Sicherheitsfragen Heimnetzwerk

Theoderix

Miesepeter
Moin Boardies,
ich habe mal ein paar Fragen rund ums Thema "Sicherheit im Heimnetzwerk" -an die, die Ahnung davon haben.
Ich kann mir zwar einen Teil der Antworten selber denken, aber das muss ja nicht bedeuten, dass es auch so ist - meist ist ja das Gegenteil der Fall. :D

Gerätschaft: Fritzbox Cabel 6490 aktuellste Firmware 7.20.
Es läuft ein Gäste-WLAN (192.xxx.xxx.x) sowie eigenes WLAN (192.yyy.yyy.y) mit WPA2 & WPA3, sowie 40 stelligem Zugangscode.

Nun hat sich die Mitbenutzerin im Gäste-WLAN scheinbar einen stalkenden Hacker eingefangen, zumindest scheint er ihre kompletten in der I(dioten)cloud gelagerten Passwortdaten abgegriffen zu haben und hat wohl auch bei ihr im Netz randaliert ebenso auf den Smartphones die im WLAN hingen.

Sie ging dewegen bei mir über das Gäste-WLAN der Fritzbox ins Netz.
Mein Verständnis ist, das normale WLAN und das Gäste-WLAN sind zwei komplett getrennte Bereiche und ein kompromitiertes Gerät oder ein Bösewicht kommen über selbiges nicht in mein WLAN / LAN rein.
Nun habe ich gelesen, dass man bei einem laufenden Server bspw. über Gäste-WLAN plus Portnummer trotzdem Zugriff auf bspw. diesen Server erlangen kann (bis OS 7.14) sofern eine Portfreigabe besteht. Dies war bei mir nicht der Fall.
Damit hätte sich das für mich prinzipiell erledigt, aber seit gestern spinnt mein Pi.hole Raspi Zero (per WLAN angebunden).
Der läßt auf einmal kein Gerät mehr per WLAN ins Internet, er verbindet sich mit der Fritzbox, aber es steht weiterhin nur "kein Internet" da. Während gleichzeitig alle per LAN angebundenen Geräte ohne Probleme rausgehen können / konnten.

In Verbindung mit dem durch die Nachbarin geschilderten möglicherweise realen potentiellen Angriffszenario stellt sich mir die Frage, könnte sich da wer Zugriff in mein Netzwerk geschaffen haben?
In der FB wird kein zusätzliches Gerät angezeigt, neue Geräte sind blockiert und ein Scan mit Desinfec't hat mit allen dort vorhandenen Scannern keinen Hinweis auf ein (Rootkit/Viren(Trojan) Problem gegeben.
Ein Portscanner zeigt auch nur meine Geräte an.
Kann man also davon ausgehen, dass das Netzwerk sauber ist?

Fragenden Gruß
Theo
 
Zuletzt bearbeitet:

eumelfrau

Bekanntes Mitglied
Au backe, war mein erster Gedanke. Dann der zweite: Passwörter wechseln.

Ich hab gerade gelernt, WLAN ist per se nicht mehr sicher, da WPA2 kompromittiert ist.

Ich hoffe, alles kommt wieder in die Reihe
Eumelfrau
 

silverrider

The One and Only
Ich bin etwas im Stress @Theoderix,

dadurch etwas unkonzentriert, also bitte vernachlässigen wenn ich was vergessen habe (und ich schreibe gerne wenn ich denke :D, also wenn zuviel, halt zuviel geschrieben):

Grundsätzlich habe ich im Haushalt "Internet-Devices" die via WLAN an meiner Fritzbox angeschlossen sind,
weiterhin ein Rechner der via LAN and die Box angeschlossen ist. Dabei ist jedes Internetgerät grundsätlich angreifbar, also theoretisch übernehmbar.

Der Angriff kann aber natürlich schon im Netz begonnen haben, weil die Damen der Zunft, aus eigener Erfahrung bescheidene bis beschissenen Passwörter für ihre Accounts nutzen (das ist kein Sexismus, weiss ich aus eigener Erfahrung, highlight war ein Blank für einen Google-Account). Dadurch ist natürlich bei bekannter Email, ein leichtes Accounts zu hacken, ich würde es nennen Dummheit auszunutzen. Mit einem Rundgang haste du dann alles was du brauchst, weil meist immer das gleiche Passwort, Email-Account übernommen etc.

