Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Fritz!Box 7360 Security config

16-07-2014, 11:46 door Anoniem, 11 reacties
Recent met een Frizze Box ter test ook de welbekende site van GRC bezocht.
Wat met een 13 jaar oud BBnet Copperjet modem wel kon, kan met dit modem niet?
Namelijk een Stealth config.

Over het nut van Stealth kan je twisten, de hoogoplopende discussies onder deze posting gezien 'Fritz!Box 7360 en GRC' *
Helaas werd op een goede security config van het modem zelf echter verder niet ingegaan als de "Stealth optie" ontbreekt.

Welnu, als we de discussie over Stealth en voors en tegens rondom bepaalde security personen even weglaten,..

.. Wie heeft er goede (praktische ervarings) tips aangaande een ('maximale') security config van dit modem?
Extra instellingen buiten de standaard settings van dit modem en buiten natuurlijk het instellen van een sterk password.

Praktische tips zeer welkom **

Hopelijk ligt nog niet iedereen anywhere met zijn 8terste in het zand
;-)

Bvvda


* https://www.security.nl/posting/41306/Fritz!Box+7360+en+GRC
** voor breedlopige specifieke welles/nietes nut van Stealth en pro/anti personen discussie verwijs ik graag naar het andere topic opdat hier de focus op praktische tips kan liggen voor de lezers/gebruikers van dit type modem.
Het idee bestaat dat er nogal wat gebruikers zijn van dit type modem.
Reacties (11)
16-07-2014, 23:11 door Erik van Straten
Zorg dat de firmware minstens 6.03 is.

De laatste versie volgens http://en.avm.de/service/downloads/?product=FRITZ%2521Box%2BFon%2BWLAN%2B7360 is 6.05, en daar staat bij "Security: removes possibility for unauthorized access to FRITZ!Box" maar als je vervolgens op "Additional information to this update" klikt (http://en.avm.de/service/downloads/download/show/18827/) en naar bijna de helft van de pagina scrollt, dan staat daar:
New with FRITZ!OS 6.05:
- fixed a problem on VDSL lines using G.Vectoring that caused disturbance in Voip calls

New with FRITZ!OS 6.04
- added Dialplan for New Zealand

New with FRITZ!OS 6.03
-Security: removes possibility for unauthorized access to FRITZ!Box.


New with FRITZ!OS 6.01

DSL
NEW: Ready for VDSL Vectoring (standard g.vector, full support)
[knip]
M.a.w. v6.03 is een must, v6.04 en v6.05 bevatten kennelijk geen security fixes.

Erg handig vind ik http://fritz.box/html/capture.html (vervang fritz.box door IP adres als hostname niet werkt, default IP is 192.168.178.1). Daarmee kun je verschillende poorten van je modem monitoren, inclusief de WAN poort. Door op een "start" knop te drukken wordt er een file-download naar je PC gestart met daarin een Wireshark-compatible pcap file (de default extensie is .eth, even in .pcap hernoemen dus).

Als je van de bovenste "1. Internet connection" een capture start kun je na afloop bekijken wat jouw modem met internet heeft gecommuniceerd. Lijkt me handig voor als je "stealth" tests gaat doen, je ziet dan precies of en welke antwoorden het modem heeft gegeven.

Meer info (Duits): http://www.wehavemorefun.de/fritzbox/IP-Pakete_mitschneiden.

Met die capture zag ik dat het modem SNMP requests vanaf een PC voor een printer naar een RFC1918 adres doorliet (routers horen dat niet te doen, maar deze trekt zich daar niets van aan). Nu zal de eerstvolgende router dat wel blokkeren, maar voor de zekerheid heb ik toch maar een filter aangemaakt dat egress verkeer naar zowel 161/tcp als 161/udp blokkeert. Met de capture-mogelijkheid kon ik meteen zien dat dit filter werkt.
17-07-2014, 00:40 door Anoniem
Door Erik van Straten: Zorg dat de firmware minstens 6.03 is.

