Sicherheitseinstellungen überprüfen
Weiterhin automatisierte Angriffe auf FRITZ!Box-Router
Generell ist es empfehlenswert, im heimischen Netzwerk verankerte Geräte nur dann für eine Erreichbarkeit von außerhalb freizuschalten, wenn dies tatsächlich auch benötigt wird. Ganz gleich, ob Router, NAS-Laufwerke oder andere Komponenten – der Zugriff sollte ansonsten für externe Verbindungen gesperrt werden, um die Sicherheit zu erhöhen.
Wenn es erforderlich ist, dass diese Geräte auch über das Internet erreichbar sind, müsst ihr zwingend darauf achten, dass hier stets auch die neuesten Softwareversionen installiert sind. Die Hersteller stopfen mit ihren Updates regelmäßig auch vorhandene Sicherheitslücken, so wie dies kürzlich bei der NAS-Software von Synology der Fall war.
Aktuell scheinen die Angriffe auf die FRITZ!Box-Router von AVM wieder zuzunehmen. Wir hatten im Frühjahr bereits über eine solche Angriffswelle berichtet und der Hersteller hat zwischenzeitlich eine Sperrliste in die FRITZ-Software integriert, mit deren Hilfe solche Aktionen nach Möglichkeit blockiert werden sollen. Die Liste wird aktiv von AVM gepflegt und kann dann anstelle von oder als Ergänzung zu selbst erstellten IP-Sperrlisten für eine vorgeschobene Zugangskontrolle aktiviert werden.
Automatisierte Hack-Versuche
Generell kann man davon ausgehen, dass es sich hier um automatisierte Anmeldeversuche handelt, bei denen potenziell mögliche Kombinationen aus Benutzernamen und Passwörtern durchprobiert werden. Ein uns aktuell von einem Leser übermitteltes Beispiel listet beispielsweise fehlgeschlagene Anmeldeversuche im Protokoll, bei denen deutsche Vornamen in alphabetischer Reihenfolge und abwechselnd in Groß- und Kleinschreibung durchprobiert werden und die stets mit falschem Kennwort scheitern.
Es dürfte mehr als ratsam sein, hier kein Standardkennwort wie admin oder dergleichen zu verwenden. Aller Wahrscheinlichkeit nach werden hier insbesondere solche Kombinationen getestet.
Support-Dokument geht auf das Problem ein
AVM hat schon seit einiger Zeit einen Support-Artikel zu diesem Thema online, in dem betont wird, dass es sich hierbei erstmal nicht um ein Sicherheitsproblem handelt:
Bei den gescheiterten Anmeldeversuchen handelt es sich meist um automatisierte Zugriffsversuche mit weit verbreiteten Benutzernamen und Kennwörtern von unbekannten Gegenstellen im Internet. … Auch wenn Missbrauchsmeldungen bei Zugriffsversuchen aus dem Ausland oft ohne Folgen bleiben und die Ermittlung des IP-Adress-Inhabers nicht immer möglich ist, empfiehlt es sich, wiederholte Anmeldeversuche unbekannter IP-Adressen dem IP-Adress-Inhaber zu melden.
Wo sehe ich die Anmeldeversuche?
Steht im Bild da, System->Ereignisse
Danke!
Oben links auf das Symbol m.d. drei waagrechten Balken und dann System > Ereignisse
Danke!
Warum kann sich AVM nicht endlich dazu durchringen, die Funktion zu implementieren, die es erlaubt eine IP nach einer Anzahl von X Versuchen automatisch für einen Zeitraum Y zu blockieren?
So oder so wird das Gerät zu heiß. Ne Scherz bei Seite. Ja das wäre eine gute Option.
Bei mir werden mit der FRITZ!Box 7590 AX , Sv. 8.0 wiederholte Angriffe der IP Nummern automatisch gesperrt.
Die Liste wird immer länger.
Standardfunktion sollte das sein.
