Security Professionals - ipfw add deny all from eindgebruikers to any

[Certificaten fritz.box] staan standaard niet ingesteld! ONVEILIGE VERBINDING accepteren/negeren volgens Xs4all-helpdesk??!!

05-09-2017, 13:43 door Digidokter, 39 reacties
N.a.v.:

Zeker, maar stél je voor dat deze offline PC wordt gebruikt om bepaalde certificaten te signen. Alleen op deze PC staat de private key die dat doet.
Zodra je die sleutel in handen krijgt kan je zelf valse certificaten uitgeven die andere, wel connected, PC's van dat bedrijf gewoon accepteren.
Daarna kan je vrolijk Man in the Middle attacks uitvoeren en alsnog data onderscheppen van dat bedrijf.
Zo zijn er meen ik enkele Certificate Authorities die dat op een dergelijke manier doen. Een fysiek afgescheiden PC zou dus in een aparte ruimte met kooi van faraday moeten staan om dit te voorkomen.
Toe gegeven, dit is ver gezocht, maar als je dus ECHT ver wil gaan in je beveiliging moet je óók hier over na denken.[/q]
Bron: https://tweakers.net/nieuws/104455/onderzoekers-hacken-offlinecomputers-met-dumbphone.html
Nadat mijn computer corrupt was en ik alles opnieuw moest installeren (win10) plus de modem had gereset. Kreeg ik een medling in ff & chrome toen ik wilde inloggen op mijn fritz.box: "Deze verbinding is onveilig". Die melding had ik voordien niet toen ik een SSL (https) maakte met fritz.box!
Nu belde ik met Xs4all en die zeiden me dat:
"Die melding is normaal. Een SSL-certificaat geeft altijd een waarschuwing tenzij hij is ondertekend door een SSL-boer. Die SSL-instanties (letsencrypt, geotrust, verisign, etc) ondertekenen alleen certificaten voor domeinen die via het internet bereikbaar zijn. Fritz.box is een lokaal domein. Het SSL-certificaat zorgt alleen voor een beveiligde verbinding naar de webinterface van de router."
Ik was het daar niet mee eens en heb zelf een stappenplan moeten samenstellen om beveiligde verbinding toet stand te brengen:

1. Stroom eraf?
2. Modem afsluiten van telefoonkabel, zodat je geen verbinding hebt meer met internet?
3. Alle telefoon/lan kabels uittrekken, zodat geen apparaten meer zijn verbonden?
4. Fritz.box in alufolie wikkelen? En antenne ook? Soort kooi van Faraday creëren?
5.Via een LIVE LINUX CD je OS starten?
6. Alle apps sluiten behalve je browser en beveiligingssoftware+firewall?
7. Al je extenties in je browser installeren om maxiomale veiligheid: noscript/adblock/ghostery/HTTPS everywhere/etc? flash blokkeren, popups blokkeren, javascript blokkeren,
8. Op je computer met netwerkscan FING controleren of geen netwerken/apparaten aanwezig zijn op netwerk?
9.Na deze softwarematigcontrole op je LIVE CD en netwerk plus controle van malware/virus/MIM/etc en je zeker weet dat er niets meer aan hangt!!!
Dan pas je computer met fritz verbinden via:
10. Met een cat5/6/7/8 twisted pair schielded (ISO/IEC 11801:2002 category 7/class F)?
11. Spanning/voeding aansluiten op fritz?
12. Dubbelcheck of niets is mee gekomen via FING?
13. Inloggen via 'https://fritz.box' of IPadres modem? Welke van twee kan je best gebruiken??
14. De meldingen 'onveilig verbinding'etc' negeren??
15. Nieuw certificaat op je modem genereren en downloaden naar je computer?
16. Uitloggen van fritz.?
17. Certificaat importeren in ff/chrome en IPadres modem certificaat controleren als is toegewezen door je provider?
18. Filters configureren en alle overige verbindingen standaard blokkeren op fritzboxsetup en backup maken instellingen?
19. Controleren met FING en nu bevestigen of je idd nu veilig verbinding maakt zonder meldingen op 'https://fritz.box'???

Na dit proces, kan je dan met 100% zekerheid zeggen dan je 'veilig' op je modem hebt gewerkt??
En besluiten je hele netwerk weer aan fritzbox te hangen via SSL(https)??
Of is het een schijnveiligheid?? En houdt ik mezelf voor de gek, met dit stappenplan??
Alleen serieuze reacties SVP! ;)
Reacties (39)
05-09-2017, 15:00 door Anoniem
Het is een self-signed certificate van de Fritzbox, niet van iets anders. Je kunt alleen van binnenuit verbinden. Wat is je probleem?

Je snapt niet hoe netwerken werken volgens mij. Je internet verbinding wordt niet beinvloed door een self signed certificate van een modem/router. Dat verkeer gaat er alleen maar doorheen.

Niet druk maken om zaken die er niet toe doen.
05-09-2017, 15:00 door Anoniem
Hoe paranoïde wil je zijn? Consument-niveau, bank-niveau of MIVD-niveau?

Je Fritzbox genereert een zelf-ondertekend SSL certificaat bij elke reboot. Dat geeft een melding in je webbrowser waar je na een handvol muisklikken een uitzondering kan toevoegen. Op consument-niveau mag je aannemen dat je contact hebt met je eigen box als je over je bedrade LAN naar Fritz gaat. (Je kunt voor de zekerheid verdachte IoT apparaten loskoppelen.)
05-09-2017, 15:02 door Anoniem
Ik zie het probleem niet. Heb ook Fritzbox bij XS4All en log altijd op het modem in met http://192.168.178.1/

Voor een zeer uitgebreid netwerk met heel veel gebruikers kan ik me voorstellen dat je een https verbinding zou willen. Maar dan nog speelt dat certificaat een geringe rol, want dan moet er dus fysiek op je netwerk iemand zitten die een MitM attack kan gaan doen en daarbij de https beveiliging doorbreken.

Maar voor een beperkt huisnetwerk, waarvoor die Fritzboxen toch meestal gebruikt worden, zie ik echt geen probleem. Zolang je WLAN maar op het hoogste beveiligingsniveau staat en een gedegen password heeft is er geen vuiltje aan de lucht.
05-09-2017, 15:08 door Anoniem
fritz.box is inderdaad zoals xs4all het al zegt een lokaal domein waarvan lijkt mij de dns alleen in de fritzbox staat en niet meer is dan een verwijzing naar het interne ip adres van de fritzbox (192.168.178.1)

als je het niet vertrouwd gebruik je toch gewoon het ip adres ipv fritz.box in je browser.
05-09-2017, 15:28 door Briolet
Door Anoniem: Het is een self-signed certificate van de Fritzbox, niet van iets anders. Je kunt alleen van binnenuit verbinden. Wat is je probleem?.

Het probleem is dat browsers tegenwoordig te pas en te onpas alles als onveilig gaan aanmerken, zonder de optie om een bepaald certificaat in toekomst als veilig te accepteren. Vooral Chrome is hier sterk in.

