Warum eine Notfall-IP ? Warum der Zwang mit "fritz.box" ?

[Benares]

Dein Beispiel finde ich weit hergeholt.

Als Hacker würde ich doch eher die zahlreichen Provider- und DynDNS-Adressen nach offen Ports scannen, anstatt eine Web-Site zu erstellen, dort einen Link zu hinterlegen und dann zu hoffen, dass ein Fritzbox-Benutzer sich dorthin verirrt und auf den Link klickt. Und selbst wenn, dann käme der Fritzbox-Benutzer auf seine Box und nicht der Hacker.

Ausserdem dürften mehr als Hälfte aller Fritzboxen mit der Standard-IP laufen, das wäre dort genauso. Das hat nichts mit der Notfall-IP zu tun.

 

[sibsnonto]

Dein Beispiel finde ich weit hergeholt.

Ruft man die Seite mit einem Rechner im Netz der Fritzbox auf, führt diese fremdgesteuert einige Befehle aus, die unter anderem dafür sorgen, dass die Konfigurationsdatei des Routers auf einen externen Server kopiert wird. Diese Datei enthält neben dem Administrations-Passwort der Fritzbox auch viele andere sensible Daten im Klartext, etwa die DSL- und DynDNS-Zugangsdaten.

http://www.heise.de/newsticker/meld...-AVM-Router-auch-ohne-Fernzugang-2115745.html

 

[RalfFriedl]

Ich hab mir mit Wireshark grad mal angesehen, was da abgeht, wenn ich die 169.254.1.1 von meinem PC aus anpinge und auch eine Antwort erhalten, obwohl es keine Route dorthin gibt.
1.) Der PC schickt eine ARP-Request raus ...

Das ist doch mal wieder typisch Windows, ein ARP Request für eine Adresse, die nicht als als lokal definiert ist.
Was für eine Windows Version verwendest Du? Ich habe mal bei Windows XP geschaut, da wird nur direkt ein Ping Paket an das Default Gateway gesendet, wie es sich gehört.

 

[scolopender]

... da wird nur direkt ein Ping Paket an das Default Gateway gesendet, wie es sich gehört.

War der ARP-Cache zuvor leer?

G., -#####o:

 

[RalfFriedl]

Zumindest war vorher kein Eintrag für 169.254.1.1 drin, und nachher auch nicht. Das default Gateway reagiert auch nicht auf die Pings, aber ich kann sehen, dass sie gesendet werden.

 

[IBM-FAN]

Reset-Knopf = schlechtes Gerät.

Selbst die Cisco-Router haben einen Resetknopf. Sind die dann schlecht?

 

[koyaanisqatsi]

Ok, habe ich probiert. Könntest Du endlich aufhören, mit URLs um Dich zu werfen, und auch erläutern, was Du an denen interessant findest?
PHP läuft auf dem Server und nicht auf dem Browser, von daher kann man mit PHP nichts auf der Box anfragen. Und natürlich hat es keinen Sinn, die Box nach ihrer IP Adresse zu fragen, weil man diese IP Adresse schon braucht, um die Frage an die Box zu richten.

Ja, so ist das, einfach mal vergessen, dass es attackierende Webseiten im Internet gibt, die, ja, auf PHP unterstützenden Webservern laufen können.
Wenn ich doch so ein Troll sein soll, mit Aluhut, fehlt mir nur noch die Brille die bei Gefahr undurchsichtig wird.
Dann kann ich attackierende Webseiten auch, wie du, ignorieren.

 

[RalfFriedl]

Ich habe nicht geschrieben, dass Du ein Troll bist.
Die Probleme mit Deinen Beiträgen hier sind etwas anders. Du hast Unmengen von URLs hier in den Raum geworfen, ohne irgend eine Erklärung, warum sie problematisch sein sollen. Bei der Gelegenheit möchte ich Dir http://fritz.box/common.html ans Herz legen. Du wirst schon selbst herausfinden, was es damit auf sich hat. Das zweite Problem folgt direkt aus dem ersten. Ich habe mir bisher die von Dir genannten URLs angeschaut. Ich weiß, das war mein Fehler. Angenommen, Dein nächster Beitrag enthält eine URL, die tatsächlich problematisch sein könnte, werde ich sie mir nicht mehr anschauen, es sei denn, der Beitrag selbst erklärt nachvollziehbar, warum es die Mühe wert ist.

