Im Spannungsfeld zwischen „bescheuert“ und „alternativlos“

Ihre Fragen zur Fingbox beantwortet

| Autor / Redakteur: Dirk Srocke / Andreas Donner

Scherzartikel mit Cloud-Anbindung, Hackerspielzeug oder Security-Device – an der Fingbox scheiden sich die Geister.
Scherzartikel mit Cloud-Anbindung, Hackerspielzeug oder Security-Device – an der Fingbox scheiden sich die Geister. (Bild: Srocke)

Die Leserkommentare zur Fingbox-Reihe reichten vom Kopfschütteln bis zu tiefergreifenden technischen Fragen. Im folgenden Text geben wir Antwort und skizzieren, wie sich Unternehmen gegen den Einsatz des Devices als Hackerwerkzeug schützen können.

Darum geht's: Vor kurzem haben wir in einer dreiteiligen Beitragsserie über die Fing-App und die Fingbox berichtet. Insbesondere auf Teil drei der Serie, in dem es um die technischen Prinzipien hinter der Fingbox geht, habe uns einige Leserstimmen erreicht, die wir an dieser Stelle diskutieren möchten.

Falls Sie die Beitragsserie verpasst haben, hier geht's zu den drei Teilen:

Für Einrichtung und Betrieb setzen die Anbieter der Fingbox konsequent auf ihre mobile App sowie per Internet angebundene Hilfsdienste. Und das stieß bei unserer Leserschaft auf einiges Unbehagen. So prangerte etwa Andreas an „Wer ist denn so besch.... und setzt bei der Netzwerkanalyse eine Mobile App ein. Kann ich ja gleich NSA oder Google beauftragen.“

Sind App und Cloud per se unsicher?

Dem lässt sich entgegenhalten, dass auch klassische Netzhardware keine 100-prozentige Sicherheit garantiert. Bestes Beispiel hierfür sind die Anfang des Jahres bekannt gewordenen Hintertüren in RackSwitch- und BladeCenter-Produkten von IBM respektive Lenovo, die bereits 2004 von Nortel implementiert wurden und seither in der ENOS-Firmware (Enterprise Network Operating System) der Systeme schlummerten.

Geschmackssache dürfte die von Fing implementierte Steuerung per mobiler App aber tatsächlich sein. Alternativ und noch geräteübergreifender hätte sich die Fingbox sicher per Weboberfläche bedienen lassen. Dass eine mobile App zwingend unsicherer als klassische Anwendungen sein muss und überhaupt nichts in geschäftskritischen Infrastrukturen zu suchen hat, halten wir allerdings für diskussionswürdig. Dagegen spräche etwa der von Netscout angebotene Netzwerktester LinkRunner G2, der mit Googles mobilem Bestriebssystem Android läuft.

Auch eine übermäßige Cloud-Anbindung gibt immer wieder Grund zur Kritik, besonders wenn der Hersteller die Funktion seines Gerätes im Offline-Betrieb so beschneidet, wie es Fing tut – Details dazu folgen gleich nach diesem Absatz. Nichtsdestotrotz haben sich Cloud respektive per Internetserver unterstützte Dienste mittlerweile auch in der Netzwerkwelt etabliert. So testete die Deutsche Telekom bereits 2014 eine Netzwerkmonitoringlösung mit Cloudanbindung. HPE bietet mit seiner OfficeConnect-Serie Access Points an, die ausschließlich per mobiler App und Cloud verwaltet werden. Und Paessler offeriert die Netzwerkmonitoringlösung PRTG mittlerweile ebenfalls über die Cloud.

Was geht offline?

Inwieweit die Fingbox auf die Cloud setzt und dabei womöglich über das Ziel hinausschießt, haben wir auf Anregung von Joachim K. nochmals genau geprüft: Die Fingbox also wie gehabt ins LAN gehängt, ihr aber per Filter im Gateway den Zugriff auf das Internet gesperrt. Vorhersehbar war dabei, dass das System weder die Internetgeschwindigkeit messen konnte, noch einen zuverlässigen Bericht zur Internet-Sicherheit lieferte. Weniger verständlich ist jedoch, dass die Lösung auch bei anderen Funktionen den Dienst verweigerte: Ohne Internetzugriff funktioniert weder der „Digitale Zaun“ noch lassen sich Geschwindigkeiten lokaler WLAN-Verbindungen messen oder der Traffic einzelner Geräte beziffern.

