Neues Fritz!OS mit SMBv2v3, DNS-over-TLS und WPA3
Ein Vorteil des Einsatzes einer Fritz!Box ist, nach eigenem Eindruck, dass der Hersteller AVM die Firmware seiner Produkte lange pflegt und immer wieder um nützliche Funktionen erweitert oder Fehler behebt. Das ist an sich gut aber keiner besonderen Meldung wert. Doch die nächste Fritz!OS Aktualisierung, für die Flagschiffe Fritz!Box 7490 und 7590, beinhaltet drei Änderungen, welche für jeden Besitzer einer Fritz!Box beachtenswert sind.
In diesem Artikel werden diese drei Änderungen näher beschrieben. Dabei wird auch erläutert warum die Änderungen für Sie so Interessant sind:
- SMBv2/v3 wird für die NAS Funktionalität unterstützt
- DNS over TLS wird unterstützt
- WPA3 wird für das WLAN unterstützt
Notiz: Die Quelle dieses Artikels ist das Fritz!Labor (Quelle 1). Hier finden Technik-Enthusiasten eine Beschreibung und ein Beta-Release zukünftiger Firmware zum ausprobieren. Doch Vorsicht, ein Beta-Release ist weniger stabil als die finale Software, sowohl was Fehler als auch eingebaute Funktionen angeht.
Notiz: Es ist anzunehmen, dass neue und geänderte Funktionen so nach und nach auch für die Firmware anderer Fritz!Boxen und Produkte von AVM vorgenommen werden.
SMBv2/v3 wird für die NAS Funktionalität unterstützt
Sobald sich in einem Haushalt zwei oder mehr Computer befinden, entsteht schnell der Wunsch mal eben ein paar Daten zentral zu speichern oder auszutauschen. Besitzen Sie einen netzwerkfähigen Fernseher oder HiFi-Anlage, dann ist es schon praktisch sich von einem zentralen Datenträger Filme anzusehen oder Musik abzuspielen. Was viele nicht wissen, für einfache Zwecke reicht dann der Internet-Router den Sie eh zu Hause stehen haben. Dieser unterstützt oft NAS (Network-Attached-Storage) und Media-Server Funktionalität. Einfach einen USB-Stick oder eine USB-Festplatte anschließen, die entsprechende Funktion im Internet-Router aktivieren und Sie können prinzipiell loslegen.
Dusseligerweise konnte ich die NAS-Funktionalität der Fritz!Box in den letzten Jahren nicht mehr empfehlen. Hintergrund ist, dass das dabei verwendete Netzwerkprotokoll SMBv1 auf seiten der Fritz!Box veraltet und unsicher ist. Microsoft musste das nach einer harten Erfahrung (siehe WannaCry-Attacke) erkennen und deaktivierte das entsprechende Protokoll schon ca. 2017 unter Windows. Man konnte das SMBv1-Protokoll zwar wieder reaktivieren, musste dann aber mit dem Sicherheitsrisiko leben und überhaupt wissen das eine Reaktivierung möglich ist.
Das soll nun der Vergangenheit angehören, denn die Fritz!Boxen sollen demnächst die aktuellen Protokolle SMBv2/v3 unterstützen. Damit wird die NAS-Funktionalität in Ihrer Fritz!Box wieder nutzbar. Aus meiner Sicht ist das ein echter Gewinn.
Denn für einfache Zwecke ist die NAS/Media-Player Funktionalität eines Internet-Routers wirklich empfehlenswert. Sie brauchen sich kein separates NAS-Gerät oder einen Media-Player anzuschaffen, sparen damit Geld, Platz, Energie und ganz wichtig Ihre Zeit. Denn jedes Gerät weniger in Ihrem Haushalt bedeutet ein Gerät weniger dessen Bedienung Sie erlernen müssen, was Sie warten müssen (Firmware Aktualisierungen, Batterien austauschen etc.), was Probleme verursachen kann, was irgendwann ersetzt und entsorgt werden muss, und, und, und … .
