ComputerBase Menü
Aktuelles

Frage zu https:

J

James70

Newbie
Registriert
Aug. 2023
Beiträge
7
Hallo,







bin Computer-Laie, möchte mein Fachwissen etwas erweitern, mit folgender, für den Fachmann banalen Frage:

angenommen ich habe einen unsicheren Router, z.B. Firmware alt, was auch immer.

Zunächst boote ich von einem Linux-Live-System.

Verbinde mich dann über https/SSL mit einer Website, z.B. E-Commerce-Website, ist meine Kommunikation zwischen meinem Browser und der Ziel-Website einigermaßen sicher, trotz anfälligem Router?




Gruß

James
 
Grundsätzlich ja, jedoch könnte dein PC mit Schadsoftware belastet sein da der Router ja ein Einfallstor darstellt. So sehe ich das zumindest.
 
Ja, genau das ist der Sinn von HTTPS.
 
Fujiyama schrieb:
So sehe ich das zumindest.
Zum Vergrößern anklicken....
Sehe ich genauso, Sicherheit ist immer ein Gesamtkonzept, krankt es an einem Punkt kann auch der Rest zu Fall kommen. Gelangt man durch eine Sicherheitslücke im Router in das Netzwerk, hilft auch die Transportverschlüsselung nach außen nicht mehr so viel.
 
  • Gefällt mir
Reaktionen: H3llF15H, AB´solut SiD, SpamBot und 2 andere
James70 schrieb:
Verbinde mich dann über https/SSL mit einer Website, z.B. E-Commerce-Website, ist meine Kommunikation zwischen meinem Browser und der Ziel-Website einigermaßen sicher, trotz anfälligem Router?
Zum Vergrößern anklicken....
Eigentlich tangiert es die Verbindung zu externen Webseiten bzw. deren Verschlüsselung nicht, ob die Admin-Webseite des Routers nur HTTP kann oder auch HTTPS. Die oberen Schichten (die auf IP aufbauen) werden transparent Ende-zu-Ende aufgebaut. Ob dazwischen ein Router überhaupt eine Webseite zur Adminstration hat ist erst mal Wurscht

Indirekte Angriffe über deinen PC, können immer passieren und ist dein PC erst mal infiziert, ist auch egal, ob dein Router eine HTTPS Webseite hat oder nicht, denn ein bspw lokal von Maleware installierter Keylogger loggt auch die Passwörter von verschlüsselten Verbindungen.

Der Fakt, dass die Router FW seit ggf. Jahren keine Patches mehr bekommen hat, ist wesentlich riskanter, da so möglicherweise Lücken bestehen, die man auch ohne deinen PC zu kompromittieren ausnutzen kann, von außen aus dem Internet.

Einige Antworten erwecken den Eindruck, es sei in erster Linke relevant, dass der Heinrouter auch HTTPS kann, damit der Aufruf von externen HTTPS Seiten sicher ist, das ist nicht aber dafür bestenfalls sekundär relevant.<sarcasm>(Provider Router haben eh eigene Management Interfaces getrennt vom produktiven Traffic, können somit aus Kundensicht weder HTTP noch HTTPS und trotzdem Routen sie die HTTP(S)- Pakete, geile Sache, was? Beim Heimrouter ist das nicht viel anders, selbst Heimrouter ohne Webseite lassen per Default http(s)-Aufrufe des Browsers durch.</sarcasm>
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: madmax2010
Wenn der Router ein CA-Zertifikat + privaten Schlüssel hat, dem dein Rechner vertraut, kann er unter Umständen unbemerkt die TLS-Verschlüsselung aufbrechen und mitlesen. Stichwort: Man-in-the-middle.
 
Deswegen wollte ich von einer Linux-Live-DVD booten, da sollte das System sauber sein.

Dann über https: verbinden.......
 
Also willst Du nicht nur Dein theoretisches Wissen erweitern, sondern es geht um eine praktische Anwendung?
 
Vlt wärs schlauer nach nen halbwegs aktuellen Router zu schauen, vlt gibts den ja sogar kostenlos vom Provider.
Ist ja Blödsinn immer von Linux zu Booten wenn man irgendwas in der Richtung macht.
 
Ich versuche die Szenarien / Konzepte zu verstehen anhand von Beispielen.

So eine Aktion hatte ich schon mal durchgeführt.
 
Was genau erhoffst du dir durch irgendwelche Szenarien? Bzw. für was wird das Wissen gebraucht?
 
