Sicherheit: Fritzbox 7390 (Routing privater IP-Adressen)

[süno42]

Hallo,

ich habe festgestellt, daß die Fritzbox (Firmware: 84.05.52) private Internetadressen, die sie keinem bekannten Netz zuordnen kann, ins WAN routet. Hinsichtlich Routing verhält sich die Box korrekt. Meines Erachtens ist dies sicherheitstechnisch aber bedenklich. Der AVM-Support hält dies nicht für kritisch.

Aufgefallen ist dies, da mein Internetdiensteanbieter private IP-Pakete sehr gerne entgegennimmt und routet:

>tracert 192.168.7.2

Routenverfolgung zu 192.168.7.2 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms fritz.box [192.168.0.252]
2 25 ms 24 ms 24 ms rdsl-brsg-de01.nw.mediaways.net [213.20.59.226]
3 24 ms 24 ms 24 ms xmws-brsg-de01-chan-18.nw.mediaways.net [195.71.244.126]
4 24 ms 31 ms 24 ms rmws-brsg-de02-xe-0-0-0-0.nw.mediaways.net [213.20.124.114]
5 rmwc-hnvr-de04-ge-1-1-0-0.nw.mediaways.net [62.53.2.200] meldet: Zielnetz nicht erreichbar.

Ablaufverfolgung beendet.​

Ich freue mich über eine lebhafte Diskussion…


Viele Grüße
Süno42

 

[jahlives]

würgs as designed Schickt einfach alles was er nicht kennt an den default GW. So wie es auch ein Client im LAN machen würde wenn er keine Netzwerkroute für ein Netz hat.
Als kritisch würde ich das auch nicht sehen, unschön aber nicht kritisch. Solche Pakete wird ja wohl der erste Hop nach dem Router eh verwerfen weil die Adrssen un-routbar sind
Ggf könnte man das mit einer Firewallregel für den ausgehenden Traffic unterbinden und einfach ausgehend alle privaten Netze verwerfen

 

[süno42]

würgs as designed Schickt einfach alles was er nicht kennt an den default GW. So wie es auch ein Client im LAN machen würde wenn er keine Netzwerkroute für ein Netz hat.
Als kritisch würde ich das auch nicht sehen, unschön aber nicht kritisch. Solche Pakete wird ja wohl der erste Hop nach dem Router eh verwerfen weil die Adrssen un-routbar sind
Ggf könnte man das mit einer Firewallregel für den ausgehenden Traffic unterbinden und einfach ausgehend alle privaten Netze verwerfen

Natürlich arbeitet die Box unter dem Routingaspekt korrekt. Aber wenn Du mal schaust, werden meine privaten IP-Adressen im WAN doch über mehrere Stationen geroutet. Dies ist bedenklich. Vor allem vor dem Hintergrund, daß ich ein Einwahl-VPN in ein anderes vertrauenswürdiges Netz unterhalte. Wenn die Verbindung vom Einwahlrechner abbricht, wandern die an das VPN gerichteten IP-Pakete im nicht vertrauenswürdigen WAN.

Aus Sicht der immer wieder eigens beworbenen Sicherheit der Fritzboxen, ist dies für mich nicht vertretbar. Jeder 08/15-Router, den ich bisher hatte, hat mich dies zumindest in der Firewall filtern lassen. Bei der Fritzbox muß man an Konfigurationsdateien rumfrickeln.


Viele Grüße
Süno42

 

[Micha81]

Ob das sicherheitstechnisch bedenklich ist vermag ich nicht zu beurteilen. Aber es ist zumindest ein Bug in der Routingimplementation der FB. Private IPs werden nicht ins WAN geroutet, da sinnlos. Festgelegt in RFC irgendwas, müsste ich raussuchen. Jeder Router den ich hier betreibe verwirft die IP sofort wenn im LAN nichts gefunden wird. Auch DNS Forwarding wird nicht betrieben. Von daher wäre wohl ein Bug-Report an AVM angebracht.

 

[süno42]

Ob das sicherheitstechnisch bedenklich ist vermag ich nicht zu beurteilen. Aber es ist zumindest ein Bug in der Routingimplementation der FB. Private IPs werden nicht ins WAN geroutet, da sinnlos. Festgelegt in RFC irgendwas, müsste ich raussuchen. Jeder Router den ich hier betreibe verwirft die IP sofort wenn im LAN nichts gefunden wird. Auch DNS Forwarding wird nicht betrieben. Von daher wäre wohl ein Bug-Report an AVM angebracht.

Ich sehe das auch als Fehler. Ich habe allerdings die Rechnung ohne den Wirt (AVM) gemacht, die haben daran kein Interesse Schwaches Bild…

 

[Micha81]

Ich sehe das auch als Fehler. Ich habe allerdings die Rechnung ohne den Wirt (AVM) gemacht, die haben daran kein Interesse Schwaches Bild…

Das sind halt Konsumergeräte um mal schnell den heimischen PC ins Internet zu bringen. Da würde ich ohnehin nicht zu viel erwarten.