Zum PHP auf den Webservern: Ja, es gibt Webserver, auf denen PHP läuft. Ich will Dir bei dieser Gelegenheit ein Geheimnis verraten: Wenn man sich Gedanken um die Sicherheit eines Geräts macht, geht man davon aus, dass der Angreifer nicht nur einen Webserver mit den eingeschränkten Möglichkeiten von PHP hat, sondern einen oder mehrere Rechner, auf denen er volle Kontrolle über das System hat. Das vergisst man leicht, wenn man einen Aluhut trägt. Richtigen Schutz bietet nämlich nur Zinn (tin foil) und nicht billiges Aluminium.

 

[koyaanisqatsi]

Solche Links funktionieren bei mir nicht, weil ich keine Standardports für so sensible Interfaces, wie das von AVM, mehr benutze.
Und nicht vergessen: Wir befinden uns hier im WWW, da werden Hypertexte mit funktionierenden Hypertextlinks benutzt.
Wer auf einen klickt, und es geht was kaputt, dann war ich das jedenfalls nicht. Und ich will auch Niemanden schaden.
Lustig wirds allemal, wenn ich zu den Links verlinke, die Jemand anderes gepostet hat, das wäre dann glaubwürdiger?

 

[VoIP-Skeptiker]

@koyaanisqatsi:
Außer verschrubelten Andeutungen, ansatzweise gegebenen Verdächtigungen, haltlosen Verschwörungstheorien und irgendwelchen wertfreien Links habe ich hier und im Thread über das Sicherheitsloch von AVM nichts von Dir wahr genommen.
Ich plädiere dafür, dass Du einen Antrag auf Namensänderung stellst: Nebelkerze ist glaube ich ein passender Name.
Keine Ahnung, wie die Forumsadministration dazu steht, jedenfalls würde ich dieser Änderung zustimmen. :?

@sibsnonto:
Das Gleichnis mit den Hausnummern des Haueses finde ich ganz gelungen.
Es hilft Dir nicht im geringsten, die 2. Hausnummer an der Haustür abzuschrauben. Wenn Du aber die "Einbrecher" in die Irre führen willst, dann ziehe doch um. Also ziehe Dein WEB-Interface auf einen anderen Port um, sprich, nutze eine Wohnungstür in einem anderen Stock.
Der böse Bube wird dann im Stock 80 versuchen mit seinem Dietrich die Tür aufzubekommen, leider vergeblich, da das dann nur noch eine aufgemalte Tür auf der Steinwad ist.
Der Eingang im Stock 81 ist davon unberührt und Deine Wohnungstür bleibt dem Fiesling verborgen, solange der Dieb nicht systematisch das ganze Haus nach anderen Türen absucht.

 

[sibsnonto]

Das habe ich bereits gemacht und diese Möglichkeit sollte auch im Webinterface integriert werden. Was ist aber wenn man selbst den Port vergisst ? Dann hilft wohl nur noch ein Recover-Image (Telnet geht bei meiner Box ohne Freetz nicht) ? Was ist wenn jemand den Port rausbekommt (Portscan) ?
Deshalb ja mein Vorschlag Notfall-IP wie Telnet abschaltbar machen und Namen "fritz...box" leicht änderbar/löschbar machen. Standard-IP der FritzBox ist ja schon änderbar im Webinterface.

 

[koyaanisqatsi]

@VoIP-Skeptiker: Man darf hier nichts konkretes posten, und wenn doch, schwupp ist es gelöscht. Also wird weiter geschwammelt.
Aber, nagut, die Fritz!Box ist ja jetzt sicher. Dann kann ja nichts mehr passieren.
Auch fritz.box, fritz.fonwlan.box, 169.254.1.1 ist vollkommen sicher.
Ehrlich, glaubt es mir doch. Da kann überhaupt nichts passieren. Niemals.

PS: koyaanisqatsi bedeutet unter anderem: Leben aus dem Gleichgewicht
Ich werde meinen Nick aufgrund deines bashings jedenfalls nicht ändern.

 

[Theo Tintensich]

Das Netz 169.254.0.0/16 ist ebenso wie 10.0.0.0/8 oder 127.0.0.0/8 oder 192.168.0.0/16 ein ganz normales Netz, was das Routing betrifft. Es gibt nur Konventionen, wie es verwendet werden soll.

Deshalb kommt auch die Meldung, dass das Systemnicht weiß, wie es dein System im Netz 169.254.0.0/16 erreichen soll, oder wie?

Die Meldung "Host unreachable" heißt: "Ich haben keine Ahnung, wie ich da hin soll, da die Default-Route nicht in dieses Netz zeigt".

