- Anzeige -

Security: Wie weit kommt der ISP in mein LAN?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Security: Wie weit kommt der ISP in mein LAN?

Beitragvon DerZweifler » 07.08.2014, 14:52

Hallo,

Eine vielleicht etwas provozierende Frage: Wie weit können KabelBW / Unitymedia mitlerweile eigentlich "zu Supportzwecken" in mein privates Heimnetzwerk schauen?

Dass sie das rechtlich garnicht dürfen sollte (zumindest aus meiner Laiensicht) klar sein ("Ausspähen von Computernetzen").

Aber spätestens seit Snowden wissen wir ja, dass man zumindest damit rechnen sollte: alles was gemacht werden kann wird auch gemacht.


Hintergrund der Frage: Nachdem mein gutes altes Cisco Modem den Geist aufgegeben hat musste ich entsetzt feststellen, dass ich als Ersatz kein einfaches Modem mehr bekommen werde.

Hinter dem Modem hatte ich meinen eigenen Router aufgestellt und damit mein Heimnetz mit dessen Firewall per NAT versteckt. Damit muss ich mir zumindest in Richtung ISP nicht mehr Sorgen machen als für jede andere Internet-Quelle auch.

Als Hardware Ersatz gibt es jetzt nurnoch entweder den Technicolor Router oder die FritzBox, beide mit mutmaßlich von KabelBW modifizierter Firmware.

Beim Technicolor Router wurde die normalerweiße herstellerseitige vorhandene Bridge-Funktion (mit der man das Ding auf einfachen "Modem"-Betrieb schalten könnte) ziemlich schlampig von KabelBW deaktiviert.
Die Option ist im WebInterface noch vorhanden und auswählbar, aber wenn man auf speichern drückt läd sich die Seite neu und die Einstellung springt einfach zurück. Die Unterdrückung der Bridge-Funktion ist explizit von KabelBW gewollt (es gibt hier zahlreiche Threads dazu...).

Bin jetzt küzlich mangels Alternative in den günstigsten Business Tarif umgestiegen. Dort sollte mit der FritzBox und zubuchbarer statischer IP ein Bridging und die verwendung eines eigenen Routers zumindest wieder möglich sein. Da bin ich momentan noch drann ...

Bei einem Telefonat mit der Hotline hat mich aber eine Aussage stutzig gemacht: Die KabelBW-Mitarbeiterin hat mir erzählt, sie sehe die Geräte hinter der Fritzbox. Sie konnte mir sogar IP und MAC Adresse nennen!!

Für mich ist das fast schon besagtes "Ausspähen von Computernetzen"! Auch wenn die Grenzen bezüglich "Supportrelevanten Daten" etwas fließend sein dürften.

Aber ich spinn jetzt mal ein Bisschen rum:
Wenn die modifizierten Firmware dem ISP bereits jetzt ausführliche Informationen über das private LAN liefert, wie weit ist denn dann noch der Sprung um im Router eine Hintertür einzubauen, die dem ISP im Zweifel Zugriff auf das komplette LAN erlaubt? VPN, SSH Port Tunnel, ...

Vielleicht bin ich an der Stelle ein Bisschen paranoid, aber ich denke nicht, dass es irgendwen bei KabelBW was angeht sollte, welche Geräte sich in meinem LAN befinden. Und der Integrität der KabelBW Hardware blind zu vertrauen finde ich mitlerweile echt schon ziemlich viel verlangt ...

Gibt es hier evtl. jemand der hier weitergehendes Wissen hat?
DerZweifler
Kabelneuling
 
Beiträge: 4
Registriert: 07.08.2014, 13:55

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon Tobey » 07.08.2014, 15:43

http://www.wehavemorefun.de/fritzbox/TR-069

Über dieses Protokoll hat der Dienstleister Vollzugriff auf die FritzBox. Er kann alles auslesen was du sehn kannst und noch vieles weitere mehr.
Die Fritz Box hat sogar eine eingebaute Funktion alle Pakete zu protokollieren die verarbeitet werden. Auch diese Funktion könnte der Dienstleister theoretisch benutzen.

wie es für den Technicolor Router aussieht weiß ich nicht, wahrscheinlich aber ziemlich ähnlich.
Tobey
Kabelexperte
 
Beiträge: 131
Registriert: 30.08.2012, 11:07

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon reset » 07.08.2014, 16:00

Hier geht es auch um diese Thematik: viewtopic.php?f=53&t=17702

Gruß reset
Benutzeravatar
reset
Glasfaserstrecke
 
Beiträge: 1367
Registriert: 10.09.2009, 11:48
Wohnort: Frankfurt am Main (Höchst)

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon avalon » 07.08.2014, 17:50

Das ist aber eine andere Thematik da bei der Dortigen Anfrage es ausschließlich um ein Kabelmodem handelte.

