Om te beginnen, lees dit eens:

https://www.security.nl/posting/833548/AVM+koopt+door+modems+gebruikte+domeinnaam+Fritz_box


Verder:

Heb je geen noodzaak om je router van buiten je eigen netwerk te beheren, zet dan Toegang via Internet uit in je router.
(via Internet > Toegang toestaat oid)


Benader je router intern (altijd) via het IP-adres dat je aan de router toegekend hebt (nogal vaak iets in de trand van 192.168.1.254 o f 10.0.0.1) Maak daar een snelkoppeling van, en gebruik die.
IP adressen gaan rechstreeks naar de juiste website, of in dit geval je router, toe zonder (eerst) de DNS te bevragen.


Stel een sterk wachtwoord in op je router.


Vwb je vragen:
Als je toegang tot de beheer-functies vanaf de buitenwereld dicht staan, dan kunnen ze niet bij je router komen. En dus ook niets uitlezen.

Heb je die toegang wel open staan, en heb je ergens (op een vage site genaamd fritz.box) je router-wachtwoord ingegeven, dan kunnen ze bij de instellingen van je router komen en dus ook uitlezen. Maar dus ook aanpassen.

Ik sluit dat niet uit.

Het allerveiligste is het als je aan de WAN (internetzijde) de verbinding verbreekt, met een ethernetkabel direct verbinding maakt met jouw Fritz!Box, voor de zekerheid alle andere ethernet-aansluitingen op jouw router eruit haalt en zorgt dat WiFi uit staat op jouw PC.

Mocht https://fritz.box/ dan niet werken (bijvoorbeeld omdat jouw browser of besturingssysteem van iets als "DoH" of 'DoT" gebruik maakt: je kunt sowieso https://192.168.178.1/ openen (security.nl maakt deze link helaas niet klikbaar, kopiëren en plakken dus). Dat werkt alleen onder de voorwaarde dat je dat (RFC1918, "lokale") IP-adres eerder niet hebt gewijzigd in de instellingen van jouw Fritz!Box.

Je krijgt dan sowieso een certificaatfoumelding (maar die krijg je ook bij https://fritz.box, zelfs als je eerder "dat" certitificaat als "vertrouwd" aan jouw browser en/of OS hebt toegevoegd, omdat het regelmatig vernieuwd wordt - waarbij, zo is mijn ervaring, het asymmetrische sleutelpaar -de public key en de private key- niet veranderen).

Zelf heb ik een kopie van zo'n certificaat op mijn schijf gezet toen ik, voor het eerst en op de hierboven beschreven superveilige manier, verbinding had gemaakt met mijn nieuwe Fritz!Box.

Daarna is die superveilige setup niet meer nodig. Als ik nu https://fritz.box (of https://192.168.178.1/) open, bekijk ik eerst het door de router opgestuurde certificaat, om precies te zijn kijk ik naar de public key daarin; als die identiek is aan de public key in het eerder opgeslagen certificaat, weet ik zeker dat ik een, onmogelijk door een AitM (Attacker in the Middle, ook bekend als MitM) onderbroken TLS-verbinding direct met mijn router heb. Daarna kan ik veilig het beheerwachtwoord invoeren.

Nb. dit is behoorlijk veilig omdat in de private key, die is opgeslagen is in mijn router, hoort bij de public key in het certificaat - en bij het opzetten van de https- (gebaseerd op TLS-) verbinding, de router (met een wiskundige truc) aan mijn browser bewijst over die bijpassende private key te beschikken (zonder daarbij die private key zelf prijs te geven).

Aangezien het om een, per Fritz!Box apparaat, uniek sleutelpaar gaat, schiet een aanvaller er niks mee op als hij een andere dan jouw Fritz!Box hackt. Echter, zodra een aanvaller jouw Fritz!Box heeft gehacked, kan zij of hij die private key gekopiejat hebben (maar als dan kan zij of hij ook heel veel andere nare dingen gedaan hebben, waaronder de firmware vervangen).

