×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Fritzbox-firmware bevat lek dat inzicht in lokale netwerk kan geven - update

Door , 72 reacties, submitter: ehtweak

De firmware van Fritzbox-routers bevat een kwetsbaarheid die aanvallers inzage kan geven in de structuur van lokale netwerken. Via het lek is informatie over op de router aangesloten apparaten te achterhalen, zoals mac- en ip-adressen.

Het lek is met de techniek dns-rebinding uit te buiten. Een aanvaller kan een website maken om hostnamen, ip-adressen en mac-adressen apparaten in een netwerk te verzamelen, en te monitoren of een apparaat verbonden is met de router. Dit gebeurt door met JavaScript functies van de router aan te roepen waarvoor geen authenticatie nodig is. De configuratie-interface is aan het ipv6-adres van de Fritzbox gebonden en de ingebouwde dns-rebinding-bescherming werkt daarbij niet, schrijft Heise.

Tot een update beschikbaar is, kan een gebruiker als workaround dan ook de ipv6-ondersteuning van de Fritzbox tijdelijk uitschakelen. Een komende firmware-update verhelpt het probleem, belooft AVM. De ontdekker van het lek, Birk Blechschmidt, claimt AVM op 17 maart ingelicht te hebben over het probleem, maar vervolgens drie maanden niks meer gehoord te hebben. AVM laat aan Heise weten het als een risico van de laagste categorie te beschouwen. Niet bekend is op welke Fritzbox-modellen de kwetsbaarheid betrekking heeft. In Nederland levert Xs4all Fritzbox-routers aan klanten.

Update maandag 10 juli, 11.45: AVM heeft een security-notificatie gepubliceerd.Het bedrijf benadrukt dat het niet mogelijk was om iot- of andere apparaten binnen netwerken te benaderen en dat het niet mogelijk was om instellingen of data van de Fritzbox in te zien.

Door Olaf van Miltenburg

Nieuwscoördinator

06-07-2017 • 21:20

72 Linkedin Google+

Submitter: ehtweak

Reacties (72)

Wijzig sortering
Op 4 juli meldt AVM zelf:
https://avm.de/service/aktuelle-sicherheitshinweise/
Informationen über Heimnetzgeräte unter IPv6
Bei Geräten mit aktivierter IPv6-Verbindung ist es unter sehr unwahrscheinlichen Umständen bei längerem Besuch einer böswilligen Webseite möglich, dass Informationen von Heimnetz-Geräten (nur Gerätebezeichnung, Mac- und IP-Adresse) sichtbar sind. Ein Zugriff ist nicht möglich. Das Risiko ist gering (CVSS v3: 3,1, low). Der Punkt wird in kommenden Versionen gelöst.


De meest recente labor versies: 6.88
https://avm.de/fritz-labo...uer-wlan-mesh/uebersicht/
bevatten wel wat nieuwe features (zoals WLAN Mesh functionaliteit), maar onduidelijk is, of deze IPv6 DNS rebind kwetsbaarheid is gefikst. Waarschijnlijk (nog) niet.

Het is idd onduidelijk wanneer en voor welke FRITZ!Boxen er binnenkort (?) een firmware update uit zal komen.
Aan de ene kant zou b.v. Xs4all die automagisch kunnen pushen richting hun klanten. Maar menige tweaker (zoals ondergetekende ;) ) heeft waarschijnlijk de automatische update/configuratie functies van z'n FRITZ!Box uitstaan (om diverse redenen). Dus zal je zelf in de gaten moeten houden wanneer de update uitkomt en zelf deze moeten installeren.
Voorlopig maar IPv6 functionaliteit uitzetten (of uitlaten als je 'm toch niet nodig hebt). Want dan moet je er ook voorzorgen dat allerlei andere grappen en grollen van de IPv6 functionaliteit afgedekt zijn.
Het is idd onduidelijk wanneer en voor welke FRITZ!Boxen er binnenkort (?) een firmware update uit zal komen.
Aan de ene kant zou b.v. Xs4all die automagisch kunnen pushen richting hun klanten. Maar menige tweaker (zoals ondergetekende ;) ) heeft waarschijnlijk de automatische update/configuratie functies van z'n FRITZ!Box uitstaan (om diverse redenen).
Eén mogelijke reden: XS4ALL vernieuwt de configuratie/firmware, en plots zijn je static routes weg. Dat is niet leuk als je een VPN server in het LAN hebt met een port forwarding in de Fritz!Box om deze te bereiken.

