Internetdomein Fritz.box offline gehaald na klacht van netwerkfabrikant AVM
Het internetdomein Fritz.box is offline gehaald na een klacht van netwerkfabrikant AVM. De FRITZ!Box-modems van AVM maken op het interne netwerk gebruik van het domein fritz.box om de gebruikersinterface te openen. Via de gebruikersinterface zijn alle functies van de FRITZ!Box te configureren en is gedetailleerde informatie over het product, de aansluiting en verbindingen te vinden.
Op 22 januari van dit jaar werd door iemand het internetdomein Fritz.box geregistreerd, waarop allerlei NFT-advertenties werden getoond. Dit zorgde ervoor dat gebruikers die op hun modem wilden inloggen naar de internetsite werden doorgestuurd. AVM liet vorige maand weten dat het naar 'verschillende oplossingen' keek om de situatie te herstellen.
De netwerkfabrikant lijkt inmiddels een beroep te hebben gedaan op het Uniform Rapid Suspension System, waarvan merkhouders gebruik kunnen maken. Het domein liet vorige week namelijk de melding zien: 'This Site is Suspended. The Domain Name you have entered is not available. It has been taken down as a result of dispute resolution proceedings pursuant to the Uniform Rapid Suspension System (URS)."
Eigenaren van een FRITZ!Box kunnen de gebruikersinterface van de modem naast het domein fritz.box ook via een ip-adres bereiken. Op Reddit wordt gesuggereerd dat AVM bij de lancering van het .box top level domein (TLD) vergeten is om de domeinnaam te registreren. Security.NL heeft AVM om een reactie gevraagd.
https://www.icann.org/en/public-comment/proceeding/proposed-top-level-domain-string-for-private-use-24-01-2024
Dat AVM zelf wat gekozen heeft is bij het ontbreken van een gereserveerd TLD niet zo gek, en voordat de TLD's werden opengegooid was .box een veilige keuze, en gezien de naam van hun product ook een leuke. AVM heeft echter niet alert gereageerd door fritz.box niet zelf te registreren zodra .box er was.
Gewoon .local gebruiken
Had dan de .local TLD gepakt, dan was je zeker geweest dat deze intern blijft.
Degene die op 22 januari dat domein heeft geregistreerd is in mijn ogen gewoon de rechtmatige eigenaar van het domein.
Ik denk dat het goed was om het domein snel offline te halen, maar je hebt dan eigenlijk wel heel wat uit te leggen.
Heel vreemd. Fritz! gebruikt intern al heel lang het domein fritz.box. Ik zou toch echt verwachten dat ze daarom direct al het internet domein geregistreerd hadden zodra dit mogelijk werd.
Gewoon .local gebruiken
Een republikeinse US president vond dat ICANN/IANA zelf de kosten moest gaan dragen, zonder subsidie.
Het enige "product" dat ze hadden waren de .TLD's ... Die dus die gingen in de ramsj... Nav discussies rond 2000 over enkele .tld voor doelgroepen zoals .xxx voor de sexindustrie.
Kan er niet met een firmware update wordt verzorgt dat bij invoeren van fritz.box dat hij deze niet extern resolved maar intern (en dus het IP adres van de fritz.box zelf retourneerd)
Kan er niet met een firmware update wordt verzorgt dat bij invoeren van fritz.box dat hij deze niet extern resolved maar intern (en dus het IP adres van de fritz.box zelf retourneerd)
Dit gebeurt ook. Maar bijvoorbeeld Firefox gebruikt bij een nieuwe installatie standaard Cloudflare en NextDNS voor DoH (DNS over HTTPS). Voor de Fritz!box ziet dit er uit als HTTPS verkeer met encryptie waar het niet bij kan. AVM kan hooguit alle publieke DoH servers blokkeren die het kent. Maar dat vinden klanten ook niet leuk.
In Windows 11 is een mogelijkheid om op OS niveau DoH te gebruiken. Bij Windows 10 is dit nog niet zover zover ik kan vinden. Maar je kan in Windows 10 wel een andere DNS provider kiezen dan die van je provider. Bijvoorbeeld voor parental controls.
Vroeger bij XS4All, voordat het met KPN samen ging, zat het juiste lokale IP adres in de DNS servers van XS4All en kon je die verder dichttimmeren via het 'poort filter'. Dat was voor alle browsers DoH gingen gebruiken.
Kan er niet met een firmware update wordt verzorgt dat bij invoeren van fritz.box dat hij deze niet extern resolved maar intern (en dus het IP adres van de fritz.box zelf retourneerd)
Dat is natuurlijk niet altijd zo ingesteld, dat de FB de lokale DNS server is.
Verder is het wel heel erg Niet Ok als een DNS middle box een valide extern domain request onderschept en manipuleert .
Kan er niet met een firmware update wordt verzorgt dat bij invoeren van fritz.box dat hij deze niet extern resolved maar intern (en dus het IP adres van de fritz.box zelf retourneerd)
Juiste oplossing is om van het fritz.box domein af te stappen of om het domein te kopen.
(Dat laatste betekent dus onderhandelen met de huidige eigenaar van het domein, aangezien het al gekocht is.)
Kan er niet met een firmware update wordt verzorgt dat bij invoeren van fritz.box dat hij deze niet extern resolved maar intern (en dus het IP adres van de fritz.box zelf retourneerd)
Dat was ook mijn eerste gedachte. Maar bij doordenken werkt dat niet betrouwbaar. De router kan non-encrypted dns verkeer herkennen, onderscheppen en naar het router IP laten verwijzen. Maar encrypted DNS verkeer zal rechtstreeks naar de externe DNS resolver gaan.
Kan er niet met een firmware update wordt verzorgt dat bij invoeren van fritz.box dat hij deze niet extern resolved maar intern (en dus het IP adres van de fritz.box zelf retourneerd)
Het probleem onstaat juist als je, om welke reden dan ook (*), niet jouw Fritz!Box als DNS resolver gebruikt.
(*) Bijvoorbeeld, als ik op mijn smartphone een te slechte WiFi-verbinding heb (zoals achter in mijn tuin of bij mijn buren), dan valt die smartphone terug op 4G of 5G, en dus op de DNS-resolver van mijn telecom-provider. Die resolver heeft (sinds de in de globale DNS geregistreerde fritz.box "gecancelled" is) geen idee wat ik bedoel met:
"Ik wil https://fritz.box openen in mijn browser"
(waardoor mijn browser een DNS-lookup doet voor fritz.box).
Bij een WiFi-verbinding geeft mijn Fritz!Box, als antwoord, diens RFC1918 IP-adres, en krijg ik (na een certificaatfoutmelding, doch met steeds dezelfde public key in het certificaat) het bekende admin login-scherm te zien.
Bedankt redactie voor deze bijdrage!
Bizar dat mensen niet snappen wat ze lezen, het TLD (Top Level Domain) box bestond niet daarop heeft AVM besloten dit te gebruiken voor het gebruiksgemak van mensen.
Jaaaaaaaaaren later komt er plotseling een TDL .box en dan heb je de poppen aan het dansen.
Je zult maar thuis .local gebruiken en over x jaar besluit er een instantie dat .local een echt TDL wordt.
Je zult maar thuis .local gebruiken en over x jaar besluit er een instantie dat .local een echt TDL wordt.
.box en .local kun je niet vergelijken. De eerste bestond niet en daardoor loop je risico dat het ooit gaat bestaan. .local bestond al en was juist voor locaal gebruik gereserveerd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