Het probleem bij een geslaagde AitM aanval is dat jij het wachtwoord aan de aanvaller verstrekt, die vervolgens daarmee zelf op jouw Fritz!Box kan inloggen.

Oftewel, jouw Fritz!Box bewijst eerst dat hij (zij? het?) jouw Fritz!Box is, uitsluitend op basis van de public key in het opgestuurde certificaat plus de private key in dat apparaat.

Nadat je gecheckt hebt dat jouw browser een directe verbinding heeft met jouw Fritz!Box (en jouw browser en PC niet gehacked zijn) is het veilig om het shared secret, nl. jouw wachtwoord, in te voeren.

Overigens is het mijn advies om, bij ingebruikname, meteen het adminwachtwoord te vervangen door een ander, sterk (random gegenereerd) wachtwoord (te vaak in het verleden bleken dat soort "fabriekswachtwoorden" voorspelbaar te zijn). Dat nieuwe wachtwoord kun je daarna, redelijk met een gerust hart, weer onderop jouw Fritz!Box schrijven - mits je zeker weet dat daar geen kwaadwillenden bij in de buurt zullen komen.

Fritzbox is slordig geweest door een extern domein te gebruiken ipv home.arpa

Beter je router upgraden, tot alle links naar fritz.box eruit zijn (als ze dit al gefixed hebben)

Hallo,

Ik heb gisteren nog eens gezocht. En heb gevonden dat een DNS registratie meerdere IPv4 en IPv6 adressen kan bevatten. Op de A en AAAA records. Ik weet niet goed hoe dat werkt, maar het zou dus mogelijk zijn om fritz.box zowel een 45.76.93.104 als een 192.168.178.1 adres te geven. Die horen dan allebei bij fritz.box op een of andere manier. Vroeger resolvede fritz.box al naar 192.168.178.1 voor de registratie door de NFT boer.

De browser zal dan geen waarschuwing geven bij mixed content vanaf beide IP adressen. Of zie ik dit verkeerd? Het URI scheme, host name en port moeten hetzelfde zijn voor same origin access. Bij HTTP op het fritz.box domein is de poort hetzelfde als bij 192.168.178.1. Dat is mijn vraag.

Ik weet dat er een HTTPS certificaat in de Fritz!box zit, maar deze heb ik niet gebruikt. Ik stel een nieuw modem in. Ga dan twijfelen. Reset het hele modem en stel het nog een keer in en dan moet het goed zijn en kijk ik er jaren niet meer naar. Updates gaan immers via XS4All/KPN en AVM :-) Deze geef ik ook volledige toegang via TR-069. Dat is handig heb ik ontdekt bij problemen met mijn vorige modem. Ik kreeg bijvoorbeeld opmerkingen over de telefoon of het klopte dat mijn Wi-Fi uit stond (dat klopt, ik gebruik geen Wi-Fi).

Met GRC Shields Up heb ik gecontroleerd dat poorten 20, 21, 989, 990, 80 en 443 uit stonden. Dit was goed. Ze waren 'Closed'. Mijn SIP poort stond wel open, maar ik heb op de Fritz!box ingesteld dat apparaten op mijn netwerk gefilterd worden. "Telephony > Telephone Numbers > Line Settings" in de sectie "Security" de optie "Prevent use of internet telephony from the home network". Strakker kan het niet volgens mij.

Als je te veel poorten achter elkaar scant op de Fritz!box dan gaat deze wel stealth terug geven, dus je moet het scannen rustig aan doen. Vreemd genoeg was bij mijn ouders alles wat ik scande stealth bij GRC Shields Up. Dit kan niet kloppen. Zij hebben KPN glasvezel met de KPN Box 12. Ook met internetbellen van KPN.

TS

Ik vind het erg verwarrend wat je schrijft. Wat bijvoorbeeld is, in deze context, een "NFT boer"?

Even kijken of ik dit allemaal nog weet :-)

IPv4 adressen die met 192.168.beginnen zijn privé-adressen (zie https://en.wikipedia.org/wiki/Private_network#Private_IPv4_addresses).

