Privatkunden
Geschäftskunden
Speedport W925V Webfrontend Konfigurationsseite - TLS/SSL (HTTPS) aktivieren
1 AKZEPTIERTE LÖSUNG
@Liner113 schrieb:Hallo Habe-Fragen,
das geht meines Wissens nach nicht. Der Router ist für den Privatgebrauch konzipiert und die meisten Familien vertrauen ihren Angehörigen so weit das sie im eigenen Netz nicht nach Passwörtern sniffen oder Netzwerkverkehr mitschneiden.
Sie stellen sicher, dass 100% Ihrer Hardware und Software sicher ist?
Auch die Geräte Ihrer Freunde und Bekannte, die Ihr WLAN nutzen?
USB-Trojanern, Viren und Co. für beispeilsweise veraltete Android-Geräte ... .
Per Live-CD und nur den Router konfigurieren und anschließend neustarten,
bietet maximale Sicherheit für Heimanwender.
Zumindest Systemen mit Updates kann man etwas "trauen".
Die Lösung für SSL ist auch super einfach:
Muss aber auf jedem Gerät gemacht werden, dass das Speedport konfigurieren will.
Die Sicherheitswarnung, das Zertifikat sei nicht gültig:
127.0.0.1:5555 verwendet ein ungültiges Sicherheitszertifikat.
Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.
Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate.
Eventuell muss ein zusätzliches Stammzertifikat importiert werden.
Fehlercode: SEC_ERROR_UNKNOWN_ISSUER
ist normal, hier absolut sicher, solange niemand das Zertifikat auf deinem PC ändert 
.
IP 127.0.0.1 ist immer der eigene PC.
"stunnel download" in die Suchmachiene
Runterladen und installieren.
und in die "stunnel.conf"
[speedport] client = no accept = 5555 connect = 192.168.2.1:80 CAfile = ca-certs.crt cert = stunnel.pem key = stunnel.pem
stunnel neustarten und
im Browser https://localhost:5555/ eingeben und Speedport mit SSL genießen.
Ergebnis siehe:
Das das Speedport das nicht selber macht, ist einfach nur traurig.
Mit Sicherheit hat das nichts zu tun.
Vor allem: Es handelt sich scheinbar um eine Apache-Webserver.
Dieser kann seit ca. 20 Jahren SSL.
Das Gefährungspotential ist theoretisch sehr groß, wenn der Router fällt.
Jeder Datenverkehr kann umgeleitet werden, Einstellungen können angepasst werden,
Zugangsdaten gestohlen werden, interne Daten (z.B. SMB) zugegriffen werden, ...
Bei wenig Einstellungsmöglichkeiten des Benutzers kann der Angreifer natürlich
auch wenig tun und kommt nicht an oben genanntes heran.
Hm, vielleicht gibt es deshalb kein VPN beim Speedport.
Bringt aber nicht viel, wenn das Handy mit Android 6 gekapert ist und den Remote-Zugriff gestattet.
Wie dem auch sei, egal wie viel Sicherheit wir einbauen, es ist zu wenig.
Anfangen muss man aber irgendwo und SSL ist das Basic.
Übrigens hat die Telekom scheinbar aufgegeben SSL zu bieten:
Sicherheitszertifikat-beim-Speedport-W-921V-W-921-Fiber
Gegen das manuelle Hochladen und aktivieren spricht aber nichts.
So könnte ein Anwender, der genügend wissen hat, es aktivieren.
Erstellrutiene ist auch nicht nötig, verweis auf openssl ist ausreichend.
Dass es 95 % nicht nutzen würden ist klar, das es nicht geht, ist aber absolut nichts.
Ich habe mir im internen Netzwerk eine CA erstellt, die alle meine internen Geräte mit
Zertifikaten versorgt. Offizell kann man ja keine für "speedport.ip", "fritz.box" und co erstellen.
Somit keine Warnungen und ich bin sicher, dass niemand mitliest.