De korte termijn oplossing is het op afstand installeren van updates buit schakelen. De lange termijn oplossing is de Fritz!Box vervangen met pfSense (voor FTTH). Stabieler, sneller en snelle updates tegen kwetsbaarheden.

[Reactie gewijzigd door The Zep Man op 7 juli 2017 02:30]

Eén mogelijke reden: XS4ALL vernieuwt de configuratie/firmware, en plots zijn je static routes weg. Dat is niet leuk als je een VPN server in het LAN hebt met een port forwarding in de Fritz!Box om deze te bereiken.
Al jaren gebruik ik verschillende Fritzboxen. Het kwijtraken van je configuratie bij een update herken ik niet. (Voor de zekerheid heb ik wel altijd een redelijk recente configuratie-backup beschikbaar)

Wat als er een echt kwalijke exploit bestaat die je even mist? Is niet patchen dan ook veiliger dan wel patchen?
Automatische updates en de toegang voor xs4all om iets te pushen/wijzigen, zijn 2 verschillende dingen. Die kun je ook apart uit zetten.
Zelf heb ik, Fritz alleen op informeren staan en voer het dan met de hand zo snel mogelijk uit.
In het verleden is er wel eens een bèta geweest die ze via die weg geïnstalleerd hebben.
Ik kreeg netjes een mail met het advies, dit zelf te doen.
Van sommige firmware-update , was het ook bekent dat het verstandiger is om met een schone lei te beginnen.
In FritzOS 6.83 zit DNS rebinding protection.

CVSS 3.1 rating "bei längerem Besuch einer böswilligen Webseite möglich" is erg laag. Zonder de proof of concept is het lastig om de waarde echt in te schatten.

Mijn ervaring is dat er bij consumenten routers vaak makkelijk een serieus issue te vinden is (remote code execution). Hostnamen, mac en ip adressen lekken vind ik zelf niet zo interessant. Mijn mac adres (in global IPv6 adres) lek ik toch continu op devices die geen privacy extensions gebruiken.
In FritzOS 6.83 zit DNS rebinding protection.
...
Alleen die werkt volgens Heise niet: :|
Dieser Angriff nutzt unter anderem die Tatsache, dass das Konfigurations-Interface auch an die IPv6-Adresse der Fritzbox gebunden ist und der eingebaute DNS-Rebinding-Schutz dort offenbar nicht greift. Theoretisch sind via DNS-Rebinding auch Angriffe auf IoT-Devices denkbar, die sich hinter der schützenden Fritzbox-Firewall scheinbar in Sicherheit befinden, erklärt der Entdecker der Lücke.

En volgens eigen zeggen hebben ze het getest met:
Wir nutzten für unseren Test eine Fritzbox 7590 mit der aktuellen Firmware FritzOS 6.85
Voor iemand die de optie zoekt om ipv6 uit te zetten. op een fritzbox 7581 is het :

internet => account information => ipv6 => ipv6 support uitzetten.
Dat kan wel, echter is het de vraag of je sommige websites nog kunt bezoeken. Dus kom maar met de update.
Zo ook op de 7360 maar zorg wel dat je Advanced View aanzet; heb me net 20 minuten lang een breuk gezocht...
Op zich hoeft een "eigen router" niet te betekenen dat die wel veilig is. Afgelopen 10 tot 15 jaar heb ik bijna probleemloos werkende routers van AVM gehad. En bleven die buiten schot als er veiligheidsproblemen waren. Mogelijk dat niet alleen de buitenkant van de routers helemaal nieuw is, maar de binnenkant ook.
Wat moet een normaal persoon met MAC- en interne ip-adressen van iemand anders?
Je kunt er niets mee nadat de packets de modem hebben verlaten naar de buitenwereld toe.
[edit]
Ipv6-adressen zijn wel bereikbaar van buitenaf?

