Internes Heimnetzwerk gefährdet durch das Internet ?

Hallo,
vielleicht kann mir jemand weiterhelfen. Kann man auf ein internes Netzwerk zwischen zwei PC´s welche über den Roupter FritzBox verbunden sind, so ohne weiteres auf die Daten der PC
´s zugreifen ? Grade weil man ja über den Router nicht immer 100 % weiss wann er sich mal wieder grade ins Netz wählt. (habe Flat). Er ruft ja z.b. auch ständig e-mails ab.
Oder ist das interne Netzwerk extra abgeschiert ? Etwar durch eine Firewall. Wie ist man 100 % sicher gegeben Datenraub aus dem Netz ? Wo muss man, was einstellen ? Geht das nur über eine Firewall, oder ist ein Zugriff von aussen von vornerein nicht möglich weil zb. technisch nicht möglich ?
Vielleicht kann mir das mal jemand erklären.

Danke schonmal
zwergenland

 

wow soviele Fragen auf einmal *g
Also erstmal musst du dir kaum Sorgen machen. Als normaler Heimanwender interessiert sich niemand für die Daten deines Heimnetzwerkes und da du wahrscheinlich sowieso bei jeder Einwahl eine andere IP adresse bekommst lässt sich das auch nicht gezielt vorbereiten.
Die Kiddies die sich einen Spaß draus machen kommen nicht durch den Router durch.
Das funktioniert natürlich nur solange der Angriff von aussen kommt. Von innen siehts schon anders aus. Wenn du dir bösartige Software installiert hast (Viren o.ä) kann es durchaus sein, dass der Router nicht mehr schützt.
Hier im Forum habe ich irgendwo eine recht gute Anleitung gefunden wie man seinen Rechner konfigurieren sollte.
http://www.pcwelt.de/forum/viren-tr...nstellung-wie-mache-ich-meinen-pc-sicher.html
Die Freigaben deines Heimnetzes sind NICHT im Internet zu sehen.

 

Ganz so einfach ist das nicht abgetan. Wenn das Routermenü nicht durch ein ordentliches Password gesichert ist, ist es durchaus möglich den Router von außen umzuprogrammieren, so dass ein Computer sofort im Internet sichtbar wird

 

Passwort ist immer gut.
Auch wenn dieses Angriffsszenario bei einem Heimnutzer recht unwahrscheinlich ist. Einfach IP in den Browser eingeben und ins Routermenü kommen klappt imho nur im gleichen Heimnetz und nicht durchs Internet (was natürlich ein ungesichertes WLAN z.B noch problematisch macht. Aber dann ists eigentlich fast egal *g). Man müsste schon z.B telnet verwenden. Und das ist meistens abschalt- oder reglementierbar.

 

Schon mal getestet? Geht ganz einfach, die DSL-IP dürfte ja bekannt sein. Diese einfach mal von einem zweiten Rechner, der mit einen anderen Internetzugang ausgestattet ist (z.b. Modem oder ISDN), aufrufen. Schon bist du im Router-Menü und kannst dort werken, wie du willst.
Klar ist es durch die dynamische IP-Zuweisung nicht oder kaum möglich, ganz gezielt, einen bestimmten Nutzer zu erwischen.

 

Das klappt aber nur, wenn Du im Router die Remotewartung aktiviert hast, die standardmäßig bei allen aktuellen Router auf deaktiviert steht.

 

...oder gar nicht vorhanden ist.

Egal. Passwort ist trotzdem immer gut! Aber sowas muss man eigentlich niemandem sagen
*hoffnungsvoll zum TO guck*

 

AD hat schon Recht.Wenn man schreibt:

....dann werden die Sachverhalt doch etwas verzerrt dargestellt.

Es sind ja zwei Dinge, die den Zugriff verhindern.Die Freischaltung der Remote-Wartung und das in diesen Fällen von jedem, der nicht ein Idiot ist, gesetzte Kennwort.

D.h., es ist äußerts unwahrscheinlich, einen fremden Router zu finden, den ich per Remote-Funktion fernsteuern kann.