Unterstützung von DNS over TLS
DNS (Domain Name System) ist sozusagen das Telefonbuch des Internets. Sie geben in Ihren Browser einen Namen ein, z.B. „qwant.de“ und das DNS-System liefert im Hintergrund die IP-Adresse, z.B. „217.70.184.55“. Für die eigentliche Verbindung wird dann die numerische IP-Adresse verwendet. DNS ist somit zentral für die Verwendbarkeit des Internet, so wie wir es heute kennen. Mehr Informationen über DNS als solches können Sie in dem hier verlinkten Artikel finden.
Die DNS-Version welche mehrheitlich in Deutschland verwendet wird, sendet sämtliche Anfragen/Antworten im Klartext. Erst bei der Verbindungsaufnahme zu einer Website, wird die Verbindung per HTTPS verschlüsselt. Das bedeutet, dass es ein leichtes ist zu protokollieren welche Webseite Sie wann besucht haben. Alleine das reicht potentiell Lauschenden, um herauszufinden was Sie so gerade umtreibt.
DNS-Versionen welche verschlüsselt arbeiten gibt es schon lange, erfuhren nur kaum Unterstützung. Das soll sich jetzt für die Fritz!Boxen ändern. So ist es in einem typischen Heimnetzwerk der Internet-Router welcher die DNS-Anfragen von den Endgeräten empfängt und für die Beantwortung weiterleitet. Genau hier sollen die Fritz!Boxen in Zukunft auch die Version „DNS-over-TLS“ unterstützen.
Hinter DNS-over-TLS steckt, dass vor einer Anfrage erst eine gesicherte, verschlüsselte Verbindung per TLS (Transport Layer Security) aufgebaut wird. Damit kann ein potentiell Lauschender nicht mehr über DNS in Erfahrung bringen, welche Ziele im Web für Sie von Interesse sind.
Sie sollten aber noch weitere Dinge wissen. Zu einem ist es, im Regelfall, der Server Ihres Internetanbieters, welcher die DNS Anfrage empfängt, die Auflösung durchführt und die Antwort sendet. Diese Einstellung wird beim Start Ihres Internet-Routers automatisiert vorgenommen. Möchten Sie explizit einen anderen Server verwenden, welchem Sie mehr Vertrauen schenken, dann müssen Sie die entsprechende Einstellung in Ihrem Internet-Router ändern. Zum anderen muss nicht nur der Internet-Router sondern auch der DNS-Server Ihrer Wahl DNS-over-TLS unterstützen.
Die großen öffentlichen DNS-Server welche von Google oder Cloudflare betrieben werden unterstützen DNS-over-TLS. Aber auch der öffentliche DNS-Server von der Organisation Digitalcourage bietet diese DNS-Version. Im folgenden die für die Einstellung benötigten IP-Adressen (Quelle 2).
| DNS-Server Betreiber | IPv4 | IPv6 |
|---|---|---|
| Cloudflare | 1.1.1.1 | 2606:4700:4700::1111 |
| Digitalcourage | 46.182.19.48 | 2a02:2970:1002::18 |
| 8.8.8.8 | 2001:4860:4860::8888 |
Das sind aber nur Beispiele, es gibt noch viele andere öffentliche DNS-Server. Welches Unternehmen oder Organisation betreibt einen DNS-Server und wem würden Sie Ihr Vertrauen schenken ? Erkundigen Sie sich ob dort auch DNS-over-TLS unterstützt wird. Die großen deutschen Internetanbieter unterstützen, soweit mir bekannt und Stand heute, DNS-over-TLS nicht.
Notiz: DNS ist ein zentrales System im Internet, welches kontrolliert was Sie im Internet zu sehen bekommen und was nicht. In manchen Staaten wurde schon diskutiert hier regulierend einzugreifen, auch in Deutschland. Aber auch Unternehmen dürften sich des Werts der darüber erhältlichen Daten bewusst sein. Es ist von daher für Sie ganz persönlich wichtig diesen Sachverhalt zu kennen und noch wichtiger, dass Sie wissen, dass es eine Einstellungssache ist, welchen DNS-Server Sie verwenden wollen.
WPA3 wird für das WLAN unterstützt
WPA (WiFi-Protected-Access) ist der zentrale Sicherheitsstandard, damit Geräte sicher und verschlüsselt über WLAN kommunizieren. Seit ca. 2004 wird hierfür die Version 2 des WPA-Standards verwendet, kurz WPA2. 2004 bis heute ist ein langer Zeitraum und es ist nicht schwer sich vorzustellen, dass dieser Standard in die Jahre gekommen ist. So wirklich absolut unsicher ist WPA2 übrigens immer noch nicht, doch man muss inzwischen mehr Vorsicht walten lassen. Hier verlinkt ein Artikel über einen WLAN-Angriffsvektor.