[Reactie gewijzigd door twicejr op 6 juli 2017 21:54]

IPv6 gebruikt geen NAT meer waardoor een IPv6 apparaat (computer, telefoon, etc.) vaak een global address is (in Nederland begint dit vaak met a202::). Tevens doen veel apparaten (behalve Windows by default, maar tegenwoordig zijn er in een thuis netwerk meer hosts zonder Windows dan met) gebruik maken en EUI-64 adressen, waarbij het MAC-adres van de client encoded wordt in het host gedeelte van het IPv6 adres. Nou is dat bij dit issue natuurlijk niet boeiend aangezien de aanvallende partij al de MAC adressen kan uitlezen via dit lek, maar met MAC adressen is, zoals Oldtimee al zei, gemakkelijk te achterhalen wat voor apparatuur het is en waar dit te halen valt.

On-topic; erg slordig van Fritz maar gelukkig gaan ze het fixen met een firmware update. Uiteraard niet tactisch om te roepen dat een beveiligingslek in de lage categorie valt, maar in principe is er geen groot technisch lek; de aanvaller kan op deze manier niet toegang krijgen tot het netwerk, alleen het reconnaissance gedeelte van de hack uitvoeren.
Hacker kan misschien geen toegang krijgen maar kan wel zien welke apparaten er via de router zijn aangesloten. Grote kans dat er misschien een apparaat aan hangt dat wel te hacken is, bij brakke webcam, printer of iets anders en op die manier toch op het netwerk kan komen.

Dus nee je kan het inschatten als laag risico maar het kan ook een hoog risico zijn als er een brak apparaat aan je netwerk hangt. Een scan maakt het dan sneller inzichtelijk.
Wellicht zien ze dan wel een brak apparaat, maar zonder port forwarding naar dat brakke ding is de kans klein dat ze dit ook kunnen uitnutten..
Maar toch maar snel dichten dat lek..
Laten veel brakke apparaten nu zelf poorten open zetten ook op fritzbox heb je upnp
Wat je uiteraard afzet, net voor de reden die je zelf aangeeft.
Klopt maar dat moet je dan wel doen, maar wordt het ook gedaan ?
Als jij je deur laat openstaan moet je achteraf ook niet te hard janken als er iemand binnen komt wandelen he.
Leuk antwoord, de vraag is hoe veel mensen er überhaupt daarvan verstand hebben. Ja zelfs bij grote bedrijven worden dit soort fouten gemaakt.

Het ging er om dat dit niet als hoog risico werd ingeschat maar dat kan het dus wel zijn, zwakste schakel. Firmware update betekend opgelost en schakel weer sterker.
Oh mijn fout, ik dacht even dat ik op een tech site zat.
Veel tweakers hebben misschien een fritzbox
Maar de meeste bezitters van een fritzbox zijn geen tweaker
Dat laatste zegt genoeg denk ik
Standaard staat dit in de FritzBox uit.
Als tweaker zet je upnp altijd uit? Ik dacht dat het vragen was om problemen
Als ze met een JavaScript je apparaten kunnen inventariseren denk ik dat ze in hetzelfde script de apparaten ook kunnen benaderen. Het script wordt immers op een locale computer uitgevoerd.
Maar moet de gebruiker dan niet eerst op een foute Website link klikken? Voor het überhaupt mogelijk is?
Dat lees ik ook maar het maakt gerichte aanvallen mogelijk via mails die je ergens op laten klikken. Hackers worden steeds slimmer en kunnen mensen of organisaties persoonlijk op de korrel hebben.

Het lek is misschien klein maar ja de zwakste schakel is ook hier van toepassing hoe klein die ook is.
MAC adressen zijn veelal te herleiden tot fabrikanten en soms zelfs product-typen. Je zou het dus kunnen gebruiken om te achterhalen wie er veel Apple spullen thuis heeft en dat doorgeven aan de afdeling Inbraakplanning.
Apple spullen worden by default beveiligd met iCloud activation lock. Deze zijn dus waardeloos voor dieven. Maar je theorie kan opgaan als dmv MAC-adressen bepaald kan worden dat er andere kostbare apparatuur in huis is.

