Liner113

Hallo Habe-Fragen,

das geht meines Wissens nach nicht. Der Router ist für den Privatgebrauch konzipiert und die meisten Familien vertrauen ihren Angehörigen so weit das sie im eigenen Netz nicht nach Passwörtern sniffen oder Netzwerkverkehr mitschneiden.

 

 

Sie stellen sicher, dass 100% Ihrer Hardware und Software sicher ist?
Auch die Geräte Ihrer Freunde und Bekannte, die Ihr WLAN nutzen?

USB-Trojanern, Viren und Co. für beispeilsweise veraltete Android-Geräte ... .
Per Live-CD und nur den Router konfigurieren und anschließend neustarten,
bietet maximale Sicherheit für Heimanwender.
Zumindest Systemen mit Updates kann man etwas "trauen".

Die Lösung für SSL ist auch super einfach:

 

Muss aber auf jedem Gerät gemacht werden, dass das Speedport konfigurieren will.

Die Sicherheitswarnung, das Zertifikat sei nicht gültig:

127.0.0.1:5555 verwendet ein ungültiges Sicherheitszertifikat.
Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.
Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate.
Eventuell muss ein zusätzliches Stammzertifikat importiert werden.
Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

Warnung wegen Self-Signed

 

ist normal, hier absolut sicher, solange niemand das Zertifikat auf deinem PC ändert .

IP 127.0.0.1 ist immer der eigene PC.


"stunnel download" in die Suchmachiene
Runterladen und installieren.

und in die "stunnel.conf"

[speedport]
client = no
accept = 5555
connect = 192.168.2.1:80
CAfile = ca-certs.crt
cert = stunnel.pem
key = stunnel.pem

stunnel neustarten und
im Browser https://localhost:5555/ eingeben und Speedport mit SSL genießen.

Ergebnis siehe:
SSL über Stunnel

Das das Speedport das nicht selber macht, ist einfach nur traurig.
Mit Sicherheit hat das nichts zu tun.
Vor allem: Es handelt sich scheinbar um eine Apache-Webserver.
Dieser kann seit ca. 20 Jahren SSL.

 

Speedport scheint Apache zu nutzen

Das Gefährungspotential ist theoretisch sehr groß, wenn der Router fällt.
Jeder Datenverkehr kann umgeleitet werden, Einstellungen können angepasst werden,
Zugangsdaten gestohlen werden, interne Daten (z.B. SMB) zugegriffen werden, ...
Bei wenig Einstellungsmöglichkeiten des Benutzers kann der Angreifer natürlich
auch wenig tun und kommt nicht an oben genanntes heran.

Hm, vielleicht gibt es deshalb kein VPN beim Speedport.
Bringt aber nicht viel, wenn das Handy mit Android 6 gekapert ist und den Remote-Zugriff gestattet.

Wie dem auch sei, egal wie viel Sicherheit wir einbauen, es ist zu wenig.
Anfangen muss man aber irgendwo und SSL ist das Basic.

 

Übrigens hat die Telekom scheinbar aufgegeben SSL zu bieten:

SSL-TLS-Zertifikat-abgelaufen

Sicherheitszertifikat-beim-Speedport-W-921V-W-921-Fiber

 

Gegen das manuelle Hochladen und aktivieren spricht aber nichts.

So könnte ein Anwender, der genügend wissen hat, es aktivieren.

Erstellrutiene ist auch nicht nötig, verweis auf openssl ist ausreichend.

Dass es 95 % nicht nutzen würden ist klar, das es nicht geht, ist aber absolut nichts.

Ich habe mir im internen Netzwerk eine CA erstellt, die alle meine internen Geräte mit
Zertifikaten versorgt. Offizell kann man ja keine für "speedport.ip", "fritz.box" und co erstellen.
Somit keine Warnungen und ich bin sicher, dass niemand mitliest.