- Anzeige -

Security: Wie weit kommt der ISP in mein LAN?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon tq1199 » 08.08.2014, 09:31

DerZweifler hat geschrieben:Aber ich müsste entweder das WLAN der Fritzbox anmachen ...

Kannst Du das WLAN deiner FB6360 noch benutzen (... weil Du eine statische IP-Adresse hast)? Denn lt. deinem Provider:
Für Kunden, die eine / fünf statische IP-Adressen nutzen:
Die AVM FRITZ!Box 6360 Cable ist für die Nutzung mit statischen
IP-Adressen konfiguriert. Sie fungiert in dieser Konfiguration als eRouter/Kabelmoden und IP-basierte Telefonanlage. Die Funktionen WLAN, DHCP, NAT und Firewall sind deaktiviert. Sie können Ihren eigenen Router an die FRITZ!Box 6360 Cable anschließen und über diesen Ihre(n) Server einbinden. Die Telefoniefunktionen der FRITZ!Box 6360 Cable stehen Ihnen weiterhin zur Verfügung, u. a. gleichzeitig mit bis zu 3 Kabel BW-Rufnummern telefonieren (max. 2 Telefonate gleichzeitig über den S0-Bus), DECT Basisstation, Anrufbeantworter, Fax inkl. E-Mail-Weiterleitung.


Quelle: Eingeschränkter Funktionsumfang bei statischen IP-Adressen (siehe dort Konfigurationshinweise)

EDIT:

Wie ist die Bezeichnung der Konfigurationsdatei deiner FB6360?
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon DerZweifler » 08.08.2014, 10:56

Die zitierte Aussage ist so nicht ganz korrekt: Wie gesagt, die FB hat 4 LAN Ports. Im FB Interface kann ich 3 davon auf "Bridge" umschalten. (Port 2,3 und 4, warum auch immer ...). Danach bekommen die Geräte hinter dem geschalteten Port von Kabel BW (nicht von der FB!) eine IP zugewiesen. Der Netzwerkverkehr an diesem einen Port wird dann von der FB nichtmehr geNATet.


Aber die FB selber hat weiterhin auch eine Dynamische WAN IP. Ich kann auf der FB auch immernoch ganz normal DHCP/NAT/Internet an den anderen LAN-Ports oder über das FB WLAN nutzen. Das funktioniert weiterhin, habs getestet.

Der Punkt ist nur: ich werds so garantiert nicht nutzen. Höchstens mal temporär, wenn ich ganz dringend in das FB Interface muss :smile:
DerZweifler
Kabelneuling
 
Beiträge: 4
Registriert: 07.08.2014, 13:55

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon tq1199 » 08.08.2014, 11:05

DerZweifler hat geschrieben:Die zitierte Aussage ist so nicht ganz korrekt: ... Ich kann auf der FB auch immernoch ganz normal DHCP/NAT/Internet an den anderen LAN-Ports oder über das FB WLAN nutzen. Das funktioniert weiterhin, habs getestet.

Danke für die Info.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon josen » 10.08.2014, 11:39

Hallo,

der Angriffspfad ist sogar noch einfacher, wenn man mal die rechtlichen Rahmenbedingungen außen vor lässt. Nur rein hypothetisch gesprochen.

1. Mittels TR-069 Telnet auf der Fritz!Box aktivieren
2. Beliebige Programme auf die Fritz!Box hochladen
* Beispiele:
- NMAP
- SOCKS-Proxy
- FinFIsher Client
3. Profit!

Du kannst nichts gegen deinen ISP tun. Dem musst du vertrauen. Oder so wie ich eine pfSense mit anonymem VPN dahinter laufen haben und dann eben dem VPN-Anbieter vertrauen.