Ik heb het niet zo op dat IPv6, lijkt toch dat er een design flaw in zit doordat het geen NAT ondersteunt. Je MAC-adres is erg uniek, als een website dat kan uitlezen dan kunnen ze je veel beter volgen.
IPv6 kan wel NAT (naar IPv4). Maar het is onnodig.
Er zijn ip adressen genoeg.

Het ontbreken van NAT is geen beveiligingsrisico, want je kunt in de firewall alle verbindingen van buitenaf weigeren. Tenzij je bepaalde apparaten juist wel toegangkelijk wil hebben.

[Reactie gewijzigd door jeroen3 op 7 juli 2017 10:44]

Okee, mooi dat het wel kan, nu hopen dat IPv6 routers het ook gaan ondersteunen.

Het is misschien niet zozeer een veiligheidsrisico, maar wel een privacyrisico. Een website kan er nu niet vanuit gaan dat bezoekers met hetzelfde IP-adres ook dezelfde persoon zijn vanwege NAT. Als met IPv6 straks niemand meer NAT gebruikt dan kunnen ze daar wel vanuit gaan en kunnen ze je dus beter volgen.
Je kunt nog steeds continu wisselen van ip in je block. Net zo effectief als het wissen van cookies.
lijkt toch dat er een design flaw in zit doordat het geen NAT ondersteunt.
En waarom zou IPv6 geen NAT kunnen doen ?
MAC adressen zijn veelal te herleiden tot fabrikanten en soms zelfs product-typen. Je zou het dus kunnen gebruiken om te achterhalen wie er veel Apple spullen thuis heeft en dat doorgeven aan de afdeling Inbraakplanning.
Dan moet je nog wel een adres hebben. En zelfs dan zie ik een Rus nog niet zomaar een inbraak in Nederland komen plegen omdat er misschien wat hardware te halen valt. (De Rus is slechts een voorbeeld omdat dat lekker makkelijk is met drie letters.)
dat is relatief makkelijk te doen denk ik. er zijn gewoon kaarten van wifi netwerken met hun BSSID (wiggle.net). een ip kan je ongeveer aan zien waar het vandaan komt en als je dat dan cross referenced met de database aan BSSID's zou het met een simpel script vrij makkelijk moeten zijn de locaties te achterhalen. de laatste helft van het MAC address van een van de lan porten word gebruikt om de eerste helft van de BSSID te creeren(oid, begrijp dit gedeelte zelf nog niet geweldig), nou is dat nou juist het gedeelte dat niet de vendor ID is maar de unique identifier. aangezien het allemaal fritzboxen zijn weet je het eerste gedeelte van het mac adress al. maar waarschijnlijk zie ik hier iets over het hoofd waardoor dit niet mogelijk is :P

[Reactie gewijzigd door t link op 7 juli 2017 00:47]

MAC adressen zijn veelal te herleiden tot fabrikanten en soms zelfs product-typen. Je zou het dus kunnen gebruiken om te achterhalen wie er veel Apple spullen thuis heeft en dat doorgeven aan de afdeling Inbraakplanning.
In basis heb je gelijk, maar je zou het kunnen verwoorden met apparatuur die kwetsbaar is voor remote exploits.( nu is het het modem zelf :| :+ )
Maar bij een bericht zoals onlangs met IPcamera's, kan je deze kwetsbaarheid gebruiken om betreffende camera's te vinden, om een netwerk binnen te gaan.
En dan is het bij Klaas Vaak thuis niet zo van belang, maar genoeg bedrijven hebben hun semi DHZ bewaking op dat soort apparatuur draaien, dan is een entrypoint makkelijker te vinden.

Dus imho is het geen lage prio om op te lossen
En interne IP nummers kunnen handig zijn om een eerste drempel weg te nemen om een weg naar "binnen" te vinden. Veel hacks beginnen met kennis vergaren, hetzij digitaal, hetzij middels social engineering. Nu zal zo'n Fritzding niet gelijk bij de Nederlandse bank staan verwacht ik, maar dit is gewoon niet OK. Iets niet kunnen hacken is bijna onmogelijk, maar je kan het wel moeilijk maken. Net zoals Lips met zijn kluizen, die verkopen geen onkraakbare kluizen, ze verkopen een kluis van een aantal dagen hacktijd. Een 5-dagen kluis kan je in een (lang) weekend niet kraken zonder dat iemand dat merkt. Een 1 dags kluis is dus niet OK voor een bank. 't Zal vast iets anders werken, maar even als voorbeeld.

