Schön gestorben, diese Lösung, so muss ich wohl den Artikel überschreiben. Es geht um den Shrew Soft VPN Client, der für FRITZ!Box-Besitzer hilfreich ist – aber wohl komatös dahin dämmerte, um jetzt (möglicherweise) dem Exitus anheim zu fallen. Hier ein paar Informationen zur Frage 'was ist jetzt schon wieder los'.
Anzeige
Shrew Soft VPN Client für FRITZ!Box-Nutzer
Ich gestehe, mir war die Software kein Begriff. Aber so mancher Besitzer einer FRITZ!Box, der eine VPN-Verbindung zu dieser herstellen möchte, dürfte die Software kennen. AVM beschreibt in diesem Dokument, wie man mit dem Programm Shrew Soft VPN Client eine sichere VPN-Verbindung (Virtual Private Network) von von einem Windows-Computer über das Internet zur FRITZ!Box herstellen kann. Dann lässt sich per Internet auf alle Geräte und Dienste im Heimnetz der FRITZ!Box zugreifen.
Ein Leser-Tipp 'Zertifikat ausgelaufen'
Gestern erreicht mich eine Mail von Blog-Leser Axel, der mich auf ein Problem mit dem Shrew Soft VPN Client hinwies. Axel schrieb:
ich habe heute mal wieder bei ShrewSoft vorbeigeschaut, um zu sehen, ob es evtl. mal eine neue Version von deren Windows VPN-Client gibt. Die aktuelle Version ist immerhin schon von 2013, läuft aber auch unter Windows 10 gut.
Hintergrund: AVM bietet für seine FritzBoxen nichts anderes an und verweist sogar in Artikeln auf diesen Client. Nun ja, er funktioniert bisher gut.
Heute jedoch sehe ich, dass deren Zertifikat wohl ausgelaufen ist: https://www.shrew.net Das stimmt mich nun, gerade bei einer Firma dieser Art sehr nachdenklich…
Was die obigen Zeilen in Verbindung mit der FRITZ!Box aussagen, hatte ich eingangs erläutert. Und das Thema Zertifikat ausgelaufen heißt, dass deren Webserver zwar eine TLS-Verschlüsselung anbietet, das betreffende Zertifikat aber abgelaufen ist.
Anzeige
Obiger Screeshot zeigt, worum es da geht: Die per https-aufgerufene Webseite ist unsicher, weil das TLS/SSL-Zertifikat abgelaufen ist. Ein Download könnte kompromittiert sein. Ich habe das TLS-Zertifikat der Seite mit ssl-trust.com überprüft – dieses ist ab 7.4.2018 abgelaufen. Offenbar hat es noch niemand beim Anbieter gemerkt.
Das weckt nicht gerade Vertrauen in diesen Anbieter. Kommen wir daher zu den abschließend Fragen von Axel:
Was meinst du, wird es Zeit sich nach einem anderen Client umzusehen? Nur welchen? Payware gibt es sicherlich, aber Freeware? Hast du was in petto?
Angesichts der in letzter Zeit häufig bekannt gewordenen Fälle, wo VPN-Software patzte, hätte ich persönlich kein hohes Vertrauen in diesen Anbieter. Aber ich nutze die Software nicht und kenne auch keinen Ersatz. Bliebe die Frage, ob einer von Euch da eine Empfehlung aussprechen kann.
Ähnliche Artikel:
20 % der VPN-Dienste leaken IP per WebRTC
Drei populäre VPN-Dienste leaken die IP-Adresse
Onavo VPN: Details zur Datensammlung
Finger weg von der iOS-VPN-App Onavo
VPN-Bug in Cisco ASA-Software wird ausgenutzt; updaten
Fortinets VPN-FortiClient verrät Anmeldedaten
Anzeige
Das Problem ist, dass die FRITZ!Box mit IPSec XAuth arbeitet, welches Windows von Haus aus nicht unterstützt.