Dergelijke adressen mag iedereen vrij gebruiken, maar routers "in" internet horen netwerkpakketjes met zo'n ontvanger-adres niet door te sturen (met zo'n adres als afzender zou dat ook niet moeten, maar daar durf ik helemaal mijn hand niet voor in het vuur te steken).

LAN staat voor Local Area Network, en de letter W uit Wan voor Wide.

Het "probleem" van "private range" adressen is dat ze niet uniek zijn (dus niet, wereldwijd, aan hooguit één netwerkinterface van één apparaat zijn gekoppeld), zie de volgende voorbeeldsituatie (met bovenin jouw huis en onderin het mijne):
In dit voorbeeld zijn, in elk van onze huizen, zowel een smartphone als een PC verbonden met een Fritz!Box router. Daarbij zouden jouw PC en jouw smartphone (toevallig) dezelfde IP-adressen kunnen hebben als respectievelijk mijn PC en mijn smartphone.

Als dat zo is, en wij beiden op security.nl "zitten" vanaf onze PC, en security.nl zou retour-netwerkpakketjes naar 192.168.178.21 sturen, bij wie van ons zouden die dan uit moeten komen?

Nb. wat het WAN- (internetzijde-) adres (of adressen, bij zowel IPv4 als IPv6) van jouw router is, kun je o.a. zien in https://whatismyipaddress.com/.

Dat onze PC's en smartphones toch met bijvoorbeeld security.nl kunnen communiceren, ondanks hun privé IP-adressen, komt doordat zowel jouw als mijn Fritz!Box niet alleen netwerkpakketjes routeert, maar tevens Network Address Translation (NAT) toepast.

De essentie daarbij is dat elk privé IP-adres (door de NAT-router) wordt vervangen door een niet-privé IP-adres.

De "envelop" (of zo je wilt, adreslabel op het "post"-pakket) van voor https gebruikte netwerkpakketjes ziet er, vereenvoudigd, uit als volgt:
Merk op dat zowel aan de ontvangerzijde als aan de afzenderzijde sprake is van een adres en een poortnummer. Zo'n adres kun je vergelijken met het woonadres van een studentenpand met één voordeur, terwijl de poortnummers vergelijkbaar zijn met de kamernummers van individuele studentenkamers (andere vergelijking: IP-adres staat gelijk aan postcode, en poortnummer aan huisnummer).

Nb. dit geldt dus voor zowel de client als voor de server!

Voor elke TCP verbinding zijn er dus 4 parameters: 2 adressen en 2 poortnummers. Die poortnummers maken het mogelijk dat je, bijvoorbeeld, op jouw PC twee browservensters open hebt staan naar twee verschillende pagina's op security.nl. Het enige verschil tussen pakketjes behorende bij die twee "verbindingen" (het zijn geen echte verbindingen, omdat er individuele pakketjes worden uitgewisseld) is -naast de data- dat er op jouw PC twee verschillende poortnummers voor worden gebruikt.

Uitgaande van één "verbinding": als jouw PC een https pakketje naar security.nl stuurt, ziet de envelop daarvan er bijvoorbeeld uit als volgt:

Jouw Fritz!Box wijzigt dat "onderweg" in:
Merk op dat jouw Fritz!Box niet alleen het afzenderadres heeft veranderd, maar ook het afzenderpoortnummer (54321 is een willekeurig voorbeeld). Feitelijk gaat het hier om PNAT (P van Poort).

Jouw Fritz!Box onthoudt vervolgens (enige tijd) dat, mocht hij een (retour) netwerkpakketje vanaf internet ontvangen bestemd voor poort 54321, dit dus naar jouw PC doorgestuurd moet worden.

De envelop van zo'n retourpakketje vanaf security.nl kan er uitzien als volgt (de ontvanger- en afzender-gegevens zijn door de server van plaats verwisseld t.o.v. de laatstgenoemde envelop):

Voordat jouw Fritz!Box dat retourpakketje doorstuurt naar jouw PC, verandert deze dat "on the fly" in:

Dat is precies de retourenvelop die jouw PC verwacht. D.w.z. zonder dat deze weet dat er onderweg in de envelop geknoeid is, en op welke wijze - effectieve, doch legitieme, spoofing dus.

