Zugriff gestohlener Repeater Passwortsicherheit

[Master Sheep]

Hallo,

vergangenen Samstag wurde unser Repeater - ein AVM Fritz!WLAN Repeater 1750E gestohlen. Wir hatten ihn verwendet, um den über den Gastzugang aufgespannten WLAN-Hotspot unseres Vereins zu verlängern.

Der Repeater ist mit einem sehr sicherem Passwort (20 Zeichen, Groß- und Kleinbuchstaben, Sonderzeichen, Zahlen etc.) versehen.
Nun bin ich mir aber nicht sicher, ob man das Passwort mittels LAN-Zugriff umgehen kann und kann es nun nicht ausprobieren.

Deswegen meine Frage: Ist unser internes WLAN-Passwort sicher? Kann jemand mit "normalen" Mitteln überhaupt auf die Benutzeroberfläche zugreifen?
Vermutlich wird der Dieb das Gerät resetten müssen, oder?

Ein präventiver Wechsel des internen WLAN-Passworts wäre aufwendig, weil ich mehreren Ehren- und Hauptamtlichen das Umstellen musste und wir vor kurzem erst einen Wechsel hatten.

Danke schon einmal für eure Rückmeldung! :-)

 

[Sgt.Seg]

Auch wenn man via LAN auf die Fritzbox möchte, muss man das Kennwort eingeben.

Ob diese Funktion aber abstellbar ist, und somit aus sein hätte können, weiß ich aber nicht. Ich kenne es nur von meiner 7390, da muss man IMMER das Kennwort der Box eingeben.
Aus Sicherheitsgründen würde ich den Key trotzdem ändern. Klar ist das Aufwand...



Echt traurig, dass es Leute gibt, die grad bei Vereinen, wo das Geld meist wenig locker sitzt, sowas klauen. Deswegen sitzt bei uns im Verein der Router unter der Decke und ist mit einer Schelle zusätzlich befestigt. Die Schraubköpfe sind angebohrt. Die Schrauben gehen also nur raus, wenn man die komplett aufbohrt, aber irgendwie scheint man wirklich alles Niet- und Nagelfest machen zu müssen.

 

[Master Sheep]

Danke für die flotte Rückmeldung.
Also deaktiviert habe ich die Funktion - falls es sie überhaupt gibt - realtiv sicher nicht.

Ja es ist schon ein wenig traurig. Für mich persönlich ist es auch doppelt bitter, weil ich mich für den Hotspot eingesetzt hatte und es durchaus Skeptiker gab. Der Diebstahl des Repeaters (kurz nach Eröffnung des WLAN-Hotspot) ist jetzt ein Faustschlag für den (reichweitenverlängerten) Hotspotbetrieb. Unser Router selbst steht ziemlich sicher, der Repeater war halt das Problem.

Sogesehen ist der Schaden für die Allgemeinheit potentiell deutlich größer als der Wert des Repeaters.

 

[habichtfreak]

ich weiß nicht wie es bei AVM ist, aber router, repeater etc. haben idr ein gerätepasswort. das ist das, was keiner ändert. mit admin-admin oder admin-1234 ist man im gerät und sieht den key (meistens) im klartext. neuer wlanschlüssel ist pflicht aus meiner sicht

 

[Raijin]

Sehe ich ähnlich. Es ist müßig, darüber zu diskutieren ob man irgendwie an den WLAN-Schlüssel herankommt oder nicht. Ändere den Schlüssel und gut is. Selbst wenn alle hier sagen würden "ist safe", ist das keine Garantie dafür, dass es nicht doch irgendwie geht. Wie habichtfreak schon geschrieben hat, im worst case sieht man den WLAN-Schlüssel in der GUI im Klartext. Wenn das GUI-Passwort nicht geändert wurde oder der Dieb sich sonstwie Zugang zur GUI, SSH, Telnet, etc verschafft, ist euer WLAN so oder so kompromittiert.

Ein Bekannter von mir hatte im übrigen ein ähnliches Problem. Um zu vermeiden, dass ihm der Repeater geklaut wird, hat er ihn in der Zwischendecke montiert. "Aus den Augen, aus dem Sinn" ist zwar kein Diebstahlschutz im eigentlichen Sinne, aber dennoch deutlich weniger offensichtlich (im wahrsten Sinne des Wortes) als einfach in einer Steckdose an der Flurwand....

 

[Sgt.Seg]

So wie ich den TE verstehe, hat er das Router-PW auf ein sicheres PW gesetzt:

Der Repeater ist mit einem sehr sicherem Passwort (20 Zeichen, Groß- und Kleinbuchstaben, Sonderzeichen, Zahlen etc.) versehen.

Trotzdem natürlich kein Garant dafür.


Ich würde mal einen Aufruf starten, das Teil zurück zu geben. Wird nicht helfen, aber hoffentlich hat der blöde Sack zumindest ein paar Nächste schlechten Schlaf und ein mieses Gewissen.