Wenn man den Zugriff über VPN z.B. Wireguard, einrichtet, braucht man den Fernzugriff von der Fritzbox eigentlich nicht oder?
Das ist korrekt. So mache ich es auch.
Genauso ist es! Auf keinen Fall sollten Ports freigeschaltet werden.
Kann man so pauschal nicht sagen und nur weil man Ports freigibt ist ja noch lange nicht das anmelden von extern erlaubt.
Und du glaubst, Wireguard nutzt keine Ports? :-)
@Matthias: Hast zwar Recht, aber zumindest nutzt Wireguard Public-Key-Auth. Da kann man dann keine Kennwörter mit geringer Entropie wählen. Klar kann man immer noch den private key eines Clients irgendwo verlieren, sollte also immer noch entsprechend Vorsicht walten lassen, aber der Ansatz ist schon mal grundlegend besser. Und ganz ehrlich, ich traue auch Wireguard da etwas mehr, keine kritische Sicherheitslücke in der Authentifizierung drin zu haben, als der Fritze. Da sind einfach mehr Augen drauf. (Kann natürlich nicht schaden, trotzdem bei der Fritze auch noch ein vernünftiges Passwort zu hinterlegen. Doppelt hält besser.)
Um von außen auf die FRITZ!Box zukommen braucht man grundsätzlich DynDNS. FRITZ!Box bietet das mit Myfritz an kann man aber deaktivieren und einen eigenen DynDNS Dienst einrichten. Bedeutet aber nicht das da alles sicher ist. Es ist ein Weg rein, den man angreifen kann. Und Wireguard nutzt eigene Ports 51820 als Beispiel.
Ein dyndns-Dienst hat rein gar nichts mit Sicherheit zu tun.
Du behebst damit nur das Problem, dass sich dein ISP dir eine neue IP zuweisen kann und die Box dann nicht mehr erreichbar ist. Zum Beispiel nach einem Reconnect.
Ein dyndns-Dienst wird bei einer Änderung informiert und kennt so immer die aktuelle IP deines Anschlusses.
-FRITZ!Box bekommt vom ISP eine IP
-FRITZ!Box meldet sich beim dyndns-Dienst und meldet die IP
-Du willst dich zur FRITZ!Box verbinden und fragst beim dyndns-Dienst nach der IP
-Der Dienst antwortet und du kannst dich verbinden
Mehr passiert nicht. Einfach nur ein Adressbuch.
Woher weiß Wireguard die IP zur Box?
Fragt beim dyndns-Dienst nach, welcher in der Konfiguration eingetragen ist.
So funktioniert das Internet.
Du willst iFun aufrufen. Ein DNS-Dienst wird gefragt, welche IP der Server von iFun hat…
Ach klar, (facepalm) MyFritz ist ja so etwas. Hatte vergessen, dass ich das auch vorher eingerichtet hatte. Danke
Doberman, natürlich hat DyDNS was mit Sicherheit zu tun, den über diesen Weg ist deine FRITZ!Box von außen erreichbar ob Terminal oder Oberfläche. Und die Angreifer können los legen und versuchen rein zu kommen. Wenn AVM oder du keine Vorkehrungen getroffen hast wird es irgendwann so sein das jemand rein kommt .
Du hast dyndns immer noch nicht verstanden. Trotz meiner Erklärung.
Deine FRITZ!Box ist auch ohne dyndns erreichbar. Schließlich hängt sie ja im Internet.
Aber kein Ding. Heute kam im Radio das Ergebnis der PISA-Studie. Jeder 5. Erwachsene versteht geschrieben Text auf dem Niveau eines 10 jährigen. Erschreckend, aber leider Fakt.
Du hast leider den Angriffsvektor nicht verstanden und hast keine Argumente mehr und dann kann man nur beleidigen. Dann könnte das von dir geschrieben ja passen.
