Heimnetzwerk hinter Kabel-Internet und Fritzbox

[RYacht]

Mein Startpost hat nun einen kleinen Überblick zu Ergebnissen.

[mortara]

Vielleicht hat der Cisco sowas wie eine generelle Port Weiterleitung an die Fritz-Box, das würde erklären, warum https usw. klappt. Kann mich erinnern, dass einer meiner alten Router sowas mal hatte, das hieß damals 'Standardserver' oder so ähnlich.

[RYacht]

Vielleicht hat der Cisco sowas wie eine generelle Port Weiterleitung an die Fritz-Box, das würde erklären, warum https usw. klappt. Kann mich erinnern, dass einer meiner alten Router sowas mal hatte, das hieß damals 'Standardserver' oder so ähnlich.

Hmmm, wollte ich aber nicht, und nach kurzen Tests mit der DMZ für die FB habe ich dann nur noch einzelne manuelle Portforwards vorgenommen (derzeit aktiv nur noch für https Zugriff, der reicht eigentlich, ftp und http nur kurz getestet).

Ray

[RYacht]

Wieder 2 Fragen:

Auf dem Cisco Kabelrouter hatte ich erst das Port 443 von der Fritzbox forwarded. Das habe ich nun gegenüber dem WAN auf ein anderes Port umgebaut. Natürlich lässt meine Firmenfirewall jetzt nicht zu, da per https zuzugreifen. Überlege, wieder auf 443 zurückzugehen. Das Wave kann dagegen mit Angabe des anderen Ports weiter rein.

Frage: Wie groß ist der Sicherheitsgewinn durch das Alternative Port <> 443 hinsichtlich Eindringen oder Flooding überhaupt?

Nächste Frage:

siehe Angriffsanfälligkeit vieler Router http://winfuture.de/news,73296.html" onclick="window.open(this.href);return false; ... Wäre davon nur mein Kabelrouter betroffen, oder auch die Fritzbox dahinter? (Genauer: könnte so eine präparierte email via https Port zur Fritzbox gelangen).

Ray

[RYacht]

hat niemand ne Meinung?

Ray

[mortara]

Doch, ich schon, aber ich war jetzt ein paar Tage nicht da, konnte also noch nicht antworten.

Ob die Änderung des Ports jetzt einen großen Gewinn in Punkto Sicherheit bringt, lässt sich glaube ich nur schwer sagen, ich tendiere zu glauben, dass es keinen so großen Unterschied macht.

Was die 2. Frage angeht: Die präparierte Mail geht ja erstmal komplett an beiden Routern vorbei zu deinem EMail Programm, und wird dort aufgerufen. Dann versucht dein Email Programm auf diese IP Adressen der Router zu zugreifen, d.h. theoretisch kann das beide Router erwischen, aber der Autor des Artikels schreibt ja schon selbst:

Das Szenario eignet sich so kaum, um einen gezielten Angriff auf bestimmte Nutzer durchzuführen, kann in Verbindung mit einem Spam-Versender aber durchaus zu einer größeren Zahl an Opfern führen.

[RYacht]

Was die 2. Frage angeht: Die präparierte Mail geht ja erstmal komplett an beiden Routern vorbei zu deinem EMail Programm, und wird dort aufgerufen. Dann versucht dein Email Programm auf diese IP Adressen der Router zu zugreifen,

Ah, jetzt verstehn

Ich bekomme eine normale email im html-Format mit Bild auf mein Gerät (muss der Angreifer meine email Adresse kennen oder er sendet via SPAM Listen an die üblichen Verteiler).

Wenn ich die öffne, verbindet sich der Schädling INNERHALB meines Netzwerkes auf Router mit Standard-IP Adresse, versucht dort das Standard-Passwort und schwupps.

Aua.

Ray

[RYacht]

Ob die Änderung des Ports jetzt einen großen Gewinn in Punkto Sicherheit bringt, lässt sich glaube ich nur schwer sagen, ich tendiere zu glauben, dass es keinen so großen Unterschied macht.

Hm, hilft nur, wenn von außen Portscanner offene Ports aufdecken und dann bei z. Bsp. Port 443 dann NUR per https eindringen möchten. Wenn aber jemand alle Ports scanned und dann alle Protokolle für jedes einzelne Port probiert, ist meine Änderung unwirksam.

Ich nehme an, mein Router blockt Portscanning. Dann kann ein Angreifer es nur blind versuchen und versucht halt nur die Standardprotokolle pro Port, gibt dann schnell auf. Da hilft es, right?

[mortara]

Naja, ich gehe davon aus, dass jemand der auf der Suche nach https Schwachstellen ist, sich nicht von einem geänderten Port abhalten lässt, da er vermutlich sowieso alle Ports durchprobieren würde.