[knip goede tips]


Met die capture zag ik dat het modem SNMP requests vanaf een PC voor een printer naar een RFC1918 adres doorliet (routers horen dat niet te doen, maar deze trekt zich daar niets van aan). Nu zal de eerstvolgende router dat wel blokkeren, maar voor de zekerheid heb ik toch maar een filter aangemaakt dat egress verkeer naar zowel 161/tcp als 161/udp blokkeert. Met de capture-mogelijkheid kon ik meteen zien dat dit filter werkt.

Maar het eerste zinnetje ben ik het mee oneens:

Routers horen pakketten te routeren volgens hun route tabel.
En RFC1918 destinations zijn helemaal niet 'speciaal' . Een router die een default route heeft hoort (ook) rfc1918 destinations gewoon die kant op te sturen.
Het is alleen een afspraak dat die adressen toevallig binnen 'het internet' niet uitgegeven worden als een unieke bestemming.

Een ISP zou zelfs kunnen kiezen om sommige interne services op een rfc1918 adres te zetten, wat dan alleen bereikbaar is voor klanten (direct) aangesloten op het netwerk van die isp.

Kortom, gegeven z'n configuratie doet de Fritzbox helemaal niets verkeerd.
Ergens in de core van de ISP of uiterlijk op de rand naar de 'de rest' van internet zullen die packets met bestemming rfc1918 in een zwart gat vallen, wat dat betreft is er weinig noodzaak om in het modem veel moeite te gaan doen om bestemming rfc1918 te droppen (alleen en mits het modem 'naar internet' routeert, want over een vpn tunnel is het juist heel normaal ).
Het levert een stukje complexiteit in het modem op met weinig of geen rendement, die wel kan leiden tot problemen in sommige gebruikers situaties .
17-07-2014, 07:30 door Anoniem
Een onderwerp wat ik zeker volgen zal, daar ook ik een Fritz 7360 heb. Via grc site, ben ik ook al een aantal keren aan het kijken geweest, of en wat ik ga doen aan de settings van deze Fritz.
Ik ben dus zeer nieuwsgierig naar de tips en ideeen die men heeft, daar hier ongetwijfeld mensen zijn die meer kennis van zaken hebben, dan ik.:-)

Ik heb diverse apparaten die via LAN aan een switch hangen, maar van de meeste wil ik geen connects met het internet hebben. Doch voor 1 er van, heb ik alleen de optie voor een timeserver nodig ... verder niets!
Hoe ik dit voor elkaar kan krijgen, is mij nog niet duidelijk.

Wout
17-07-2014, 11:19 door Anoniem
Een 'stealth mode' heeft weinig zin bij dit modem, aangezien dit modem via het enige WAN MAC adres over TR-069 gemanaged kan worden. Een portscan die de betreffende poorten raakt zal dus een positief resultaat geven. Portscans kunnen via botnets worden uitgevoerd, bijna net zo snel en gemakkelijk als een simpele ping. Bij dit modem dus een zinloze feature en daarom weggelaten.
17-07-2014, 11:19 door BaseMent
Volgens mij is de makkelijke manier om de apparaten die niet met internet mogen verbinding geen "gateway" te geven. Je moet dan wel met de hand het ip adres configureren en het gateway veld dan leeg laten.
Voor het ene apparaat dat bij een timeserver moet kunnen kan je een routering aanmaken in de pc voor het adres van de timeserver. Als je pc windows draaien kan je dat doen met de "route" instructie. Wel uitvoeren als administrator.
Zelf doe ik dit ook met een aantal pc's en met de beveiligingscamera's.

Kort samengevat, regel het op het apparaat zelf, niet op je modem.