Und die FRITZ!Box ist im Basis Zustand nicht von außen erreichbar. Es geht hier um die Möglichkeit bei falscher Einstellung (Port oder DynDNS) ist die FRITZ!Box relativ einfach im Netz sichtbar. Bis dahin normal (Rauschen), wenn man dann aber gewisse Einstellungen falsch einstellt oder Software oder Hardware seidig eine Sicherheitslücke vorhanden ist, ist man drinnen. Bedeutet Sicherheit und gut eingestellt und wissen was man tut gehört zum Thema. Aber mach mal.
Hase, Botnetzwerke scannen IP-Bereiche nach erreichbaren Diensten ab.
Da läuft ein Script, welches zum Beispiel alle Telekom IPs nach Port 22 scannt und bei einem Treffer dann Standard Logins probiert oder einen Exploit testet.
Das passiert 24/7 von unzähligen Angreifern auf der ganzen Welt verteilt gleichzeitig.
Die dyndns hilft einzig dir allein, deine Fritte zu erreichen.
Ob ich infoseinefritzbox.dyndns.com oder 93.221.111.22 nutze um bei dir zu landen ist irrelevant.
Der Angreifer hat keine Liste mit vergebenen dyndns. Die würde aber auch keinen Unterschied machen.
Google ist nicht unsicherer, weil sie über 216.58.214.0 erreichbar sind.
Mir geht’s es nicht um das klassische Rauschen im Netz. Sondern um die Tatsache wenn man das macht und aktiviert diese Dinge, muss man aufpassen und wissen was man macht. Ich kenne das schon. Oder man macht sich den Spaß und schaut mit Tarpit zu. Aber zu tun als wäre das harmlos weil man sich auskennt ist naiv, denn hier hat man ja gelesen das sich einige schwer mit diesem Thema tun.
Als Unifi User kenne ich die Fritzbox nicht.
Wieso ist der Zugriff übers Internet nicht standardmäßig deaktiviert?
Oder ist er das by default?
Ist er. Wer das mutwillig einschaltet sollte gute Gründe dafür haben und wissen das selbstverständlich auf automatisierte Zugriffe stattfinden
Danke dir
Unifi per Konto = Zugriff ist auch eine Angriffsfläche. Oder Unifi macht gleich selber siehe Post bei den Kameras wo man andere Wohnungen gesehen hat.
Sollte das Problem nicht mit dem FritzBox „Stealth’s Modus“ erledigt sein !?
Was ist der FritzBox Stealth Modus?
Da ist die FritzBox für außerhalb nicht sichtbar und kann nicht „angesprochen“ werden….
Google:
https://www.google.com/search?q=fritzbox+stealth+mode+aktivieren
Der Stealth-Mode bringt absolut KEINEN Mehrwert, was die Sicherheit angeht. Das ist ein großer roter Pfeil auf den Host, der ein riesiges Schild hochhält, auf dem steht „ihr seht mich nicht“… Wäre da wirklich kein Host, würde der Router vorher schon sagen „host unreachable“.
Kann das der Grund warum bei uns seit ein paar Tagen das Internet plötzlich so langsam ist, obwohl der Speedtest erfolgreich war und volle Bandbreite erkannt hat?
„Langsames“ Internet …
Wenn Du damit meinst, dass Webseiten gefühlt ewig brauchen, dass sie antworten, liegt es meist an Antwortzeiten (Latenz, siehe auch in Wikipedia)
Wenn Webseiten besonders viele DNS-Anfragen erfordern, kann dies zu Verzögerungen führen, wenn die eingestellten (Provider)-DNS-Server überlastet sind, oder nicht ganz aktuell sind. Die letzten Wochen waren mehrere Störungen bekannt geworden, die den Datenverkehr beeinträchtigt hatten. Wenn ich Schwierigkeiten mit dem Internet feststelle suche ich zunächst auf Downdetector/Allestörungen nach möglichen Ursachen. Dort melde ich dann auch zunächst meine Störung, wenn es erforderlich ist.