Direkte Angriffe auf Devices über Links etc. ist auch nichts besonderes, ab dann kann ich eh alles mitsniffen was ich brauche.

Bei der Fritzbox gehe ich grundsätzlich auch davon aus, dass Gast und Hauptnetzwerk getrennt ist, der Gast lässt sich ja auch beschränken. Dabei hat aber der Gast ein anderes Passwort als das Hauptnetzwerk, (Hauptnetwerk bei mir 64 Zeichen) dass hast du jetzt nicht hervorgehoben.
In der Regel wird dort, Gast,gerne aus Bequemlichkeit ein meist bescheidenes Passwort genutzt :icon_easter1: Dies auch gerne aus dem Wissen, dass das Ding ja "geschützt" ist. Dabei ist natürlich auch bei alten Devices gerne ein Supermarkt an Verschlüsselung und Specials konfiguriert, nach dem Motto der alte Audio-Hifi-Streamer von Annotobak muss ja auch ins Netz, da wären wir wieder beim Thema,alles ist so sicher, wie das schwächste Glied!

Das zu deiner privaten Betrachtung der Box, dazu kommt die Betrachtung deines Providers,falls du Sie gemietet hast.

Zu guter letzt, es gibt auch bekannte Angriffsmethoden innerhalb des Kabelnetzwerkes.

Also rein kommen können sie theoretisch überall!

Das mal zum warmup, hab jetzt Hunger, ich wenn es passt komm ich nachher noch mal um die Kurve!
 

Theoderix

Miesepeter
@silverrider
Danke für deine Einschätzung.

Das Gäste-WLAN hatte ein eigenes Passwort mit einer Länge von 20-30 Zeichen und war vom Passwort im WLAN unterschieden.
Das Gäste-WLAN war nicht gefiltert, also keine Einschränkung auf bspw. Surfen & Mailen, sondern freier Zugang.
Bei mir im WLAN hängen alte Tablet Androiden (Andorid 7 und darunter) und das Smartphone der Mrs. Theo.
 

jr33

.......
Ich denke auch, dass dein Heimnetz, so wie du es schilderst, sicher ist.
(natürlich nicht absolut, aber ausreichend....)
Einen ähnlichen Effekt, bezüglich Wlan, hatte ich nach dem FW-Update
der 6490 und dem Repeater gleichzeitig.
Mir half ein erneutes FW-Update des Repeaters per LAN und anschließendes
Neuhinzufügen zur Basis.
 
Zuletzt bearbeitet:

Theoderix

Miesepeter
Hmpf das Verhalten des Pi.Hole Raspies wird immer komischer.
Nachdem ich auf einer neuen SD-Karte ein frisches Raspberry Pi OS Lite + pi.hole installiert habe (ohne WLAN in der FB aktiviert und ohne Kabelstecker in der Wand), alle Passwörter für WLAN und FB geändert habe, habe ich folgenden Sachverhalt:
Android Geräte (Nexus 7 und eine FireHD und ein Noname Tablet) kommen einmalig direkt nach dem Start ins Internet, danach Abbruch und es kommt nur noch der Zugang bis zur FB aber keine Verbindung mehr ins Internet möglich. Per LAN angescklossene Geräte kommen weiterhin ohne Probleme ins Netz.
Wenn ich den Raspbi und das pi.hole abklemme und direkt via FB versuche ins Netz zu kommen, geht das ohne Probleme.

Hinweise auf eine blockierte connectivitycheck.gstatic.com oder deren Pendant connectivitycheck.android.com gibt es nicht, bzw. habe ich die mal sicherheitshalber in die whitelist geschupst.
Wenn ich es nicht besser glauben würde, sähe das für mich so aus, als wenn jemand just in dem Moment in dem ein neues Gerät im Netz auftaucht eine Art kill-switch betätigen würde.
 
Das Problem mit Raspi in Verbindung mit Pi-Hole kenne ich aus eigener Erfahrung. Es war immer der DNS-Eintrag bzw. die Einträge, die nicht mehr gepasst haben. Einträge korrigiert und dann hat es wieder funktioniert. Das passiert je nach DNS einmal pro Woche bis einmal im Quartal.
 

