Vom Hersteller gepflegt
FRITZ!OS 7.90 integriert automatisch aktualisierte IP-Sperrlisten
Spam-Block-Filter für die FRITZ!Box hatten wir heute schon mit dem Community-Projekt PhoneBlock zum Thema. ifun-Leser Ralph macht uns darauf aufmerksam, dass der FRITZ!Box-Hersteller AVM seine Integration einer vergleichbaren Filterfunktion optimiert. AVM bietet künftig die Möglichkeit, eine herstellerseitig erstellte und aktuell gehaltene IP-Sperrliste automatisch zu beziehen.
Die Neuerung ist Bestandteil des nächsten größeren Updates für das Router-Betriebssystem FRITZ!OS 7.90. Interessierte Nutzer können – das passende FRITZ!Box-Modell vorausgesetzt – bereits eine Vorabversion des kommenden Betriebssystems beziehen. Bei AVM werden diese Betas „Laborversionen“ genannt und vom Hersteller hier zum Download angeboten.
FRITZ!OS 7.90 ist aktuell für die folgenden FRITZ!Box-Modelle verfügbar:
- FRITZ!Box 5590 Fiber
- FRITZ!Box 7590 AX, 7590, 7530 AX, 7530
- FRITZ!Box 6690, 6660, 6591 Cable
Ausführliche Infos zu den mit FRITZ!OS 7.90 kommenden Neuerungen und Verbesserungen hat AVM hier veröffentlicht. Unter anderem können FRITZ!Box-Nutzer künftig auch eine grafische Darstellung zur Auslastung der Internetverbindung durch einzelne Netzwerkgeräte sehen.
Ein Termin für die offizielle Freigabe von FRITZ!OS 7.90 steht noch aus. Ohnehin wird das Update wohl wieder gestaffelt verteilt und man muss sich je nach FRITZ!Box-Modell unter Umständen auch länger gedulden.
Internet-Angriffe haben zugenommen
Das Engagement von AVM für zusätzliche Sicherheit und verbesserte IP-Sperren dürfte damit zusammenhängen, dass die FRITZ!Box-Router immer häufiger Ziel von groß angelegten automatisierten Angriffen werden.
Zuletzt haben im März über solche Fälle berichtet. AVM-Kunden hatten damals über eine extreme Zunahme von versuchten Fremdzugriffen berichtet, die im Ereignisprotokoll der Router verzeichnet waren. Es ist in jedem Fall zu befürworten, wenn AVM dergleichen zum Anlass nimmt, um zusätzliche Sicherheitsfunktionen zu integrieren.
Zwei Faktor wäre mehr als überfällig für die Oberfläche :)
Wenn die Box vernünftig konfiguriert ist erreichst Du sie nur von innen. Wenn der Angreifer bereits in Deinem Netz ist hast Du ganz andere Probleme als die Konfig von Deiner FRITZ!Box …
Naja, ein mfa wäre schon vernünftig- verlange ja kein passkey.
Aber mittels kostenpflichtiger Anrufe kann der angreifen schnell Kasse machen. Schön auf 0900, 0137 oder Auslandsgespräche.
Auch anrufumleitungen können böse sein…
Ein falscher DNS und viele Anfragen werden sonstwo umgeleitet, daher ist mfa per Authenticator schon State of the Art
FritzBox und vernünftig konfigurieren, super Witz :-)
Also soweit ich weiß gehen einige Änderungen (z.B. DNS Änderungen) nur mit einer 2FA mittels verbundenem DECT Telefon bzw. Knopfdruck an der Box.
@Erik und Markus:
verfünftig konfigurieren bedeutet, die Box ist von außen nicht direkt erreichbar, also kein Webinterface. Also kommen Anfragen an die Management-Oberfläche nur von vertrauenswürdigen Geräten aus dem eigenen LAN. Von daher ist MFA nicht notwendig. Klar sollte man auch UPNP-Möglichkeiten abschalten, also keine automatische Portweiterleitung und so. Generell gilt bei Routern, jede Funktion die man nicht nutzt, abschalten. Und je weniger man nutzt, desto besser.