Um vorzubeugen und zu vermeiden, dass sich die Schwächen von WPA2 in der Praxis deutlich auswirken wurde 2018 der WPA3-Standard veröffentlicht. So nach und nach findet dieser Standard jetzt Eingang in die Produkte der diversen WLAN-Hersteller, darunter auch AVM. Was jetzt wirklich schön ist, dass auch für Bestandsgeräte von AVM, z.B. die Fritz!Box 7490, die WPA3 Unterstützung eingepflegt wird.
Automatisch dürfte WPA3, nach einer Firmware Aktualisierung, allerdings nicht aktiviert werden. Der Grund ist, dass zu einem die Protected-Management-Frame (PMF) Funktion aktiv sein muss. Hier kann es gerade bei alten Geräten zu Kompatibilitätsproblemen kommen. Zum anderen würde ich nicht ausschließen das auch WPA3 am Anfang hier und da Probleme hervorruft. Diese Aussage ergibt sich aus der eigenen Erfahrung das eigentlich immer neue Protokolle/Standards bei der Einführung hier und da etwas zwacken.
In der Praxis bedeutet das, dass Sie sich der Einführung von WPA3 und der Unterstützung dieses Standards durch Ihren Internet-Router bewusst sein sollten. Verwenden Sie schon jetzt ein langes, sicheres Passwort für Ihr WLAN, dann gibt es, Stand heute, noch keinen dringenden Handlungsbedarf. Wer Freude daran hat kann aber schon einmal WLAN-PMF und WPA3 in seiner Fritz!Box aktivieren und ausprobieren ob alles noch funktioniert. Wenn ja, um so besser, wenn nein, dann warten Sie ein wenig. Tragen Sie eine Erinnerung in Ihren Kalender ein, in einem Jahr das ganze noch einmal zu versuchen. Lesen Sie in der Zwischenzeit aber von wirklich kritischen Sicherheitslücken unter WPA2, so ist es angeraten sich kurzfristiger mit WPA3 zu beschäftigen.
Notiz: Hinterfragen Sie immer Meldungen, wenn Sie in der Presse von einer kritischen Sicherheitslücke lesen. Wie so oft wird auch hier gerne durch Übertreibung und Ausschmückung versucht Aufmerksamkeit zu generieren. Die Sicherheitslücke selbst mag sich dann in der Praxis vielleicht als doch nicht so kritisch und relevant herausstellen. Der eingangs verlinkte Artikel ist ein gutes Beispiel für eine Sicherheitslücke, welche medial aufgebauscht wurde, aber mit einfachsten Mitteln beizukommen ist.
Beachten Sie das WPA3 nicht nur vom Internet-Router, sondern auch von den WLAN-Endgeräten unterstützt werden muss. WPA3 ist zwar Rückwärtskompatibel zu WPA2, sprich beide Generationen des WPA-Standards können parallel betrieben werden, den Sicherheitsgewinn bekommt man aber nur wenn Geräte auch WPA3 anbieten.
Geben Sie die Informationen über die anstehenden Änderungen in den Fritz!Boxen ruhig an Freunde und Bekannte weiter. Viele dürften Interesse an einer NAS-Funktionalität haben, wenn Sie den wüssten das diese im Prinzip schon zur Verfügung steht. Einigen ist auch sehr an der Wahrung Ihrer Privatsphäre gelegen und das Wissen über DNS-over-TLS kommt hier gerade richtig. Die Neuerung bezüglich WPA3 ist derzeitig am wenigsten direkt Praxisrelevant aber gut im Hinterkopf zu behalten.
erfolgreiches Netzwerken mit Ihrer (demnächst) aktualisierten Fritz!Box wünscht Ihnen,
Matthias (23.12.2019)
Quellen:
- [1] https://avm.de/fritz-labor/frisch-aus-der-entwicklung/frisch-aus-der-entwicklung/
- [2] https://de.wikipedia.org/wiki/DNS_over_TLS
- [3] https://avm.de/wpa3/