Die Fritzboxen sollen ja das Heim- und Gastnetz komplett trennen. Ich kann aber das jeweils andere Gateway (xxx.xxx.xxx.1) anpingen. Andere Teilnehmer aber nicht. Weiterhin habe ich dem Gastnetz nur einen Zeitserver in die Freigabeliste geschrieben. Updates usw. gehen auch nicht, aber trotzdem kann ich aus dem Gastnetz ins Internet pingen (z.B. www.heise.de). Soll das alles so sein oder kann das ein Sicherheitsproblem sein?
Was geht und was nicht hängt einzig und allein davon ab was in der Firewall freigegeben ist. Ping läuft über ICMP und nicht über UDP/TCP. Was die Fritzbox blockt und was nicht weiß wohl nur AVM, aber Ping gerade zum Gateway ist oft erlaubt und stellt imho in diesem Fall kein Risiko da. Am WAN sieht das schon anders aus aber da hat die Fritte ein Option um Pings zu blocken.
Bärtramm schrieb: > Die Fritzboxen sollen ja das Heim- und Gastnetz komplett trennen. Ich > kann aber das jeweils andere Gateway (xxx.xxx.xxx.1) anpingen. Andere > Teilnehmer aber nicht. Das dürfte an der unter Linux beim Packet Filtering üblichen Differenzierung zwischen Input (Empfänger ist der Router selbst, egal welches Interface davon) und Forwarding liegen.
Bärtramm schrieb: > Die Fritzboxen sollen ja das Heim- und Gastnetz komplett trennen. Ich > kann aber das jeweils andere Gateway (xxx.xxx.xxx.1) anpingen. Logisch. Beides ist letztlich die Fritzbox. Was dazu führt, das du auf die Anfrage zum Gateway des jeweils anderen Netzes zuerst mal ein ICMP-Redirect bekommst, was auf die Fritzbox-Adresse in deinem Netz verweist. An die geht dann die Anfrage wirklich. Sprich: egal, welche Adresse der Fritzbox du anpingst: effektiv pingst du immer nur ihre Gateway-Adresse in deinem eigenen Netz an. > Andere > Teilnehmer aber nicht. Also alles, wie es sein sollte. > Weiterhin habe ich dem Gastnetz nur einen Zeitserver in die > Freigabeliste geschrieben. Updates usw. gehen auch nicht, aber trotzdem > kann ich aus dem Gastnetz ins Internet pingen (z.B. www.heise.de). Ping ist ICMP. Das wird nicht durch die Freigabeliste beeinflußt, ausgehend ist das immer offen, auch für Gäste. ICMP Richtung Internet allerdings wird generell etwas gefiltert, dies aber für Gäste- und Heimnetz gleichermaßen. > Soll das alles so sein Ja. > oder kann das ein Sicherheitsproblem sein? Jain. Eine entsprechende Software im Gästenetz kann diese "Lücken" natürlich nutzen, um Information zu transportieren. Allerdings nur in recht geringem Umfang und relativ unzuverlässig. Effektiv kann diese Software das rausschicken, was sie selber weiss und zusätzlich einige wenige Informationen über die Fritzbox, die direkt von außen nicht zu ermitteln wären, aber andererseits für einen Angreifer außen auch nicht gerade sehr nützlich sind. Denn die Software, die diese Information übermittelt, ist ja bereits innen und verfügt bereits über diese Informationen. Also ich würde das jetzt nicht direkt als "Sicherheitsproblem" titulieren.
Zwei Ports des Gateways im Heimnetz lassen sich aus dem Gastnetz erreichen: 192.168.178.1:53: DNS 192.168.178.1:8181: Eine Vorschalt- (besser Redirect-) Seite für Fehlermeldung wenn der Internetfilter zugeschlagen hat. Warum? Keine Ahnung. Das war "schon immer" so. Umgekehrt geht noch mehr (vom Heimnetz Dienste im Gastnetz erreichen): 192.168.179.1:21: ftp 192.168.179.1:53: DNS 192.168.179.1:80: Weboberfläche 192.168.179.1:139 und 445: SMB 192.168.179.1:443: Weboberfläche 192.168.179.1:5060: SIP 192.168.179.1:5357: Network discovery 192.168.179.1:8181: Redirect-Seite für Fehlermeldung Warum man aus dem Heimnetz heraus darauf im Gastnetz zugreifen möchte? Keine Ahnung. Und es stellt sich die Frage, warum das Gateway im Gastnetz z.B. überhaupt einen SIP-Registrar oder ftp anbietet.
:
Bearbeitet durch User
c-hater schrieb: > Logisch. Beides ist letztlich die Fritzbox. Was dazu führt, das du auf > die Anfrage zum Gateway des jeweils anderen Netzes zuerst mal ein > ICMP-Redirect bekommst, was auf die Fritzbox-Adresse in deinem Netz > verweist. An die geht dann die Anfrage wirklich. Grade mal mit Wireshark nachgesehen. Das sind keine ICMP-Redirects. Nur ICMP Echo-Requests und ICMP Echo-Replies. Aus Client-Sicht routet die Fritzbox für diese Spezialfälle zwischen den zwei Netzwerken.
Hannes J. schrieb: > Grade mal mit Wireshark nachgesehen. Das sind keine ICMP-Redirects. Zeig' her!!!
c-hater schrieb: > Was dazu führt, das du auf die Anfrage zum Gateway des jeweils anderen > Netzes zuerst mal ein ICMP-Redirect bekommst, was auf die > Fritzbox-Adresse in deinem Netz verweist. An die geht dann die Anfrage > wirklich. Nein, ICMP Redirects gibt es, wenn Du über das Gateway ein Paket an eine Adresse schickst, die das Gateway lt. Routing Table über einen Next Hop in Deinem logischen Netz erreicht. Beispiel: Der WAN-Router hat 192.168.1.1, ein VPN-Gateway hat 192.168.1.2. Der WAN-Router hat eine Static Route zu 192.168.2.0/24 über 192.168.1.2, die Clients wiederum kennen nur ihr Default-Gateway. Wenn jetzt der Client 192.168.1.111 ein Paket an 192.168.2.222 über 192.168.1.1 schickt, sagt der WAN-Router "über 192.168.1.2 kommst Du schneller ans Ziel".
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.