Dat geeft een melding in je webbrowser waar je na een handvol muisklikken een uitzondering kan toevoegen.
Dat zou de methode moeten zijn, maar bij Chrome lukt dat niet zodat er niets anders over blijft dan de waarschuwing te negeren.
Met als gevolg dat je jezelf gaat aanleren om waarschuwingen te negeren, totdat je echt tegen een foute site aanloopt.
05-09-2017, 15:42 door Anoniem
Dat geeft een melding in je webbrowser waar je na een handvol muisklikken een uitzondering kan toevoegen.
Dat zou de methode moeten zijn, maar bij Chrome lukt dat niet zodat er niets anders over blijft dan de waarschuwing te negeren.
Met als gevolg dat je jezelf gaat aanleren om waarschuwingen te negeren, totdat je echt tegen een foute site aanloopt.
Het is mogelijk om certificaatbestanden te uploaden naar de Fritzbox; als je een eigen CA-sleutel aan Chrome toevoegt kun je daarmee een certificaat voor Fritz ondertekenen en dat certificaat (plus chain) en de privesleutel uploaden naar je Fritz.
Alles bij elkaar een redelijk complex proces.
05-09-2017, 16:02 door Bitwiper - Bijgewerkt: 05-09-2017, 16:03
De meest veilige aanpak is als volgt:
1) Genereer een RSA sleutelpaar van 4096 bits en beveilig de private key met een sterk wachtwoord;
2) Plaats de public key in een root certificaat met een geldigheid van bijv. 10 jaar;
3) Importeer het root certificaat in je OS (of in Firefox als je deze gebruikt);
4) Genereer een RSA sleutelpaar van 2048 bits;
5) Plaats de public key in een servercertificaat voor "fritz.box" van bijv. 3 jaar;
6) Sla server certificaat met bijbehorende private key op in een versleutelde PEM file;
7) Maak een netwerkverbinding via een kabel met de Fritz!Box zonder dat er verder iets op is aangesloten;
8) Verbind met https en negeer de certificaatwaarschuwing of verbind via http;
9) Log in en importeer het servercertificaat als beschreven in https://en.avm.de/service/fritzbox/fritzbox-7360/knowledge-base/publication/show/1525_Importing-your-own-certificate-to-the-FRITZ-Box/.

Door de private key van het rootcertificaat in eigen beheer te houden (je zou deze hierna zelfs weg kunnen gooien) voorkom je dat die private key in verkeerde handen valt (met door jouw OS en/of browser vertrouwde rootcertificaten kunnen zowel jij of jouw OS compleet op het verkeerde been worden gezet door iedereen die bij een bijbehorende private key kan).

Een aardige open source PKI tool voor Windows is XCA (https://sourceforge.net/projects/xca/).
05-09-2017, 17:09 door Anoniem
Let er goed op dat .box een nieuw toplevel domein is!
https://www.heise.de/newsticker/meldung/Neue-Top-Level-Domain-box-bringt-manche-Netze-durcheinander-3491185.html

Als je de DNS server van XS4All gebruikt en de FRITZ!Box die domeinen uit laat delen in je lokale netwerk, zal het wel goed gaan.

Ik zou ook de poortbeveiliging van XS4All op niveau 4 zetten. Dat zorgt ervoor dat je alleen de DNS servers van XS4All kan gebruiken.
05-09-2017, 17:55 door Bitwiper
Door Anoniem: Let er goed op dat .box een nieuw toplevel domein is!
https://www.heise.de/newsticker/meldung/Neue-Top-Level-Domain-box-bringt-manche-Netze-durcheinander-3491185.html

Als je de DNS server van XS4All gebruikt en de FRITZ!Box die domeinen uit laat delen in je lokale netwerk, zal het wel goed gaan.
Goed punt! Opvallend is dat nog niemand het publieke domein fritz.box "geclaimd" lijkt te hebben (ook AVM niet).

Voor de zekerheid kun je opnemen in je hosts file (als je het IP adres van de Fritz!Box niet hebt gewijzigd):
192.168.178.1 fritz.box
05-09-2017, 20:21 door Anoniem
Opvallend is dat nog niemand het publieke domein fritz.box "geclaimd" lijkt te hebben (ook AVM niet).

https://www.iana.org/domains/root/db/box.html, klik even door naar de whois en je ziet dat hij echt bezet is.

Overigens wel een leuke voor TS: gooi 'fritz.box' eens door virustotal.... [voeg twilight of x-files melodie in... dat is het concept van false-positives].
05-09-2017, 20:56 door Digidokter - Bijgewerkt: 06-09-2017, 05:05
Dank Je Mannen, jullie begrijpen hoe serieus wij dit probleem nemen als het op security professionalisme komt! Die anonieme trollen negeer ik maar....
Echter jullie advies is me te ingewikkeld, ik ben een noob mbt netwerken en SSL:
Kunnen jullie dit voor mij in jip & janneke taal verduidelijken en zonodig waar ik alle instellingen kan vinden??
Het gaat al fout bij mij bij stap 1, haha :( Ik ben jullie eeuwig dankbaar, alvast.
Door Bitwiper: De meest veilige aanpak is als volgt:
1) Genereer een RSA sleutelpaar van 4096 bits en beveilig de private key met een sterk wachtwoord;
2) Plaats de public key in een root certificaat met een geldigheid van bijv. 10 jaar;
3) Importeer het root certificaat in je OS (of in Firefox als je deze gebruikt);
4) Genereer een RSA sleutelpaar van 2048 bits;
5) Plaats de public key in een servercertificaat voor "fritz.box" van bijv. 3 jaar;
6) Sla server certificaat met bijbehorende private key op in een versleutelde PEM file;
7) Maak een netwerkverbinding via een kabel met de Fritz!Box zonder dat er verder iets op is aangesloten;
8) Verbind met https en negeer de certificaatwaarschuwing of verbind via http;
9) Log in en importeer het servercertificaat als beschreven in https://en.avm.de/service/fritzbox/fritzbox-7360/knowledge-base/publication/show/1525_Importing-your-own-certificate-to-the-FRITZ-Box/.

Door de private key van het rootcertificaat in eigen beheer te houden (je zou deze hierna zelfs weg kunnen gooien) voorkom je dat die private key in verkeerde handen valt (met door jouw OS en/of browser vertrouwde rootcertificaten kunnen zowel jij of jouw OS compleet op het verkeerde been worden gezet door iedereen die bij een bijbehorende private key kan).

Een aardige open source PKI tool voor Windows is XCA (https://sourceforge.net/projects/xca/).

Alvast bedankt voor je reactie.

Door Bitwiper:
Door Anoniem: Let er goed op dat .box een nieuw toplevel domein is!
https://www.heise.de/newsticker/meldung/Neue-Top-Level-Domain-box-bringt-manche-Netze-durcheinander-3491185.html

Als je de DNS server van XS4All gebruikt en de FRITZ!Box die domeinen uit laat delen in je lokale netwerk, zal het wel goed gaan.

Goed punt! Opvallend is dat nog niemand het publieke domein fritz.box "geclaimd" lijkt te hebben (ook AVM niet).

Voor de zekerheid kun je opnemen in je hosts file (als je het IP adres van de Fritz!Box niet hebt gewijzigd):
192.168.178.1 fritz.box
Dat wil ik graag doen maar waar staat die host file en hoe vind ik hem? En bedoel je met IP fitzbox lokale IP: 192.168.178.1?
Ook graag in jip & janneke taal voor een noob op netwerken. bedankt voor de toelichting alvast!
05-09-2017, 21:24 door Anoniem
Hier een zogenaamde anonieme troll. Wat is het probleem nu...er is geen probleem want intern worden vaak zulke eigen certificaten gebruikt. Het is alleen het verkeer tussen de web interface van de friz en is totaal niet spannend behalve dan het wachtwoord.

Verder moeten er voor grote wijzigen te pas en onpas een telefonische bevestiging worden gegeven via een getoonde code.

Persoonlijk vind ik de beveiliging een beetje doorgeslagen bij AVM na er toch redelijk grote gaten in firmware zaten.

Je kunt je eigen certificaat er in zetten als je dat perse wil.