Es gibt einige VPN Clients, welche mit der Fritz!Box arbeiten können. Aber die meisten dieser Clients sind kostenpflichtig. Einer der meist verbreiteten Clients im Business Umfeld ist der NCP VPN Client. Kostet allerdings um die 100€ pro User. Daher war der Shrew Soft Client für Privatnutzer eine gute Alternative. Eine andere kostenlose Alternative kenne ich nicht, außer die hauseigene AVM-Software (FRITZ!Fernzugang).
als workaround versuchsweise mal die systemzeit auf einen zeitpunkt zuruecksetzen, an dem das zertifikat noch gueltig war.
ps: mangelhaftes zertifikatsmanagement ist auch schon bei groesseren akteuren sicht- und spuerbar geworden, darunter der groesste softwarehersteller (microsoft), das groesste karrierenetzwerk (microsoft-tochter linkedin) und das teuerste unternehmen der welt (apple).
…sofern man auf der maschine entsprechende rechte hat, sonst ist hier natuerlich "game over".
Hilf mir bitte: was ändert eine Rücksetzung des Datums der lokalen Maschine an der Gültigkeit des Zertifikats? Richtig, nichts. Es würde also auch reichen, unter "erweitert" eine Ausnahme zu erlauben und so die Webseite zu besuchen. Darum geht es in dem Beitrag aber gar nicht.
vorab, um die "qualitaet" meiner folgenden aussagen besser einschaetzen zu koennen:
1. ich nutze zwar auch eine fritz!box, greife aber nur lokal darauf zu.
2. den "shrew soft vpn client" habe ich noch nie benutzt.
3. ich bin kein spezialist fuer server-zertifikate oder code signing.
korrigiert mich bitte, wenn ich im folgenden falsch liege.
ob das verstellen der lokalen zeit mehr bewirken kann als das aufnehmen einer ausnahme in den browser kann ich nicht kategorisch beantworten. es haengt davon ab, an welcher stelle das abgelaufene zertifikat sitzt: ist es (auch) teil einer lokalen software (code-signing-zertifikat) oder betrifft es nur den fernen server (ssl-server-zertifikat)?
ein abgelaufenes server-zertifikat kann ich wohl mit beiden methoden "ueberbruecken": bei der rueckdatierung der uhrzeit sieht im firefox alles normal aus (das schloss-symbol sagt: "sichere verbindung"); bei der browser-ausnahme zeigt mir firefox zwar eine warnung an (das schloss-symbol sagt: "verbindung ist nicht sicher"), laesst mich diese verbindung aber trotzdem nutzen.
ein abgelaufenes code-signing-zertifikat laesst sich nicht im browser "ueberbruecken", durch aenderung der lokalen zeit aber schon: ist in diesem jahr bei der oculus rift passiert – COMPUTERBASE (07.03.2018): "Ein abgelaufenes Zertifikat verhindert seit Stunden die Nutzung der VR-Brille Oculus Rift – und zwar weltweit… Ursächlich für das Problem ist ein Zertifikat für die Bibliothek OculusAppFramework.dll, das zum 7. März 2018 ausgelaufen ist. Der Entwickler hatte dieses Datum offensichtlich nicht mehr auf dem Schirm. Lifehack: Systemzeit zurückstellen… Weil das Zertifikat zu diesem Zeitpunkt noch gültig war, kann Oculus Home daraufhin wieder ausgeführt werden."
ob das problem mit dem "shrew soft vpn client" (= eine downloadbare software) nur ein ssl-server-zertifikat oder (auch) ein code-signing-zertifikat betrifft, war und ist mir als nicht-nutzer dieses produkts nicht klar.
mein nachtrag mit dem "game over" bei fehlenden rechten ist sicherlich zu kurz gegriffen, falls es hier nur um ein ssl-server-zertifikat geht. was ich eigentlich damit sagen wollte war: man braucht, um die lokale zeit aendern zu duerfen, natuerlich hoehere rechte.
ein abgelaufenes zertifikat ist und bleibt natuerlich ungueltig: punkt.
das habe ich auch nicht bezweifelt. man muss in so einer situation aber abwaegen, ob man direkt weiterzieht oder zumindest kurzfristig versucht sie zu "ueberbruecken" bis entweder der anbieter das problem beseitigt hat oder man selber einen ersatz gefunden hat.