  • Gefällt mir
Reaktionen: Fenugi
@Fujiyama:

Ich weiss es klingt etwas paranoid : )

Ich habe vor kurzer Zeit online ein paar Fahrradteile gekauft, habe über so ein Live-System gebootet,
nach kurzer Zeit stellte ich fest dass meine Fritzbox über ein halbes Jahr mit veraltetem FritzOS unterwegs war.

Jetzt wollte ich fragen ob das ein Problem wäre sicherheitstechnisch. Ist ein 8 Monate veraltetes Betriebsystem auf dem Router ein gravierendes Problem? Daher die Fragen.

James
 
Nein. Dein Rechner ist das Einfallstor, nicht die Fritte. Der Router wird bestenfalls sekundär Opfer eines Angriffs, sein Rechner ist das primär Ziel.
 
Nur weil man nicht das aktuelle FritzOS drauf hat heißt das nicht zwangsläufig das der Router unsicher ist.
Gibt da draußen viele FritzBoxen die im Betrieb sind und keine Updates mehr bekommen.

Meistens ist eher das Verhalten der Nutzen und ein nicht aktueller Softwarestand des PCs das Problem.
 
Um acht Monate geht es da sicher nicht, ich glaube die letzte große Sicherheitslücke (FragAttacks) weswegen AVM auch längst abgekündigten Boxen noch ein Update verpasst hat stammt von 2021.
 
Ich weiß jetzt nicht genau, ob das Standard ist, aber antworten die AMV Router eh nicht auf Anfragen aus dem Internet? Das müsste man doch erst aktivieren oder war das anders herum?
 
Da ist die Frage, was die Unter „Anfragen“ verstehst.

Meinst du einen ICMP- Reply auf einen eingehenden ICMP Request oder meinst du einen TCP-Syn-Sack auf ein TCP-Syn auf den HTTP-Server der Fritte? Letzteres muss man gezielt aktivieren und sollte man tunlichst lassen. Ersteres weiß ich selbst gerade nicht aus dem FF. Edit: ICMP Replies sind wohl per Default an:

Falls die FRITZ!Box unangeforderte Anfragen aus dem Internet verwerfen soll, anstatt mit ICMP-Kontrollnachrichten zu antworten, aktivieren Sie in der Benutzeroberfläche der FRITZ!Box unter "Internet > Filter > Listen > Globale Filtereinstellungen" die Option "Firewall im Stealth Mode".
 
Incanus schrieb:
Gelangt man durch eine Sicherheitslücke im Router in das Netzwerk, hilft auch die Transportverschlüsselung nach außen nicht mehr so viel.
Zum Vergrößern anklicken....
Huh? Natürlich erledigt HTTPS auch dann noch seinen Zweck. Es würde ja auch sinnlos sein, müsste man doch wieder den Routern auf dem Weg zum Zielserver vertrauen. Dabei spielt es keine Rolle, ob wir vom Router bei Dir zuhause oder einem Backbone-Router irgendwo auf der Strecke reden oder über den Umweg über China, den die Daten ab und zu wegen Fuckups beim BGP nehmen.
 
Ich glaube das war verkürzt dargestellt. Der Zugriff auf den Router alleine genügt nicht, aber verschiedene Angriffsvektoren stehen dann einem zur Verfügung. Man kann da schon DNS Poisoning betreiben und alles über einen TLS Proxy umleiten, dem Client ein anderes Zertifikat unterjubelt. Je nach dem ob es nach dem Einbruch bei der CA Revolte wurde oder nicht und ob es die Clientsoftware mitbekommen hat, oder ob man einfach „Webseite nicht sicher“ wegklickt, kann so ein Angriff sehr erfolgreich sein.

Durften in ner Sicherheitsschulung im Labor mal vor 15 Jahren sowas selbst machen, also den Angriff durchführen….
 
  • Gefällt mir
Reaktionen: VoodooMax
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Strato http-Domainaufruf ändert sich immer auf https (bei Weiterleitung ohne SSL unerwünscht)
Antworten
9
Aufrufe
2.522
majussmith
M
A
Frage zur Heimnetzwerk Planung
Antworten
17
Aufrufe
797
DJMadMax
DJMadMax
Bull Shit
Frage zu HDR-Kalibrierung unter Win
Antworten
7
Aufrufe
671
Bull Shit
Bull Shit
Antimttr
Frage zum Microsoft Konto
2
Antworten
30
Aufrufe
758
Terrier
T
G
USB-C als verpflichtender Standard vs. Lightning – Eine Frage der Haltbarkeit
Antworten
6
Aufrufe
1.125
b3nb0hne
b3nb0hne
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz