FRITZ!Box 7490 IP Rebind Schutz?

Registriert
Apr. 2007
Beiträge
137
Hallo zusammen,

hat schon irgend jemand was davon gehört, dass auf dem aktuellen FritzOS 6.50 (oder auch ggf. bei vorigen Versionen) eine Funktion aktiv ist, die für IP-Adressen analog zum DNS-Rebind Schutz wirkt?

Hintergrund:
  • Windows Server an LAN3 der FritzBox 7490 angeschlossen und im FritzOS als Exposed Host konfiguriert
  • Auf dem Windows Server werden diverse Dienste angeboten, u.A. ein Web-Dienst, der nur über einen speziellen Port erreichbar ist und für die folgenden Tests herangezogen wurde

Zugriffstests mittels Browser auf oben beschriebenen Web-Dienst:
  1. innerhalb meines LANs mit lokaler IP-Adresse des Servers: Funktioniert
  2. innerhalb meines LANs mit externer IP-Adresse (vom ISP zugewiesen): Funktioniert nicht :confused_alt:
  3. außerhalb meines LANs mit externer IP-Adresse (vom ISP zugewiesen): Funktioniert :confused_alt:
  4. innerhalb meines LANs mit dyn dns, die auf vom ISP zugewiesener IP-Adresse (gleiche wie in vorigen Tests) verweist: Funktioniert
  5. außerhalb meines LANs mit dyn dns, die auf vom ISP zugewiesener IP-Adresse (gleiche wie in vorigen Tests) verweist: Funktioniert

Hinweis für 4 und 5: Ausnahme für DNS-Rebind Schutz wurde in der Fritzbox für die in den Tests angegebene dns hinzugefügt.

Wie ist dieses Verhalten zu erklären? Wieso lässt die FritzBox die Pakete zum Windows Server (trotz Exposed Host) nicht durch, wenn ich innerhalb des LANs den Server über die externe IP-Adresse addressiere? Nehme ich hingegen eine dns (die in der Ausnahmeliste für den DNS-Rebind Schutz eingetragen ist) funktioniert es. :confused_alt:
 
Warum stellt man einen Host komplett ins Internet? Wieso macht man solch einen Blödsinn? Portforwarding für genau die Ports die du freigeben willst.

2. passiert normalerweise nur bei Billigroutern
Meine uralte Fritzbox hat weder mit der public IP noch dem vom ISP genutzten Domainnamen oder einem eigenen dyndns Domainnamen irgendwelche Probleme.
 
IIIIIChrisIIIII schrieb:
Hintergrund:
  • Windows Server an LAN3 der FritzBox 7490 angeschlossen und im FritzOS als Exposed Host konfiguriert
Fail! Sowas macht man nicht, schon garnicht ohne DMZ!!!!

http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
Exposed Host heißt, dass die Fritzbox, ALLE eingehenden Verbindungen zu ALLEN möglichen Ports zu dem Server zu lässt.
Normalerweise schaltet man nur die Ports frei, die man auch wirklich braucht.
Eine Portfreigabe für den Listeneintrag "Exposed Host" leitet alle Anfragen aus dem Internet auf den angegebenen Computer weiter, sofern es keine andere Regelung durch andere Portfreigaben gibt. Die Firewall der FRITZ!Box ist damit nicht mehr aktiv. Richten Sie eine Portfreigabe für "Exposed Host" nur zu Testzwecken ein. Es ist sicherer, Portfreigaben nur für die Ports einzurichten, die eine Anwendung tatsächlich benötigt.

http://help.avm.de/fritzbox.php?oem...eueportfreigabe&deviceFeatures=&userSettings=

Ich bereibe selbst einen Server, hinter eine Fritzbox, aber habe nur die Ports freigegeben, die man auch braucht (z.B. TCP/80 und TCP/443) und dazu das ganze vom LAN getrennt durch eine zweite Fritzbox. Im Prinzip eine DMZ.

Auf dem Windows Server werden diverse Dienste angeboten, u.A. ein Web-Dienst, der nur über einen speziellen Port erreichbar ist und für die folgenden Tests herangezogen wurde

Aha, für ein paar läppische Tests riskierst du die Integrität deines Servers und deines LANs?

Achja, und ich kann auch vom LAN auf über die Public IP auf meine Server zu greifen, wegen dem SSL Zertifikat, dass für den Public-Domain-Name ausgestellt ist, geht das auch garnicht anders, da sonst ein SSL Fehler kommt.
 