En zo beveilig je een netwerk ook, je werpt drempels op, net zolang tot het niet meer de moeite loont om je te hacken of dat het jou tijd geeft om tijdig in te grijpen. En hier is het raam schoongepoetst waardoor je al naar binnen kunt kijken naar leuke dingen, net zoals @Oldtimee dat ook meldt, er is kennis over jou in de buitenwereld die je met social engineering verder kan verkennen. Not cool!
En interne IP nummers kunnen handig zijn om een eerste drempel weg te nemen om een weg naar "binnen" te vinden. Veel hacks beginnen met kennis vergaren, hetzij digitaal, hetzij middels social engineering. Nu zal zo'n Fritzding niet gelijk bij de Nederlandse bank staan verwacht ik, maar dit is
Waarom niet, ik heb genoeg professionele netwerken gezien, waar een backupverbinding was aangelegd, die 'gewoon' op een Experia leunden.
De hoofdverbinding op glas, maar zou die wegvallen, kon men ( met een factor 10 lager ) nog gewoon hun basiszaken regelen online.
Zou zo'n bedrijf de backup via xDSL doen, kunnen ze kiezen voor kwalitatief hoge modems, komen ze echt wel in het segment van AVM uit
De professionele netwerken die ik zie, daar komen ze echt niet in voor, maar dat zijn dan ook de productienetwerken van de BV Nederland. Daar kom ik over het algemeen high end routers (en ja, wat is high end) tegen in allerhande redundante, hardened uitvoeringen met hoge MTBF getallen. En die hangen overigens per definitie niet aan een internet verbinding omdat die bedrijven beseffen dat bij een DDOS aanval het niet gaaf is dat "productie" onderuit gaat.

Een backup verbinding op een Experia is er per definitie één waar je geen vast IP nummer hebt (want Telfort of KPN), dat schaar ik niet direct onder "professioneel". En de andere kant is uiteraard, iets is soms beter dan niets, zolang het maar geen opstappunt wordt van hackers :)
"AVM laat aan Heise weten het als een risico van de laagste categorie te beschouwen. "

Een risico is toch een risico? Of proberen ze kromme dingen recht te praten zodat ze er pas later(lees: wanneer het ze uitkomt) wat aan te hoeven doen? Beetje rare redenatie van AVM, al helemaal dat ze 3 maanden niks laten horen...

[Reactie gewijzigd door MartijnAbel op 6 juli 2017 21:27]

Misschien waren ze die drie maanden te druk met ernstigere lekken...

Ik bedoel maar te zeggen, dit wekt minder vertrouwen dan als ze zo'n "foutje" direct oplossen en het *daarna* als een klein risico kwalificeren. Zo van "nou dachten we toch dat alles goed dicht zat, vond iemand er verdorie nog een klein lekje in"

[Reactie gewijzigd door Brousant op 6 juli 2017 21:38]

Je hebt gelijk een risico is een risico, maar als je thuis de voordeur niet eens dicht kan doen. Begin je dan met reparen van het zolderraampje waar een matig slot op zit?

Ik denk dat ze dit op een lijst van bugs en features hebben staan en intern besluiten wanneer het aan bod komt. En ik weet uit ervaring als er dan ook nog een workaround bekend is (en die naar buiten is gecommuniceerd) dan zakt de prioriteit voor fixen nog verder.

Het is en blijft een kwestie van keuzes maken.
En wie weet is een community die (negatief) reageert wel een middel om de prioriteit weer wat omhoog te krijgen :)
Een risico is altijd een risico, dat is waar. maar de kans op een dergelijk risico en de impact als het risico optreden zijn zeker ook van belang.