Grüße
Benutzeravatar
josen
Co-Administrator
 
Beiträge: 341
Registriert: 20.11.2008, 13:54

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon SpaceRat » 10.08.2014, 23:12

josen hat geschrieben:1. Mittels TR-069 Telnet auf der Fritz!Box aktivieren


Man kann TR-069 auf der Fritz!Box auch deaktivieren. Allerdings nicht bei einer Kabelfritte (Weil man da nicht wirklich "rein" kommt), wohl aber auf einer Fritte hinterm klassischen Kabel-Modem.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon koax » 15.08.2014, 06:47

Wird mal wieder aktuell, denn es ist wohl weniger (oder nicht nur) der Provider, vor dem man Angst haben muss:
http://www.heise.de/newsticker/meldung/Def-Con-22-Millionen-DSL-Router-durch-TR-069-Fernwartung-kompromittierbar-2292576.html
Benutzeravatar
koax
Kabelkopfstation
 
Beiträge: 3931
Registriert: 09.12.2007, 11:43
Wohnort: Köln

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon hajodele » 15.08.2014, 07:58

koax hat geschrieben:Wird mal wieder aktuell, denn es ist wohl weniger (oder nicht nur) der Provider, vor dem man Angst haben muss:
http://www.heise.de/newsticker/meldung/Def-Con-22-Millionen-DSL-Router-durch-TR-069-Fernwartung-kompromittierbar-2292576.html

Danke :super: aber nur für die Info
Sonst :wein:

Man bin ich froh, dass ich VDSL habe und TR-069 normalerweise deaktiviert habe.
Dadurch, dass ich Zugriff auf alle Passwörter habe, funktioniet bei mir ja trotzdem alles.

Leider geht bei den von mir betreuten Familien im Be- und Verwandtenkreis nur Kabel :wein:

Die Hoffnung liegt jetzt wieder mal beim Gesetzgeber, der sich nach der Sommerpause hoffentlich zügig ohne zu lange Übergangsfristen um die Router-Transparenz kümmern wird.
hajodele
Kabelkopfstation
 
Beiträge: 3946
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon thorium » 15.08.2014, 08:35

Die Horizon Geschichte macht das alles hier auch nicht zwingend transparenter. Komfort Zugewinn für den 0815-Ahnungslos-Apple Nutzer wird hier mit potentiell völligem Entgleiten der Kontrolle über das eigene LAN erkauft.


Der Sicherheitsexperte empfiehlt Anwendern, TR-069 über das Web-Interface zur Konfiguration abzuschalten. Sollte dies nicht machbar sein, sollten Kunden ihren ISP nach einer neueren Firmware fragen, die dies zulässt.
:D

Ich schätze ein Kinderbrief an den Weihnachtsmann hat mehr Erfolgsaussicht.
_______________________________________________________________
SKY ohne UM auf UM02 & Telekom IPTV @ Dreamboxen, Fritz 7490 VDSL50


Wann auch SKY Kabel-Kunden in den Genuss der neuen HD-Sender kommen werden, ist bisher noch nicht bekannt.
Benutzeravatar
thorium
Glasfaserstrecke
 
Beiträge: 1792
Registriert: 09.03.2008, 20:50

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon thorium » 15.08.2014, 08:42

hajodele hat geschrieben:
Die Hoffnung liegt jetzt wieder mal beim Gesetzgeber, der sich nach der Sommerpause hoffentlich zügig ohne zu lange Übergangsfristen um die Router-Transparenz kümmern wird.


...und sich endlich den EU Vorgaben fügt...
_______________________________________________________________
SKY ohne UM auf UM02 & Telekom IPTV @ Dreamboxen, Fritz 7490 VDSL50


Wann auch SKY Kabel-Kunden in den Genuss der neuen HD-Sender kommen werden, ist bisher noch nicht bekannt.
Benutzeravatar
thorium
Glasfaserstrecke
 
Beiträge: 1792
Registriert: 09.03.2008, 20:50

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitragvon reset » 15.08.2014, 11:21

Hier auch mal ein Artikel von der Def Con 22 dazu: http://www.golem.de/news/security-lueck ... 08607.html

Gruß reset
Benutzeravatar
reset
Glasfaserstrecke
 
Beiträge: 1367
Registriert: 10.09.2009, 11:48
Wohnort: Frankfurt am Main (Höchst)

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Yahoo [Bot] und 16 Gäste