zu IT-Sicherheit und mehr

Was mir bei FRITZ!Box an Sicherheit fehlt

von

in

Kategorie:

AVM FRITZ!Box 7590
AVM FRITZ!Box 7590; Quelle: avm.de

Heute möchte ich ein persönliches Thema angehen, und zwar möchte ich euch vorstellen, was mir bei FRITZ!OS (FRITZ!Box) fehlt. Dabei geht es hauptsächlich um Funktionen zur erweiterten IT-Sicherheit.

Die FRITZ!Box ist in der deutschsprachigen Welt eine beliebte «all-in-one» Internet-Box (Modem/Router/WLAN). Die FRITZ!Box nutzt FRITZ!OS als System und im Vergleich zur Standard-Internet-Box, die man vom Internetanbieter erhält, ist die FRTIZ!Box weit voraus.

Wer sich ein wenig für Technik interessiert, und von so einer Standardbox auf eine FRITZ!Box gewechselt hat, der wird merken wie viel besser so eine FRITZ!Box ist. Sie läuft stabiler, hat weniger «Bugs» und hat mehr Funktionen und ist meiner Meinung nach vermutlich auch sicherer. Also zurück auf die Standardbox vom Anbieter will man dann nicht.

Und genau das gleiche Gefühl habe ich, wenn ich FRITZ!OS mit OpenWrt oder pfSense vergleiche. Zurück zu FRITZ!OS (FRITZ!Box) will ich nicht.

Also bei der FRITZ!Box fühle ich mich wirklich eingeschränkt. Obwohl das Produkt um einiges besser ist als die Standardbox, und auch für Technikfans bestimmt mehr Spass macht, ist sie für richtige Techniker halt eben doch nur ein Konsumentenprodukt.

Dabei sind die Funktionen, die mir fehlen, gar nichts so Wahnsinniges, und AVM (das sind die Macher der FRITZ!Box) könnte die natürlich einbauen.

Ich fange mal mit etwas Einfachem an (die Reihenfolge ist jedoch wichtig, weil die Punkte teils aufeinander aufbauen):

Reines WPA3

WLAN mit WPA3 Verschlüsselung bietet höhere Sicherheit als WPA2.

Es gibt einen Modus, in dem WPA2 und WPA3 parallel laufen. Die Idee dahinter, ist es Geräten, die WPA3 unterstützen, dieses auch anzubieten, aber Geräte, die nur WPA2 können, können dann weiterhin das WLAN nutzen. Dies ist jedoch mit sogenannten «Downgrade» Attacken verbunden, bei dem WPA3 von einem Angreifer auf WPA2 heruntergestuft wird.

Bei der FRITZ!Box, zumindest diese, die ich getestet habe, war es nicht möglich einen reinen WPA3 Access Point («WLAN») einzurichten. Es ist nur möglich entweder WPA2 zu wählen, oder WPA2/WPA3 in parallel.

Ich kann jedoch vermuten, weshalb:

Die FRITZ!Box ist ja ein Konsumentenprodukt. Wenn ein Konsument, der nicht technisch versiert ist, nun mitbekommt, dass WPA3 sicherer ist, und dies auch einschaltet, jedoch seine Geräte dies nicht unterstützen und dies nicht versteht, sperrt sich der Nutzer effektiv aus dem WLAN aus. Durch das Erzwingen von WPA2/WPA3 im Parallelmodus, erspart sich AVM vermutlich Supportanfragen.

VLAN

Ein LAN ist ein «Local Area Network», also ein lokales Netz. Alles, was Sie in Ihrem Netz angeschlossen haben, sei es per Kabel oder WLAN, ist Teil ihres LANs. Diese Geräte können dann auch alle im LAN miteinander kommunizieren. Ein VLAN hingegen, ist ein virtuelles LAN. Mit einem VLAN (oder mehreren) können Sie jeweils ein separates LAN aufbauen, ohne dass Sie separate Geräte und Kabel ziehen müssen. Dies ist sinnvoll, wenn Sie Geräte haben, denen Sie nicht ganz trauen, und diese nicht in ihrem Netz haben wollen. Also sprich, Isolation. Dies ist z.B. nützlich, wenn Sie «IoT» Geräte haben, welche bekanntlich nicht so sicher sind, oder billige Überwachungskameras, die nach Hause telefonieren. Mit einem VLAN kann man die Geräte (wie z.B. so eine Kamera) auch vom Internet trennen.

Jetzt wird der eine oder andere vllt. meinen, dass mit der FRITZ!Box ja auch Geräte ganz ohne VLAN vom Internet getrennt werden können. Und das stimmt zum Teil auch. Jedoch ist es einem böswilligen Gerät möglich, so eine Sperre zu umgehen. Ein VLAN ist definitiv sicherer. Wenn das Gerät jedoch nur nach Hause telefoniert, wenn es online ist, jedoch nicht versucht solche Sperren zu umgehen, reicht die Funktion der FRITZ!Box aus. Ich würde mich jedoch nicht darauf verlassen.