Theoderix

Miesepeter
Inzwischen habe ich das Problem eingrenzen können. Lustigerweise funktioniert nur noch das 5 GHZ WLAN, im 2.4er bekommt kein Gerät mehr eine Verbindung über das pi.hole ins Internet.
Ich habe aber an den DNS Einträgen nichts verändert, an der ursprünglichen Installation -die ist einfach im laufenden Betrieb auf "Ab jetzt nicht mehr ins Internet" gegangen.
Beim gestern neu aufgesetzten pi.hole habe ich mal andere DNS als die von UNitymedia/Vodafon genommen - aber das Ergebnis bleibt gleich. Zugriff via 5GHZ und Arschgeleckt beim Versuch über das 2.4 GHZ Band. Ich bin ratlos.
 

jr33

.......
Nur mal testweise: spiel mal deine FW-Sicherung (vor der 07.20 - Version ) der Fritte auf.
Ich weiß, klingt albern..aber man weiß ja nie...
Wenn das "passen" sollte wirst du dir wohl die Mühe machen müssen und die Fritte und
die Himbeere nochmal per Hand auf die Tippel-Tappeltour zu verbrüdern..
 

Theoderix

Miesepeter
@jr33
Jetzt habe ich sämtliche alten Sicherungen die ich von der FB6490 hier rumgammeln hatte mal aufgespielt. Ergebnis war aber immer -trotz angeblichem sauberen Rückspielen- dass als OS die 7.20 drauf ist (einzig das Datum der angeblichen Aktualisierung wurde auf das Datum des Backups zurückgesetzt, sodass man lesen konnte: OS 7.20 / Datum 2.3.2019. :D
Auch der Werksreset landete immer bei der Fassung 7.20.
Bei avm gibts via ftp auch keine Datei für das aktuelle OS 7.20 zum manuellen installieren, eine ältere Laborfassung hab ich auch nicht gefunden...wirkt so, als sollte man nicht mehr zurückbackuppen können. :icon_confused:

Inhaltlich habe ich nun folgendes Ergebnis: Via Gast-WLAN kann ich mit allen Geräten connecten und komme auch ins Internet - da sehe ich aber nicht über welches Band 2.4 oder 5 GHZ das stattfindet. Im internen WLAN funktioniert weiterhin nur 5GHZ via Raspy-Zero um ins Internet zu kommen.
Sehr komisch das ... :/
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Die Sicherungen, die du hast sind vermutlich reine Einstellungssicherungen und enthalten wahrscheinlich keine Firmware. Die 6490 ist auch von AVM nicht für Downgrades/Recovery von alter Firmware unterstützt. Es gibt zwar eine Möglichkeit per FTP/Adam2 alte Kernel/Filesystem-Versionen aufzuspielen, aber das ist nicht ganz ungefährlich, da wurden schon einige Boxen gebrickt. Ausserdem benötigt man dafür die entsprechenden Archive um daraus die Kernel/Filesystem-Teile zu extrahieren.
 

Rubb

Rover
Die Fehler klingen so ähnlich wie bei meiner tollen "Flotten FritzBox" .... hatte damals nicht einmal mehr die Einstellungen zurücksetzen können (zum Glück gab es ein gutes Passwort) ....

Es stellte sich dann ein Hardware-Schaden/-Fehler heraus .... das Gerät erhielt ich vom Händler durch bestehende Garantie in "Neu" umgetauscht
 

jr33

.......
Theo, ich habe hier noch eine FRITZ.Box_6490_Cable-07.19-80422-LabBETA.image
rumliegen. Das war die Labor vor der 7.20.
Die lief absolut stabil bei mir.
Einfach brüllen wenn du es wagen möchtest.