 

Und selbst wenn man Zugriff auf den Router hat, ist man noch lange nicht auf den Netzwerk-Freigaben. Die sind nämlich im Idealfall benutzerspezifisch Passwort-geschützt.

 

Ich hab mal ne kleine Fingerübung gemacht.

Man scanne nach Port 80 oder 8080 (gängiger RemoteWartungsport) und ganz selten erhalte ich ein "forbidden" bzw. "denied". - Damit ist Fernwartung bestenfalls durch ein Passwort geschützt. Braucht man hier "Brute-Force" o.ä., wenn der RouterHersteller klar ist? Meistens nicht (-> Default-PW) bzw. QuelltextCheck des HTTP-Req. auf den Router helfen weiter.


3 dokumentierte bei 7 Erfolgen von 10 Versuchen (= guter Filter)...

(AntiDepressiva)
> Router die Remotewartung aktiviert hast, die standardmäßig
> bei allen aktuellen Router auf deaktiviert steht.
Kann sein, dass die das alles wieder aktivieren...
Ich kenne haufenweise Zigarrenkisten, wo die Option "kundenfreundlich" ON ist. Und offenbar (s.Bild) gibt es Uptimes von Routern (~3 Jahre) mit diesem MisManagement.

BTW braucht niemand versuchen, die 3 dokumentierten erneut anzutesten, da sie neue PassWDs haben, zumindest die "external Admin"-Option jetzt abgeschaltet ist. *MUHAHA*

Und da sind wir schon beim nächsten Thema: Was kann ich DANN mit der zugreifbaren DHCP-Konfig und einem IP-Forward anfangen?!


(TheD0kt0r)
> im Idealfall benutzerspezifisch Passwort-geschützt
Ja ja. - Und Du hast wirklich Hoffnung auf die Existenz von DateiSystemen, wo "global-in-lokal"-Rechte Anwendung finden, JEDER und GAST nicht existent sind und...

(Buddy2002)
> D.h., es ist äußerts unwahrscheinlich, einen fremden Router zu finden,
> den ich per Remote-Funktion fernsteuern kann.
Doch, siehe [1]. - Einen finden, ist leicht. Ihn dann zu hacken / cracken eine Frage der Zeit.

_______________________

Fazit:
[1] Wer Fernwartung nicht durchführt / erwartet, disabled die Option.
PS.: Scheint mal wieder ein interessanter Plausch zu sein.

 

Wozu den Umweg? Schau dir doch die durchschnittliche XP-Kiste an. User "Administrator" + kein Passwort + vorhandene Adminfreigaben = ich habe fertig.

 

Danke für die schnelle und heftige Reaktion
Aber irgendwie verstehe ich nur fast nur Bahnhof. Netzwerk technisch bin ich Anfänger. Also gemach !
Was heisst das jetzt alles für einen Laien wie mich. Meine FritzBox ist natürlich mit einem Passwort geschützt. Soweit so gut. Aber was ist diese Remote Wartung. Und muss diese jetzt aktiviert oder deaktiviert sein ? Habe mal auf Routersoftware gesucht aber nicx gefunden. Ist alles grade neu mit frischem update.
Wie kommt denn die Firewall (z.b. auch die im Router) ins Spiel ? Oder garnicht ?
Arbeiten bei Fritz nicht standartmässig alle Router mit der selbe IP oder wie soll man sich das vorstellen? Das ist doch diese standard IP
D.h. Ace Piet hackt sich mal eben in irgendwelche Router ? Scheint ja leicht zu gehen. Wie würdest Du das ganze lösen ?

 

@Zwergenland

Erstmal solltest du das Handbuch zu deinem Router lesen, um hinter die wichtigsten genannten Begriffe zu kommen (ersatzweise hilft auch wikipedia oder google). Dann setze ein Passwort für deinen Router, deaktiviere die Fernwartung und aktiviere die Firewall. Wenn du nun noch durchhälst und selbst keine Löcher in die Wand hackst, zudem deine Systeme von unnötigen Benutzern und Freigaben befreist (bzw. diese per Passwörter usw. absicherst), sowie deine Systeme auf einem aktuellen Updatestand hälst, sollte eigentlich nicht mehr viel passieren können.