Das der Provider die IP und MAC Adressen sieht ist nicht verwunderlich, die sieht auch jeder andere im Internet. Die Frage ist ob er außer den Konfigurationsdateien des Routers auch in das LAN vordringen kann.

Bei einer Fritzbox kann man im übrigen falls man den Providern gar nicht traut einfach eine zweite anschließen und diese als Router für das lokale Netzwerk betreiben.

Allerdings wird dann die Portweiterleitung schwierig und wie das Ganze bei IPV6 aussieht, wo im Prinzip alle Geräte direkt im Internet hängen auch die hinter einem weiteren Router ...
avalon
Kabelneuling
 
Beiträge: 6
Registriert: 08.12.2011, 13:03

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon DerZweifler » 07.08.2014, 18:31

Hi,

Danke für die fixen Antworten. TR-069 also ... interessant.

Meine Befürchtungen sehe ich damit so ziemlich bestätigt.

Ich will jetzt mal nicht davon ausgehen, dass jeder gelangweilte Techniker in seiner Kaffeepause über Fritzbox oder Technicolor Router nach belieben auf Geräte und deren Services in meinem LAN zugreifen könnte. Aber das Potential dafür ist definitiv vorhanden und lässt sich nicht wegdiskutieren.

Über TR-069 scheint man sich theoretisch erstmal alle potentiellen Angriffsziele im Kunden-LAN auflisten lassen zu können, um dann direkt mit einer "Konfigurationsänderung" den Zugriff möglich zu machen (sei es über "offizielles Portforwarding" oder über irgendwelche Backdoors).

Wie gesagt ... ich behaupte nicht dass die ISPs das tatsächlich tun ... aber wenn sie wollten könnten sie ... oder wenn man sie zwingt.

Besonders im Zusammenhang mit der Tatsache, dass Bestandskunden, die in der mitlerweile obsoleten Konstellation "Cisco KabelModem + privaten Router" bisher geschützt waren, konsequent und ohne direkt sichtbare Alternative auf die neuen und anfälligen "All-In-One"-Blackboxen umsgellt werden, halte ich das für brandgefährlich. Wenn dieses Projekt abgeschlossen ist sind 99% der Kunden anfällig und 99,9% komplett Ahnungslos welche Macht der ISP jetzt in den Händen hält!

Daran dass im Internet jedes Datenpaket potentiell aufgezeichnet und ausgelesen wird hat man sich ja gewöhnt.

Aber das mitlerweile auch großflächig ein solcher "Standardzugriffspfad" auf private Netzwerk-Shares usw. besteht, setzt dem ganzen Wahnsinn nochmal ziemlich einen drauf.


Inzwischen ist bei mir, gut 6 Wochen nachdem mein Cisco-Modem den Geist aufgegeben hat, die Umstellung auf den Business Tarif + Beantragung der statischen IP durch und ich surfe wieder sicher mit meinem DD-WRT zwischen mir und der Fritzbox. Die Mehrkosten (bzw. in meinem Fall das Downgrade vom Privat-Tarif mit 100Mbit auf Geschäftstarif mit 50Mbit) kann ich noch halbwegs mit dem Mehr an Service und den Servicegarantien rechtfertigen. (Auch wenn knallig garantierten 99,5% Verfügbarkeit sich bei genauerem Hinschaun als unterm Strich wachsweich und weit weniger herrausstellen).

Aber sei es drumm ... die eigene Firewall lässt mich erstmal ruhiger schlafen.

Für mich wäre die potentielle Gefährlichkeit des Themas etwas mit dem sich die üblichen Sensationsmagazine mal Abends im Fernsehen beschäftigen sollten.

