AVM FRITZ!Box: Lieber IP-Aufruf als fritz.box
von caschy | 42 Kommentare
Bereits 2016 haben wir davon berichtet, dass sich Domains mit der Endung .box registrieren lassen. Schon damals haben wir auf mögliche Probleme mit der FRITZ!Box von AVM hingewiesen, da diese intern in eurem Netzwerk unter fritz.box erreichbar ist. Hat man dann vielleicht eine Änderung im heimischen Netzwerk vorgenommen, zum Beispiel einen alternativen DNS an einem Endgerät am Start, dann kann es passieren, dass ihr eben nicht auf die Seite eurer FRITZ!Box gelangt, wenn ihr fritz.box im Browser eingebt.
Ende Januar wiesen wir dann auf den konkreten Fall hin, dass jemand im Besitz der Domain fritz.box ist, auf die unter Umständen die Besitzer einer Box zugreifen – unter der Annahme, auf ihre FRITZ!Box zuzugreifen. Nun war es so, dass man eine Krypto-/ NFT-Seite erreichen konnte, die nun augenscheinlich nichts Böses will. Ein böswilliger Akteur hätte anders vorgehen können.
Die Domain selbst hat, so weit ich es erkennen kann, nicht ihren Besitzer gewechselt, zeigt aber aktuell an, dass sie nicht mehr erreichbar wäre. Das kann sich aber rasch ändern.
Übrigens muss man nicht zwingend etwas im eigenen Netzwerk geändert haben. Nutzt man das iCloud Private Relay von Apple, dann gibt es auch die derzeit nicht erreichbare Seite zu sehen. Da greift sich Apple wohl einen externen DNS, der dann intern fritz.box nicht auflöst (siehe Screenshot ganz oben).
Notfall-IP für die FRITZ!Box
Was bleibt am Ende? Abwarten, was da nun genau geschieht. Und Vorsicht walten lassen, am besten für sich persönlich die IP-Adresse 169.254.1.1 als Lesezeichen ablegen. Unter dieser Adresse erreicht man die FRITZ!Box für gewöhnlich, hierbei handelt es sich um die Notfall-IP, die AVM selbst vorschlägt. Alternativ die von euch festgelegte oder Standard-IP-Adresse der Box nutzen. Mal schauen, ob AVM für diese Geschichte noch Änderungen verfolgt. Ich persönlich denke, dass sich die meisten unserer Leser dahingehend auskennen und man da nichts separat erklären muss. Wichtig ist es aber vielleicht für die „Familien-Admins“ unter uns, die vielleicht mal wo aushelfen müssen und gegebenenfalls sensibilisieren können.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Der traurige untergang von AVM, was ist denn eine gute Alternative?
OpenWRT … Ist leider nix für den gemeinen Anwender.
Wieso denn das? Weil sie nicht selbst die Domain beansprucht haben? Selten so eine schwachsinnige Aussage gelesen. Die meisten User verwenden sowieso die internen DNS Server der Fritzbox, ergo kein Problem.
er meint wohl eher den anstehenden Verkauf des Unternehmens.
Ich hoffe die FritzBox bleibt so erhalten.
Das Ding steht doch gefühlt bei jedem dritten Haushalt, dachte ich zumindest
So schauts aus. Laut Gerüchten sind Netgear und TP-Link sehr interessiert daran AVM zu übernehmen.
Die beiden Firmen sind der Untergang von AVM, wie wir es kennen. Ich habe auch die Befürchtung, dass die Firma zu einem weiteren „Grundig“ verkommt, wenn die Gründer sich zurückziehen
Weil sie unprofessionell eine tld nutzen, die für diesen Zweck nicht gedacht war. Hätten sie einfach fritzbox.local genommen, wäre alles kein Problem.
Mit einem kleinen Unterschied: Sie benutzen .box halt schon deutlich länger, als es eine TLD ist.
Sollte man fairerweise berücksichtigen.
Ja, es war schon immer grenzwertig, weil korrekterweise .local genau dafür gedacht ist.
Aber fritz.box ist natürlich griffiger und gutes Marketing gewesen, als .box keine TLD war
Wie im anderen Artikel zu der .box TLD in den Kommentaren stand, ist .local auch nicht dafür gedacht.