Wenn Video-Streams immer wieder „einfrieren“, kann es am Provider, bzw. dessen verwendetem Medium / Protokoll liegen. Besonders anfällig sind DOCSIS-Anbindungen (Kabelfersehleitungen), wenn zu viele Kunden über eine Leitung konsumieren. Dann können Datenraten zu bestimmten Tageszeiten erheblich einbrechen. Das sollte aber in den letzten Jahren besser geworden sein, da die meisten Koax-Leitungen an leistungsstärkere Glasfaseranbindungen übergegangen sind und auch die Anzahl an Anschlüssen pro Kabelstrang verringert wurde.
Oder es liegt schlicht an einem gealterten Router. In der Regel halten die elektronischen Komponenten 5 Jahre ohne Probleme durch. Die schwächsten und gleichzeitig wichtigsten Komponenten sind allerdings Elektrolytkondensatoren. Die Elektrolyte darin verdampfen im Laufe der Jahre und damit verringert sich die Kapazität und Spannungsresistenz.
Wenn die Grenzwerte (Spannung/Kapazitätstoleranz) zu dicht am erforderlichen Wert liegen, kann die Obsoleszenz der Hardware schnell erreicht werden.
Wenn das Internet durchgängig „langsam“ erscheint, sollte erst ein DSL-Speedtest durchgeführt werden. Viele Router haben diesen Test bereits in deren Software integriert.
Wenn da keine Auffälligkeiten zu finden sind, teste mit einem anderen passenden (neuen) Router, ob sich das Verhalten bessert.
Manchmal „verklemmt“ sich auch etwas unterwegs zwischen der Vermittlungsstelle und dem Router.
Da empfehlen DSL-Provider, den Router für bis zu 20 Minuten stromlos und den Stecker am DSL-Port zu ziehen. Dadurch wird ein Fehlerzähler in der Übertragungstechnik zurückgestellt.
Alternativ Störungsticket an den Provider. Die sehen bei modernen Routern ebenfalls, wenn etwas nicht stimmt. Die Mitarbeiter / ChatBots / Ki-Helfer geben dann entsprechende Anweisungen, wenn Kundenseitig etwas zu tun sein sollte.
Auch führen angriffe auf unterseekabel zu deutlich höheren latenzen. Nachzuhören bei deutschlandfunk „der tag“ podcast vom 19.11.24
MstrBrightside
Dann müssten es aber echt viele angriffe sein. Also 4+ pro Minute. Aktuell ist es bei den FRITZ!Box Angriffen ein Angriff pro 5 Minuten im Durchschnitt..
da denke ich nicht, dass das die Latenz beeinflusst..
Ein wenig am Thema vorbei aber Vielleicht aucb für einige 7590 Nutzer interessant. Gerade gehen reihenweise die 2,4Ghz Module kaputt. Oft kurz nach den 5 Jahren die AVM Garantie gibt. Bei mir ebenso.
Aber AVM tauscht die Geräte dennoch anstandslos aus. Also nicht gleich raus werfen, sondern einfach mal den Support kontaktieren. Ich hab ein neues Gerät erhalten. :)
Wie bemerkt man das? Man hatte kurz Aussetzer in dem Band.
WLAN ist weg. Empfang nur noch direkt vor der Box. War bei mir von jetzt auf gleich, ohne Vorankündigung.
Getauscht wurde mit einem netten Hinweis auf die Problematik anstandslos.
häufig durch fiepen der Elektrolytkondesatoren, halt mal dein Ohr an die Box. Wenn sie sich anhört wie ein Mückenschwarm ist da auch was was bald kaputt geht.
Es fiept deutlich und bei mir ging WLAN gar nicht mehr, konnte nicht initialisieren, WLAN Lampe blinkt dann nach 10 langwierigen Versuchen ganz schnell
Das fiepen kommt eigentlich von Resonanzen der Schwingkreise?