Und zum Thema DNS, ich verwende nicht mal den DNS von der Fritzbox. Bei mir läuft ein DNSmasq auf einem System, was ich als 2. DNS und DHCP verwende. Dort konfiguriere ich sehr gerne Reservierungen für meine Geräte und trage dann auch gleich den DNS-Namen ordentlich ein.
Mein 1. DNS ist eine Pi-Hole-Installation, die als Upstream-Server den auf gleicher Maschine installierten unbound nutzt. Also kein 08/15 Upstream-DNS der in welcher Form auch immer manipuliert wird. Sondern der unbound nutzt recursive Namensauflösung und fragt so immer den jeweiligen autorativen DNS an.
Ich nutze MFA bei meiner Apple-ID, weil gewachsene Konfiguration mit mehreren Geräten und Diensten + Abos. Da macht es für mich Sinn. Bei einer Fritzbox hingegen überhaupt nicht.
Wenn man allerdings Fritz-Dienste der Box von außen nutzt, dann muß man das entsprechend absichern. Wobei davon würde ich sowieso abraten und niemals selbst nutzen. Ein Internet-Router sollte immer transparent sein und so wenig Angriffsfläche nach außen bieten wie möglich.
Wer hat denn bitte 0900, 0137 und Ausland nicht gesperrt? Das ist eine der ersten Einstellungen, die ich bei jeder neuen Fritzbox mache.
@Erik. Es ging doch um den Zugang zur Oberfläche. Für viele Einstellungen dort wird bereits lange 2FA verwendet …
@Hans: das machst du. DNS-Filtering und Co. und dann vertraust der der nicht vorhandenen Fritz Firewall?
Das meine ich mit vernünftig. Es gibt keine vernünftige Fritz Konfig, weil die Box einfach zu „schwach“ ist. Das hat nichts mehr der Oberfläche zu tun :-;
2fa geht doch schon lange
Aber NICHT für den Login auf die Web-GUI!!!
Aber essentielle Änderungen wie z. B. Passwort Änderungen oder DNS Änderungen erfordern zwingend die MFA.
Ich benötige im LAN nicht ständig eine 2-MFA und will ich auch nicht. Das ist nur zusätzlicher Aufwand der nicht notwendig ist, wie ich finde.
Na endlich ! Ick freu ma
Uiii aber kann sie dann so umfangreiche und mehrere Listen wie PiHole verwalten?
Das wäre spannend
Ach misst. Ip und nicht DNS…
Meine Sperrlisten verwalte ich schon selbst, da brauche ich AVM nicht für.
Krasser Typ
Wahnsinn was Du so alles kannst. Gut das Du das hier schreibst.
Top. Das machst Du sicher sehr gut.
Di hältst sie bestimmt auch ständig aktuell und nutzt dafür diverse Quellen, um bedenkliche IP-Adressen zu sperren, ganz toll. Wenn Du das richtig machst, hast Du keine Zeit mehr für ein Hobby. Aber jeder, wie er mag.
Ich lasse verwalten, von tellows.de und die werden schon seit Jahren automatisch aktualisiert auf der FritzBox – Online-Telefonbuch gibt es schon seit Jahren, was anderes nutzen die nämlich nicht
@Tom
Bist du sicher, dass du den Inhalt des Artikels wirklich verstanden hast? Hier geht es nicht um Telefonnummern. …
Kann Fritzbox in einer Labor-Version schn über Wireguard schon IPv6?
Ja!