Entweder .home.arpa oder .internal (was jetzt ja freigehalten wird).
Ich fand die Box-Lösung übrigens sehr charmant, das kann sich jeder gut merken. Natürlich wäre eine neutrale Lösung wie .internal noch besser, da man dann auch den Hersteller wechseln könnte.
Was noch schlimmer gewesen wäre danke mDNS…
So unprofessionell, wie .local zu nutzen?
.local ist ebenfalls reserviert (RFC 6762), .internal ist (aber erst seit Jüngstem) für Internes vorgesehen.
Es gibt keine gleichwertige (MoDem/Router in einem), außer eine alte Draytek Vigor oder Provider-vergurkte Geräte.
Eine gute Alternative ist sein eigenes wlan und lan zu haben. Dann ist der outer egal. Bspw unifi oder tp-link mit der omeda reihe
Oder einen Router zu nehmen der openwrt Support hat.
Und ja Avm wird in 10 Jahren sicherlich keine Rolle mehr in den Haushalten spielen. Bzw. wird nicht mehr das Ansehen haben wie heute.
Der erste Satz ist ja mal richtig sinnvoll : „Eine gute Alternative ist sein eigenes wlan und lan zu haben. Dann ist der Router egal“ – das habe ich laut Dir anscheinend mit einer Fritz!Box nicht, oder täuscht Du dich da ? Oder habe ich mit einer Fritz!Box nicht auch mein eigenes WLAN/LAN ???
AVM hat den Brückenschlag/die „Hochzeit“ zwischen Router, Modem und IP-Telefonie sehr erfolgreich geschafft, und entwickelt in Ihrem Fahrwasser Ihre Produkte immer weiter – inzwischen halt auch dem Trend „SmartHome“ folgend.
Ich frag mich, wenn die ersten .IP- DNS-Adressen vergeben werden können, wer dann den Untergang der Telekom voraussieht („speedport.ip“ ist die Adresse der Telekom-Router)….
Die Standard IP Adresse meiner FritzBox bei mir zu Hause lautet: 192.168.178.1
Korrekt, die ist voreingestellt. Viele ändern die aber, weil z.B. VPN benutzt.
Daher immer gut, die Notfall-IP abzuspeichern.
Wer in der Lage ist, die IP seiner Fritte zu ändern, der wird sich die wohl genausogut wie die Notfall-IP abspeichern können und muss dann nicht noch die Konfiguration seiner Netzwerkschnittstelle anfassen, um auf die Fritte zu kommen.
Notfall IP zur FB klappt aber nur bei direkter Verbindung, ist ein AVM Repeater zwischen meldet sich dieser.
Weil der Repeater ebenfalls unter der gleichen Notfall-IP zu erreichen ist – die haben nahezu alle AVM-Netzwerk-Komponenten, leider …
Problem was ich schon hatte, dass mir die in Chrome hinterlegte Suchmaschine (Google) bei Eingabe von 192.168. bereits einen ähnlichen Treffer liefert: 192.168.l78.
Die sog. Notfall-IP ist „nur“ ne APIPA-Adresse und wird nur innerhalb des Netzwerkes bzw. des Subnets geroutet.
Sollte DHCP mal nicht funktionieren so greift halt APIPA und es wird innerhalb der 169.254.1. geroutet.
Danke. spannende Ergänzung
Gibt es wirklich Menschen, die für jedes einzelne Endgerät den DNS-Client lokal konfigurieren?
DNS-Server schlicht und einfach da eintragen wo sie hingehören: In den Router
Auch beim Einsatz von lokalen DNS-Diensten wie Pi-Hole sollte dieser die Requests an den Router senden. Alternative DNS-Dienste wie 1.1.1.1 oder 8.8.8.8 kommen auch hier in die Fritzbox.
Bei Apps wie die von AVM kann man sich nie sicher sein, ob sie tatsächlich die IP oder die Domain verwenden. Schließlich kann sich die Haupt-IP ändern und die IP 169.254.1.1 funktioniert nur unter bestimmten Umständen.
Kleine Korrektur: Bei Pi-Hole kommt natürlich Pi-Hole als DNS Server in die Fritzbox. Abfragen zu fritz.box werden von der Fritzbox selber ohnehin nicht weitergeleitet sondern gefiltert.