De reden voor PNAT is dat als jij, zowel op jouw PC en op jouw smartphone een "verbinding" hebt met security.nl, beiden toevallig voor dezelfde (min of meer "random" gekozen) afzenderpoort zouden kunnen kiezen. In dat geval zou de Fritz!Box niet weten naar welke van de twee hij retourpakketjes moet sturen; daarom zijn de meeste NAT-routers feitelijk PNAT-routers, en wordt, in naar internet gestuurde pakketjes, altijd het afzenderpoortnummer vervangen (en wordt in retourpakketjes het ontvangerpoortnummer "teruggezet").

Bij het IPv6- protocol zijn de IP-adressen veel langer. In principe is daar geen (P)NAT voor nodig, maar omdat je meestal niet wilt dat het hele internet verbinding kan maken met bijvoorbeeld (bewust of onbewust) "gedeelde netwerkschijven" op jouw PC, zijn er vergelijkbare firewall-mechanismes in jouw Fritz!Box om dat te voorkómen (gebruikelijk is dat alleen van binnen naar buiten, van LAN naar WAN dus, opgezette "verbindingen" worden toegestaan door jouw Fritz!Box).

Belangrijk om te weten is dat, aan één netwerkinterface, zowel een IPv4 als een IPv6 adres gekoppeld kan zijn (sterker, er kunnen meerdere IPv4 en/of meerdere IPv6 adressen aan gekoppeld zijn).

De uitleg voor IPv6-adressen is (voor zover ik weet, ik heb nooit veel "zin" gehad in IPv6), mits je niet in details treedt, redelijk vergelijkbaar met IPv4-adressen.

Ik zie geen enkele reden waarom de browser met meer dan één IP-adres verbinding zou maken, zoals ik hierboven hopelijk voldoende heb toegelicht.

Als je de beheerinterface aan de WAN- (internet-) zijde hebt uitgezet in de Fritz!Box, wat ik dringend aanraad, dan kan jouw browser (ongeacht of je thuis bent) daar niet eens een verbinding mee maken.

Wát is jouw vraag?

Het lijkt mij verstandig om dat af en toe te checken (alhoewel ik dit bij anderen, waar ik "over de vloer kom" en ooit met ICT heb geholpen, onvoldoende vaak doe; zelf heb ik automatische updates uit staan maar krijg een e-mail als die er is).

Laat maar weten als er nu nog openstaande vragen zijn.

Sorry, dubbel

Een NFT boer is iemand die Non-fungible tokens farmed met grote mining farms van GPU's? De fritz.box verwees naar zo'n site bij het gebruik van DoH. Omdat de fritz!box niet bij de DNS data kan door de encryptie.

<knip goede gedetailleerde uitleg>


Ik heb gevonden dat een DNS vermelding meerdere A adressen kan bevatten (voor als een van de adressen down is). Volgens mij is dit ook zo want ik heb fritz.box door virustotal gegooid en voor http kreeg ik een ander ip adres als voor https. Heb ik toen verder niet onderzocht maar het lijkt mij geen hobby site (hobby boer).

Uit RFC 1035 (oud, maar het meeste zal nog steeds kloppen vanwege legacy):

Wat nu als ik 45.X.X.X:80 (de NFT boer) open in mijn browser. Maar 45.X.X.X:80 laadt onzichtbaar een frame of zoiets in de achtergrond met 192.168.178.1:80.

Kan 45.X.X.X:80 dan mijn modem uitlezen omdat alles onder fritz.box valt op poort nummer 80 met http://? Daar kom ik niet uit omdat ik te weinig weet van browsers. Zo zou je het wel kunnen programmeren lijkt mij.

TS

Hier een andere reaguurder.

Dat ligt eraan:

- Heb je je modem compleet open staan?
Kan het router beheer van buitenaf benaderd worden?


Als je met dit soort vragen en zorgen zit, zou ik toch eens gaan nadenken om een cursus hierin te volgen.