Natuurlijk kan je ook aan de slag met aparte VLAN's of firewalls. Ik heb dat ook overwogen voor de camara's hier, maar de kosten om VLANs uit te rollen (en dus slimme switches aan te schaffen) waren te hoog.
17-07-2014, 22:00 door Anoniem
@ BaseMent

Na het lezen van je reactie, zat ik ff met de handen in het haar.:-) Zat me af te vragen hoe ik dat dan regelen moest, terwijl de oplossing heel dicht bij lag:p
Ik ben de Fritz nog even doorgelopen qua settings en kwam dit tegen "Making FRITZ!Box available as a time server in the home network" .
De timeserver die hier standaard staat vermeld, heb ik daarop in dat apparaat waar het om ging ...wdmycloud ingevoerd. Die opnieuw laten opstarten, en klaar is kees.:-)

Nu ben ik door jouw reactie dus wel wijzer geworden, anderzijds ...zet mij dat nog wel aan het denken qua verdere settings van alle aangesloten apparaten. Het merendeel staat allemaal op internet geblockt, omdat het een thuisnetwerk betreft.
Stof tot nadenken dus.

Thnx voor je reactie!

Wout
17-07-2014, 23:04 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Met die capture zag ik dat het modem SNMP requests vanaf een PC voor een printer naar een RFC1918 adres doorliet (routers horen dat niet te doen, maar deze trekt zich daar niets van aan).

Maar het eerste zinnetje ben ik het mee oneens:

Routers horen pakketten te routeren volgens hun route tabel.
En RFC1918 destinations zijn helemaal niet 'speciaal' . Een router die een default route heeft hoort (ook) rfc1918 destinations gewoon die kant op te sturen.
Je hebt gelijk, ik schreef routers en daar geldt dat voor.

Echter, dit is niet zomaar een router: dit apparaat scheidt mijn thuisnetwerk van "het Internet". Uit http://tools.ietf.org/html/rfc1918:
It is strongly recommended that routers which connect enterprises to external networks are set up with appropriate packet and routing filters at both ends of the link in order to prevent packet and routing information leakage.
Aangezien de Fritz!Box by default ook NetBIOS verkeer filtert hoort dit filter er m.i. ook in. Met uitzondering van wat je hieronder noemt heeft het doorlaten van deze pakketjes geen enkel nut, maar vormt wel een securityrisico (ik heb niet zo heel veel vertrouwen in printerdrivers, en ook heb ik geen onbegrensd vertrouwen in mijn ISP en iedereen die daar, al dan niet legitiem, kan "meekijken").
Een ISP zou zelfs kunnen kiezen om sommige interne services op een rfc1918 adres te zetten, wat dan alleen bereikbaar is voor klanten (direct) aangesloten op het netwerk van die isp.
Dat kan ik me voorstellen, en in zo'n situatie wil ik dat best aan kunnen zetten - maar m.i. horen dit soort modem/routers gebruikers zo goed mogelijk te ondersteunen met by default zo veilig mogelijke instellingen.
26-07-2014, 20:37 door Anoniem
Late reactie TS,
één en ander wat bekeken en uitgeprobeerd.

@ Erik, Dank voor de uitgebreide reactie
(andere reageerders eveneens dank)


Wat opmerkingen naar aanleiding van de diverse reacties :

• Firmware
Routinematig al direct gecheckt en geüpdatet.
Release notes niet gelezen, nu wel. Dank voor de paste.


• Capture
Geeft een indicatie van wat aangesloten apparaten nu doen.
Blijft een moment opname en je voorkomt geen poortmisbruik.
Je hebt immers daarvan geen real time indicatie op het moment dat één van de aangesloten apparaten bijvoorbeeld is geïnfecteerd met malware en ongewenst connectie zoekt naar buiten toe over één of andere exotische poort.
Of omgekeerd, niet duidelijk is welke poorten Fritsje blokt.

Evengoed als test de Capture gedaan.


• Wireshark, tja
Wist niet dat er inmiddels een kant en klare installatie versie beschikbaar was. Eindelijk geïnstalleerd, X11 interface laat visueel en praktisch wat te wensen over maar goed.

Verlaat wist Sharkie nog wel even in een lokaal zenuwbaantje te bijten. (!)