Zoals je zelf aangeeft ben je nog een noob en het hosts bestand staat op jouw computer en als je weet wat van besturingssoftware je het dan geef je in bij Google "waar staat mijn host file in" naam besturingssoftware.
05-09-2017, 23:03 door Bitwiper
Stel jij kent een geheim dat niemand anders kent (niet heel bijzonder). Bijzonder is wel dat jij kunt bewijzen dat jij (als enige) dat geheim kent, zonder dat geheim zelf ooit prijs te geven. Wat je wel prijsgeeft is een afgeleide van jouw geheim. Uit die afgeleide kan niemand jouw geheim bepalen, maar via een wiskundige truc met zowel de afgeleide (door degene die wil vastellen dat jij het geheim kent en jij dus echt jij bent) als een wiskundige truc uitgevoerd door jou met jouw geheim, kun jij aantonen dat jij jij bent.

We hebben op school geleerd dat als je weet dat C = A x B, en je weet twee van de drie variabelen, je de derde kunt uitrekenen - ook als je ofwel C en A, ofwel C en B weet (want C/B = A en C/A = B).

Er bestaan echter wiskundige functies C = P (x) K waarbij dat niet opgaat (die "(x)" is geen gewone vermenigvuldiging). Ik bedoel te zeggen dat je wel eenvoudig C kunt uitrekenen als je P en K kent, maar als je C kent en ofwel P ofwel K, het ongelofelijk moeilijk is om de onbekende waarde uit te rekenen (tenzij je over een zeer krachtige quantum computer beschikt, maar die zijn er nog niet - voor zover bekend).

Nog interessanter wordt het als de volgende 2 functies blijken te bestaan:
C = P1 (x) K1
P2 = C (x) K2

Het geheim waar ik het helemaal bovenaan over had is K2, oftewel jouw private key. P1 en P2 staan hierbij voor een kort stukje Plaintext (leesbare tekst, bijv. "Aap"), K1 staat voor de public key en C voor Cryptext. Die (x) staat dus voor een cryptografische bewerking; met K1 wordt versleuteld, met K2 wordt ontcijferd.

Iemand die wil weten of jij jij bent, en over jouw public key K1 beschikt, neemt een willekeurig stukje korte tekst P1 en berekent C, dus met de eerste functie:
C = P1 (x) K1
De waarde in C stuurt hij naar jou. Belangrijk is te weten dat niemand met kennis van C en K1 kan bepalen wat P1 was (in tegenstelling tot een gewone vermenigvuldiging is deze functie niet eenvoudig omkeerbaar).

Degene die over K2 en C beschikt kan bepalen wat P2 is, en als K1 en K2 "complementair" zijn (d.w.z. als K1 een afgeleide is van K2) zal P2 hetzelfde zijn als P1. Dus als iemand C naar jou gestuurd heeft kun jij daar, samen met jouw private key K2 (jouw geheim), P2 uit bepalen:
P2 = C (x) K2
waarna je P2 kunt terugsturen.

Als degene die jou C gestuurd heeft en P2 retour heeft gekregen, ziet dat P2 hetzelfde is als P1, weet hij zeker dat jij jij bent, mits:
1) Hij zeker weet dat K1 (jouw public key) echt van jou is (en niet van iemand die zich voordoet als);
2) K2 (jouw geheim) niet in andere handen terecht is gekomen;
3) K1 en K2 lang genoeg zijn om niet met actuele quantum- of traditionele computers te kunnen worden gekraakt.

Als we ervan uitgaan dat aan de punten 2 en 3 voldaan wordt, rest ons het zeker weten dat een public key "van een specifiek iemand is" en niet van iemand die zich voordoet als (opzettelijk, of onbedoeld omdat hij toevallig dezelfde naam heeft). De veiligste manier om een public key van iemand te krijgen is deze dan ook live door iemand overhandigd te krijgen.

Maar dat is lang niet altijd praktisch! Om die reden zijn digitale certificaten uitgevonden: daarbij garandeert een door jou vertrouwde derde partij (TTP of Trusted Third Party) dat een public key van iemand (of van een organisatie of van een website) is. Een organisatie die certificaten uitgeeft wordt een Certificate Authority (CA) of Certificate Service Provider (CSP) genoemd.

Met het Windows tooltje XCA kun je zelf voor CA spelen (maar ook sleutelparen en certificate requests genereren).

Probeer het bovenstaande eerst maar eens te begrijpen! De kern is dat je een geheim (private key K2) kent dat je strikt geheim houdt. De afgeleide daarvan (public key K1) is geen geheim, maar daarvan is het essentieel dat duidelijk is van wie deze is - om identiteitsfraude te voorkomen.
06-09-2017, 00:08 door Anoniem
Dank Je Mannen, jullie begrijpen hoe serieus wij dit probleem nemen als het op security professionalisme komt! Die anonieme trollen negeer ik maar..

Je kunt de anoniemen toch maar beter wel heel serieus nemen. Je beschuldigt een helpdesk van een heel foute reactie, waarbij je in je verhaal duidelijk maakt totaal niet te weten en niet te begrijpen waar je over schrijft, en waar je de helpdesk van beschuldigt. Het feit dat je de anoniemen 'trollen' noemt is ronduit beledigend en ongepast, je hebt namelijk geen idee wat het niveau van de antwoorden is. Dat niveau is stukken hoger dan jij klaarblijkelijk denkt.

Het antwoord van de helpdesk was accuraat en to-the-point.

Het feit dat Bitwiper een nijntje uitleg moet geven over public/private key encryptie is alleszeggend.
06-09-2017, 05:14 door Digidokter
Door Bitwiper: Stel jij kent een geheim dat niemand anders kent (niet heel bijzonder). Bijzonder is wel dat jij kunt bewijzen dat jij (als enige) dat geheim kent, zonder dat geheim zelf ooit prijs te geven. Wat je wel prijsgeeft is een afgeleide van jouw geheim. Uit die afgeleide kan niemand jouw geheim bepalen, maar via een wiskundige truc met zowel de afgeleide (door degene die wil vastellen dat jij het geheim kent en jij dus echt jij bent) als een wiskundige truc uitgevoerd door jou met jouw geheim, kun jij aantonen dat jij jij bent.

We hebben op school geleerd dat als je weet dat C = A x B, en je weet twee van de drie variabelen, je de derde kunt uitrekenen - ook als je ofwel C en A, ofwel C en B weet (want C/B = A en C/A = B).

Er bestaan echter wiskundige functies C = P (x) K waarbij dat niet opgaat (die "(x)" is geen gewone vermenigvuldiging). Ik bedoel te zeggen dat je wel eenvoudig C kunt uitrekenen als je P en K kent, maar als je C kent en ofwel P ofwel K, het ongelofelijk moeilijk is om de onbekende waarde uit te rekenen (tenzij je over een zeer krachtige quantum computer beschikt, maar die zijn er nog niet - voor zover bekend).

Nog interessanter wordt het als de volgende 2 functies blijken te bestaan:
C = P1 (x) K1
P2 = C (x) K2

Het geheim waar ik het helemaal bovenaan over had is K2, oftewel jouw private key. P1 en P2 staan hierbij voor een kort stukje Plaintext (leesbare tekst, bijv. "Aap"), K1 staat voor de public key en C voor Cryptext. Die (x) staat dus voor een cryptografische bewerking; met K1 wordt versleuteld, met K2 wordt ontcijferd.

Iemand die wil weten of jij jij bent, en over jouw public key K1 beschikt, neemt een willekeurig stukje korte tekst P1 en berekent C, dus met de eerste functie:
C = P1 (x) K1
De waarde in C stuurt hij naar jou. Belangrijk is te weten dat niemand met kennis van C en K1 kan bepalen wat P1 was (in tegenstelling tot een gewone vermenigvuldiging is deze functie niet eenvoudig omkeerbaar).