Bei avm ist derzeit noch die zu haben:
http://download.avm.de/firmware/6490/78434061/FRITZ.Box_6490_Cable.de-en-es-it-fr-pl.141.06.87.image

Normalerweise sollte es keine Probleme geben, solange du die Geschichte nicht
per ftp machst. Bei der ftp-Variante resultieren die meisten Fehler daraus, dass
die notwendigen Befehle nicht korrekt eingegeben werden.
Nach wie vor und seit nunmehr auch Jahrzehnten ist das Ip-Phone-Forum
diesbezüglich die beste Anlaufstelle, z.B:
geht zwar hauptsächlich ums Branding, aber auch gut fürs "Hintergrundrauschenwissen"

Was mich arg wundert ist, das AVM kein Recovery-Tool für die 6490 bereitstellt.
Lese gerade im IP-Phone-Forum: AVM bietet für die Cable-Modelle keine Recovery-Tools an

Egal wo man sucht, die 6490 wird stiefmütterlich abgehandelt.
Lediglich über die WayBack Machine wird man noch fündig
Die verlinken dann den (verschachtelten) Download einer Laborversion:
https://avm.de/fileadmin/user_upload/DE/Labor/Download/fritzbox-6490-labor-76010.zip
 
Zuletzt bearbeitet:

Theoderix

Miesepeter
Also die Fritzbox ohne pi.hole macht ja brav was sie soll, da funktionieren sowohl das 2.4 als auch das 5 GHZ Band und auch das Gäste-WLAN so, dass ich damit auch ins Internet komme. Nur mit dem pi.hole klappt es mal mit dem 5.GHZ, immer mit dem Gäste-WLAN und nie mit dem 2.4er Band. Ich habe jetzt erstmal den raspy und das pi.hole aus der Gleichung rausgenommen.

Was mich wundert ist, dass das pi.hole ja die ganze Zeit ohne Probleme lief und an dem Tag an dem es sich verabschiedetet weder neue Blockinglisten noch Linus Updates gefahren wurden. Morgens lief es noch, mittags nicht mehr. Neuaufsetzen mit neuer SD Karte und neuen Zugangspasswörtern (und anderen DNS Einträgen) brachte nur den gleichen Zustand hin.
Seit gestern läuft nun auch das 5 GHZ Band nicht mehr, was vorher immer ging mit den drei Geräten dran.
Ich werde mir jetzt wohl mal einen neuen Raspy holen, der via LAN an die Fritte angeflantscht wird und gucken ob das Problem dann weiterhin besteht.

MIch stört halt in diesem Zusammenhang, das die Nachbarin der ich mein Gäste-WLAN dargeboten habe, den Vormittag nochmal mit dem Hinweis kam, ihr Netz (komplett neuaufgesetzt von Vodafon mit neuem Router und Horizonmist) sei wieder aufgemacht worden. Diese zeitliche mögliche Koinzidenz macht mich halt stutzig, muss aber natürlich keine Kausalität haben.

@jr33 Danke fürs Angebot, aber ehe ich das (wenn auch geringe) Risiko eingehe, die Fritte zu fritten, lasse ich die erstmal ohne den Raspy laufen.
Meine potentiell unsicheren Androiden habe ich jetzt erstmal ins Gäste-WLAN verbannt damit die nicht doch noch als Einfallstor ins Netz fungieren können.
 

bavariantommy

Universaldilletant
Doofe Frage: Warum hängst Du den RasPi respektive PiHole nicht per Kabel ins Netz? Dann sollte WLAN, egal welcher Couleur egal sein, weil das ja eh alles die Fritte übernimmt.
 

jr33

.......
DAS Spiel kenne ich....und dann sucht man sich nen

um letztendlich festzustellen, das das Eine mit dem Anderen
in keinem kausalen Zusammenhang steht.
 

Theoderix

Miesepeter
Doofe Frage: Warum hängst Du den RasPi respektive PiHole nicht per Kabel ins Netz? Dann sollte WLAN, egal welcher Couleur egal sein, weil das ja eh alles die Fritte übernimmt.
Das ist nur ein Raspy Zero W der hat nur WLAN onboard und ich mag nicht groß mit der Steckerleiste rumbasteln um dort vielleicht ein Ethernet zum Laufen zu bringen...ich denke da werde ich den Raspy 2, der hier noch als Medienverteiler läuft, degradieren, und mir einen 4er holen, der den dann ersetzt - ich vermute der Strommehrverbrauch killt mich finanziell nicht - hoffe ich zumindest. :D
 
Oben Unten