Das Fraunhofer FKIE ('https://www.fkie.fraunhofer.de/content/dam/fkie/de/documents/HomeRouter/HomeRouterSecurity_2020_Bericht.pdf') hat sich mal Consumer-Router aus einer Sicherheitsperspektive angeschaut.

Fazit:
However, we can tell for sure that the vendors prioritize security differently. AVM does betterjob than the other vendors regarding most aspects. ASUS and Netgear do a better job in some aspects than D-Link, Linksys, TP-Link and Zyxel.

AVM schneidet also am besten ab, dennoch haben alle Consumer-Geräte große Probleme, meist angefangen bei einem veralteten Linux-Kernel und damit ist der Knotenpunkt für den Internetzugang und das Heimnetz unsicherer als ein Desktop-Client mit aktuellen Software-Updates in eben jenem Netzwerk...

Wie oft taucht AVM in solchen Schlagzeilen auf? 3/4 des deutschsprachigen Raumes läuft auf AVM...

Wer denn auch bei klarem Verstand holt sich solchen Müll ins Haus?
https://www.heise.de/security/meldung/Sicherheitsluecken-Angreifer-koennten-WLAN-Router-von-Netgear-uebernehmen-4676824.html

https://www.heise.de/security/meldung/Sicherheitsupdates-Verschiedene-D-Link-Router-anfaellig-fuer-Schadcode-Attacken-4628888.html

https://www.heise.de/security/meldung/Asus-Router-koennen-beim-Vorbeisurfen-im-Netz-gekapert-werden-3712001.html

https://www.golem.de/news/cable-haunt-millionen-kabelmodems-von-sicherheitsluecke-betroffen-2001-146018.html

https://www.golem.de/news/sicherheitsluecken-router-von-d-link-koennen-komplett-uebernommen-werden-1810-137175.html

Vieles direkt von 2020. Ich hätte noch bis morgen mittag diese Links sammeln können.

Ich vertraue auch auf AVM, meine Fritz!Box macht was sie soll, ist up-to-date und nervt nicht weiter. Hab aber schon gehört dass sowas bei anderen Herstellern nicht immer selbstverständlich ist. Ich frag mich zudem, ob man AVM Produkte auch so umfassend in anderen Ländern kaufen kann, bzw. welchen Ruf die dort haben. :uponder:

Jein. Zu sagen, "tut was es soll" bedeutet garnichts für die Sicherheit. Alle Router aus den Links taten was sie sollen. Es wird erst zum Problem, wenn man damit mehr machen kann als sie sollen...

Jein. Zu sagen, "tut was es soll" bedeutet garnichts für die Sicherheit. Alle Router aus den Links taten was sie sollen. Es wird erst zum Problem, wenn man damit mehr machen kann als sie sollen...
Naja, ich weiß von gewissen (Telekom) Routern die überhaupt nicht tun was sie sollen, insofern ist ne FritzBox schon ne Verbesserung. :freak: Von groben Sicherheitslücken bezüglich meines Routers hab ich bisher auch nichts gelesen. Insofern bin ich damit zufrieden, ich schließe damit auch die Security ein die ich für nen Router verlange wenn ich schreibe "tut was er soll", also auch beim Thema Sicherheit.

ich schließe damit auch die Security ein die ich für nen Router verlange wenn ich schreibe "tut was er soll", also auch beim Thema Sicherheit.

Spannend. Blöd das man Sicherheitslücken so lange nicht kennt bis sie einen ficken. ;)

@RaumKraehe
Kann man ebenfalls nicht sagen. Kommt drauf an wo man öftersmal zuhört. Von der Telefonie-Lücke war mein AVM auch betroffen. Hörte das knappe Woche davor, bevor ein Update kam, gehörte nicht zu den Geschädigten ;)
Auch beim OS habe ich so gut wie alle fetten Lücken viel eher mitbekommen als sie die Patches liefern konnten, wurde trotzdem noch nie gehackt (tok tok tok).

Wie gesagt aber, schon alleine anhand der Links die zu keiner Sammlung gehören und die ich live in 20s ergoogelt habe, sieht man direkt wie katastrophal die Situation abseits von AVM ist.

