischen "NAS-Speicher" und "FTP-Server von extern" unterscheiden können ... bei der Fritz!Box sind das zwei getrennte Paar Schuhe.

Ok, es braucht noch eine Portweiterleitung (oder DMZ), aber trotzdem.

Eben nicht nur ... es braucht noch entsprechende Einstellungen unter "Internet -> Freigaben -> Fritz!Box-Dienste" und wenn man da nicht nur selektiv liest, sollte man - gerade als "NON-IT Profi" - sehr schnell die AVM-Hilfe / das AVM-Handbuch als zusätzliche Informationsquelle entdecken können. Oder (es braucht) eben den IP-Client-Modus ...

Wenn ich jetzt so im Nachhinein bedenke, wie lange ich eine externe Festplatte als XBMC Quelle an der Box so angeschlossen hatte.

Du suchst Dir (in meinen Augen) hier eine singuläre Ursache für ein Problem, das Du Dir durch multiple Einstellungen/Entscheidungen geschaffen hast.

Und wenn AVM noch penetranter als derzeit beim allerersten Kontakt mit einer "frischen" Fritz!Box auf die Notwendigkeit der Vergabe eines Kennworts (und den Schutz des Zugriffs auf die Box) hinweisen würde, grenzte das (wieder in meinen Augen) schon an Nötigung. Zwei Checkboxen müssen geändert werden, damit die Box dauerhaft "ohne Zugriffsschutz" arbeitet und selbst dann steht immer noch "Kennwort setzen" als Menetekel in der Übersicht. Ich sehe beim besten Willen nicht, was AVM hier "falsch" machen soll.

Oder wie viele ungeschützte Fritz FTP Server oder Boxen mit aktivierter FERNWARTUNG wohl so im Netz hängen.
Wie viele Kabel-Internet User wissen überhaupt, was ein IP-Client Modus ist....Fragen über Fragen

Wenn wir nicht komplett aneinander vorbeireden, steht bei der Einrichtung des IP-Client-Modus deutlich da:
Anhang anzeigen 76291
Eine Fritz!Box als *Router* hinter einem Kabel-Modem ist also nicht automatisch im IP-Client-Modus ...

Aber egal ... vielleicht gelingt es Dir ja sogar, jemanden bei AVM für dieses "Problem" (verzeih mir die Quotes) zu interessieren.

Ich bin aber auch der Meinung, daß jeder, der so etwas bei sich einrichtet und *ungetestet* betreibt, in gewissen Grenzen selbst Schuld trägt. Wenn man sich mit dem Hammer den Daumen blau haut, liegt das ja auch nicht daran, daß dessen Hersteller vergessen hat, dort eine entsprechende Warnung anzubringen.
Und "dessen Hersteller" bezieht sich auf den Hammer, nicht den Daumen ...

 

[vel_tins]

1. nicht bei/für AVM arbeite

Unfaßbar, daß ich mal AVM quasi verteidigen muß ...

Ich sehe beim besten Willen nicht, was AVM hier "falsch" machen soll.

eigentlich keine Lust habe, für AVM Partei zu ergreifen

Einmal zu oft betont vielleicht
Aber ein wenig Fanboy bist Du dann schon, gelle....? (Speziell wenn ich den täglichen Zeitaufwand für deine "anderen" Pro-AVM Beiträge und intimen Kenntnisse der info.txt einberechne)

Eben nicht nur ... es braucht noch entsprechende Einstellungen unter "Internet -> Freigaben -> Fritz!Box-Dienste"

Nein für den FTP Server brauchts das nicht!

Eigentlich solltest Du aber genau zwischen "NAS-Speicher" und "FTP-Server von extern" unterscheiden können ... bei der Fritz!Box sind das zwei getrennte Paar Schuhe

Nein, ich habe definitiv nur den NAS Speicher aktiviert.

Und wenn AVM noch penetranter als derzeit beim allerersten Kontakt mit einer "frischen" Fritz!Box auf die Notwendigkeit der Vergabe eines Kennworts (und den Schutz des Zugriffs auf die Box) hinweisen würde, grenzte das (wieder in meinen Augen) schon an Nötigung.

Natürlich...Server ungeschützt im Internet ist da natürlich wesentlich weniger "nervend"

Ich bin aber auch der Meinung, daß jeder, der so etwas bei sich einrichtet und *ungetestet* betreibt, in gewissen Grenzen selbst Schuld trägt

und

Du suchst Dir (in meinen Augen) hier eine singuläre Ursache für ein Problem, das Du Dir durch multiple Einstellungen/Entscheidungen geschaffen hast.