Zuletzt bearbeitet:
Ja, das war auch schon in den alten Versionen so!
Was du machen willst ist ein NAT-Loopback und das wirt von der Firtzbox blockiert um einen DNS-Rebind-Schutz zu bieten.
Kann man meine ich für ausgewählte Seiten deaktivieren.

http://avm.de/service/fritzbox/frit...floesung-privater-IP-Adressen-nicht-moeglich/

Vom Ablauf her ist es ja so, dass zunächst DNS aufgelöst wird und anschließend wird die Verbindung per IP hergestellt.
Hierzu findet dann ein NAT bzw. eigentlich ein PAT statt.
Das findet auch statt wenn du direkt über die IP gehst und nicht über DNS, somit greift hier vermutlich auch der Schutz.
Hast du mal versucht die IP bei den DNS-Rebindausnahmen einzufügen?
Geht es dann?
 
Zuletzt bearbeitet:
Bitte arbeite mit Portfreigaben und nicht mit einem Exposed Host, das wurde ja auch schon genannt, der rest wurde eig auchschon geklärt, hier is aktuell noch vieles im Argen ;-)
 
Eine kleine Ergänzung zu der berechtigen Warnung bezüglich exposed host:

Wenn die Fritzbox ALLE Ports vollständig und ohne Ausnahmen zum exposed host weiterleitet, dann sind ohne explizite Sicherheitsmaßnahmen auch wirklich ALLE Dienste, die der Server anbietet, aus dem Internet erreichbar - auch Dienste, die grundsätzlich nicht für den Einsatz über das Internet gedacht sind, weil sie beispielsweise komplett unverschlüsselt sind!


Was genau soll dein Server tun? Webserver? VPN? Für jeden Dienst (zB Port 80 bzw 443 für Webserver, 1194 o.ä. für OpenVPN) richtest du explizit eine Portweiterleitung im Router ein. Dann gehen auch wirklich nur Anfragen auf 80, 443, 1194 zum Server weiter und zB Netzlaufwerke (SMB-Ports) werden vom Router sofort geblockt. Für den LAN-internen Traffic ist das irrelevant, weil ein PC im LAN ja nicht von außen auf den Server zugreift, sondern von innen.

Aktuell riskierst du, dass ein gelangweilter Hacker deinen Server übernimmt, weil du "12345" als Passwort hast und er sich von außen zB über SSH bzw- den admin$ share Zugang verschafft. Herzlich willkommen im neuen Botnetz von Hackergruppe xy..
 
Zuletzt bearbeitet:
Danke für die vielen Antworten in der kurzen Zeit. Insbesondere Danke für den Beitrag von Fr4g3r, der als einziger auf meine eigentliche Frage eingegangen ist.

Meine Frage zielte nicht darauf ab, wie sicher die Angelegenheit ist, sondern WIESO ein als exposed Host (der ja eurer Meinung nach völlig nackt im Internet steht) trotzdem vom LAN aus nicht über die externe IP erreichbar ist.
Und ich rede hier nicht von einer simplen Ping-Anfrage, die die Fritzbox offensichtlich auch bei mir beantwortet, sondern einen konkreten Web-Dienst, der über https abgerufen wird. Aber trotzdem danke für eure Besorgnis :).

@Fr4g3r:
Auf die Idee, in der Ausnahmeliste für den DNS-Rebind Schutz eine IP einzutragen, bin ich nicht gekommen. Aber das habe ich gerade ausprobiert. Ergebnis: nun funktioniert nichts mehr ;). Nun kann ich auf den Dienst nur noch innerhalb des LAN über die lokale IP zugreifen (also quasi funktioniert nur test 1). Habe daruafhin den Eintrag wieder rausgenommen, nichts. Habe die Fritzbox neu gestartet, nichts. Und ja, habe geprüft, ob die dyn dns korrekt ist.

Ggf. gebe ich mal ein wenig mehr Background Infos: Habe vor 2 Tagen auf die neue Firmware 6.50 aktualisiert. In der darauffolgenden Nacht fingen die Probleme an. Aufgefallen ist es für den besagten Web-Dienst. Dieser wird von meinem Smartphone verwendet. Steht dieser nicht zur Verfügung wird mir das auf dem Smartphone angezeigt. Also habe ich ein paar Tests gemacht um festzustellen, ob es am Dienst, am Windows Server oder an der FritzBox liegt. Auf den Dienst wird vom Handy aus über die dyn dns zugegriffen. Um zu prüfen, ob der Dienst für das Handy erreichbar ist, reicht eine simple Anfrage mittels Browser. In den unten besagten Fällen war keine Verbindung möglich. Durch etwas recherche bin ich dann auf die Idee gekommen, die Ausnahmeliste des DNS-Rebind Schutz zu prüfen. Ich habe keine Ahnung ob diese Liste durch das Update der FritzBox flöten gegangen ist oder ob dort noch nie etwas stand. Fakt ist, dass vor dem Update der FirtzBox der Zugriff auf den Dienst lief.