Das kann man unter Umständen sogar bei fabrikneuen Routern vernehmen, wenn man sein Ohr dranhält. Das sind dann aber in der Regel die Schwingkreise der DSL-Modems.
Wenn sonst alles ruhig ist im Raum wo sich die FB befindet und du dennoch meinst einen Tinnitus zu haben, DANN ist da etwas nicht in Ordnung :-D
Hatte das genau so bemerkt, auch wenn das WLAN noch stabil war. Nachfrage bei AVM hatte den Defekt bestätigt. Austausch war aber nicht notwendig, da sowieso schon ein Wechsel auf ein neues Gerät geplant war.
Die fast defekte Box liegt jetzt als Notfallreserve in der Schublade.
Erst einmal Danke!
Wie hast Du das bemerkt? 5 GHz ausgeschaltet und dann keine WLAN-Verbindung gehabt oder WLAN ja (2,4 GHz) aber kein Datenfluss?
Ich hab es tatsächlich erst bemerkt, als mein Roborock nicht mehr erreichbar war, der nur 2,4 unterstützt.
Hab dann nach dem Problem geschaut und bemerkt, dass generell die 2,4GHz nicht erreichbar sind. Über Google bin ich dann schnell auf das Problem gestoßen.
Ok. Danke für die Info/ Antwort!
Älteren Fritz!Boxen bleibt der Zugang zur von AVM gepflegten Sperrliste offenbar verwehrt. Zumindest sehe ich bei meiner 6490 Cable (FRITZ!OS: 7.57) die Option „Zusätzliche IP-Sperrliste von AVM verwenden“ gar nicht. Schade, das manuelle Pflegen ist mühsam und die maximal möglichen 64 IP Adressen/-bereiche sind auch bald erschöpft.
Eventuell ist die Box von Vodafone gemietet?
danke für eure Hinweise! :)
Top :-) Danke für den Tip, ich hatte auch mehrere „Angriffe“ in den letzten Tagen
Wie Captain Stark schon schrieb, gibt es die AVM Sperrliste bei älteren Softwareständen nicht (Bei mir 7590 mit FritzOS 7.59).
Noch dazu habe ich grade festgestellt, dass die Sperrliste nicht mit Wildcards oder IP Adressbereichen umgehen kann. Zugriffsversuche hatte ich bisher aus den Netzen 85.203.15.*, 185.195.19.*, 45.128.199.* und 91.217.249.*, wäre zu schön, wenn man diese auch so eintragen könnte, dann wäre das Limit von 64 Adressen nicht so schnell erreicht.
Hier mal die von mir aktuell gesetzte Sperrliste. Ist über die letzten Monate kontinuierlich gepflegt. Für alle, die sich nicht die Mühe machen wollen, die Systemereignisse auszuwerten.
2.57.121.127
2.57.121.203
23.90.153.228
45.128.199.83
45.128.199.107
80.187.114.193
45.128.199.230
82.118.29.80
85.203.15.12
85.203.15.60
85.203.15.180
85.203.45.17
85.203.45.25
89.187.169.10
89.187.169.100
91.217.249.51
91.217.249.9
98.159.226.185
185.195.19.196
185.195.19.200
185.195.19.202
185.195.19.205
193.46.255.151
193.118.38.106
212.30.36.34
212.30.36.84
aktualisiere dein Fritz!OS dann dürfte das gehen das Update auf 8.0 ist offiziell draußen.
gilt für alle die noch nicht aktualisiert haben. bei mir waren solche Angriffe auch nach der Aktualisierung und etwas Veränderung der Sicherheitsregeln haben die Angriffe aufgehört.
Das aktualisieren funktioniert nur bei „freien“ FRITZ!Boxen. Wenn die FRITZ!Box vom Provider gebrandet ist, hat der Kunde keine Möglichkeit, eigenständig die Firmware zu aktualisieren.