Spannend. Blöd das man Sicherheitslücken so lange nicht kennt bis sie einen ficken. ;)
Richtig. Oder man bekommt halt rechtzeitig Updates bevor sie einen ficken. ;)

Fazit:


AVM schneidet also am besten ab, dennoch haben alle Consumer-Geräte große Probleme, meist angefangen bei einem veralteten Linux-Kernel und damit ist der Knotenpunkt für den Internetzugang und das Heimnetz unsicherer als ein Desktop-Client mit aktuellen Software-Updates in eben jenem Netzwerk...Oh Wunder ;D
AVM schneidet also am besten ab... das überrascht mich.. überhaupt nicht :redface:
Wenn immer mal wieder diese katastrophalen Sicherheitslücken entdeckt werden sind Router von AVM praktisch nie mit dabei.
Ich vertraue auch auf AVM, meine Fritz!Box macht was sie soll, ist up-to-date und nervt nicht weiter. Hab aber schon gehört dass sowas bei anderen Herstellern nicht immer selbstverständlich ist. Ich frag mich zudem, ob man AVM Produkte auch so umfassend in anderen Ländern kaufen kann, bzw. welchen Ruf die dort haben. :uponder:AVM is best :wink:
Gibt es nichts zu bemängeln :cool:
Ich würde die sogar heiraten, wenn ich könnte.
ASUS und Netgear sind aber auch nicht schlecht, sofern man die guten Modelle holt.

Tja wenn mein AVM Liebling nicht so langsam (oder überteuert) wäre, bei VPN nicht 2 Generationen zurück wäre und vielleicht dabei sogar IPv6 kennen würde, der WifFi Part nicht extrem buggy wäre und eine richtige DMZ hätte, dann würde ich auch jubeln. Der SVDSL Treiber des SP3 ist trotz selber Hardware der den man haben will.

90% der User in Deutschland können das Gerät höchstens an die Steckdose anschließen und das wars auch schon. Die restlichen 9.9% waren schon mal im Web Interface und 0.1% haben schon etwas mehr als das erlebt ;)

Es kann sowieso niemand die Ergebnisse gegentesten. Frei nach dem Motto: hauptsache das Internet rennt und ich kann zocken.

Ich habe eine 6591 Cable von Vodafone. Das ist schon erschreckend, wenn die Geräte als "sicher" gelten und die besten auf dem Markt sind.

Es gibt bei der Kabel Versionen keine Möglichkeit eine Protokollierung der Pakete zu aktivieren.

Ich nehme an es wird klar vorausgesetzt, daß ich selbstverständlich weiß was in dem Kontext "SP3" ist :crazy:

Am Treiber wird nichts mehr gedreht (!) Das war nur noch zu "UR" Zeiten so, daß AVM am Quellcode selbst basteln konnte. Das war zu TI/Infineon Zeiten so.

Mit Intel/Broadcom Modems bekommt man einen zu seinem Linux-unterbau passenden Treiber geliefert. Finito. Wenn was nicht passt oder die Userschaft meckert, kann man entweder auf Nachbesserung bestehen oder bitte-bitte machen.

NUR ein Beispiel: Wenn du mit 16Mbit ADSL eine 7270v3 gegen eine 7580, 7490 usw. tauscht, und die real 2 Mbit weniger aus der Leitung macht, dann IST DAS SO. AVM weißt sowas, kann dir aber NICHT helfen, weil sie eben die nichts am Treiber gucken können.

Das gleiche gilt für die Gegenstellen, mit welchen sich Modem/DSP vielleicht nicht mehr bestens verstehen, weil die Gegenstelle seit 2 Wochen eine neue Firmware hat.
Ist wirklich Shice. Aber leider auch die Realität.

Die Probleme mit der Sicherheit, haben die VPN schnellen, preiswerten, IP6 Router, mit ihren DMZ-Zonen.
So überragend find ich die Situation zwar auch nicht, aber die anderen bringen es halt nicht. Davon kann man sich eben jedes quartal aufs Neue überzeugen. Die wichtigste Grundeigenschaft eines Routers liefert in einer guten Quali bisher leider nur AVM.