Das war jetzt mal ein Schenkelklopfer...
Hallo? Das Argument kannst Du bringen, wenn jemand undokumentierte Beta Soft oder Beta Features anwendet, aber nicht bei sicherheitskritischen Diensten in der stable Firmware.
Erinnert mich an Steve Jobs und sein legendäres
"You're holding it wrong"

PS: was ist denn hier mit? Keinerlei Resonanz deinerseits, auch bei früheren Posts in diese Richtung?

Sehe ich anders, wenn bei Aktivierung des Dienstes im Client Modus so eine Warnung (oder ähnlich) erscheint, gibt's keine Spielraum bei der Interpretation...

ACHTUNG!
Sie betreiben ihre BOX im IP-Client Modus.
Sie haben aber KEIN Fritzbox PASSWORT gesetzt.
Wenn Sie diesen Dienst jetzt aktivieren, wird ihre Fritzbox und alle angeschlossenen USB Speicher
ungeschützt für jedermann aus dem Internet OHNE Passwort erreichbar sein!
Wenn sie das WIRKLICH wollen, klicken Sie auf "weiter"
​

Nach Klick auf den TEXTLINK "weiter": Sie haben sich entschlossen trotz der Sicherheitswarnung, ihre Box ungeschützt........bla bla.
Klicken Sie auf bestätigen.

Ah, ok verstehe, mit solchen Nebensächlichkeiten will man den User denn dann doch nicht belasten..

Wenn man sich mit dem Hammer den Daumen blau haut, liegt das ja auch nicht daran, daß dessen Hersteller vergessen hat, dort eine entsprechende Warnung anzubringen.:wink:
Und "dessen Hersteller" bezieht sich auf den Hammer, nicht den Daumen

Eine Fritzbox ist kein Hammer, oder habe ich was übersehen?
Wenn ich den Hammer im Rahmen der vom Hersteller vorgebenen Parameter benutze, passiert auch nichts, wenn allerdings bei normalem Gebrauch der Stiel abbrechen würde....dann
Aber jetzt fehlt nur noch ein unpassender Auto-Vergleich.

Wie auch immer, ich bin jetzt (vielleicht) auch raus.
Diese ständige Ablenkerei vom Thema bei einem real existierendem Problem, unpassende Vergleiche, Beschwichtigungen und der Versuch, dem User die "Schuld" zu zu schieben (s.o) sind zwar einerseits ganz amüsant, aber letztendlich, mittelfristig gesehen doch ein wenig langweilig .
Aber andererseits habe ich Urlaub...hmm, schaun mer mal.
Erinnert mich irgendwie ein wenig an das ganze Geschwurbel, Löschen von Posts/Threads hier, nach Bekanntwerden der Riesen Sicherheitslücke im Jan/Feb.

 

[PeterPawn]

ein wenig Fanboy bist Du dann schon, gelle....?

ymmd ...
Auch wenn ich die Bezeichnung "AVM-Fanboy" nicht verdiene ... in diesem Falle fühle ich mich dann einfach geadelt und das für eine Fähigkeit, die ich schon in der Grundschule erworben habe.

PS: was ist denn hier mit? Keinerlei Resonanz deinerseits, auch bei früheren Posts in diese Richtung?

Ich begreife nicht so recht, warum Du diesen Text eher lesen würdest, als den ausdrücklichen Hinweis beim Aktivieren des IP-Client-Modus ... weil er in rot ist ?

IP-Client-Modus => keine Firewall => Netz innen/außen (LAN/WAN) identisch => keine Authentifizierung im LAN heißt auch keine Authentifizierung im WAN

Doch vollkommen logisch, oder ?

Wie oft hättest Du die "Sind sie wirklich sicher, daß Sie das auch ganz bestimmt wollen ?"-Frage denn gerne, bevor sie Warnung genug ist ?

Diese ständige Ablenkerei vom Thema bei einem real existierendem Problem, unpassende Vergleiche, Beschwichtigungen und der Versuch, dem User die "Schuld" zu zu schieben (s.o) sind zwar einerseits ganz amüsant, aber letztendlich, mittelfristig gesehen doch ein wenig langweilig .

Klipp und klar: Du kannst doch an AVM an Fehlern melden, was immer Du willst, auch wenn der Fehler in diesem Fall eigentlich auf Layer8 liegt ...

So, jetzt bin ich hier wirklich raus ...

Edit: Daß der FTP-Server bei eingestecktem USB-Speicher in der Werkskonfiguration bereits aus dem LAN erreichbar ist, halte ich allerdings auch für ein riesiges Sicherheitsloch und habe das bei AVM schon vor einem knappen Jahr moniert. Speziell bei einer Box, die durch den Provider auf "Werkseinstellungen" gesetzt werden kann (wie meine 6360) ist das ein untragbares (und unnötiges) Risiko, genauso wie das standardmäßig aktivierte WLAN (es wird ja wohl jeder bei der Ersteinrichtung noch den WLAN-Knopf drücken können, bevor er versucht, mit der Box Verbindung aufzunehmen).