In dem Fall, macht Apple ganze in Hintergrund einfach DoH von Cloudflare einzusetzen im Rahmen des Trackingschutzes bzw. Privat Relay.
Firefox hat dahingehend auch geänderte Voreinstellung, ist da aber nicht ganz so strikt, so dass es da i.d.R. klappt.
Aber ja es gibt auch Leute die tragen Google DNS direkt in Windows Netzwerkkonfig ein weil es irgendein Guide im Netz so zeigt.
Ich verwende in der FB direkt paar DoT DNS Dienste, da muss kein Gerät eigenmächtig DoH anwenden.
Wenn die FB nen PiHole mit dessen IP direkt per DHCP bekannt gibt, muss man im PiHole ggf. noch den hostnamen der FB eintragen mit dessen IP um auf Nummer sicher zugehen.
Selbige gilt natürlich auch für jeden anderen eigenen DNS Server im eigenen Heimnetz.
falls es der Browser unterstützt, kann man die IP des Routers auch mit einem Nicknamen abspeichern und brauch dann nur _router_ o.ä. eintippen
Dann böte sich ja fast der Nickname „fritz.box“ an 😉
Ich würde hier gern mal ein Thema ansprechen, bei dem mein Eindruck ist, dass das gar keiner auf dem Schirm hat.
Ich habe ein Smartphone. Für dieses Smartphone habe ich die App „Box2Go“ gekauft, die mir die Anrufe auf dem Festnetz auf dem Handy anzeigt. Also, use case: Ich sitze am Frühstücktisch, neben mir das Handy, da klingelt im Flur das Festnetz. Handy zeigt an: Schwiegermutter. Egal, ich Frühstücke jetzt.
So. Das ist jetzt exemplarisch für eine App, die mit der Fritz kommuniziert.
Bei der Einrichtung der App sollte ich die Adresse der Fritzbox angeben.
Mein Gedankengang damals: „OK, die App pollt also die Box mit Username und Passwort, auch wenn ich unterwegs bin. Wenn ich also bei Mäcces im WLAN sitze, dann pollt der entweder “fritz.box“ oder “192.168.178.1“. Hm. Kann dann nicht ein böswilliges WLAN den Login annehmen und die Zugangsdaten kopieren? Ich habe mich dann bewusst für „fritz.box“ entschieden in der Annahme, dass die doch sicherlich von AVM registriert wäre, während 192… halt jedes Netzwerk sein könnte.
Das heisst, wenn ich jetzt mit dem Handy im Mobilnetz unterwegs war, dann hat mein Gerät eine Auflösung von fritz.box bekommen und hat sich gegen den bösen Server identifiziert.
Ich habe daraufhin erstmal den separaten Account gelöscht, den der Installationswizard von box2go anlegt, und ihn mit anderem PW neu angelegt.
Ausserdem habe ich in einem Forum den Tip gesehen, man möge sich das von der Box generierte SSL-Zertifikat runterladen und auf https switchen, dann wäre die Verbindung ja abgesichert, weil man natürlich das gute Zertifikat beglaubigt und das böse ablehnt.
Zu meiner Überraschung verweist das Zertifikat der Fritz-Box aber auf den DynDNS-Hostname der Box, und der ist aus dem Intranet heraus ja gar nicht erreichbar.
Ich habe für mich jetzt erstmal den SSID-Filter von Box2Go aktiviert, dass es überhaupt nur pollen darf, wenn ich in meinem WLAN bin.
Aber für mich klingt das so, als würde alle Mobiltelefone, die irgendwie die Fritzbox pollen, im externen Netz dann auf den bösen Server verbinden, ohne dass man das merkt. Und da frage ich mich schon, ob man da nicht eine Kompromittierung befürchten muss.
Bin hier absolut bei dir.
Es wundert mich auch dass bisher niemand das Thema so angesprochen hat.
Ich habe deshalb eine teil der Apps gelöscht, und beim Rest direkt die IP eingetragen.
Ein böswilliges lokales Netz kann dir hinter allen diesen Adressen, egal ob fritz.box oder konkrete IP-Adresse, einen beliebigen Inhalt zurückgeben.
Dagegen würde nur schützen wenn der Server sich ausweisen würde, bevor du ihm deine Zugangsdaten gibst und zwar mit einem Zertifikat für das du persönlich oder durch die Zertifizierungsstelle sicherstellst, dass es nur für den richtigen Server ausgestellt wurde.