10.0.0.0/8 ist ein ganz normales Netz.
Da gibt es nur eine Vereinbarung, dass eine IP-Adresse auf diesem Netz im Internet nicht direkt sichtbar sein soll.

127.0.0.0/8 ist kein normales Netz, da alle IP-Adressen dieses Netzes auf dem eigenen Netzwerkinterface aufgelöst werden. Verbindungen zu einer solchen IP gehen nicht über die Netzwerksoftware auf dem eigenen Rechner hinaus.

 

[koyaanisqatsi]

Als Hacker würde ich doch eher die zahlreichen Provider- und DynDNS-Adressen nach offen Ports scannen, anstatt eine Web-Site zu erstellen, dort einen Link zu hinterlegen und dann zu hoffen, dass ein Fritzbox-Benutzer sich dorthin verirrt und auf den Link klickt.

Gut, du bist kein Hacker, denn Hacker nutzen Google.
Suchstring: site:*.myfritz.net Ungefähr 499 Ergebnisse (0,08 Sekunden)
Dann einfach nur mal ein https:// auf die Treffer anwenden.
Viele wollen ja gefunden werden. Its exposing.
Und im Impressum kannste auch oft eine EMail Adresse finden.
Oder übers Gästebuch auf eine Seite locken? Wer weiss das schon.
Klicken wäre eh nicht nötig, das Laden der Seite reicht völlig.
Zum Beispiel eine EMail in HTML Ansicht.
Aber ist eh schnuppe, denn die Fritz!Box ist ja sicher.
Bis auf die XX,XX% die noch nicht auf mind. Fritz!OS 6.03 geupdatet wurden.

 

[RalfFriedl]

Probier mal: http://fritz.box:49000/MediaReceiverRegistrar.xml

Und nicht vergessen: Wir befinden uns hier im WWW, da werden Hypertexte mit funktionierenden Hypertextlinks benutzt.
Wer auf einen klickt, und es geht was kaputt, dann war ich das jedenfalls nicht.

Wie war das nochmal, Du postest hier keine Links?

Deshalb kommt auch die Meldung, dass das Systemnicht weiß, wie es dein System im Netz 169.254.0.0/16 erreichen soll, oder wie?
Die Meldung "Host unreachable" heißt: "Ich haben keine Ahnung, wie ich da hin soll, da die Default-Route nicht in dieses Netz zeigt".

Die Meldung "Host unreachable" heißt: "Ich will nicht die Default-Route verwenden, sondern will das Ziel direkt erreichen, und das Ziel reagiert nicht (typischerweise auf ARP Pakete)"
Die Default-Route wird für alle Ziele genommen, für die nichts anderes definiert ist. Wenn ein Paket an das Default Gateway gesendet wird kommt eine Fehlermeldung vom Gateway oder einem anderen Router, nicht vom PC selbst.

127.0.0.0/8 ist kein normales Netz, da alle IP-Adressen dieses Netzes auf dem eigenen Netzwerkinterface aufgelöst werden. Verbindungen zu einer solchen IP gehen nicht über die Netzwerksoftware auf dem eigenen Rechner hinaus.

Die 127.0.0.1/8 wird per Konvention auf das Loopback Interface konfiguriert. Wenn man das nicht tun würde, könnte man die Adressen auch anderweitig verwenden. Das müsste man dann aber auf allen beteiligten Geräten machen, und etliche Programme würden durcheinander kommen.

 

[koyaanisqatsi]

Wie war das nochmal, Du postest hier keine Links?

Komisch, wie du darauf kommst, möchtest du suggerieren das ich Leute auf attackierende Webseiten locke?
Die Antwort hast du doch selber gequotet...

Wer auf einen klickt, und es geht was kaputt, dann war ich das jedenfalls nicht.

 

[RalfFriedl]

Komisch, wie du darauf kommst, möchtest du suggerieren das ich Leute auf attackierende Webseiten locke?

Nein, ich wollte darauf hinweisen, dass Dein Verhalten widersprüchlich ist.
Möchtest Du suggerieren das ich Leute auf attackierende Webseiten locke? Der Beitrag oben liest sich so, als sollte ich hier keine Links auf die Fritz Box posten, obwohl Du etliche davon gepostet hast.

 

[koyaanisqatsi]

Tatsache ist, du postest Fantasielinks (common.html). Sehr lustig, hahaha.
Die jason_boxinfo.xml oder den toten crossdomain.xml Link hätt ich ja noch verstanden.
Alle Links die ich gepostet habe existieren. Und ich mein es auch ernst.