Eingeschränkt können Nutzer allerdings auch offline einzelne Rechner im lokalen Netz blockieren oder den Internetzugriff sperren. Um die entsprechenden Funktionen zu (de)aktivieren ist allerdings wieder ein funktionierender Internetzugang nötig.

Fingbox: Monitoring für den Hausgebrauch

DigitalFence stoppt Rogue APs, geplante Pausen bremsen Kinder

Fingbox: Monitoring für den Hausgebrauch

04.01.18 - Mit einer vergleichsweise kostengünstigen und einfachen Hardware liefert Fing eine vielseitige Lösung für Security und Monitoring in kleineren Netzwerken. Nachfolgend beleuchten wir, was das Device leistet und welche Alternativen es gibt. lesen

Fing begründet die Einschränkungen einerseits mit einer umfangreichen Datenbank, die Daten von bis zu 15 Milliarden Geräten speichert, um diese zu identifizieren. Überdies sei die Cloudanbindung nötig, um Notifikationen über den Netzwerkstatus auf das Smartphone zu schicken. Warum sich die Lösung offline nicht auch konfigurieren lässt oder lokale Netze vermisst hat uns der Hersteller nicht schlüssig darlegen können.

Dass der Anbieter Daten seiner Nutzer allerdings gezielt abfischt und weiterverkauft – wie in manch einem Kommentator vermutet – halten wir nach jetzigem Kenntnisstand für etwas weit hergeholt. In Sachen Sicherheit vergleicht sich Fing selbst übrigens mit anderen „mainstream Cloud Services“, wie iCloud oder Dropbox.

ARP oder nicht ARP?

Hartmut Drechsel erschienen die von uns analysierten ARP-Tricks der Fingbox „alternativlos“. Dem ist nicht ganz so – wie ein Blick auf die von ihm angesprochene Firewalla-Lösung verdeutlicht. Der Darstellung des Herstellers zufolge nutzt das Gerät zwar tatsächlich ähnliche – wenn nicht identische – Verfahren wie die Fingbox, bietet aber noch eine Alternative dazu.

Zusätzlich beschreibt der Anbieter nämlich die Möglichkeit, sich mit dem DHCP-Mode ins Netzwerk einzuklinken. Dabei ersetzt Firewalla den DHCP-Dienst des eigentlichen Routers und spannt ein eigenes Overlay-Netzwerk auf. Dieses Vorgehen ist zwar nicht ganz so bequem und erfordert etwas mehr Konfigurationsarbeit durch Endanwender, garantiere aber, dass tatsächlich jedweder Traffic durch Firewalla fließe. Diese Garantie konnten wir für die ARP-Tricks der Fingbox übrigens nicht abgeben.

Fingbox: ARP-Rowdy mit guten Absichten

Nutzer müssen Fingbox in the Middle vertrauen

Fingbox: ARP-Rowdy mit guten Absichten

05.01.18 - Für ein einfaches Netzwerkgerät ohne Routingfunktionen bietet die Fingbox einen erstaunlichen Funktionsumfang. Wir haben uns genauer angeschaut, welche technischen Tricks der Anbieter hierfür nutzt. lesen

Hackers bester Freund?

Im dritten Teil der Serie hatten wir angedeutet, dass sich die Fingbox auch zur Manipulation fremder Netze eignen könnte. Als proaktive Gegenwehr könnten Administratoren ihre Netze beispielsweise auf IPv6 hochrüsten – denn dieses Protokoll unterstützt die Fingbox aktuell noch nicht. Der Hersteller plant allerdings bereits ein entsprechendes Update.

Die Fingbox vom Internet abzuschneiden dürfte Angriffe nicht immer vermeiden. Wie bereits beschrieben muss das Gerät zwar online konfiguriert werden, einmal scharfgestellt blockiert die Fingbox den Traffic jedoch auch ohne Kontakt zum weltweiten Datennetz. IT-Verantwortliche müssen ihre Netzzugriffskontrolle also dem entsprechend anpassen. Unseren Tests zufolge genügt es schon sicherzustellen, dass der Fingbox keine gültige IP-Adresse zugeteilt wird.

Weitere Möglichkeiten zur Gegenwehr bieten sich auf Clientseite. Unter Windows konnten wir eine simulierte Attacke per Fingbox beispielsweise mit dem Tool AntiNetCut 3 von tools4free.net erfolgreich abwehren.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45136674 / Netzwerk-Security-Devices)