Mehrere SSIDs («WLAN Namen»)

In professionellen WLAN Access Points, ist es möglich mehrere SSIDs (also WLAN Namen) einzurichten. Aber die Namen alleine sind nicht der Sinn dahinter. Sondern, dass man jeder SSID dann auch eigene Einstellungen vergibt, wie z.B. welche Verschlüsselungsmethode genutzt werden soll und auch ein separates Passwort. Also im Grunde mehrere «WLANs».

Eine Möglichkeit wäre es dann, ein reines WPA3 Netz anzubieten, welches nicht von «Downgrade» Attacken betroffen ist, und ein separates WPA2/WPA3 Netz für die Geräte, die WPA3 noch nicht können.

In Zusammenarbeit mit einem VLAN, könnte dann auch WLAN auf so einem VLAN laufen, damit Geräte nicht nur per Kabel, sondern auch Kabellos auf das virtuelle Netz kommen. Somit könnte man gute Isolation erreichen.

Fairer halber sollte ich erwähnen, dass die FRITZ!Box mehrere SSIDs teils unterstützt, und zwar in Form von einem zusätzlichen Gast-WLAN, welches vom LAN isoliert ist. Dies reicht für meinen Gebrauch jedoch leider nicht.

Firewall

Die Firewall der FRITZ!Box ist ziemlich rudimentär. Erweiterte Regeln kann ich nicht einstellen. Ich kann das jedoch verstehen, da es ein Massenprodukt für Konsumenten ist. Es wäre jedoch schön, einen erweiterten Modus anzubieten, der von erfahrenen Nutzern aktiviert werden könnte.

Die FRITZ!Box ist mit Kindersicherung, Internetsperre, Domain-Blocklisten, Port-Filter usw. jedoch immer noch besser als die Standardbox vom Anbieter. Ausserdem gibt es einen NetBIOS, WPAD und SMTP Filter, die jeweils global aktiviert werden können. Also es geht doch mehr, als bei einer 08/15 Box.

WireGuard VPN

Die FRITZ!Box bietet momentan nur IPsec VPN an, welches in der FRITZ!Box weniger sicher ist. Das liegt daran, dass die FRITZ!Box noch 1024-Bit DH-Schlüssel verwendet. Das Minimum heutzutage sollten 2048-Bit sein.

IPsec ist im Vergleich zu WireGuard potenziell weniger sicher, was daran liegt, dass IPsec unsichere Einstellungen unterstützt (wie z.B. die schwachen Schlüssel in der FRITZ!Box).

Jedoch muss ich AVM auch loben, denn WireGuard wird in einem kommenden FRITZ!OS update hinzukommen. Es ist etwas, dass ich mir immer gewünscht habe, jedoch nicht ernsthaft dachte, dass AVM sowas einbauen würde. Also Pluspunkt für AVM.

Verschlüsseltes DNS

Die zwei verbreitetsten Arten von verschlüsseltem DNS sind vermutlich DoT und DoH, wobei FRITZ!Box seit FRITZ!OS 7.20 DoT unterstützt, jedoch mit Problemen und Ausfällen. In Folge-Updates wurde mehrmals nachgebessert. Es ist definitiv besser geworden, jedoch immer noch mangelhaft. Ich finde es aber gut, dass AVM daran gedacht hat, dies zu implementieren. Ich hoffe, es wird in Zukunft nachgebessert und irgendwann ausfallsicher. Es wäre auch schön, wenn DoH in Zukunft dazu kommt.

OpenWrt

Ich möchte an diesem Punkt klar erwähnen, dass die Funktionen, die ich heute erwähnt habe, mir der Software der FRITZ!Box zu tun hat. Sprich, AVM könnte diese Funktionen per Update auf bestehenden FRITZ!Boxen nachrüsten (wenn es denn AVM gelüstet).

Wer nicht hoffen will, kann sich auch einfach OpenWrt auf eine FRITZ!Box (oder anderen Router) installieren, und alle diese Funktionen somit per sofort erhalten. Jedoch muss ich klar erwähnen, dass OpenWrt nichts für Anfänger ist, und definitiv nicht so benutzerfreundlich wie FRITZ!OS. Also einfach nur ein paar Klicks sind bei OpenWrt Fehlanzeige. Also, wer technisch versiert ist, müsste vermutlich dennoch durch Wikis lesen, und wer nicht technisch versiert ist, für den ist das nichts. Dinge wie DECT und DOCSIS kann OpenWrt nicht.


Lernen Sie die verschiedene Wege kennen, meinem Blog zu Folgen!


Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert