O2-Homebox 6441 sicherer machen

Smalltalk
Antworten
rwkraemer
Beiträge: 398
Registriert: 14.08.2005 23:23:40

O2-Homebox 6441 sicherer machen

Beitrag von rwkraemer » 05.10.2018 00:12:07

Hallo,

ehrlich gesagt habe ich das Thema bereits vor einigen Tagen im Ubuntuusers Forum gepostet, aber dort keine Antwort erhalten. Ich habe eine O2-Homebox 6441 und bin mit ihr per LAN-Kabel verbunden. Mit der Homebox ist auch ein Festnetztelefon verbunden. Ich habe schon einiges versucht, sie abzusichern, aber vielleicht hat der eine oder andere einen Tipp, den ich als Laie auch umsetzen kann, ohne eine Fritzbox zu kaufen oder einen alten PC als Router/Firewall umzukonfigurieren. Ich habe für die Benutzeroberfläche ein Passwort mit mehr als 15 Stellen gewählt, den Mac-Adressenfilter aktiviert und für den Fall, dass ich das WLAN einschalte (ist momentan deaktiviert), das WLAN-Passwort geändert. Im Mac-Adressenfilter habe ich auch die WLAN-Mac-Adresse meiner Geräte eingegeben, so dass ich mein Heimnetzwerk mit wenigen Klicks auf WLAN umstellen kann. Allerdings fühle ich mich mit dem LAN-Kabel doch sicherer. Ich habe abgesehen von meinem Haupt-PC noch einen Laptop und ein Android-Smartphone. Beide Rechner laufen mit Ubuntu-Mate 18.04. Gibt es noch etwas, was ich machen kann?

BenutzerGa4gooPh

Re: O2-Homebox 6441 sicherer machen

Beitrag von BenutzerGa4gooPh » 05.10.2018 07:37:52

Ich habe schon einiges versucht, sie abzusichern, aber vielleicht hat der eine oder andere einen Tipp, den ich als Laie auch umsetzen kann, ohne eine Fritzbox zu kaufen oder einen alten PC als Router/Firewall umzukonfigurieren.
Nö. Weil:
War nicht mal ein Hack, nur so 'ne Art DDoS: https://www.heise.de/security/meldung/G ... 20212.html

Du musst jeden Zugriff anderer, Unbekannter unterbinden, ausschließliche Administrationshoheit haben. (Ansonsten sind deine gut gemeinten, "sicheren" Einstellungen im Ernstfall witzlos, weil von anderen geändert.) Geht nicht mit einer Providerrouter? Tja, dann ist dieser als Teil des bösen Internets zu betrachten, (Zone WAN), jeder Rechner "hängt" sicherheitstechnisch direkt am Internet und du musst jeden Rechner und jedes IoT-Teil (Smart-TV?) [1] einzeln absichern, iptables, nftables, Windows-Firewall, keine offenen Ports am Rechner usw.
https://www.debian.org/doc/manuals/secu ... ian-howto/
Einfacher wäre wohl ein eigener Router. (Ich bin jedenfalls zu faul, sowas für mehrere Rechner durchzuziehen und mir zu merken bzw. zu dokumentieren.)

Persönlicher Rat: Kaufe dir wenigstens eine eigene Fritzbox und ersetze den Providerrouter. Hast so nicht mal mehr Stromkosten, keine zusätzliche Büchse.

[1] IoT-Müll kann man nicht ensprechend einstellen? Kinder mit Windows-Virenschleudern im Haushalt? Ältere Smartphones ohne Updates? Bei Kompromittierung hilft auch die gerade genannte Fritte nicht. So wegen nicht vorhandener Segmentierungsmöglichkeit. "Gefährder" und "Spione" wären in einem Gastnetz "fernab" vom NAS, Backups und wichtigen Daten/Rechnern gut aufgehoben. So wegen Locky & Co.

Semi-OT:
Ein Smartphone (auch mit Vertrag zu bezahlen) kostet wohl 600 Euro in 2 Jahren und dessen Einstellerei macht selbst mit Google-Spy oder Apfel-OS Arbeit. Für einen eigenen Router (200 Euro etwa alle 6 Jahre wegen Updates) reicht bei vielen weder Geld noch Zeit noch Wissen. Wauwau? :wink: :mrgreen:

Edit: Ideal finde ich einen Providerrouter (besser -Modem) und einen eigenen Router/FW - wegen eindeutiger Administrationshoheiten/Leistungsgrenzen und eindeutiger Testmöglichkeit: Ethernet zwischen den Büchsen. So kann man die Providerleistung prüfen und seine eigene Büchse von außen (WAN) scannen. Halt etwa 12 Watt mehr, etwa 36 Euro/Jahr für die zusätzliche Büchse.
Zuletzt geändert von BenutzerGa4gooPh am 05.10.2018 13:39:48, insgesamt 1-mal geändert.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: O2-Homebox 6441 sicherer machen