Degene die over K2 en C beschikt kan bepalen wat P2 is, en als K1 en K2 "complementair" zijn (d.w.z. als K1 een afgeleide is van K2) zal P2 hetzelfde zijn als P1. Dus als iemand C naar jou gestuurd heeft kun jij daar, samen met jouw private key K2 (jouw geheim), P2 uit bepalen:
P2 = C (x) K2
waarna je P2 kunt terugsturen.

Als degene die jou C gestuurd heeft en P2 retour heeft gekregen, ziet dat P2 hetzelfde is als P1, weet hij zeker dat jij jij bent, mits:
1) Hij zeker weet dat K1 (jouw public key) echt van jou is (en niet van iemand die zich voordoet als);
2) K2 (jouw geheim) niet in andere handen terecht is gekomen;
3) K1 en K2 lang genoeg zijn om niet met actuele quantum- of traditionele computers te kunnen worden gekraakt.

Als we ervan uitgaan dat aan de punten 2 en 3 voldaan wordt, rest ons het zeker weten dat een public key "van een specifiek iemand is" en niet van iemand die zich voordoet als (opzettelijk, of onbedoeld omdat hij toevallig dezelfde naam heeft). De veiligste manier om een public key van iemand te krijgen is deze dan ook live door iemand overhandigd te krijgen.

Maar dat is lang niet altijd praktisch! Om die reden zijn digitale certificaten uitgevonden: daarbij garandeert een door jou vertrouwde derde partij (TTP of Trusted Third Party) dat een public key van iemand (of van een organisatie of van een website) is. Een organisatie die certificaten uitgeeft wordt een Certificate Authority (CA) of Certificate Service Provider (CSP) genoemd.

Met het Windows tooltje XCA kun je zelf voor CA spelen (maar ook sleutelparen en certificate requests genereren).

Probeer het bovenstaande eerst maar eens te begrijpen! De kern is dat je een geheim (private key K2) kent dat je strikt geheim houdt. De afgeleide daarvan (public key K1) is geen geheim, maar daarvan is het essentieel dat duidelijk is van wie deze is - om identiteitsfraude te voorkomen.

Heel erg bedankt voor deze fantastische uitleg over certificaten! ;) Ik begrijp nu ongeveer de werking, alhoewel ik niet erg goed ben in hogere wiskunde, kan ik de rode draad wel volgen!
Ik heb mijn netwerk nu beveiligd en ben daar bijna 11uur mee bezig geweest:
Vanaf 19:00uur tot nu (5:54uur) bezig geweest mijn netwerk te beveiligen:
Ik werd bijna gek, omdat tijdens instellen etc er steeds een onbekende 'PC' op mijn netwerk kwam. Nadat ik alle computers/smartphones/tablets/laptops van stroom gehaald had en uit had gezet, bleef die 'PC' maar opduiken met onbekend MAC-adres en Ik had hem via filters al hele avond/nacht geblokkerd. Ook toen ik WIF & bluetooth uit had bleef hij maar verschijnen.....?????

Wat denk je uiteindelijk kwam ik erachter wat het was....MIJN TVBOX!!!!
Die is ook SMART en op LAN aangesloten.....HUILEN en LACHEN om mijn eigen paranoia haha , goeie grap...Nu naar bed..
Ik begin 'professionele' security nu echt leuk te vinden nu ik het beter begrijp! :)
06-09-2017, 10:30 door Anoniem
Het is vreselijk omslachtig gemaakt, maar je kan Chrome/Chromium nog altijd een self-signed certificaat laten vertrouwen.

• Open de website (https://fritz.box bijvoorbeeld). Chromium geeft aan dat de site niet veilig is.
• Ga in het menu naar "Meer hulpprogramma's" -> "Hulpprogramma's voor ontwikkelaars" of druk CTRL+SHIFT+I
• Kies daar in de bovenste tab-balk de tab "security" (ik moest eerst op ">>" klikken).
• Klik op de knop "View certificate".
• Kies de tab "Details".
• Klik op de knop "Exporteren" en bewaar het bestand (de naam is een IP-adres).
• Kies in het hoofdmenu van de browse "Instellingen".
• Klik onderaan op "Geavanceerd".
• Klik op "Certificaten beheren".
• Kies de tab "Certificeringsinstanties".
• Klik op "Importeren".
• Kies bij de bestandstypen om alle bestanden te zien, zoek het geëxporteerde certificaat op en selecteer dat.
• Kies in de pop-up die verschijnt om het certificaat te vertrouwen voor het identificeren van websites en klik op "Ok".

De Fritz!Box moet nu vertrouwd worden.

Dit is aanzienlijk minder omslachtig in Firefox, daar klik je in de waarschuwing over de pagina op "geavanceerd", vervolgens op "Uitzondering toevoegen", je bevestigt hem en klaar is kees. Mijn enige ergernis daar is dat het vinkje om de uitzondering altijd te vertrouwen default aanstaat, ik wil dat die default uitstaat, dat voorkomt ongelukken als je een site eenmalig bedoelde te vertrouwen maar even niet oplette.

Zoals anderen al hebben aangegeven sla je een beetje door in het wantrouwen van je eigen LAN en de Fritz!Box. Als je je eigen LAN zo wantrouwt dat je verwacht dat https://fritz.box/ niet naar de Fritz!Box leidt dan zou ik alle apparatuur in je netwerkje onmiddelijk herinstalleren als ik jou was.

Maar als je je wantrouwen de ruimte wilt geven lijkt het me nog altijd veel eenvoudiger kunnen dan de procedure die jij beschrijft:
• Zet het draadloze netwerk uit door op de wlan-knop op het modem te drukken (het corresponderende lampje moet knipperen en dan uit staan).
• Koppel de Fritz!Box los van het internet (kabeltje naar de splitter).
• Koppel alle met ethernetkabels verbonden apparaten los of zet ze uit.
• Verbind je pc met het vers geïnstalleerde besturingssysteem met een ethernetkabel met het modem.
• Als dan je browser met https://fritz.box/ verbinding maakt dan is er maar één apparaat over dat kan antwoorden, de Fritz!Box zelf. Het certificaat dat dan wordt aangeboden kan je veilig importeren.
06-09-2017, 10:46 door Spiff has left the building
Door Digidokter, di.05-09, 20:56 uur, bijgewerkt wo.06-09, 05:05 uur:
Dank Je Mannen, jullie begrijpen hoe serieus wij dit probleem nemen als het op security professionalisme komt! Die anonieme trollen negeer ik maar....
@'Digidokter'
1. Er zijn hier niet alleen mannen actief, maar ook vrouwen.
2. Er is in deze thread helemaal sprake van trolling. Of beschouw je elke reactie die jou niet bevalt en die afkomstig is van een oningelogde bijdrager gelijk als trolling?
Je houding en je manier van uitdrukken zijn beslist niet 'professioneel', en weinig in overeenstemming met nettiquette.
Wees wat respectvoller, graag!
06-09-2017, 14:29 door Anoniem
Door Digidokter:Ik heb mijn netwerk nu beveiligd en ben daar bijna 11uur mee bezig geweest...Ik begin 'professionele' security nu echt leuk te vinden nu ik het beter begrijp! :)

Dan ben ik eigenlijk wel benieuwd wat je nog meer hebt gedaan in die 11 uur.

Een paar uur besteden aan een certificate voor een FritzBox is volgens mij erg zonde van je tijd omdat je als het goed is geen gevoelige gegevens naar je FritzBox stuurt. Dan ga ik er wel vanuit dat je het wachtwoord van je FritzBox niet gebruikt voor Facebook / je bank / je mail / etc. Een "veilig" certificate op je FritzBox heft veerder geen invloed op de rest van je internet verkeer.

