EDV-Dompteur/Forum

• Die Illuminati!
• Die NSA!
• Mutti!!! (die echte Mutti daheim, nicht die im Bundestag)

Zitat

Anleitung: Box Security Check - Paranoia Edition.

Wem dies zu viel Aufwand ist sucht seine Zugangsdaten, macht einen Werksreset und richtet die Box neu ein.
Import einer gerade gesicherten Konfiguration macht keinen Sinn.

Konfiguriert eure Box vom saubersten System aus wenn möglich per LAN-Kabel und fahrt unsicherere Systeme und WLAN vorher herunter.
Mit steigender Paranoia=Vernunft:

• System >> Ereignisse
  Auf Auffälligkeiten prüfen. Ist die Liste fast leer ist das auffällig. Diese Liste könnte manipuliert sein.
  
  
• System >> Energiemonitor
  An der Uptime (aktiv seit X Tagen) erkennt man ob die Box neugestartet wurde.
  
  
• Telefonie >> Anrufliste
  Auf Auffälligkeiten prüfen. Ist die Liste leer ist das auffällig. Einzelne Einträge lassen sich nicht löschen.
  
  
• Telefonie >> Telefoniegeräte
  Prüfen, gegebenenfalls editieren. Hier wurde eventuell ein IP-Telefon eingerichtet und/oder ein vorhandenes in's Netz freigegeben.
  
  
• Anmeldedaten >> Anmeldung aus dem Internet erlauben
  Prüfen.
  
  
• Telefonie >> Rufumleitungen
  Prüfen. Hier könnten teure Zielnummern eingerichtet werden.
  
  
• Telefonie >> Rufumleitungen >> Callthrough
  Prüfen. Hier kann sich jemand eine Telefonie-Backdoor einrichten und beliebige Nummern wählen.
  
  
• System >> FRITZ!Box-Kennwort >> Benutzer
  Prüfen. Hier könnte ein zusätzlicher Account angelegt werden.
  
  
• Internet >> Freigaben >> Portfreigaben
  Prüfen. Hier könnte ein Bot eine Backdoor öffnen.
  
  
• Internet >> MyFRITZ! >> MyFRITZ!-Freigaben
  Prüfen. Auch hier könnte ein Bot eine Backdoor öffnen.
  
  
• Internet >> Freigaben >> FRITZ!Box-Dienste
  Prüfen. Klüger ist es HTTPS und FTP nie oder nicht dauerhaft in's Netz freizugeben.
  
  
• Internet >> Freigaben >> VPN
  Prüfen. Hier könnte eine VPN Backdoor eingerichtet sein.
  
  
• Heimnetz >> Netzwerk >> Programme
  Prüfen. Zugriff für Programme (=TR-064) und UPnP können mit Kenntnis des Passworts auch Frontdoors sein.

Zum Schluss:

• System >> FRITZ!Box-Kennwort
  Ändern - lang und mit Sonderzeichen und sonst nirgends benutzt.
  

• Dann erst alle Geräte und WLAN hochfahren.

Wenn der Anbieter es erlaubt: in dessen Kundenportal oder ggf telefonisch teure Nummerngassen sperren. Sammlung je Anbieter im vorherigen Thread.
Manche Anbieter (z.B. 1&1) ermöglichen zudem die VoIP-Passwörter im Kundencenter zu ändern. Auch hier kryptische Passwörter setzen und dann ändern unter:

• Telefonie >> Eigene Rufnummern

MyFRITZ! selbst ist kein Problem, es gibt evtl. bei der Einrichtung HTTPS frei, das aber separat abschaltbar ist. Sicherheitshalber prüfen.

Bitte weiterführen/ergänzen/oder nach Wunsch mit "pfff Paranoia" abtun.

Bedenkt: Eine Box ist so unsicher wie das unsicherste System das während der Einrichtung verbunden war!
Das könnte AVM verbessern indem lokaler fritz.box Zugriff getrennt vom Internetzugriff HTTPS unterstützt oder gar auf Wunsch forciert. Man muss dann zwar das Self-Signed-Zertifikat einmalig akzeptieren aber braucht dafür weder seinen Smartschrott noch Junior's wurmige Modeplattform auszuhängen.

An AVM:
Neben HTTPS für das Webinterface bitte langfristig eine Firewall nach innen erwägen.
Immer mehr Smartschrott wird zu potentiellen Angriffszielen / Sniffern / Datenlecks / Krakenexportern. Die Kindersicherung wäre vielleicht die geeignete Oberfläche per Gerät.
Eine "keine weiteren Geräte zulassen" Funktion für das LAN würde das Umgehen erschweren.
Die Firewall sollte auch auf die Subnetze von "Anbieterbypässen/Managed Services" anwendbar sein.
Es gibt bald kein vertrauenswürdiges LAN mehr. Wir kaufen uns die Probleme und schalten sie ein.

1. Vor dem Aufruf des Links alle Browsertabs schließen (bis auf jenen, der diese Seite hier anzeigt, logischerweise).
2. Cookies und Chronik löschen (Achtung: LSO-Cookies/Flash-Cookies kriegt man nicht mit Boardmitteln weg, dazu benötigt man ein Addon!).
3. Die IP-Adresse erneuern.