Die Tatsache dass das nicht passiert spricht für mich Bände.
DerZweifler
Kabelneuling
 
Beiträge: 4
Registriert: 07.08.2014, 13:55

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon relaxxer » 08.08.2014, 01:53

Hallo DerZweifler,

danke für dein Feedback hier :-) Ich bin gerade sehr sehr happy, dass ich deine Antwort lese (passt einfach in mein Szenario) und es freut mich zu hören, dass bei dir soweit alles geklappt hat.
Ich überlege eventuell UM abzuschliessen, wobei ich noch sehr unschlüssig bin. Ich wohne in Köln und der Anschlusscheck sagt mir, dass an meiner Adresse alles von UM bereit gestellt werden kann.

Allerdings hätte ich ein paar Fragen an Dich und würde mich sehr darüber freuen, wenn Du mir eventuell antworten würdest.

1) Ich habe das Problem, dass ich definitv eine Verbindung brauche, die gebridged ist, da ich ungern auf meine HW Firewall meiner Zywall USG verzichen möchte. Es laufen dahinter getrennte Netzwerke mit Servern, VPN etc...! Ich liebe meine USG, da man wirklich alles erdenkliche einstellen kann und ich möchte auf keinen Fall auf diese verzichten, gerade in Bezug auf die Firewall mit IDP, ADP etc... Dieser Routerzwang bzw. die Unfähigkeit ein anständiges MODEM im Privatkundensektor bereit zustellen, ist einfach für solch ein Unternehmen lächerlich.
Wie ich sehe bist du auf business 50 umgestiegen, wo die Fritzbox 6360 von UM per config gebridged wird, so dass du dann DHCP technisch via statische IP verbinden kannst. Sind die statischen IPs jetzt IP4 oder IP6? Ich möchte nur sicherstellen, dass meine DDNS Funktion durch die statische IP nochgewährleistet ist via IP4 hoffentlich?!

2) Dadurch das deine Fritz 6360 nun gebridged ist, kannst Du doch trotzdem Dich immernoch auf das GUI der Box loggen oder wird das auch abgeschaltet, wie Firewall, WLAN usw...? Ich kenn das Teil nicht, daher frage ich sicherhaltshalber ;-)

3) Für WLAN nutze ich eine alte Fritz, welche in einem eigenem Netzwerk dank der USG liegt, so dass ich das WLAN der 6360 eh nicht genutzt hätte. Wie schaut es denn mit Telefoneinstellungen aus? Diese sind bzw. müssen diese weiterhin auf der 6360 sein oder kann ich diese auch irgendwie in meine alte Fritzbox übertragen, so dass man die von UM umgefrickelte 6360 sprich nur als MODEM nutzen würde / könnte?

4) Durch die Umstellung bzw. Bestellung auf Business 50 + Telefon, kann man schon fast wieder darüber nachdenken, eher auf vDSL 50 umzusteigen, da man um einiges flexibler in Bezug auf Hardware ist und jedes beliebige vDSL Modem nutzen kann. (Zyxel, Draytek haben da schöne Dinge im Angebot)
Ich erkenne hier schon kaum noch einen Vorteil, nur weil UM es einem so schwer macht. Auch der Upload bei vDSL ist doppelt so hoch im Vergleich zu Business 50 (also wie rein technisch angepriesen wird, ob es so ist, weiss man ja im Vorfeld nie)

5) Wodurch mir meine letzte Frage in Sinn kommt. Wieso hast Du nicht zu vDSL gewechselt?


Würde mich sehr freuen von Dir zu hören und danke vorab für Deine Feedbacks
Bye
relaxxer
relaxxer
Kabelneuling
 
Beiträge: 11
Registriert: 08.08.2014, 01:14

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon Knifte » 08.08.2014, 06:19

@relaxxer: Wenn du die Wahl zwischen Office Internet & Phon 50 und VDSL 50 hast, dann entscheide dich für VDSL.

Die meisten Kabelkunden werden Kabelinternet haben, weil dort kein schnelles DSL verfügbar ist.