Als je je FritzBox echt veilig wil maken dan kun je beter alle stekkers er uit trekken. :-)
06-09-2017, 15:20 door Anoniem
Door Anoniem:
Als je je FritzBox echt veilig wil maken dan kun je beter alle stekkers er uit trekken. :-)

Dat kun jij nou wel zeggen maar wat heeft dat voor betekenis? Je bent toch maaar gewoon (net als ik, Anoniem 5 sept 15:02) zo'n anonieme troll?

Wij worden door deze TS toch niet geloofd.
07-09-2017, 08:16 door ThinxNL
De TS heeft werkelijk geen idee waar hij het over heeft. Ga eerst de basis eens bestuderen hoe netwerken en TCP/IP werken en hoe een sessie opgezet worden naar de andere kant van de router.

Mijn advies in deze, maak je niet te druk. Er is bij jou niets aan de hand.
07-09-2017, 08:29 door Bitwiper
Ik begrijp de TS wel. Zelf heb ik ook regelmatig dat ik denk dat ik weet wat de oorzaak van een probleem is, terwijl achteraf de vork anders in de steel blijkt te zitten. Jammer dat mensen die ergens geen expert in zijn, zo worden afgebrand.

Asymmetrische encryptie en PKI worden door veel te veel mensen als "te complex" beschouwd om ze überhaupt maar te willen begrijpen - terwijl het fundamentele bouwstenen van moderne ICT zijn. Ik zie ICT beheerders massaal certificaatfoutmeldingen wegklikken (o.a. bij RDP en netwerkdevices) en dat is echt krankzinnig.
07-09-2017, 09:21 door Anoniem
Door Bitwiper:

[..]

Asymmetrische encryptie en PKI worden door veel te veel mensen als "te complex" beschouwd om ze überhaupt maar te willen begrijpen - terwijl het fundamentele bouwstenen van moderne ICT zijn. Ik zie ICT beheerders massaal certificaatfoutmeldingen wegklikken (o.a. bij RDP en netwerkdevices) en dat is echt krankzinnig.

Om eerlijk te zijn : het is alleen maar krankzinnig als je ergens werkt waar al die dingen goed ingeregeld zijn.
Als devices massaal gedeployed worden met self-signed installatie certificaten kan ik het collega's niet meer kwalijk nemen dat ze het oerwoud aan waarschuwingen gewoon wegklikken zonder veel controle.

Mensen weten al duizenden jaren dat na een paar valse alarmen een echt alarm genegerd wordt.
(fabel : the boy who cried 'wolf' - fabels van Aesophus).
Een automatisch brandalarm dat een paar keer onterecht afgaat wordt van de meldkamer gegooid totdat het gerepareerd is.

Security experts zien het voorkomen van valse alarmen niet als hun grootste probleem maar mensen die van tig valse alarmen leren dat certificaat waarschuwingen 'normaal' zijn. En als het dan een keer misgaat hebben ze een een regeltje in de lijst van procedures en een vinger om mee te wijzen naar iemand die de zoveelste waarschuwing wegklikte, maar geen probleem voorkomen.
08-09-2017, 01:45 door Digidokter
Door Spiff:
Door Digidokter, di.05-09, 20:56 uur, bijgewerkt wo.06-09, 05:05 uur:
Dank Je Mannen, jullie begrijpen hoe serieus wij dit probleem nemen als het op security professionalisme komt! Die anonieme trollen negeer ik maar....
@'Digidokter'
1. Er zijn hier niet alleen mannen actief, maar ook vrouwen.
2. Er is in deze thread helemaal sprake van trolling. Of beschouw je elke reactie die jou niet bevalt en die afkomstig is van een oningelogde bijdrager gelijk als trolling?
Je houding en je manier van uitdrukken zijn beslist niet 'professioneel', en weinig in overeenstemming met nettiquette.
Wees wat respectvoller, graag!
Mijn excuses voor alles over een kam te scheren! Tuurlijk zijn niet alle anoniem 'trollen', ik sta open voor alle tips en adviezen als noob op netwerkgebied. Dus bedankt voor je feedback! :) Ook van vrouwen en transgenders etc.


Door Anoniem: Het is vreselijk omslachtig gemaakt, maar je kan Chrome/Chromium nog altijd een self-signed certificaat laten vertrouwen.

• Open de website (https://fritz.box bijvoorbeeld). Chromium geeft aan dat de site niet veilig is.
• Ga in het menu naar "Meer hulpprogramma's" -> "Hulpprogramma's voor ontwikkelaars" of druk CTRL+SHIFT+I
• Kies daar in de bovenste tab-balk de tab "security" (ik moest eerst op ">>" klikken).
• Klik op de knop "View certificate".
• Kies de tab "Details".
• Klik op de knop "Exporteren" en bewaar het bestand (de naam is een IP-adres).
• Kies in het hoofdmenu van de browse "Instellingen".
• Klik onderaan op "Geavanceerd".
• Klik op "Certificaten beheren".
• Kies de tab "Certificeringsinstanties".
• Klik op "Importeren".
• Kies bij de bestandstypen om alle bestanden te zien, zoek het geëxporteerde certificaat op en selecteer dat.
• Kies in de pop-up die verschijnt om het certificaat te vertrouwen voor het identificeren van websites en klik op "Ok".

De Fritz!Box moet nu vertrouwd worden.

Dit is aanzienlijk minder omslachtig in Firefox, daar klik je in de waarschuwing over de pagina op "geavanceerd", vervolgens op "Uitzondering toevoegen", je bevestigt hem en klaar is kees. Mijn enige ergernis daar is dat het vinkje om de uitzondering altijd te vertrouwen default aanstaat, ik wil dat die default uitstaat, dat voorkomt ongelukken als je een site eenmalig bedoelde te vertrouwen maar even niet oplette.

Zoals anderen al hebben aangegeven sla je een beetje door in het wantrouwen van je eigen LAN en de Fritz!Box. Als je je eigen LAN zo wantrouwt dat je verwacht dat https://fritz.box/ niet naar de Fritz!Box leidt dan zou ik alle apparatuur in je netwerkje onmiddelijk herinstalleren als ik jou was.

Maar als je je wantrouwen de ruimte wilt geven lijkt het me nog altijd veel eenvoudiger kunnen dan de procedure die jij beschrijft:
• Zet het draadloze netwerk uit door op de wlan-knop op het modem te drukken (het corresponderende lampje moet knipperen en dan uit staan).
• Koppel de Fritz!Box los van het internet (kabeltje naar de splitter).
• Koppel alle met ethernetkabels verbonden apparaten los of zet ze uit.
• Verbind je pc met het vers geïnstalleerde besturingssysteem met een ethernetkabel met het modem.
• Als dan je browser met https://fritz.box/ verbinding maakt dan is er maar één apparaat over dat kan antwoorden, de Fritz!Box zelf. Het certificaat dat dan wordt aangeboden kan je veilig importeren.