EDIT: Desweiteren hab ich erklärt was die UPnP Aufrufe liefern und wie sie in einem PHP-
Skript eines Webservers als Funktionsaufrufe lokal ausgeführt werden können.
So kann die Fritz!Box auch Neu gestartet werden. Einfach auf die falsche Seite surfen...

 

[Benares]

Das ist doch mal wieder typisch Windows, ein ARP Request für eine Adresse, die nicht als als lokal definiert ist.
Was für eine Windows Version verwendest Du?

Win7 Ultimate 64 Bit
Es ist allerdings nicht bei allen Adressen so. Ich hab mal wild rumprobiert, die ARPs werden scheinbar nur bei Zielen wie 169.254.x.y, also dem APIPA-Range gesendet. Und da würde es auch Sinn machen, um Rechner zu erreichen, die über DHCP keine IP bekommen haben.

Edit:
Hier habe ich noch was dazu gefunden. Das Verhalten sollte demnach auch unter XP u.a. auftauchen, wenn DHCP verwendet wird.

 

[RalfFriedl]

Tatsache ist, du postest Fantasielinks (common.html). Sehr lustig, hahaha.

Mein Link war ungefähr so informativ wie Deiner. Einige der Links, die Du gepostet hast, gibt es in meiner Firmware auch nicht. Sehr lustig, hahaha.
Nur zu Deiner Information, wenn ich diese Adresse aufrufe, ohne angemeldet zu sein, kommt folgendes Ergebnis:

GET /common.html HTTP/1.0

HTTP/1.0 404 Not Found
Content-Length: 5190
Content-Type: text/html; charset=utf-8

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"  "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<title>FRITZ!Box</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta http-equiv="expires" content="0">

<style type="text/css">
<!--
body                    {  
  margin: 0; 
  background-image: url(/css/default/images/hg_verlauf_1px.gif);
  background-color: #fffebd;
  background-repeat: repeat-x;
  background-position: 0 0;
  font-family: Arial,serif, sans-serif, cursive;
  font-size: 13px;
  color:#3F464C;
  }
--- Noch viel mehr CSS ---

-->
</style>

</head>

<body>
<meta http-equiv="refresh" content="4;url=/">
<table style="margin: auto;">
        <tr><td>
                <div class="fw_header">&nbsp;</div>
                <div class="fw_bg_body">
                        <table>
                                <tr>
                                        <td id="Menuspalte"></td>
                                        <td id="Dataspalte">
--- noch mehr HTML ---
</table>
</body>
</html>

Alle Links die ich gepostet habe existieren.

Bei Deiner Firmware

Und ich mein es auch ernst.

Das befürchte ich auch.

Desweiteren hab ich erklärt was die UPnP Aufrufe liefern

Aber nicht, wie man sie tatsächlich ausführen kann.

wie sie in einem PHP-Skript eines Webservers als Funktionsaufrufe lokal ausgeführt werden können. So kann die Fritz!Box auch Neu gestartet werden. Einfach auf die falsche Seite surfen...

Dir ist die Unterscheidung zwischen Server (Remote) und lokal nicht ganz klar.
Zeig mir doch mal, wie so eine Seite aussieht, die meine Box neu startet.

Win7 Ultimate 64 Bit
Es ist allerdings nicht bei allen Adressen so. Ich hab mal wild rumprobiert, die ARPs werden scheinbar nur bei Zielen wie 169.254.x.y, also dem APIPA-Range gesendet. Und da würde es auch Sinn machen, um Rechner zu erreichen, die über DHCP keine IP bekommen haben.

Sieht aus, als würde Dein Windows implizit eine 169.254.x.y/16 Adresse an die Netzwerkkarte binden, diese aber nicht anzeigen. Hast Du mal überprüft, was als Absender Adresse in den ARP und Ping Paketen steht? Da sollte ja die Adresse vom Windows System drin stehen, und wenn es ARP Pakete sendet, sollte es eine Adresse aus dem Bereich 159.254.0.0/16 sein.

URL="http://wiki.wireshark.org/APIPA"]Hier[/URL] habe ich noch was dazu gefunden. Das Verhalten sollte demnach auch unter XP u.a. auftauchen, wenn DHCP verwendet wird.

Ich habe dort nichts zu Windows XP gefunden. Mein Windows System verwendet auch DHCP (Adresse automatisch beziehen) und sendet trotzdem kein ARP für 169.254.1.1 aus. Es mag daran liegen, dass der DHCP Server noch einige weitere Informationen sendet.