Auch wenn ich immer auf den WebDienst eingehe. Tests mit anderen Diensten z.B. FTP zeigten das gleiche Ergebnis. Merkwürdigerweise funktioniert der normale WebServer also Port 80 und 8080 problemlos. Nach dem eintragen der dyn dns in die DNS Rebind Ausnahmeliste, dachte ich, würde alles funktionieren. Plötzlich funktioniert aber doch nichts mehr. Oder verschiedene Einstellungen in der Fritzbox haben einen Effekt, der nicht sofort in Kraft tritt. So habe ich z.B. die neue Funktion der Firmware 6.50 umgestellt, den lokalen DNS Server, der per DHCP an die Clients verteilt wird, auf meinen Windows Server (der einen eigenen DNS Server hat) zu verweisen, statt auf die FritzBox. Aber selbst jetzt, wo cih das wieder umgestellt habe, scheint es nicht mehr zu funktionieren.... :freak:

Ich werde jetzt mal noch probieren den exposed host rauszunehmen und explizit den Port des WebDienstes zu konfigurieren.
Ergänzung ()

Da hier offenbar alle so besorgt um meine Sicherheit (bzw. die meines Servers sind) - wofür man ja durchaus dankbar sein kann - eine kleine Info zu meiner Person: Betreibe den Server seit nun 10 Jahren, habe ein Diplom in Informatik, arbeite im IT Bereich und auch wenn mein Schwerpunkt weder während der Uni noch im Berufsalltag nicht Netzwerktopologie ist/war, habe ich ein grundsätzliches Verständnis über Netzwerktopologie und bin mir der Gefahren durchaus bewusst, was es heißt einen Server "vor" die Firwall zu stellen - denke ich zumindest :rolleyes:. Um keine Diskussion im falschen Thread darüber zu starten, nennen wir es einfach "kalkuliertes Risiko" meinerseits ;).
Ergänzung ()

Achso, noch eine wichtige Info, wieso es wichtig ist, dass man egal (ob innerhalb oder außerhalb des LAN) auf den Dienst über die dyn dns zugreifen muss. Ganz einfach: Bin ich mit dem Handy unterweg, bin ich außerhalb des LANs. Komme ich zu Hause an und das Handy verbindet sich mit dem WLAN, bin ich im LAN. Beide Szenarien müssen also funktionieren.
 
Wenn ich dich richtig verstanden habe, dann geht es ja aber über dyndns wenn du für diese Adresse einen Ausnahme beim DNS-Rebind gesetzt hast, oder?
Das ist doch Punkt 4+5 aus deinen Tests.
Ich würde sowieso generell über DNS zugreifen, dann funktioniert doch alles?
 
Du hast Recht, ich greife generell über DNS zu und daher hätte ich auch kein Problem mit dem Verhalten. Allerdings konnte ich mir das Verhalten nur so erklären, wie du es letztendlich auch beschriebne hast - wollte es aber bestätigt haben. Das war vor dem ersten Post in diesem Thread. Jetzt funktioniert aber auch Punkt 4+5 nicht mehr, trotz DNS-Rebind Ausnahmen.... SEHR MERKWÜRDIG!!! Und wie bereits geschrieben, zum Zeitpunkt meines ersten Posts funkionierte es ja noch... Entweder reagiert die Fritzbox empfindlich auf Einstellungsänderungen (hatte ja die IP als DNS-Rebind eingetragen) oder aber es hatte nichts mit der Einstellung zu tun sondern mit einem zeitlichen Aspekt. Ggf. irgend ein ip-lease oder ein Cache Problem...
Ergänzung ()

Habe gerade zusätzlich zum exposed host Eintrag den Port des besagten Dienstes als Forward eingetragen. Funktioniert alles einwandfrei. Ergo ist das ein Bug in der neuen FW, bei der der Exposed Host nicht mehr funktioniert? Oder verstehe ich jetzt neuerdings den Exposed Host falsch und alle hier haben sich umsonst Sorgen um meine Sicherheit gemacht.
Ergänzung ()

Habe jetzt die explizite Portweiterleitung sowie den Exposed Host entfernt. Dann den exposed Host neu eingetragen. Ergebnis: Zugriff auf den Dienst über IP und Dyn DNS innerhalb und außerhalb LAN funktioniert wieder. :freak:

Das kann doch nur ein Bug in der FritzBox sein...
 