Bij het installeren maakt het op de computer een extra rechten groep aan (acces_bpf? WT#!) en kent dat Group recht soort van schijnbaar willekeurig toe aan allerlei programma's.
Ontdekte toevallig dat er meer rechten op een email programma zaten maar ook op een programma dat verder niets met internet communicatie van doen heeft. Browser daarentegen liet het weer met rust.
Dat terzijde.

Zou een mooie malware aanpak zijn. Extra recht of de hele Group met extra rechten op diverse apps naar keuze leent zich wellicht goed voor misbruik.
Group recht is ook weer eenvoudig te verwijderen. Dat dan gelukkig ook weer wel, maar toch even flink de wenkbrauwen opgetrokken bij de ontdekking op het mailprogramma.


• Capture file geprobeerd met Wireshark
Kan je overigens ook importeren vanuit Wireshark zelf zonder de extensie te veranderen.

Interesting,... maar, stevige kost, gemiddelde gebruiker zal een Cursus nodig hebben voor dit programma.
Eerste onduidelijkheden waren die rondom de kleurcodes, alleen een visueel onderscheid (?).

Protocollen bekeken dan, gebruikte poortnummers zag ik niet.
Een greep uit voorbijkomende protocollen met een test, bezoek van een kranten site en een systeemupdate checkopdracht van een test systeempje.

ARP (Roze)
DNS (Blauw)
HTTP (Groen), HTTP (Zwart), HTTP/XML (Groen),
ICMP (Roze), ICMP (Zwart)
OCSP (Groen)
TCP (Lila), TCP (Zwart), TCP (Groen), TCP (donker Grijs), TCP (Donker Rood)
TLSv1 (Lila), TLSv1 (Zwart)
TLSv1.2 (Lila)

Met grote node gemist in het WireShark overzicht, de gebruikte poortnummers en de url's.

Wat betreft de urls en andere info zag ik die wel door direct het capture file te openen in een text editor en met flink wat scrollwerk (of zoek commando op 'host').

Bijvoorbeeld variërend per gemaakte connectie

- GET /css/home.combined.min.css?v=.... HTTP/1.1
- Host: www.....nl
- Connection: keep-alive
- Accept: text/css,•/•;q=0.1
- User-Agent: ....
- DNT: ...
- Referer: http://www.....nl/
- Accept-Encoding: gzip,deflate,lzma,sdch
- Accept-Language: ...

Aardige test is eventueel om een Capture toe doen met een software update van je Os en te kijken welke bestandslocaties er voorbij komen (over printerdrivers gesproken).


• Geen resultaat
Uiteindelijk heeft de Capture voorzover ik kan beoordelen niets opgeleverd (behalve inzichten en dat is ook wat waard), zag wel de protocollen maar niet de poorten waardoor ik het verkeer niet geheel kon beoordelen (ook al weet ik best welke poorten allemaal op slot zitten, evengoed wil je dat graag weer controleren).

De printer staat niet op wireless en niet op het netwerk, gewoon op usb en een werkstation na ontdekking ooit dat de fabrikant graag op regelmatige basis mijn print habits ontvangt.

Daarnaast hoeft de buurman mijn printer niet te zien of te kunnen gebruiken (al gooit de fabrikant zelf al heel veel inkt weg elke keer dat ik het ding aanzet om slechts een scan te maken en niet eens te printen. Printer delen zou zelfs wat kunnen opleveren in dit geval.
Buts thats another very big annoying manufacturer-pigs story)
.


• Modem initiatieven naar computer toe
het Modem initieert wel reacties van de computer ondanks voorkeur config op het werkstation zelf (?).

Meldingen elke 30 seconden; Smbclient connectie poging over poort 139 (geblokkeerd).
Config van systeem stond juist niet op bestandsdeling, toch probeerde het connectie te zoeken met het modem.
Uiteindelijk bleek het vanuit het modem te komen, settings rondom Home network en NAS.
Staat dat aan dan wil je computer graag over een extra poort naar buiten communiceren.