Der ganze Rest sind (mit Verlaub) bestens geschminkte Schlampen in Luxuskleidern. Hat ja kurzweilig seinen Reiz, aber die Vögeln halt mit jedem der Anklopft...

Einfach das Hacken und Ausnutzen von Sicherheitslücken unter Strafe stellen und schon ist die Sicherheit kein Problem mehr?


;)

Ich nehme an es wird klar vorausgesetzt, daß ich selbstverständlich weiß was in dem Kontext "SP3" ist :crazy:

Am Treiber wird nichts mehr gedreht (!) Das war nur noch zu "UR" Zeiten so, daß AVM am Quellcode selbst basteln konnte. Das war zu TI/Infineon Zeiten so.

Dachte ich auch mal. Aber es gibt genügend Erfahrungberichte, wo der Speedport 3 die dauernden Verbindungsabbrüche der FB7590 bei SVDSL beseitigt hat, obwohl die beide dasselbe Intelmodem haben.

Ah... SpeedPort. Sorry.

Ich hab mich mal auf dem direkten Wege durch alle Supportlevel ;) direkt vor die Tür des "Labors" durchgekämpft.

Gar gleich bei der zweiten Mail dirket angesagt, ich will mit "ihm" eigentlich nicht weiter diksutieren, er soll mich bitte direkt weiterleiten :tongue:
Natürlich durchsät mit genug technischen background beim Thema selbst, so, daß die Einsicht schnell erreicht war ;)

Auch wenn das Gespräch paar Level weiter auf ganz anderem Level stattfand, in überraschender Ehrlichkeit, mit einigen sehr guten Dumps meinerseits, hab ich schon verstanden, daß sie gar gerne würden, aber nicht wirklich können.
Jedenfalls bei meinem Prob. Wenn man gute "Beweise" hat, daß es anders geht, kann man sie auch vorbringen. Hätte kein Problem sie damit zu konfrontieren.

ODER Telekom hat mit Intel selbst was ausgemacht (Testparkour wie auch Nachbesserungen) und sie bekommen anderen ("eigenen") Treiber als AVM. Sie machten 2019 21.9 Mrd. Umsatz. AVM 530 Mio. :rolleyes:

Kleinwenig mehr
https://www.heise.de/news/Keine-Ueberraschung-nach-Frauenhofer-Test-Viele-Home-Router-unsicher-4798342.html

Die Frage ist doch leider auch: was wäre denn die Alternative?
Offensichtlich gibt es im Markt zu AVM und vereinzelten "guten Modellen" nichts wirklich im Angebot?
Bleibt nur selbstgebasteltes à la OpenWRT? Das dürfte den größten Teil der Bevölkerung ausschließen ... und einen Router werden doch auch die meisten im Einsatz haben. Also ist die Masse "gefickt" (um im Wortschatz des Threads zu bleiben ;)

Keine Panik, von außen halten die Dinger aufgrund der Natur der Internetprotokolle schon dicht. "Gefickt" wird man dann erst wenn der Angreifer im Heimnetzwerk sitzt.

Die Frage ist doch leider auch: was wäre denn die Alternative?

Die Alternative wäre, dass man dem eigenen Netzwerk generell nicht traut und es wie ein öffentliches Netzwerk behandelt.

Keine Panik, von außen halten die Dinger aufgrund der Natur der Internetprotokolle schon dicht.Nicht nur einen, sondern auch mal alle Links aus #2 durchklicken.
Danke.