Mir wird die Version für die 7590 noch nicht angeboten. Ergo ist sie für das Modell eben noch nicht draußen. Ich glaub nur für die 7590AX.
FRITZ!OS 8 wird (noch?) nicht für alle Boxen bereitgestellt. Daher fehlt die Option bei älteren Geräten wie meiner 6490.
Muss mich (vielleicht?!) korrigieren. Laut einem Supportartikel gibts FritzOS8 doch auch für die Ältere 7590?!
Wird mir aber dennoch nicht angeboten.
https://avm.de/produkte/fritzos/fritzos-8/
Wie von Zauberhand, wurde mir das Update grade angeboten. Spannend. Erfreulicherweise sitzt der Halen bei „Zusätzliche IP-Sperrliste von AVM verwenden“ auch schon.
Also für die FRITZ!Box 7590 wird V8.0 angeboten. Dort Internet – Filter – Listen – IP Sperrlisten – bearbeiten und dort Zusätzliche „IP-Sperrliste von AVM verwenden“ ankreuzen. Dann ist die Liste von AVM aktiv.
Du kannst doch mit bspw. 85.203.15.0/24 das gesamte Class C Netz sperren.
Und wo aktiviert man die von AVM gepflegte Sperrliste?
@emufan Siehe oben im Artikel verlinkten AVM-Supporteintrag.
Es sind nur bestimmte Chargennummern betroffen kann man nachsehen im IP Forum
Mich würde interessieren, ob das AVM Besitzer betrifft, die wie bei Vodafone im „Intranet“ (NAT), also dem TV Kabelnetz sind oder im üblichen öffentlichen wie Telekom oder so. Irgendwie muss man die Fritzboxen ja erst mal finden.
Also ich habe ne Cable Box (meine eigne) bei Vodafone und auch bei mir hab ich in den Ereignissen das entdeckt.
Das betrifft Telefonkabel-DSL-Anschlüsse wie DOCSIS-Anschlüsse gleichermaßen, wenn der Provider die Angriffe nicht vom Kernnetz aus bereits verhindert. Ich habe bislang bei einer einzigen mir bekannten FRITZ!Box an einem Glasfaseranschluss keine solchen Anmeldeversuche registriert.
Das sind Dauerpings mittels Zufallsprinzip.hat man eine gefunden wird diese dann mittels Bot befeuert bis man Den Nutzernamen hat und das Kennwort. Meine Fritzbox ist für Angreifer unsichtbar und ich verwende Kennwörter mit Sonderzeichen, Groß und Kleinbuchstaben sowie Zahlen und Umlaute. das zu knacken bräuchte selbst ein guter Rechner Jahre.
https://cubecolour.co.uk/wp-content/uploads/2017/04/xkcd-936-password-strength.png
…
Ich verstehe die Leute nicht, die mutwillig den Haken setzen, dass ihre FRITZ!Box von außen überhaupt erreichbar ist. Wenn man von außen Zugriff auf die FRITZ!Box benötigt, sollte man einfach ein VPN einrichten, was bei Bedarf gestartet wird und dann den Zugriff ermöglicht. Dann ist das Problem einfach nicht mehr vorhanden.
VPN wird doch genauso konfiguriert. VPN braucht auch DnyDNS. Also das selbe.
Der Zugriff von außen wird definitiv NIE benötigt. Es ist extrem leicht bspw einen Raspi mit VPN (Wireguard oä) Server aufzusetzen.
Wer das anders macht gehört übers Knie gelegt.
Bei mir auch Vodafone cable Box 6490
Aber einen eigene keine gemietete
Ferngugriff jetzt ausgeschaltet
HTTPS Zugang deaktivieren reicht vollkommen aus, allerdings ist dann eine VPN-Vebindung notwendig um in heimische Netz zu kommen.