 

[mambokurt]

So wie ich den TE verstehe, hat er das Router-PW auf ein sicheres PW gesetzt:


Trotzdem natürlich kein Garant dafür.


Ich würde mal einen Aufruf starten, das Teil zurück zu geben. Wird nicht helfen, aber hoffentlich hat der blöde Sack zumindest ein paar Nächste schlechten Schlaf und ein mieses Gewissen.

Und was hilft ihm das jetzt in seiner Situation? Du weisst nicht was derjenige für einen Aufwand fährt, also wäre für mich immer die schwerste Lösung die richtige, nämlich ssid und passwort ändern (das macht man eh zu selten, im Besten Fall sollte man das gerade bei so Vereinsgeschichten wo das Passwort ein offenes Geheimnis ist immer mal im Monatstakt rotieren). Ich wills mal so sagen: ein Wlan mit bekanntem Schlüssel ist grundsätzlich unverschlüsselt, da kann jeder mitlesen.
Wenn das nur für Smartphones ist gäbe es btw noch die nette Möglichkeit das über nen Raspi mit Display und Qrcode wöchentlich vergeben zu lassen. Jeder kommt rein, fotografiert einmal Display und hat Netz.

 

[chrigu]

Passwort ändern, repeater Diebstahlgesichert platzieren und der allgemeine Verlust ist Geschichte

 

[Master Sheep]

Danke für eure Rückmeldungen!
Tatsächlich ist der Router wieder bei einem besorgtem Vereinsmitglied aufgetaucht, der sichergehen wollte, dass es nicht gestohlen wird. Puh. Damit hatte ich echt nicht gerechnet.
Da man per WLAN genauso auf die Benutzeroberfläche des Repeaters zugreifen kann wie über LAN sehe ich jetzt keinen Handlungsbedarf mehr die WLAN-Verschlüsselung umzustellen. Das Gerät ist mit einem sehr sichern Passwort versehen. Das Internet an sich ist sowieso offen verfügbar. Im schlimmsten Fall kann jemand die Datenübertragung im internen WLAN verfolgen - mehr als ein paar Druckaufträge fließen da aber nicht (und viele Dienste sind inzwischen sowieso separat verschlüsselt wie z.B. WhatsApp).

Die Passwörter wurden von mir erst wenige Tage vor dem vermeintlichen Diebstahl neu gemacht.

In dem Fall spare ich mir die Arbeit und lasse alles so, wie es ist.

 

[Raijin]

Glück gehabt

Ich empfehle dennoch, den Aufstellort zu überdenken, wenn er denn so exponiert ist. Nächstes Mal bleibt das Ding nämlich verschwunden.. Die Steckdose auf dem Flur wäre daher nicht unbedingt die beste Wahl, ein abschließbarer Raum wäre vorzuziehen - selbst wenn er nicht abgeschlossen ist. Gelegenheit macht Diebe und im Flur beim Vorbeigehen nen Repeater mitgehen zu lassen ist kein großes Ding..

 

[chrigu]

An die Decke dübeln, so braucht der Dieb mind. einen Schraubendreher

 

[Raijin]

An die Decke dübeln, so braucht der Dieb mind. einen Schraubendreher

Einen in-die-Steckdose-Repeater? Geht ja um einen Fritzrepeater und keinen Decken-AP / -Repeater.

 

[Master Sheep]

Danke für die Hinweise! Ich werde mir deswegen Gedanken machen.

 

[mensch183]

Ich weiss nicht was für ein Verein ihr seid, aber wenn ich Dinge höre wie : "Verein, Hauptamtliche, Ehrenmitglieder, Passwortwechsel wäre aufwendig" noch ein Tipp:

Auf die WLAN-Passwortsicherheit darf man in einem solchen Szenario bei Verwendung eines gemeinsamen Passworts nichts geben. Jeder, der Zugriff auf den "Rechner" eines Vereinsmitglieds hat, der mal an diesem Netz angemeldet war, kann das üblicherweise vom OS gespeicherte Passwort einfach ermitteln. Der 10-jährige Enkel des Ehrenmitglieds macht sowas mit links. D.h. jeder im Umfeld des Vereins, der das Passwort haben möchte, kommt auch ran. Also nichts in dem WLAN machen (ohne weitere Sicherungsmaßnahmen), was wirklich geheim bleiben soll.

Das Passwort eines solches Netzes ist wie ein 50 cm hoher Gartenzaun: Jeder sieht beim Vorbeischlendern, dass der umzäunte Grund kein öffentlicher Raum ist. Jeder normale Mensch respektiert den Zaun. Für einen böswilligen Menschen, der z.B etwas aus dem Garten klauen will, ist der Zaun nichts, was ihn an seinen Plänen hindert.

Wenn der geklaute Repeater solche "Panik" verursacht, scheint das WLAN für Dinge genutzt zu werden, die es strukturell gar nicht absichern kann.