Ik heb jouw ZEER goede advies opgevolgd en wat denkje? Alles werkt zoals ik wilde!! ;)
Echter nu een probleem:
Ik heb dus met die geïsoleerde laptop en fritzbox verbinding gemaakt en certificaat geëxporteerd/geïmporteerd! Dus wel SSL verbinding dus, ik blij.
Toe tweede PC aangesloten en ingelogd als onbeveiligd omdat daar nog geen certificaat was. Wat gebeurd? Frizbox gegenereerd een nieuw certificaat op domeinniveau, waardoor mijn originele certificaat is komen te vervallen?! Wat moet ik nu doen??
Een hopeloze netwerknoob
10-09-2017, 21:50 door Digidokter

GOED LEZEN SVP:
1. Ik log in via chrome op "https:/fritz.box" en krijg melding "onveilige verbinding!"
2. Ik log toch in via geavanceerd en laat eenmalig toe "de uitzondering"
3. ik download het certificaat van mijn fritz.box als ik ben ingelogd.
4. Ik importeer in chrome via advanced certificaten.
5. Ik ga weer naar https://fritz.box en krijg melding "veilige verbinding".
Nu komt het:
Ik heb in chrome op alles onthouden staan. Dus ook onthoudt hij dus alles(sites, certificaat etc)
Ik sluit chrome en restart laptop met bekabelde verbinding.
Ik log weer in en start chrome.
6. Ga weer naar log in via chrome op "https:/fritz.box" en krijg melding "onveilige verbinding!!!!" terwijl ik certificaat had geïmporteerd !!!?
7. Ik controleer het certificaat in advanced en hij staat er echt tussen met sleutel!!
8. Met tegenzin log in weer op een op een onbeveiligde verbinding "https:/fritz.box" en krijg melding "onveilige verbinding!" negeer het
9. en kijk op fritzbox en zie dat er een nieuw certificaat is gegenereerd! Dus doe bovenstaande opnieuw weer 3 tot 5!
Ik restart laptop:
En wat denkje bij volgende inlog op fritz.box?!
Heeft hij weer een nieuw certificaat gegenereerd en dat terwijl ik een stabiel IP adres heb 192.168.178.1
Ik heb dit een hele dag uitgevogeld maar steeds na een reboot of reset van laptop of chrome genereert hij een nieuw certificaat!!!Wondering
Ik ben niet thuis in certificaten en netwerken dus weet niet wat ik fout doe maar alles wat ik doe is voor mij logisch?! Maar resultaat is steeds veilig verbinding/onveilig/veilig/onveilig etc etc?!?! Wat is er aan de hand?!
10-09-2017, 23:37 door Anoniem
Ik denk niet dat de Fritz een nieuw certificaat aanmaakt. Het herstarten van Chrome een maakt bevestiging noodzakelijk van de uitzondering.

Vergelijkt de getoonde SHA-1 fingerprint maar op de pagina op de Fritz.
11-09-2017, 08:40 door Anoniem
Je hebt lokaal geen FRITZ!Box certificaat nodig. Alleen als je van buitenaf via HTTPS remote inlogt op je FRITZ!Box is het wel aan te raden.

Wat er volgens mij aan de hand is, is de tweede link die ik je gaf. Chrome zegt 'onveilige verbinding' omdat de FRITZ!Box lokaal over HTTP werkt en niet over HTTPS. Je kunt ook een andere browser proberen.

Technische uitleg:
Als AVM een sleutelpaar zou genereren voor elk type FRITZ!Box en deze laat ondertekenen door bijvoorbeeld thawte, dan moet het private certificate aanwezig zijn in elke FRITZ!Box.

Hackers kunnen dan het geheugen van een enkele FRITZ!Box dumpen en reverse engineren en zo de private key bemachtigen die op elke FRITZ!Box (van dat type) werkt. Dit is waarom de certificaten van de FRITZ!Box 'ongeldig' zijn in je browser. Elke FRITZ!Box heeft namelijk een uniek certificaat dat de FRITZ!Box zelf genereert. En wat niet ondertekend is door een certificate authority.

Ik weet niet onder welke omstandigheden de FRITZ!Box dit doet (bij een factory reset schat ik?).
11-09-2017, 16:59 door Digidokter
Door Anoniem: Je hebt lokaal geen FRITZ!Box certificaat nodig. Alleen als je van buitenaf via HTTPS remote inlogt op je FRITZ!Box is het wel aan te raden.

Wat er volgens mij aan de hand is, is de tweede link die ik je gaf. Chrome zegt 'onveilige verbinding' omdat de FRITZ!Box lokaal over HTTP werkt en niet over HTTPS. Je kunt ook een andere browser proberen.

Technische uitleg:
Als AVM een sleutelpaar zou genereren voor elk type FRITZ!Box en deze laat ondertekenen door bijvoorbeeld thawte, dan moet het private certificate aanwezig zijn in elke FRITZ!Box.

Hackers kunnen dan het geheugen van een enkele FRITZ!Box dumpen en reverse engineren en zo de private key bemachtigen die op elke FRITZ!Box (van dat type) werkt. Dit is waarom de certificaten van de FRITZ!Box 'ongeldig' zijn in je browser. Elke FRITZ!Box heeft namelijk een uniek certificaat dat de FRITZ!Box zelf genereert. En wat niet ondertekend is door een certificate authority.

Ik weet niet onder welke omstandigheden de FRITZ!Box dit doet (bij een factory reset schat ik?).
Dat laatste de omstandigheden heb ik dus uitgeprobeerd het hele weekend! En resultaat is:
Eerste keer log ik in op https://fritz.box, (onveilig) kreeg unieke eerste certificaat en importeerde die in browser: RESULTAAT bij tweede inlog "VEILIGE VERBINDING"

Na reboot van browser en laptop:
Derde inlog weer: "onveilige verbinding" terwijl het eerste unieke certificaat in lijst staat!!! Dus toch onveilig accepteren en opnieuw certificaat downloaden (dit certificaat is niet gelijk aan eerste, fritz.box heeft een nieuw certificaat gegenereerd!) Dus opnieuw naar certificaten, delete eerste certificaat en importeer tweede. Loguit en in op een "VEILIGE VERBINDING"

REBOOT LAPTOP (NIET MODEM!!!)
Weer in loggen op https://fritz.box en krijg weer melding "onveilige verbinding" Net als hierboven beschreven stappen uitgevoerd en heb weer een derde uniek ander certificaat!! Dus derde certificaat is gegenereerd!! Niet gelijk aan eerste en tweede!!! Dus in browser weer tweede delete en import derde certificaat!!!! Heb na uitloggen en inlog wel weer een "VEILIGE VERBINDING"

CONCLUSIE: DE CERTIFICATEN WORDEN ALLEEN VOOR HUIDIGE SESSIE VAN BROWSER GEGENEREERD (ONDANKS DAT ALLE INSTELLINGEN IN BROWSER WORDEN BEWAARD) EN NA ELKE BROWSERSESSIE DIE SLUIT EN OPNIEUW START OF REBOOT LAPTOP, GENEREERT FRITZ.BOX EEN NIEUW CERTIFICAAT!!!

Ik begrijp je technische verhaal dus tot zover dan hackers niet je certificaat op een of andere manier daardoor kunnen dumpen/reverse engineering?!?

Dus nu benader ik fritz.box alleen als alle wifi/apparatuur en internet eraf is!!! Weet ik zeker dat niets tussen zit!! ;)
11-09-2017, 17:10 door Anoniem
@Digidokter:

Misschien moet je eens wat op het gebied van netiquette lezen. Dat GESCHREEUW van je, alleen maar omdat je hier niet het antwoord krijgt dat je wenst te krijgen, is buiten proporties!
11-09-2017, 20:03 door Digidokter
Door Anoniem: @Digidokter:

Misschien moet je eens wat op het gebied van netiquette lezen. Dat GESCHREEUW van je, alleen maar omdat je hier niet het antwoord krijgt dat je wenst te krijgen, is buiten proporties!

Dank je voor je 'scherpzinnige' bijdrage.
@moderator
Op dit topic mag van mij een slotje! Dank, ik ben er klaar mee...:(
12-09-2017, 06:12 door Bitwiper
@Digidokter: je bent niet de enige met dit probleem, zie http://www.netzwerktotal.de/hardwarevorstellungen/3561-fritz-box-login-mit-firefox-oder-chrome-zeigt-diese-verbindung-ist-nicht-sicher.html#comment-3076.