Das sieht dann wirklich stark nach einem Bug aus.
Entweder direkt in den Funktionen oder aber das beim Upgrade etwas nicht sauber übernommen wurde.
Das könnte man ggfs. durch einen Reset auf die Werkseinstellungen testen.
 
War bis eben unterwegs. Habe seit dem letzten Post keine Einstellung an der FritzBox geändert. Jetzt ist der Dienst wieder nicht erreichbar...

Kann das jemand für die aktuelle 6.50 ggf. bestätigen?
 
Genau das Problem habe ich auch gerade. Wenn ich von außerhalb auf meine externe IP zugreife (z.B. ssh) dann funktioniert genau dieser Dienst auch von innerhalb für ein paar Sekunden, ansonsten werden die Pakete gedroppt.

Ein traceroute von innerhalb auf meine Externe IP landet auch im Nirvana.

Und für alle die über Exposed Host meckern: Ich habe lieber meinen Server im Internet, der regelmäßig mit Sicherheitsupdates versorgt wird als die löchrige Fritzbox, die auch nur nen Linux-Rechner ist. Also unterlasst bitte Belehrungen.
 
Auch ich habe das gleiche Problem. FritzBox 7490 FRITZ!OS 06.50. Die Version davor hatte das Phänomen noch nicht.
Erstellt man zusätzlich zur Regel "Exposed Host" noch eine weitere mit dem für den Dienst genutzten Port, so ist der Dienst wieder erreichbar. Auch wenn man danach die Regel wieder entfernt. Hat sich einer schon mal die Arbeit gemacht und die Box auf Werkseinstellung gesetzt? Oder gibt es andere neue Erkenntnisse?

Ich finde das mit dem Exposed Host gar nicht so wild. Wenn man eine Firewall Appliance wie ich z.B. den IPFire davor stehen hat, ist das durchaus legitim und m.E. auch nicht anders machbar.
 
Masterdope schrieb:
Die Version davor hatte das Phänomen noch nicht.
Kann ich bestätigen.

Masterdope schrieb:
Erstellt man zusätzlich zur Regel "Exposed Host" noch eine weitere mit dem für den Dienst genutzten Port, so ist der Dienst wieder erreichbar.
Nicht ganz. Löscht du die Regel wieder funktioniert der Zugriff auf den Port nach wie vor für eine gewisse Zeit (Stunden?), danach aber wieder nicht mehr. Ich vermute, dass durch Portforward-Eintrag die Routing Table gecached wird. Dieser Cache aber beim Löschen nicht wieder aktualisiert wird, der Cache aber in regelmäßigen Zeitabständen eh verworfen und neu aufgebaut wird.

Masterdope schrieb:
Ich finde das mit dem Exposed Host gar nicht so wild. Wenn man eine Firewall Appliance wie ich z.B. den IPFire davor stehen hat, ist das durchaus legitim und m.E. auch nicht anders machbar.
Sehe ich genau so. Diese Gängelung von AVM ist sehr nervig. Ich kann es verstehen, dass für den Normalbenutzer solche Sicherheitsmechanismen sinnvolll sind, damit sie ihre Rechner nicht versehentlich ins Netz stellen. Aber wenn ich schon eine Funktion wie "Exposed Host" zur Verfügung stelle, erwarte ich auch, dass sie ordnungsgemäß funktioniert. Dazu zählen Anfragen von intern nach intern auch über externe ip ;).
 
Ja, das mit dem Löschen der Regel ist korrekt. Nach dem Erneuern der Routing Table tritt das gleiche Problem wieder auf. Mir ist es auch erst aufgefallen, nachdem ich meinen vorletzten Beitrag schon geschrieben hatte.
Seit ein paar Tagen ist die Version OS 06.51 von AVM mit neuen Bugfixes herausgekommen. Hat die einer schonmal getestet und kann was zu diesem hier beschriebenen Problem sagen? Ich werde die Box heute Abend mal updaten und mich nochmal melden.
 
Und? Was kam beim Update raus?
 
Zurück
Oben