• Aangesloten data opslag en het modem via usb ...

Er zullen vast mensen zijn die op de usb poort direct een harddisk met vele bestanden pluggen om te sharen op het home network.
Hopelijk is de scheiding tussen 'Home' en internet network een sterke scheiding.
Security config hieromtrent en vertrouwen dit te gebruiken ben ik nog niet helemaal uit.

Kan me niet voorstellen dat gebruikers hier 'in the blind' simpele harddisks op de usb hebben aangesloten.
Dus los van de security mogelijkheden die een sommige schijven zelf bieden en het encrypten van files (niet praktisch ook voor home sharing).

Security config voor home-sharing met dit modem vanzelfsprekend compleet helder voor alle gebruikers hier?
Geloof er niets van ;-)
daar zijn vast de meningen wel over verdeeld (?)


• Al voorlopig concluderend / afrondend

Mooi modem, daar niet van, het hoe en wat het nu doet rondom poortbeheer is me niet helemaal duidelijk.
GRC was daarom ook zo'n aardige makkelijke test, maar die werkt niet meer.

Verder, de suggestie van Basement dit beheer op de apparaten zelf te doen is op zich een logische.

Maar, wanneer er meer apparaten op het modem zijn aangesloten had het best handig geweest om het poortbeheer voor een groot deel op het modem in te stellen, dan hoef je dat niet op afzonderlijke apparaten te in te stellen / te monitoren.
De meeste poorten kunnen gewoon dicht is mijn ervaring.

Wat Frits wel of niet dichtgooit of heeft geblokkeerd is nu onduidelijk. Daarnaast kunnen ook ISP's weliswaar ongebruikte poorten afschermen, maar dat zijn er vast maar een paar op de 65000.

* Geen heilige graal
Wellicht is poortbeheer geen heilige graal, de indruk bestaat dat met het dichtzetten van de meerderheid van de poorten op simpele wijze al een heleboel malware communicatie ellende en ongewenst nieuwsgierige communicatie acties van hard en software fabrikanten kan worden voorkomen.

Het ziet er naar uit dat dit dan op de aangesloten apparaten zelf dient te gebeuren.
Meer werk en wat onpraktisch bij meer apparaten maar op zich prima te doen.


• Mocht ik nog eens iets tegenkomen meld ik het wel hier,
kom je zelf iets tegen of heb je een slimme tip; 'van harte welkom, zou ik zeggen'.

Denk aan de home sharing of NAS config, ben ik wel benieuwd naar.
Alsmede de securityscore op het scheiden van het thuisnetwerk (incl Nas) van "het Internet"
Zie argument van 17-07-2014, 23:04 door Erik van Straten .



Nogmaals bedankt voor de reacties tot dusver,
Ts
01-06-2015, 09:51 door Anoniem
Ook een 7360 ontvangen. Eerste modem/router ooit waar het me niet lukt om volledig stealth te zijn. Er is discussie over het nu van wel of niet stealth zijn, dat weet ik. Maar ik wil graag zelf bepalen of mijn modem/router reageert op internetpakketjes. Kan dat echt niet met dit modem?
01-06-2015, 10:52 door Anoniem
Afgezien van die update services zou je een DMZ kunnen instellen naar een niet bestaande/gebruikte intern ip adres. Dan zouden al die scan pakketjes 'verdwijnen', dwz, nooit beantwoord worden. Als het al niet helemaal stealth is, het zou een scan behoorlijk kunnen vertragen.
Het is maar een idee.
01-06-2015, 12:55 door Eric-Jan H te D
Alhoewel een oud topic, kennelijk een nieuwe gebruiker van Fritzl.

De Ping die GRC als beantwoord ziet komt van de WAN-zijde van de Fritz. Hij wordt dus niet door één van de computers in jouw netwerk beantwoord. Er is geen instelling om deze te blokkeren. Er zijn voor de Fritz wel mods te vinden, misschien zit daar een nuttige bij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.