 

> Ace Piet hackt sich mal eben in irgendwelche Router ?
> Scheint ja leicht zu gehen.
Jau. - Die schwierige Nummer war mit PAINT den Bruch verfügbar zu machen (s. Bild). Die PcW-Bude bietet ja keinen WEB-Upload an, *Mönsch* kostet dat Zeit (15 Min. Gestaltung)...


(Zwergenland)
> Wie würdest Du das ganze lösen ?
Ist doch alles oben genannt. Ich habe aus Nachahmungsgründen Einzelheiten verschwiegen, sprich für die Regs. nachvollziehbare Sprünge gemacht. Die glauben mir sonst nix. - Also auf die Schnelle....

(A) Der Router ist kabelgetrennt OFF-Line (Funktion = Switch)
. LAN kommt auf die Reihe... Ports
. PCs werden geschützt... Rechte
. akademische DMZ / HoneyPots kommen ins Spiel etc.
(etc.) - HTH vs. gen. Begriffe...

(B) Der Router ist ON-Line
. Ich schütze das LAN

______________

[1] Wobei ich für einen Buddy noch den c't-Time-Response-Artikel suche.
... hat aber nix mit dem Thema zu tun.

 

LOL auch du grüne Neune. Hätt' ich nicht gedacht.
Na schön, also muss man scheinbar doch dazusagen, dass ein gutes Passwort eingetragen werden sollte und so geschichten wie "konfigurationa us dem WAN" oder Telnet abgeschaltet werden muss.

 

Den hattest du mir doch schon mal gegeben !

 

Ums mal am konkreten Beispiel des TS zu machen:

eine Fritzbox ist standardmäßig NICHT von außen zu erreichen, das Webmenü nach außen hin blockiert. Das geht nur, indem man den Port 80 auf die Fritzbox umleitet - was diese gleich abwehrt. Eine Fritzbox kann keine Weiterleitung auf sich selbst machen
Man muss sich per Telnet erst auf die Box begeben und dort direkt in den Filterregeln eine anlegen.
Ich bezweifle stark, dass der TS dies gemacht hat. (nichts für ungut)

Datenraub aus dem Netz ist zwar generell möglich, jedoch für den Privatanwnder zu vernachlässigen, da in diesem Falle jemand ganz spezielle kenntnisse deiner technischen Umgebung haben müsste. Benutzt du einen dyndns account in der Box? Wenn nein, scheitert der normale Dieb schon daran, dass er nicht weiß, wo du zu finden bist.

Paranoia ist gut und schön und vielleicht auch in gewissen Teilen berechtigt, aber es bringt nichts den TS zu verunsichern

 

Dank dir angel ....

 

@Angel-HRO
> aber es bringt nichts den TS zu verunsichern

Reaktion
(Zwergenland)
> Dank dir angel ....

Fazit: Die Zwergen sind beruhigt, es kann ja nix passieren. - Auf DIESE Antwort wurde natürlich spekuliert, bestensfalls auch auf einen *Klick*, der "alles" wieder gutmacht. - Beobachte ich übrigens immer wieder: TO hat *aua*, TO bekommt Tatsachen aufgetischt, TO wird "beruhigt". - Nur eines, Matrosen ist nicht der Fall: Der TO hat irgendeinen Fortschritt, insb. in Sachen Sicherheit gemacht. Er wurde halt NUR beruhigt...

-Ace- (Danke fürs Zuhören)

 

Danke dafür das mal einer dt. spricht. Das beobachte ich immer wieder. Irgendwelche aneinander gereihten Kraftausdrücke mit tollen Vorschlägen, die keinem Laien weiterhelfen. Das verunsichert wesentlich mehr.
Wo stehn denn hier mal richtige Sätze ohne Insider und Abkürzungen TO und TS.
Das beobachte ich immer wieder, bis die hilflosen es aufgeben, weil es nirgends zum Ergebnis führt
Also nicht gleich auf andere los ...