„NEU: Auch IPv6-Daten können nun über einen WireGuard-VPN-Tunnel übertragen werden (Neue WireGuard-Verbindung erforderlich, keine Weiterleitung von IPv6-Daten ins Internet)“
danke
Tolle Neuerung. Leider kann ich mich nicht wirklich drüber freuen. Ganz frisch kamen vorher Meldungen das Investor Rucio Investment AVM kaufen will. Was so ein Investor bedeutet kann sich jeder selber ausmalen aber ich gehe vom schlimmsten aus. RIP AVM
Kaufen will
Selber ausmalen
RIP
Ganz schön dystopisch
Oftmals bewiesen das es so laufen könnte. Ich hoffe auch das Beste, rechne aber mit dem Schlimmsten:-/
Wenn es ein Private Equity Unternehmen ist, wie bei Fitness First oder Grohe, dann gute Nacht.
Aber ich gehe auch vom Worst-Case-Szenario aus und denke bald heißt es Bye Bye AVM und Fritz!Box.
Ist immerhin ein europäischer Investor und keiner aus Fernost oder USA. Trotzdem agieren die meisten Investoren nach demselben Prinzip. Gewinnmaximierung bei maximaler Kosteneinsparung. Kein Investor hat Interesse an Innovationen in einem gesättigten Marktsegment. Ich erwarte daher ebenfalls das es Stagnation in der Entwicklung gibt. Das Produkt wird leben solange es ausreichend Gewinn abwirft.
Eine IP-Sperrliste und Rufnummer-Sperrliste gehen aber natürlich ganz andere Themenbereiche an, finde ich jetzt nur so begrenzt vergleichbar. Danke dennoch für den Hinweis, mal schauen wann die 7.90 dann als Release kommt.
7.9 wird nie als Release kommen, das wird 8.0 werden.
IP sperrlisten.funktionieren in aktueller Beta nicht.
Ich hätte das gerne andersrum: Eine EIGENE Liste, die man SELBST pflegen kann, der IP-Adressen/Netze die ERLAUBT sind.
Und wofür willst Du dann die Fritzbox noch nutzen? Durch die vielen CDNs musst Du dann schon ziemlich große Adressbereiche zulassen, und auch sonst binden viele Seiten Inhalte oder Scripts von anderen Seiten ein, was seit SRI sogar halbwegs sicher sein kann. Da dann alle IP-Adressen einzutragen, ist vermutlich ein unverhältnismäßig hoher Aufwand. Das vorhandene Whitelisting, mit dem man URLs gezielt freigeben kann, ist m.E. ausreichend.
Wofür willst Du dann die Fritzbox noch nutzen? Durch die vielen CDNs musst Du dann schon ziemlich große Adressbereiche zulassen, und auch sonst binden viele Seiten Inhalte oder Scripts von anderen Seiten ein, was seit SRI sogar halbwegs sicher sein kann. Da dann alle IP-Adressen einzutragen, ist vermutlich ein unverhältnismäßig hoher Aufwand. Das vorhandene Whitelisting, mit dem man URLs gezielt freigeben kann, ist m.E. ausreichend.
Kannst Du doch wenn Du auf Whitelist wechselst?
Mein LG Smart TV nervt immer mehr. Daher wieder mal die Frage an die community: welche Möglichkeiten gibt es die permanenten Werbeeinblendungen beim Fernsehen zu blocken? Habt ihr Ideen? Vielen Dank.
Ganz einfach die LG URL im Router sperren.
Moin ich weiß dass AVM doch bereits Blacklisten seit längerem anbietet wenn auch minimal Anzahl bzgl internen Speicher da wären doch externe listen mit txt Dateien zb https://fanboy….txt hilfreicher wie auch ublock das verwaltet.. Ich nutze auch ein ähnliches verfahren wie der Hans allerdings mit OpenWrt und paar packetes wie zb stubby AdBlock etc hinter der Fritzbox mit den richtigen Konfigurationen Gruß
oder eben direkt oder zusätzlich im System mittels ip route add blackhole … sperren das ganze noch in einem anständigen bash Script erstellen mit zusätzlichen ip tables