Die Idee mit der Firewallregel finde ich ganz praktikabel. Wenn die FB NAT kann, dann dürfte die öffentliche IP ohnehin kein größeres Problem darstellen.

 

[klaas]

Hallo,

ich habe festgestellt, daß die Fritzbox (Firmware: 84.05.52) private Internetadressen, die sie keinem bekannten Netz zuordnen kann, ins WAN routet. Hinsichtlich Routing verhält sich die Box korrekt. ...

Gibt es eine internationale Norm oder ein Gesetz, daß die Adresse 192.168.? nur als private Adresse anzusehen ist? Es ist meines Wissens zwar üblich, aber verbindlich ist es nicht. So gesehen würde sich der Router korrekt verhalten, wenn er so eine Adresse ins WAN routet, falls er die o.g. Adresse intern nicht findet.

Klaas

 

[jahlives]

Aber es ist zumindest ein Bug in der Routingimplementation der FB. Private IPs werden nicht ins WAN geroutet, da sinnlos.

kommt immer drauf an, so grundsätzlich würde ich das nicht sagen. Kommt schwer auf den Aufbau des Netzes an. Kannst ja z.B. am WAN auch ein weiteres internes Netz haben oder Pakete an interne Adressen könnten über das WAN zu einem weiteren Router geschickt werden, der dann weiss wo das Ziel ist.

 

[süno42]

Gibt es eine internationale Norm oder ein Gesetz, daß die Adresse 192.168.? nur als private Adresse anzusehen ist? Es ist meines Wissens zwar üblich, aber verbindlich ist es nicht. So gesehen würde sich der Router korrekt verhalten, wenn er so eine Adresse ins WAN routet, falls er die o.g. Adresse intern nicht findet.

Gibt es nicht, braucht es auch nicht. Die IANA hat eigenmächtig bestimmte IP-Adreßbereiche für private Nutzung reserviert, die im Internet nicht geroutet werden sollen. Als Einstieg empfehle ich Dir hierzu RFC 6890.

Viele Grüße
Süno42

 

[süno42]

kommt immer drauf an, so grundsätzlich würde ich das nicht sagen. Kommt schwer auf den Aufbau des Netzes an. Kannst ja z.B. am WAN auch ein weiteres internes Netz haben oder Pakete an interne Adressen könnten über das WAN zu einem weiteren Router geschickt werden, der dann weiss wo das Ziel ist.

Die Fritzbox als DSL-Router soll Rechner ins Internet bringen, also können wir hier WAN mit Internet gleichsetzen. Im Internet sollen private Adressen nicht geroutet werden.

 

[süno42]

Ich habe mal die AR7.cfg inspiziert, der APIPA-Bereich (169,254.x.x) wird gefiltert. Da hat AVM wohl etwas vergessen und noch nicht auf dem Schirm.

Bevor ich die Firewallregeln von Hand nachtrage, wollte ich erst einmal die Konfiguration sichern. Dabei ist mir aufgefallen, daß meine Box eine gesicherte Konfiguration für die Wiederherstellung nicht wieder annimmt und mit „Die angegebene Datei ist keine gültige Import-Datei.“ quittiert. Ausprobiert habe ich es mit IE, Opera und Firefox. Noch ein Fehler?

Wer von euch hat eine Fritzbox 7390 (Firmware 84.05.52) und kann mal testen, ob Sichern und nachfolgendes Einspielen der Sicherung funktioniert?


Viele Grüße
Süno42

 

[klaas]

Gibt es nicht, braucht es auch nicht. Die IANA hat eigenmächtig bestimmte IP-Adreßbereiche für private Nutzung reserviert, die im Internet nicht geroutet werden sollen. Als Einstieg empfehle ich Dir hierzu RFC 6890.

Viele Grüße
Süno42

Danke für den Hinweis.

Klaas

 

[Alfamat]

Gibt seit dem 19.09. die Firmware OS 84.05.53 für die 7390. Probier mal, ob es damit geht. Das Backup / Recover der Settings könnte ich mal probieren...bisher noch nie gebraucht.

 

[süno42]

Gibt seit dem 19.09. die Firmware OS 84.05.53 für die 7390. Probier mal, ob es damit geht. Das Backup / Recover der Settings könnte ich mal probieren...bisher noch nie gebraucht.

Die Firmware habe ich schon drauf, hat aber nichts gebracht. Aber AVM hat sich der Sache nun doch angenommen und stellt meinen Vorschlag intern nun als Verbesserungsvorschlag für zukünftige Firmwareversionen zur Diskussion