Als je rookt loop je het risico longkanker te krijgen, als je bladgroente eet loop je het risico je te verslikken. Beide risico's. Maar als ik oplossingen voor de risico's ga bepalen focus ik mij toch liever op de eerste.
Het risico is "laag" want je moet eerst een site prepareren en dan de bezoeker ook nog eens zover krijgen dat hij die via IPv6 bezoekt. Aangezien IPv6 nou niet bepaald wil vlotten én dit een grote voorbereiding vergt snap ik wel dat ze het risico als laag inschatten. Als ze een lek in drie maanden dichten doen ze het erg netjes.

Sowieso is mijn ervaring dat AVM een van de weinige fabrikanten is die gedurende lange tijd updates bij modellen levert. Veel langere dan merken als DLink o.i.d. Dus AVM komt hier weer onterecht in het verdomhoekje.

Het is überhaupt maar de vraag of dit ook voor Nederland geldt aangezien ze hier niet dezelfde firmware gebruiken als in Duitsland. Is dat door de Tweakers redactie bij AVM gecheckt?
Een komende firmwareupdate verhelpt het probleem, belooft AVM.
AVM laat aan Heise weten het als een risico van de laagste categorie te beschouwen.
Met dergelijke apparatuur kan je zulke uitspraken imho beter niet maken. Of het nu een laagste categorie bug is of niet je lost het nu ineens wel op en reageert nu ineens wel.

Begrijp maar niet dat het kwartje bij dergelijke firma's niet gelijk valt. Zorg dat je op zijn minst terug communiceert naar zo iemand en zet het dan op je prioriteitenlijst. Of het nu een lage prio heeft of niet. Ik krijg nu het idee dat het er nu pas op is komen te staan vanwege de ruchtbaarheid die er nu aan is gegeven. Zonde dat het eerst weer in het nieuws moet komen zeg.
Inderdaad, maar gelukkig dat XS4ALL deze dingen uitlevert want die zullen vast wel druk uitoefenen om het snel op te lossen gezien hun imago van professionaliteit.
Gelukkig kan je volgens mij ook gewoon je eigen router gebruiken bij deze provider, een vriend laat enkel de telefoons functioneren via de Fritzbox. (ding is wat te traag voor 500/500)
Nou... het debacle met de 7581 heeft 6 maanden geduurd voordat er een firmware opdook die een beetje stabiel is.

Voor de 7581 dook gisteren wel een beta op, geen idee wat de changelog is. De cosmetische foutjes zitten er nog steeds in.

Ik heb ook op duitse forums zitten kijken, maar het is nogal vers lijkt het.
Problemen met de telefonie zijn al maanden bekend en ook nog steeds niet opgelost. Na een paar minuten bellen dan stopt de verbinding. Het enige wat ik te horen krijg is dat niet bekend is wanneer het opgelost is.
Blij dat het eerste wat ik deed dus, die box uitzetten, eigen router aan dat glas ding, en eigen pots-sip dinges aangesloten...
Niet voor niks dus!
Dat Xs4all een imago heeft van professionaliteit, heeft te maken met een ver verleden, toen kwaliteit nog met hoofdletters geschreven werd. Het is nu niets meer dan de zoveelste KPN-dochter die slechts teert op die goede naam van vroeger.
Spreek helaas uit persoonlijke ervaring.
Ervaringen verschillen dus.
Xs4all is al lang niet meer de professionele club die het ooit was. Het zeker beter dan de prijsvechters, maar de tijd dat je echt een fatsoenlijke techneut te spreken kreeg daar is al zeker 10 jaar vervlogen. Ik heb veel met ze te maken gehad in het verleden, nu is het voor mij niet beter of slechter dan elke andere aanbieder. Voor een leek denk ik dat de support er wel iets beter is dan elders.

Verder denk ik niet dat zoveel druk uit kunnen oefenen, het zal best een aardige klant zijn voor AVM maar ik dat ze verder niet wakker liggen van xs4all.