Opvallend in de handleiding (https://nl.avm.de/service/fritzbox/fritzbox-7360/knowledge-base/publication/show/1523_FRITZ-Box-certificaat-downloaden-en-importeren-naar-je-computer/) vind ik de grijze box bovenin met de volgende tekst:
De configuratieprocedure en informatie over functies in deze handleiding hebben betrekking op het meest recente FRITZ!OS [1] van de FRITZ!Box.
[1] https://nl.avm.de/service/fritzbox/fritzbox-7360/knowledge-base/publication/show/2_FRITZ-OS-bijwerken/
Het lijkt me heel sterk dat AVM zo'n handleiding schrijft als het niet werkt. Ik vermoed dat er een bug in sommige Fritz!OS versies zit waardoor steeds een nieuw certificaat wordt aangemaakt (of daarbij de public key uit een vers- of uit een eerder gebruikt sleutelpaar komt, maakt voor de browser niet uit - het aangeboden certificaat moet identiek zijn aan het eerder opgeslagen certificaat).

Wat ook zou kunnen is dat door een bug een ander certificaat wordt gedownload dan aan jouw browser wordt aangeboden als je verbinding maakt (er kan ook een certificaat voor je ISP inzitten). Met MSIE en Firefox kun je het via https aangeboden certificaat eenvoudig opslaan (dus niet downloaden zoals in de handleiding staat). Daarmee weet je zeker dat je het juiste certificaat te pakken hebt. Firefox heeft z'n eigen certificate store, daarmee elimineer je evt. Windows/Chrome certificaatproblemen. Zelf zou ik sowieso even met Firefox testen; deze browser is gebruiksvriendelijk bij het opslaan van "onbekende" (niet door een trusted CA ondertekende) certificaten.

Een andere mogelijke oorzaak van wat jij ervaart kan zijn dat jouw Fritz!OS versie nog een certificaat met SHA1 signature heeft. Als je dat importeert zou het kunnen dat Chrome bij de eerstvolgende verbindingspoging naar de Fritz!Box afhaakt vanwege de, als onveilig beschouwde, SHA1-gebaseerde handtekening - en het daardoor lijkt alsof een ander certificaat wordt aangeboden.

In jouw bijdrage van 10-09-2017, 21:50 schreef je:
4. Ik importeer in chrome via advanced certificaten.
Ik zou de instructies van de AVM handleiding exact opvolgen (certificaat niet via Chrome maar in Windows zelf importeren).

Een probleem met certificaten importeren onder Windows (waarschijnlijk ook als je dit vanuit Chrome doet) is dat het certificaat in de USER (i.p.v. de SYSTEM) certificate store wordt opgeslagen. Als je een Windows account hebt waarvoor elke keer als je inlogt een nieuw profiel wordt aangemaakt, begin je met een schone lei en is het eerder opgeslagen certificaat verdwenen. Corruptie van het register kan er vermoedelijk ook voor zorgen dat opgeslagen certificaten "verdwijnen". Je moet natuurlijk ook hetzelde account gebruiken om in te loggen op de Fritz!Box als waarmee je het certificaat hebt opgeslagen.

Je kunt een certificaat ook in de SYSTEM certificate store van Windows importeren. Daarvoor kun je het beste een command prompt openen als volwaardige Administrator en dan "certlm.msc" uitvoeren. Als je het Fritz!Box certificaat vervolgens in de "Trusted Root Certification Authorities" tak importeert, is het voor elke gebruiker op de PC beschikbaar.

Ten slotte kun je in verkenner op de file "boxcert.cer" dubbelklikken om het certificaat te bekijken. Nb. onderin de "details" tab staat een SHA1 fingerprint van de binaire versie van het certificaat. Deze hashwaarde komt niet uit het certificaat zelf, maar is door Windows uitgerekend over het certificaat (deze hash heeft niets te maken met het signing algoritme dat je ergens in de velden daarboven vindt). Als je een oude versie van boxcert.cer bewaart ben ik benieuwd of een nieuwe gedownloade versie daadwerkelijk afwijkt van de oude.
12-09-2017, 13:04 door Anoniem
https://www.security.nl/posting/492891/Google+stopt+ondersteuning+sha-1-certificaten+in+januari+2017

Chrome zal altijd een waarschuwing blijven geven totdat AVM overgaat op SHA2
12-09-2017, 13:53 door Bitwiper - Bijgewerkt: 12-09-2017, 13:54
Door Anoniem: Chrome zal altijd een waarschuwing blijven geven totdat AVM overgaat op SHA2
Mede daarom wees ik in mijn bijdrage erop dat je de laatste firmware moet installeren. Updates die certificaten maken met een SHA256 gebaseerde digitale handtekening zijn zo te zien beschikbaar sinds voorjaar 2017 (Google: site:avm.de "SHA 256" ).

Ik weet echter niet of een update met die functionaliteit voor alle modem/routers beschikbaar is (mogelijk kijk ik erover heen, maar ik zie zo snel nergens dat de TS vermeldt welk model zij of hij gebruikt).
12-09-2017, 14:11 door Eric-Jan H te D
De instellingen van de Fritz zijn zowel van de Lan als de Wan kant te benaderen. Dus vanaf het internet. Althans wanneer je dat ingesteld hebt. Daartoe draait de Fritz een webserver welke dmv een selfsigned certificaat is "beveiligd". Dit certificaat kun je uit de Fritz exporteren en als "Vertrouwd basiscerificaat" installeren op je computer. Hierna wordt je door de browser niet meer lastig gevallen vanwege een niet vertrouwd certificaat. Volgens mij wordt het selfsigned certificaat bij elke koude start van de modem/router opnieuw gegenereerd. Dat betekent dat je dan weer aan de bak bent.

Via de Wan kant kan je alleen via https met de Fritz communiceren. Via de Lan kant kan het ook met http. De poort waarover de https verbinding tot stand moet komen kun je zelfs nog instellen als extra beveiliging.

Vertrouw je de Fritz niet dan kun je zelfs een eigen privat/public sleutel paar maken en importeren in de Fritz. Degene die de privat sleutel kan bemachtigen is instaat om alle verkeer van en naar de Fritz (instellingen) te ontcijferen. Dus wees er zuinig op. Haal het het liefst van je computer en bewaar het op een los sticky het liefst met een wachtwoord beveiligd. Na importeren op de Fritz is weggooien natuurlijk ook een oplossing. In geval van nood genereer je dan en nieuw sleutelpaar. Alleen moet je de public sleutel weer op alle computers als "vertrouwde uitgever" installeren om van het browser gezeur af te zijn.

Wil je er zeker van zijn dat iemand je Fritz hackt, sla dan vooral het wachtwoord op waarmee je de instellingen opent. Of maak het makkelijk te raden.
12-09-2017, 14:51 door Bitwiper - Bijgewerkt: 12-09-2017, 14:51
Door Eric-Jan H te A: Volgens mij wordt het selfsigned certificaat bij elke koude start van de modem/router opnieuw gegenereerd. Dat betekent dat je dan weer aan de bak bent.
Dat zou bizar zijn (stel je zit in het buitenland en er is thuis een stroomstoring geweest). Heb je hier aanwijzingen voor?
12-09-2017, 15:40 door Eric-Jan H te D
Door Bitwiper: Dat zou bizar zijn (stel je zit in het buitenland en er is thuis een stroomstoring geweest). Heb je hier aanwijzingen voor?