- Heb je een wachtwoord op je router beheer?
Moet je inloggen op je router?

- Gebruik je rechtstreeks het ip adres of de dns verwijzing?
Roep je je router aan via xxx.fritz.box of het numerieke ip-adres?


Als je alles netjes beveiligd hebt, dan loop je geen risico.
Dan kan je router niet van buitenaf benaderd worden
En dan kan een-of-ander vaag script dat je per ongeluk ergens op het WWW aftrapt, niet zo maar je router binnen komen.
En interne ip-adressen (192.x.x.x) worden niet naar buiten gerouteerd.


Het hele probleem zou niet bestaan als mensen hun router beheer alleen via hun interne ip-adres zouden benaderen.
Dus niet van buitanaf of via een url die eindigd op fritz.box

Ah dank en sorry, ik was vergeten dat het aanvankelijk om een site over NFT's ging.

Overigens kom je niet alleen vanwege DoH op zo'n internetsite uit. Als ik WiFi uitzet op mijn smartphone en https://fritz.box/ open, zie ik (hieronder heb ik "http://" vervangen door "https://" en de link klikbaar gemaakt):

Niet omdat "alles onder fritz.box valt", want als je op de internetsite terechtkomt, is de beheerinterface van jouw router op dat moment niet bekend als "fritz box". Als er, niet ondenkbaar, iets gecached zou worden, en jouw browser gewoon de webinterface van de Fritz!Box te zien zou krijgen, heb je weer niks te maken met die internetsite - het is het één of het ander.

Echter, sowieso kan elke website op internet de webinterface van jouw router "blind" proberen te benaderen (en "jou" laten inloggen en "door jou" instellingen laten wijzigen) door in diens homepage (of een andere webpage) GET en/of POST requests op te nemen voor https://192.168.178.1/ óf voor https://fritz.box - tevens voorzien van een gegokt beheerwachtwoord en daarna de gewenste instellingen. Bij zo'n aanval is meestal sprake van een CSRF (Cross-Site Request Forgery) attack.

Daarbij wordt jouw browser als een soort Attacker-in-the-Middle misbruikt door de internetsite; die laatste laat jouw browser inloggen op jouw router, zonder dat jij daar erg in hoeft te hebben (of, bij foutmeldingen, hoeft te begrijpen wat er gebeurt).

Dat is één van de redenen dat ik aanraad om het beheerwachtwoord van netwerkapparatuur niet op de "factory default" te laten (te vaak blijkt deze te raden te zijn voor aanvallers) én om een sterk (dus lang) wachtwoord in te stellen.

Elk fatsoenlijk netwerkapparaat (met webinterface) zal anti-CRSF-maatregelen nemen [1], maar implementaties daarvan kunnen buggy zijn [2]. Het is namelijk jouw browser die verbinding maak met zo'n webinterface (welliswaar in opdracht van een website op internet, maar dat weet dat netwerkapparaat niet).

[1] https://portswigger.net/web-security/csrf

[2] https://portswigger.net/web-security/csrf/bypassing-token-validation

Je kunt de risico's ook iets verlagen door het standaard lokale (privé) IP-adres van de router te wijzigen, maar veel helpt dat zelden. Dat komt o.a. doordat jouw browser (via WebRTC) diens lokale IP-adres kan lekken, en daarnaast bestaan er trucs om je hele lokale subnet te scannen.

Hallo andere reaguurder,

Ik ga normaal via het IP adres te werk. Dit haal ik uit 'ipconfig' op Windows (zonder parameters). Dit werkte al op Windows 9x. De gateway is het lokale adres van je Fritz!box (werkt ook voor andere merken).

Bij de Fritz!box zijn het gateway adres en de aangesloten devices vrij voorspelbaar. Dat is ook wel handig. Ik wist niet dat je browser daar dan bij kon in opdracht van een website die je bezoekt.