Ich hatte mal eine D-Link Router wo man über die Oberfläche den Zugang Admin nicht ändern konnte, soll heißen alle Modelle hatten den gleichen Zugang aktiv,
zwar "wohl nur" von innen aber trotzdem, :redface:

der Witz war wenn man die Einstellungen gesichert hat, war in der Datei alles im Klartext gespeichert, wenn man dann dort statt Admin was anders eingetragen hat u. die Einstellungen wider auf den Router gespielt hat, hat er das übernommen.

echt sehr sicher so was :freak:

Die Frage ist doch leider auch: was wäre denn die Alternative?
Offensichtlich gibt es im Markt zu AVM und vereinzelten "guten Modellen" nichts wirklich im Angebot?
Bleibt nur selbstgebasteltes à la OpenWRT? Das dürfte den größten Teil der Bevölkerung ausschließen ... und einen Router werden doch auch die meisten im Einsatz haben. Also ist die Masse "gefickt" (um im Wortschatz des Threads zu bleiben ;)


Wer den Router eh nur als Gateway zum Internet nutzt, der baut ja eh eine Ende zu Ende Verschlüsselung von seinem Desktop zur Webseite auf - der Router sieht dann auch nur verschlüsselten Traffic, allenfalls noch DNS abfragen. Und wer komplexeres in seinem Netzwerk machen will, für den empfiehlt sich dann auch eine flexiblere Lösung als es die Consumer-Produkte bieten, da kann man dann auch OpenWRT flashen.

Wer den Router eh nur als Gateway zum Internet nutzt, der baut ja eh eine Ende zu Ende Verschlüsselung von seinem Desktop zur Webseite auf - der Router sieht dann auch nur verschlüsselten Traffic, allenfalls noch DNS abfragen. Und wer komplexeres in seinem Netzwerk machen will, für den empfiehlt sich dann auch eine flexiblere Lösung als es die Consumer-Produkte bieten, da kann man dann auch OpenWRT flashen.

Auch OpenWRT ist nicht gerade für seine sicherheitstechnische Härtung bekannt. Als ich das letzte Mal nachgeguckt habe, lief die meiste Software unter OpenWRT als root. Auch das verwendete dnsmasq für DNS und DHCP ist eher ein Beispiel aus dem Lehrbuch zu Spaghetti-Code.

Zum Teil ist das aber auch kein Versagen der Projekte hinter der Software, sondern einfach die logische Konsequenz aus den Hardwarelimitierungen. Viele MIPS-CPUs können nicht die gleichen Compilerflags zur Härtung nutzen wie x86- oder ARM-CPUs. Einige Router haben heute natürlich auch relativ moderne ARM-CPUs mit vergleichsweise viel RAM, aber die Systeme müssen sich oft am unteren Ende des Hardwaremarkts orientieren und dort sind SoCs mit MIPS-Architekturen noch immer weit verbreitet.

Aber generell ist das natürlich bei vielen Routern nur ein Tropfen auf dem heißen Stein. Viele Hersteller liefern entweder gar keine oder keine zeitnahen Updates für ihre Software. Von den ganzen anderen Sicherheitsproblemen einmal ganz abgesehen.

Es stimmt schon, dass man heute durch eine allgegenwärtige Web-PKI dem eigenen Router weniger oder gar nicht mehr vertrauen muss. Ich würde aber sogar noch einen Schritt weiter gehen: Selbst für interne Dienste sollte eine Web-PKI verwendet werden. Per Let's Encrypt und der DNS-Challenge ist das problemlos möglich, setzt allerdings eine eigene Domain und einen Anbieter voraus, der entsprechende APIs unterstützt.

Es stimmt schon, dass man heute durch eine allgegenwärtige Web-PKI dem eigenen Router weniger oder gar nicht mehr vertrauen muss. Ich würde aber sogar noch einen Schritt weiter gehen: Selbst für interne Dienste sollte eine Web-PKI verwendet werden. Per Let's Encrypt und der DNS-Challenge ist das problemlos möglich, setzt allerdings eine eigene Domain und einen Anbieter voraus, der entsprechende APIs unterstützt.

Alles richtig, du vergisst dabei aber, dass der Router idR. fast nie nur Router ist, sondern Telefonanlage, Printserver und was weiss ich was noch.
Und dort bekommst du oft deine eigenen Zertifikate nicht mal rein, davon abgesehen, dass du diesen Geraeten ja sowieso nicht vertrauen willst. Das ist also nicht getan ohne Geraete/Softwaretausch.