Es geht nicht um die Menschen, eher die Geräte
Ein infiziertes Gerät und schon ist der Router auch offen.
@Liner113 schrieb:Hallo Habe-Fragen,
das geht meines Wissens nach nicht. Der Router ist für den Privatgebrauch konzipiert und die meisten Familien vertrauen ihren Angehörigen so weit das sie im eigenen Netz nicht nach Passwörtern sniffen oder Netzwerkverkehr mitschneiden.
Sie stellen sicher, dass 100% Ihrer Hardware und Software sicher ist?
Auch die Geräte Ihrer Freunde und Bekannte, die Ihr WLAN nutzen?
USB-Trojanern, Viren und Co. für beispeilsweise veraltete Android-Geräte ... .
Per Live-CD und nur den Router konfigurieren und anschließend neustarten,
bietet maximale Sicherheit für Heimanwender.
Zumindest Systemen mit Updates kann man etwas "trauen".
Die Lösung für SSL ist auch super einfach:
Muss aber auf jedem Gerät gemacht werden, dass das Speedport konfigurieren will.
Die Sicherheitswarnung, das Zertifikat sei nicht gültig:
127.0.0.1:5555 verwendet ein ungültiges Sicherheitszertifikat.
Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.
Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate.
Eventuell muss ein zusätzliches Stammzertifikat importiert werden.
Fehlercode: SEC_ERROR_UNKNOWN_ISSUER
ist normal, hier absolut sicher, solange niemand das Zertifikat auf deinem PC ändert .
IP 127.0.0.1 ist immer der eigene PC.
"stunnel download" in die Suchmachiene
Runterladen und installieren.
und in die "stunnel.conf"
[speedport] client = no accept = 5555 connect = 192.168.2.1:80 CAfile = ca-certs.crt cert = stunnel.pem key = stunnel.pem
stunnel neustarten und
im Browser https://localhost:5555/ eingeben und Speedport mit SSL genießen.
Ergebnis siehe:
Das das Speedport das nicht selber macht, ist einfach nur traurig.
Mit Sicherheit hat das nichts zu tun.
Vor allem: Es handelt sich scheinbar um eine Apache-Webserver.
Dieser kann seit ca. 20 Jahren SSL.
Das Gefährungspotential ist theoretisch sehr groß, wenn der Router fällt.
Jeder Datenverkehr kann umgeleitet werden, Einstellungen können angepasst werden,
Zugangsdaten gestohlen werden, interne Daten (z.B. SMB) zugegriffen werden, ...
Bei wenig Einstellungsmöglichkeiten des Benutzers kann der Angreifer natürlich
auch wenig tun und kommt nicht an oben genanntes heran.
Hm, vielleicht gibt es deshalb kein VPN beim Speedport.
Bringt aber nicht viel, wenn das Handy mit Android 6 gekapert ist und den Remote-Zugriff gestattet.
Wie dem auch sei, egal wie viel Sicherheit wir einbauen, es ist zu wenig.
Anfangen muss man aber irgendwo und SSL ist das Basic.
Übrigens hat die Telekom scheinbar aufgegeben SSL zu bieten:
Sicherheitszertifikat-beim-Speedport-W-921V-W-921-Fiber
Gegen das manuelle Hochladen und aktivieren spricht aber nichts.
So könnte ein Anwender, der genügend wissen hat, es aktivieren.
Erstellrutiene ist auch nicht nötig, verweis auf openssl ist ausreichend.
Dass es 95 % nicht nutzen würden ist klar, das es nicht geht, ist aber absolut nichts.
Ich habe mir im internen Netzwerk eine CA erstellt, die alle meine internen Geräte mit
Zertifikaten versorgt. Offizell kann man ja keine für "speedport.ip", "fritz.box" und co erstellen.
Somit keine Warnungen und ich bin sicher, dass niemand mitliest.
Kaufberatung anfragen
Zum Kontaktformular
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Zu den Internet-Angeboten
Informieren Sie sich über unsere aktuellen Internet-Angebote.