Toen ik mijn modem enkele weken geleden had gereset, kreeg ik een nieuwe fritz.box tab in mijn browser toen die klaar was met resetten. Daarna heb ik KPN ingesteld als provider waarna de modem weer moest herstarten. Dus 1x 192.X.X.X, en daarna 2x fritz.box stonden open in Firefox op Windows 10. Ik weet niet hoe de fritz!box die pagina kan pushen in je browser na een reset. Het duurde ook vrij lang (veel langer als de beheerpagina aangaf, dus wees geduldig met een fritz!box en ga niet zoals ik je computer en je modem opnieuw opstarten als het wat langer duurt).

Ik denk dat AVM inderdaad een grote fout heeft gemaakt door 'fritz.box' te gebruiken voor toegang. Het is natuurlijk wel gebruikersvriendelijker als een (IPv6) IP adres die je ook nog eens kan aanpassen (zoekmaken).

Bij de nieuwe glasvezelmodems van KPN is het niet veel beter heb ik bij mijn ouders gezien. Daar wordt wel een complex wachtwoord afgedwongen. Dat is dan weer goed denk ik maar ik moet deze wel opschrijven voor ze om die te onthouden. Dat kan dan onderop het modem net als bij de Fritz!box ;-)

TS

Hallo Erik van Straten,

Ik moet mij duidelijk in CSRF gaan verdiepen. Ik dacht altijd dat dat iets van de browser was. Een fout in de browser zelf. Maar het komt dus juist voor in websites (lokaal of op het internet).

In het geval van fritz.box kan de internet site gewoon vragen om het wachtwoord van je modem. Zelfs met een hangslotje zodat er geen waarschuwing komt van een onbeveiligde verbinding via http. Je komt immers alleen op fritz.box als je de modem al in wilt (of als je NFT wil kopen).

Mijn fritz!box heeft een SSID (de naam en type van mijn fritz!box). Dat vind ik niet zo handig omdat het misschien dieven aantrekt die de SSID zien vanaf straat. Het Wi-Fi wachtwoord staat ook onderop het modem, maar het beheerwachtwoord ook tegenwoordig. Ik weet niet hoe lang ze dat al doen. Het is een Engels woord uit een woordenlijst met een aantal cijfers erachter. Het is voor ieder modem uniek.

De fritz!box interface kan natuurlijk rate limitten. Als je een verkeerd wachtwoord intikt dan dwingt de Fritz!box je om een paar seconden te wachten. Dat is wel goed natuurlijk. Maakt brute forcing veel lastiger. In de modem zelf kan je vast mislukte inlogpogingen zien in Events.

TS

Misschien maakt dit het wat helder:

whois fritz.box

Ik denk een terechte vraag van de vragensteller!

Oke. Ik denk dat iedereen in deze draad het er over eens is dat misbruik van het fritz.box domein mogelijk is. Maar wat dan?

Ik denk dat je het toegangswachtwoord van het modem en je wifiwachtwoord moet veranderen om veilig te zijn. Ook moet je de Fritz!box een factory reset geven om eventueel kwaadaardige instellingen te resetten. Dit moet met de Fritz!box niet aangesloten op internet lijkt mij. Want na de reset opent fritz.box weer in je browser en ben je terug bij af.

Na de reset moet je je provider opnieuw instellen. Hiervoor heeft KPN een script toegevoegd aan de Fritz!box. Deze stelt ook automatisch je SIP gegevens in voor je. Het lijkt mij lastig dit script offline te draaien. Het kan zonder script, maar dan moet je met de hand alles instellen tot het werkt. SIP gegevens kan je opvragen met de Mijn KPN-app als XS4All klant vermoed ik (of de XS4All helpdesk als het daar niet staat). Na het KPN script start je modem opnieuw op met fritz.box.

Het beste is misschien nog te zorgen dat de Fritz!box de DNS van je provider gebruikt op drie niveaus. 1) het modem, 2) windows 10, 3) firefox. Hier moet overal DNS over HTTPS uit staan want volgens mij heeft KPN geen DoH server.

Je kan natuurlijk ook gokken dat fritz.box een onschuldige pagina is. Dat doet fabrikant AVM ook.

TS