[Reactie gewijzigd door Rataplan_ op 6 juli 2017 23:59]

Inderdaad. Ben tevreden klant bij ze, maar het is niet meer de profi Toko die het was.
Inderdaad, maar gelukkig dat XS4ALL deze dingen uitlevert want die zullen vast wel druk uitoefenen om het snel op te lossen gezien hun imago van professionaliteit.
Gelukkig kan je volgens mij ook gewoon je eigen router gebruiken bij deze provider, een vriend laat enkel de telefoons functioneren via de Fritzbox. (ding is wat te traag voor 500/500)
Zou je denken ?
Ik heb XS4ALL geen haast meer zien maken, behalve dan met hun naam en prijsverhoudingen.
Zoveel 'professioneels' wordt er echt niet meer tevoorschijn getoverd de laatste jaren.
- eigen IPadres .. Leuk, maar mijn IPadres is bij Ziggo niet meer veranderd sinds heugenis ( buiten dat als ik het macadres van mijn router verander )
Als ik het externe mac-adres van mijn ziggomodem zou spoofen, was het al 3 jaar dezelfde geweest.
- IPv6 - zijn ze ook niet de enige meer in

Wat ik dan als 'pré' zou aanmerken, is dat ze een sim leveren met 'gratis' mobiele data ( maar ondertussen is je pakket 10% duurder dan bij vergelijkbare xDSL aanbieders

Hun 'goede naam' hebben ze OOIT wel verdiend, maar na de overname door KPN, zijn ze gewoon een reseller, net zoals Telfort dat is, alleen geen "budgetmerk"
Het is gewoon de AH-Excellent boter, die net zoals de Euroshopper en Becel door Unilever in de schappen gelegd worden
De 7581 die XS4ALL levert is altijd met afstand het laatste model dat een update krijgt 8)7
ehh dan doet jouw vriend iets niet goed hoor ik gebruik hem op een 1000/1000 verbindingen en net als div andere gaat dit gewoon perfect en handelt ook netjes de tv af.
dus ik herkend dit absoluut niet
Het probleem is dat bij een speedtest naar Amsterdam (waar de betere servers zitten, zoals die van speedtest.net zelf) de snelheid langzaam oploopt richting de 500Mbps.
Terwijl dit met een Asus AC66u en twee AC3200's direct piekt naar de 800Mbps waarna het langzaam terug loopt naar 500Mbps door de apparatuur van XS4ALL bij de wijkkasten of waar dan ook, tenminste genoeg overhead, teken van een goed ingericht netwerk.

[Reactie gewijzigd door CriticalHit_NL op 8 juli 2017 12:48]

ik heb een 7360 met firmware 6.83 en daarin staat:

DNS Rebind Protection

FRITZ!Box suppresses DNS responses that refer to IP addresses in its own home network (DNS rebind protection). Here you can specify a list of domain names for which DNS rebind protection should not apply.
De configuratieinterface is aan het ipv6-adres van de Fritzbox gebonden en de ingebouwde dns-rebinding-bescherming werkt daarbij niet,
Niet op IPV6 dus :)
Tip die je leven beter maakt. Koop een goedkope router, doe er project LEDE (openwrt fork) of pfsense oid op, en donder die Fritzbox in een doos op zolder.
Je bent even wat uurtjes je taak als Tweaker waar aan het maken, maar dan is je leven prettiger! :) :) :)
Ik ben eigenlijk erg tevreden met Fritz!boxes hoor. En in elk systeem kan nu en dan een foutje zitten
@Heidistein
Ik ben zelf erg van de Fritz boxen, juist als tweaker kloot ik wat aan maar mijn FritzBox werkt altijd. ~8 jaar ervaring, 4 modellen.

[Reactie gewijzigd door Peran op 7 juli 2017 12:23]

Ben je ook kwetsbaar als je een hardware firewall tussen het modem en je netwerk hebt staan? Volgens ip6v checker staat ipv6 uit dus ik denk dat ik goed zit.
Als je DNS en dhcp van de FritzBox gebruikt lijkt me dns rebuilding nog wel mogelijk?
Ik heb twee Fritzboxes. Eén is een 7490 en de andere is een 7360 v1 (gebruik ik als AP) die de laatste keer geen update meer kreeg omdat het geheurgen te klein was.Vraag me toch af of deze nog wel geupdate wordt omdat dit een lek betreft.
Ga er maar niet vanuit dat de 7360V1 geupdate wordt.

Die heeft eerdere beveiligingsupdates ook al niet meer gehad.

Je koopt voor een prikkie een 7360V2 of een 7490 via Marktplaats. Dumpen die 7360V1!

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*