Gefährdete Router: Verkehr mit dubiosen Internetdomains verhindern
Unbekannte haben einen dubiosen Server unter dem Domainnamen fritz.box betrieben. Wir zeigen, wie man unerwĂĽnschten Verkehr mit zweifelhaften Servern vermeidet.
Wer zwischen Januar und Mai 2024 die Domain fritz.box angesteuert hat, landete mitunter auf einem unbekannten Server und nicht auf dem Webinterface der Fritzbox. Das irritiert und ist heikel. Die Irritation rührt daher, dass der Name fritz.box normalerweise nur im Heimnetz eines Fritzbox-Routers aufgelöst wird, und zwar zu den IP-Adressen des Routers selbst (zum Beispiel 192.168.178.1, fd00:7590::…, 2003:c0:8f22:1400:…). So steuert man mit Browsern das Webinterface von Fritzboxen an. Auch nutzen viele die Domain, um Geräte (Hosts) im Heimnetz anhand ihres Namens anzusprechen, also etwa freigabe.fritz.box oder nas.fritz.box.
Der Verkehrsfluss anhand der privaten Domain kann aber bei Namenskollisionen entgleiten, wenn man beispielsweise über den Router hinweg eine VPN-Verbindung zur Firma aufbaut. Dann befragt ein PC durch den VPN-Tunnel den DNS-Server der Firma (Resolver), welche IP-Adressen zu "private.domain" oder zu "host.private.domain" gehören. Wenn nun private.domain auch im Internet registriert ist, liefern externe Resolver die zugehörigen Internet-IP-Adressen und der PC baut die Verbindung dorthin auf, aber nicht zum erwünschten Ziel im Heimnetz.
Und heikel ist es, weil Angreifer die externe Namensauflösung missbrauchen können, um über private.domain auf Server mit Malware umzuleiten. So hat die Internetdomain fritz.box auf einen vom US-Anbieter Vultr angemieteten Cloudserver verwiesen, auf dem unter anderem ein Web- und ein SSH-Server liefen.
Das war die Leseprobe unseres heise-Plus-Artikels "Gefährdete Router: Verkehr mit dubiosen Internetdomains verhindern". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.