Vorteile VDSL:
- freie Routerwahl
- vollwertiges Dual Stack
- höherer Upload
Viele Grüße

Knifte
jetzt:Bildvorher:Bild
UM 2play Premium 150.000 mit dem Cisco EPC 3208-Modem - ASUS RT-AC66U-Router - FritzBox 7490 - FritzFon C4
Knifte
Kabelkopfstation
 
Beiträge: 2573
Registriert: 18.04.2009, 21:19
Wohnort: Kreis Kleve

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon DerZweifler » 08.08.2014, 07:58

Hi Relaxxer,

In aller Kürze (Zeitmangel [:)])

1) Statische IP ist V4. DDNS Weiterleitung funktioniert wunderbar.

2) Jain ... Setting ist fritzbox -> DD-WRT Router -> LAN. Der Router hängt an einem der 4 LAN Ports der Fritzbox. In der Fritzbox selber kann ich explizit auswählen welcher Port gebridget werden soll. Auf dem Port bekommt das Gerät dahinter dann von KabelBW direkt eine IP zugewiesen. Allerdings kommt man erst nach der Registrierung als statische IP damit online.

Vom LAN hinter meinem Router komme ich nicht auf die Fritzbox. Aber ich müsste entweder das WLAN der Fritzbox anmachen oder mich an einen der 3 anderen Ports einstöpseln.

3) kann ich dir leider nicht sagen, müsste man ausprobieren. Mir reichts im Moment völlig wenn sie an der 6360 hängen.

4&5) Stimmt definitiv. Aber VDSL ist bei mir nicht ausgebaut. Die Alternativen sind KabelBW oder DSL < 16k
DerZweifler
Kabelneuling
 
Beiträge: 4
Registriert: 07.08.2014, 13:55

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon hajodele » 08.08.2014, 08:05

DerZweifler hat geschrieben:...
Besonders im Zusammenhang mit der Tatsache, dass Bestandskunden, die in der mitlerweile obsoleten Konstellation "Cisco KabelModem + privaten Router" bisher geschützt waren, konsequent und ohne direkt sichtbare Alternative auf die neuen und anfälligen "All-In-One"-Blackboxen umsgellt werden, halte ich das für brandgefährlich. Wenn dieses Projekt abgeschlossen ist sind 99% der Kunden anfällig und 99,9% komplett Ahnungslos welche Macht der ISP jetzt in den Händen hält!

Für viele Kunden wäre das wirklich der bessere Weg, wenn im Support tatsächlich jemand erreichbar wäre, der Ahnung hat.
Bis Mitte 2012 wurden nur Modems verteilt. Die 6360 gab es nur wegen der Telefonie (ISDN-Option).
Die Bundesnetzagentur hat im Frühjahr einen Entwurf zu einer neuen Verordnung "Mehr Transparenz bei Breitbandanschlüssen" veröffentlicht. In der Praxis geht es genau darum, dass die Kunden die Möglichkeit haben sollen, eigene Router zu verwenden. Die Verordnung wurde bereits ordentlich zerrupft. Wann sie in welcher Form tatsächlich Gesetz wird und ab wann die Übergangsfristen abgelaufen sind steht auf einem anderen Blatt.

DerZweifler hat geschrieben:Aber das mitlerweile auch großflächig ein solcher "Standardzugriffspfad" auf private Netzwerk-Shares usw. besteht, setzt dem ganzen Wahnsinn nochmal ziemlich einen drauf.
...
Für mich wäre die potentielle Gefährlichkeit des Themas etwas mit dem sich die üblichen Sensationsmagazine mal Abends im Fernsehen beschäftigen sollten.

Die Tatsache dass das nicht passiert spricht für mich Bände.

Dieser Pfad ist nicht neu. Nach dem Sicherheitsleck bei den Fritzboxen Anfang des Jahres hat man sich auch in verschiedenen Publikationen über diese Problematik ausgelassen.
Zum damaligen Zeitpunkt hat dich wahrscheinlich das Thema einfach nicht interessiert.
hajodele
Kabelkopfstation
 
Beiträge: 3945
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon hajodele » 08.08.2014, 08:10

zu 3)
Die Übertragung kann entweder über ISDN erfolgen (dann halt nur 2 Parallel-Anrufe).
oder wahrscheinlich über "LAN/WLAN"-Telefoniegeräte.
hajodele
Kabelkopfstation
 
Beiträge: 3945
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Nächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 52 Gäste