Es gibt für Win10 eine neue Version (war grade noch als Labor-Version zu haben) vom Fritz!Fernzugang (VPN-Client) vom 22.03.2017 auf dieser Seite: https://avm.de/service/vpn/uebersicht/
Der Download ist: https://avm.de/fileadmin/user_upload/DE/Service/VPN/FRITZ_VPN64_German_win10.exe
Für Windows 8.1/8/7/Vista (64Bit) ist die Version leider schon älter, Version 01.03.01 vom 17.06.2013. Gibts auch auf der Übersichts-Seite.
Ob es da was anderes gibt kann ich leider nicht sagen.
Die Fritz!Box selbst hat kein Zertifikats-Problem.
du brauchst nur auf erweitert und dann 1-2 klicks
das o.g. ist nur eine Art Hinweis
jedoch wie Günter drauf hingewiesen hat und da ändert auch nicht der von die genannte "datum-fallback", nämlich dass der Download kompromittiert sein könnte. (checksum würde hier nur helfen)
und trotzdem ist es nicht vertrauenswürdig das ganze
AUTSCH!
1. die TLS/SSL-Verbindung ist trotz des abgelaufenen X.509-Zertifikats des Web-Servers sicher, ein Download wird davon nicht kompromittiert.
2. die zum Download angebotenen Dateien sollten/dürften eine AuthentiCode-Signatur haben, die unabhängig vom (un)sicheren Übertragungsweg verifiziert werden kann/soll/muss!
3. die AuthentiCode-Signatur wird üblicherweise mit einem eigenen X.509-Zertifikat vorgenommen.
4. AuthentiCode-Signaturen sind üblicherweise mit einem Zeitstempel versehen, d.h. Gegensigniert, und damit über das Ablaufdatum des X.509-Zertifikats gültig.
Hat jemand einfach mal den Webseiten Betreiber angeschrieben und ihn darauf hingewiesen? Heutzutage ein (letsencrypt) Zertifikat schnell neu zu machen sollte ja nicht das Problem sein … sonst mache ich es eben. Nutze die Software selbst, diese funktioniert ja nach wie vor ohne Probleme.
…die Überschrift ist etwas unpassend; das Problem bezieht sich auf die Webseite und nicht auf den VPN-Client. Der Client läuft weiterhin stabil (FritzBox & Lancom) Falls man mit dem Client an einem Anschluß von Vodafone-Kabel mit IPv4 per DS-Lite-Tunnel hängt, muß man eben den Lancom(NCP)Client für etwas Geld nutzen. Der kann zumindest mit dem Lancom-Router IPsec_over_https.
Wie Alfred E. Neumann richtig anmerkt ist das abgelaufene Server-Zertifikat nicht das Problem.
Das Problem ist der von dieser Klitsche angebotene VPN-Client bzw. dessen ausführbares Installationsprogramm (IGITT!): es ist unsicher und erlaubt dank mehreren wohlbekannten und wohldokumentierten, seit über 20 Jahren bekannten Sicherheitslücken "arbitrary code execution" mit "elevation of privilege"!
Software von Klitschen mit derart ahnungslosen Entwicklern will man nicht einsetzen.
Siehe https://cwe.mitre.org/data/definitions/377.html und https://cwe.mitre.org/data/definitions/379.html sowie https://capec.mitre.org/data/definitions/29.html, plus https://cwe.mitre.org/data/definitions/426.html und https://cwe.mitre.org/data/definitions/427.html sowie https://capec.mitre.org/data/definitions/471.html
Wie es ausschaut, ist das Zertifikat nun erneuert worden.
@Eddy Current:
Magst du deine Bedenken bzgl. des Installers nicht mal dem Hersteller mitteilen?