Beitrag von bluestar » 05.10.2018 08:59:39

Jana66 hat geschrieben: ↑ zum Beitrag ↑
05.10.2018 07:37:52
Edit: Ideal finde ich einen Providerrouter (besser -Modem) und einen eigenen Router/FW - wegen eindeutiger Administrationshoheiten/Leistungsgrenzen und eindeutiger Testmöglichkeit: Ethernet zwischen den Büchsen. So kann man die Providerleistung prüfen und seine eigene Büchse von außen (WAN) scannen. Halt etwa 12 Watt mehr, etwa 36 Euro/Jahr für die zusätzliche Büchse.
Da musst du allerdings explizit erwähnen, dass das Providergerät (Router/Modem) keine Zusatzfunktionalität haben darf und auch nicht per TR69 durch den Anbieter vermurkst werden darf. Ansonsten spielt dir dein Provider beispielsweise die SIP-Konfiguration auf den Router, ein Hacker greift den Router des Providers bei dir zu Hause an und du zahlst die Telefonrechnung für Auslandsanrufe, selbst wenn du die Telefonfunktionalität des Routers gar nicht benutzt.
rwkraemer hat geschrieben: ↑ zum Beitrag ↑
05.10.2018 00:12:07
Ich habe schon einiges versucht, sie abzusichern, aber vielleicht hat der eine oder andere einen Tipp, den ich als Laie auch umsetzen kann, ohne eine Fritzbox zu kaufen oder einen alten PC als Router/Firewall umzukonfigurieren.
...
was ich machen kann?
Wie wäre es denn, wenn du erst einmal definieren würdest wie dein Sicherheitskonzept aussehen soll. Deine Sicherheitsmaßnahmen sind für mich eher kosmetischer Natur und deren Wirksamkeit will ich mal hinterfragen:

* Admin Passwort auf Router mit 15 Zeichen => Lass mich raten du greifst über HTTP auf die Admin-Oberfläche des Routers zu, ergo überträgst du dein Passwort bei jedem Zugriff auf die Box unverschlüsselt.
* MAC Filter => Ich steck meinen Rechner an dein LAN an, warte auf den ersten ARP-Broardcast und "borge" mir eine MAC-Adresse aus deinem LAN.

BenutzerGa4gooPh

Re: O2-Homebox 6441 sicherer machen

Beitrag von BenutzerGa4gooPh » 05.10.2018 09:15:41

bluestar hat geschrieben: ↑ zum Beitrag ↑
05.10.2018 08:59:39
Da musst du allerdings explizit erwähnen, dass das Providergerät (Router/Modem) keine Zusatzfunktionalität haben darf und auch nicht per TR69 durch den Anbieter vermurkst werden darf. Ansonsten spielt dir dein Provider beispielsweise die SIP-Konfiguration auf den Router, ein Hacker greift den Router des Providers bei dir zu Hause an und du zahlst die Telefonrechnung für Auslandsanrufe, selbst wenn du die Telefonfunktionalität des Routers gar nicht benutzt.
Ein Modem telefoniert wohl (noch) nicht. :mrgreen:
Wenn der Providerrouter gehackt wird, wer haftet? Provider oder Kunde? Zumal, wenn der Kunde die Büchse nicht "anfasst"? Technisch hast du schon Recht.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: O2-Homebox 6441 sicherer machen

Beitrag von bluestar » 05.10.2018 09:27:50

Jana66 hat geschrieben: ↑ zum Beitrag ↑
05.10.2018 09:15:41
Wenn der Providerrouter gehackt wird, wer haftet? Provider oder Kunde? Zumal, wenn der Kunde die Büchse nicht "anfasst"? Technisch hast du schon Recht.
Das wäre ein Job für Juristen, selbst die BGH Urteile sind da nicht eindeutig, im Zweifel auf das BGH-Urteil vom 19. Juli 2012, Az. III ZR 71/12 berufen, wo es dem Nutzer nicht zuzumuten ist, die Netzwerksicherheit fortlaufend dem neusten Stand der Technik anzupassen.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: O2-Homebox 6441 sicherer machen

Beitrag von bluestar » 05.10.2018 11:46:58

Ein interessanter Beitrag über die Unsicherheit von Routern: https://www.golem.de/news/sicherheit-fu ... 36957.html

BenutzerGa4gooPh

Re: O2-Homebox 6441 sicherer machen

Beitrag von BenutzerGa4gooPh » 05.10.2018 15:11:41

bluestar hat geschrieben: ↑ zum Beitrag ↑
05.10.2018 11:46:58
Ein interessanter Beitrag über die Unsicherheit von Routern: https://www.golem.de/news/sicherheit-fu ... 36957.html
Sicherheitslücken haben auch professionelle Router, insbesondere Cisco wird immer an die Große (heise.de-) Glocke gehangen.
Ich muss gerade lachen: Cisco hat so eine Art eigenen "Bugtracker" und veröffentlicht eigenintiativ einschließlich Workaounds (so möglich) für "Vulnerabilities". https://tools.cisco.com/security/center ... rabilities

AVM hat sowas eher nicht, aber tut wohl zeitnah etwas. Speedport, O2-Homebox, TP-Links & Co?

Allgemein sind wohl CVEs:
Ui, AVM vertreten (positiv gemeint): https://www.cvedetails.com/product-list ... 5/AVM.html
O2 finde ich nicht.
Speedports (Produktsuche) auch nicht.
Im Westen nichts Neues. :wink:

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: O2-Homebox 6441 sicherer machen

Beitrag von bluestar » 05.10.2018 15:15:19

Jana66 hat geschrieben: ↑ zum Beitrag ↑
05.10.2018 15:11:41
O2 finde ich nicht.
Die Homebox stammt von Zyxel: https://www.cvedetails.com/vendor/859/Zyxel.html

rwkraemer
Beiträge: 398
Registriert: 14.08.2005 23:23:40

Re: O2-Homebox 6441 sicherer machen

Beitrag von rwkraemer » 05.10.2018 19:27:31

Danke für die vielen Antworten. Naja, vielleicht komme ich doch nicht an eine Fritzbox vorbei. Wie ihr schon geschrieben habt, wird die ja regelmäßig mit Updates versorgt und hat außerdem mehr Einstellungsmöglichkeiten. Ich habe mal meine Firmware von der Homebox gegoogelt, und einen Eintrag vom Oktober 2017 gefunden.

Antworten