Wat is je probleem? Het nieuw gegenereerde certificaat belet je niet met de Fritz thuis te communiceren. Alleen krijg je wel weer die waarschuwing in je browser.

En ja daar heb ik een aanwijzing voor aangezien een door de Fritz gegenereerde certificaat en door mij als "Vertrouwd basiscertificaat" geïnstalleerd niet meer werkte na een herstart van de modem/router. De browser gaf weer de waarschuwing omdat aan de top van de vertrouwensketting geen officiële CA stond. Ik heb niet getest of een geïmporteerd extern gegenereerd privat/public paar ditzelfde lot ondergaat. Wel is met zo'n extern gegenereerd paar het herstellen van de vertrouwde verbindingen met all reeds van die public sleutel voorziene apparaten eenvoudiger, omdat dan alleen het extern gegenereerde paar op de Fritz moet worden geherïnstalleerd.
12-09-2017, 22:29 door Bitwiper
Door Eric-Jan H te A:
Door Bitwiper: Dat zou bizar zijn (stel je zit in het buitenland en er is thuis een stroomstoring geweest). Heb je hier aanwijzingen voor?

Wat is je probleem? Het nieuw gegenereerde certificaat belet je niet met de Fritz thuis te communiceren. Alleen krijg je wel weer die waarschuwing in je browser.
Waarmee de enige reden om https certificaten te gebruiken totaal vervalt - namelijk zeker weten dat je met de bedoelde server (Fritz!Box in dit geval) communiceert en niet met een MitM. Iets dat juist van belang is als je via internet een verbinding maakt, bijv. vanaf je hotelkamer via untrusted WiFi.

Overigens zojuist maar eens in mijn Fritz!Box gekeken. De common name in het certificaat is mijn publieke IPv4-adres. Daarnaast zijn de volgende items onder Subject Alternate Names gedefinieerd (de items tussen <> heb ik veranderd):
IP Address=<x.x.x.x>
DNS Name=fritz.box
DNS Name=www.fritz.box
DNS Name=myfritz.box
DNS Name=www.myfritz.box
DNS Name=<SSID>
DNS Name=fritz.nas
DNS Name=www.fritz.nas

Ik vermoed dat de Fritz!Box een nieuw certificaat genereert zodra het publieke IPv4-adres wijzigt. Logisch nu ik erover nadenk: als je geen DynDNS o.i.d. gebruikt of je hosts file aanpast, kun je vanaf internet alleen maar https naar een IP-adres doen - en dat moet dan natuurlijk hetzelfde zijn als in het certificaat staat om foutmeldingen te voorkomen.

Als ik geen fixed publiek IP-adres zou hebben en vanaf internet mijn Fritz!Box zou willen benaderen, zou ik absoluut zelf een sleutelpaar + certificaat genereren voor een random hostname die ik in mijn hosts file zou opnemen.

Overigens draait op mijn Fritz!Box de laatste firmware. Het certificaat, dan begin juni automatisch door mijn Fritz!Box is aangemaakt (vermoedelijk na een firmware update), heeft een SHA-256 gebaseerde signature (en is geldig tot in 2038). Na importeren in Firefox en sluiten/heropenen van Firefox kon ik, zonder foutmeldingen, verbinding maken met https://fritz.box/.
13-09-2017, 04:42 door Eric-Jan H te D
Door Bitwiper:
Waarmee de enige reden om https certificaten te gebruiken totaal vervaltDNS Name=fritz.box

Dat is natuurlijk niet de enige reden. Ook de versleuteling van het verkeer is een reden. Alleen ben je er na een dergelijk event niet meer zeker van dat er een MitM aanval op jouw verbinding plaatsvindt.

Om daar wat minder ongerust over te hoeven zijn kan je de push service voor de statistieken aanzetten. Tijdens de herstart worden dan de statistieken gemaild. Dit kan dan een aanwijzing zijn dat er een stroomstoring heeft plaats gevonden.

Voordat je inlogt op je modem kun je de certificaat details nog controleren. Veel van deze gegevens zijn door de MitM natuurlijk ook in zijn nepcertificaat op te nemen, maar dat vereist voorkennis van jouw aanwezigheid in het hotel en de locatie van je modem. De waarschijnlijkheid daarvan is werkelijk heel miniem.

Wanneer je dan met knikkende knieën op je modem bent ingelogd, is de bevestiging van de stroomstoring ook nog na te gaan in de logging. Waarna je het nieuwe certificaat gelijk kunt vervangen door het eigen gegenereerde certificaat, opnieuw contact kunt maken, en het modemwachtwoord voor externe toegang kunt veranderen.

Door Bitwiper:
Ik vermoed dat de Fritz!Box een nieuw certificaat genereert zodra het publieke IPv4-adres wijzigt.

Het opnieuw genereren is volgens mij niet afhankelijk van het IP-adres want dat is bij mij ook vast. Maar ik wil er nog wel een testje aan wagen. Dat doe ik dan gelijk met het testen van het gedrag van het modem met een extern gegenereerd certificaat. Bij Xs4all heb je naast een vast IP-adres ook een (sub) domeinnaam waarvan je het sub deel ook nog eens zelf kunt kiezen. Of dit bij het genereren van het certificaat te gebruiken is om de problemen met de browser op voorhand te voorkomen is iets om nog uit te zoeken.

Door Bitwiper:
Na importeren in Firefox en sluiten/heropenen van Firefox kon ik, zonder foutmeldingen, verbinding maken met https://fritz.box/.

Ik ben geen Firefox gebruiker, maar zoals al gezegd: Importeren van het certificaat in de certificate-store is een manier om het vertrouwensprobleem op te lossen. In Edge en Chrome kun je er ook gewoon voor kiezen het probleem te negeren. Maar eigenlijk zit je dan in de situatie bij ht begin. Jij laat een lokale https verbinding naar je modem op de standaard 443 poort zien. Lokaal is http ook voldoende. De https poort is daarnaast ook nog zelf in te stellen in de Fritz, bv op 12345. Je url wordt dan https://fritz.box:12345. Zeker wanneer je via het internet contact wenst te maken is een van 443 afwijkende poort als extra veiligheidsmaatregel aan te raden.

Naschrift: Natuurlijk kan ik je extern contact met het ui van je Fritz eigenlijk niet aanraden. Het is natuurlijk ook te vervangen door een VPN-achtige Remote Desktop sessie waarna de rest via lokale toegang naar de Fritz kan verlopen. De Fritzen hebben zelf ook nog de mogelijkheid om een VPN verbinding op te zetten met je thuisnetwerk (https://en.avm.de/service/fritzbox/fritzbox-7390/knowledge-base/publication/show/49_Setting-up-a-VPN-connection-to-FRITZ-Box-in-Windows-FRITZ-VPN/) Uitslag test volgt nog maar zal nog even op zich laten wachten. Dus overrompel mij met je eigen testen. :-D
13-09-2017, 15:18 door Bitwiper - Bijgewerkt: 13-09-2017, 15:22
Door Eric-Jan H te A:
Door Bitwiper:
Waarmee de enige reden om https certificaten te gebruiken totaal vervalt
Dat is natuurlijk niet de enige reden. Ook de versleuteling van het verkeer is een reden.
Korte reactie: er wordt netjes een TLS 1.2 verbinding opgezet met een Diffie-Hellman key agreement. Voor de versleuteling van de verbinding speelt het certificaat (inclusief de public key daarin) daarmee geen enkele rol.

Certificaten zijn er voor identificatie; door het bezit van de bijbehorende private key aan te tonen vindt authenticatie plaats.

Bij een certificaatfoutmelding weet je niet meer met wat of wie je communiceert. Het nut van versleuteling ontgaat mij totaal op zo'n moment.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.