Direkt die IP eintragen hilft also gegen das Risiko böswilliges Netz überhaupt nicht.
Das ist natürlich grundsätzlich richtig, aber mit meinen Zugangsdaten rund um die Uhr an den Fritz.Box Server klopfen muss ich ja auch nicht. 🙂
Für ein bösartiges Netz muss ich mich zumindest vorher aktiv dorthin verbinden. Zumindest wenn’s um wlan geht.
Diskutieren kann man hier natürlich noch lange. Aber zusammenfassend muss man zugeben das ich mit einem solchen „Fritz.box“ Angriff einfach unglaublich viele Opfer erwischen könnte.
Das ist richtig, wäre aber ein individueller Angriff auf einzelne. Durch die unglaublich dämliche Verwendung einer öffentlich gerouteten Domain haben aber nun zehntausende Nutzer ihre Logins bei einer einzigen Gegenstelle abgeliefert, und das macht Angriffe deutlich lohnenswerter, als wenn sich ein einzelner Bösewicht bei Mäcces in Bad Mückenteich als 192.168.178.1 reinhängt und drei Accounts erbeutet.
Das mit dem Zertifikat hatte ich oben ja geschrieben. Die fritz trägt den falschen Hostname ein, somit kann man das knicken.
Es wird bei der App Box2Go nicht der Interne Zugang verwendet, sondern der über die Fritz!Box-Onlinedienste SSL-gestützte via https://eine-Reihe-von-Zahlen-und-Buchstaben:irgendeinfünfstelligerPort/ mit dem von Dir auf der Fritz!Box eingesrichteten Benutzer/Passwort.
Jetzt müsste der Angreifer nicht nur das passende SSL-Zertifikat kennen, sondern auch die MAC-Adresse deiner Fritz!Box, denn die wird ebenfalls abgeglichen.
Frage : wenn er das alles bereits weis, was will er dann mit deinem Zugang ? Denn um daran zu kommen, muss er ja schon auf deiner Box und auf dem Relay-Servern von AVM zugang zu den Daten bekommen haben ….
@TierParkToni : Das ist m.E. nicht korrekt.
Ich muss bei der Einrichtung von Box2Go die lokale Domain und meinen Fritz-Admin-Account angeben. Box2Go loggt sich bei dieser Adresse und mit diesem Konto auf der Box ein und generiert einen unprivilegiertes lokales Konto, mit dem es dann weiterarbeitet.
Also:
– Nein, Adresse muss ich vorgeben.
– Den Nutzer baut sich die App selber.
– Der Fritz-Onlinedienst kommt hier überhaupt nicht ins Spiel, ich habe den bewusst nie eingerichtet.
Wie arbeitet denn Firefox, wenn ich da Increased Protection, also alternatives DNS einstelle? Die Fritzbox findet Firefox auch.
Beim Test klappt es selbst bei Einstellung maximaler Schutz. Dort hätte man wenn es Probleme gibt aber noch Option Ausnahmen zu hinterlegen für bestimmte Domains.
Ich lande mit der „Notfall-IP“ bei meinem Repeater und nicht in der Fritzbox.
Ist korrektes verhalten, da alle AVM Geräte auf diese IP reagieren, und entsprechend reagiert immer 1. Gerät in der Verbindungskette.
1. Gerät in der Verbindungskette, heißt- ist man mit dem Repeater verbunden, kommt man mit der Notfall IP auf den Repeater, ist man mit der Box verbunden kommt man auf die Box?
Wenn ja, dann ist es komisch. Bin weit weg vom Repeater, die App FritzWLAN zeigt an, das ich mit der Box verbunden bin und dennoch lande ich auf den Repeater. Danke
Muss denn zur Verwendung der Notfall IP nicht i.d.R. eine Verbindung auf einen bestimmten LAN Port (LAN2 ?) bestehen?
LAN oder WLAN spielt keine Rolle.
„Nun war es so, dass man eine Krypto-/ NFT-Seite erreichen konnte, die nun augenscheinlich nichts Böses will. “
Nichts Böses?
Die wollen einem Krypto und (noch viel schlimmer) NFT andrehen!