- Anzeige -

6320 Offene Ports, evtl. Sicherheitsleck?

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

6320 Offene Ports, evtl. Sicherheitsleck?

Beitragvon Fell » 21.09.2013, 16:37

Ich habe gestern eine neue FB6320 erhalten + Router und habe wie ich es standardmäßig tue nach der INstallation einen Portcheck gemacht.
Die TC7200 die ich davor hatte hatte mir bei den IPv4 sowie IPv6 Open Portcheck immer alles als Stealth (optimal) angezeigt was ja auch so sein sollte.

Die Fritze jedoch bringt mir bei unterschiedlichen Ports aber immer wieder eine andere Meldung und zwar PHBTD bei IPv6.
Erst dachte ich ok, ich habe mich verguckt und habe danach noch einmal einen IPv6 Portcheck gemacht und dort wurden wieder Ports als PHBTD angezeigt, allerdings andere.
Auch habe ich die direkte LAN-Leitung an der Fritzbox probiert sowie die Leitung an dem dahintergeschaltenem zusätzlichen Router (der als AP und Switch dient). Gleiches Ergebnis.

Auch habe ich in der Fritzbox dazu keine Einstellungen gefunden.

Zur Erklärung:
Stealth bedeutet: Wird die IPv6 mit einem Port aufgerufen antwortet der Router einfach darauf nicht. Der Angreifer weiß somit nicht ob die Maschine hinter dem Router ist oder nicht.
PHBTD bedeutet: Eine administrative Instanz (z.B. der Router) verbietet den Kontakt. Der Angreifer weiß somit ok, da ist ein Rechner an der IPv6 aber der Kontakt wird verboten.

Da mir das keine Ruhe lies, habe ich heute AVM kontaktiert und dort war man doch sehr erstaunt da dieses Ergebnis nicht auftreten dürfte. Ich muss nun ein Logfile erstellen während ich diesen Test mache und dann hoffen wir mal das das geklärt wird. Szenarien gehen über: Das hat nur meine Box bis zu es gibt ein neues Firmware-Update.
Auf meine Nachfrage ob ich einfach mal andere Leute die die 6320 haben auch fragen soll hieß es ja das würde einiges helfen. Deshalb frage ich bei euch an:
Habt ihr das auch?

Ihr könnt dies testen indem ihr hier: http://ipv6.chappell-family.com/ipv6tcptest/ den 1. Check macht. Es sollten alle Ports grün also als Stealth erscheinen.
Probiert auch das ganze mehrfach nacheinander ob sich die PHBTD Ports ändern bitte.

//EDIT:
Sofern sich hier Leute finden die das gleiche Problem haben werde ich das natürlich in der Support-Mail mit aufnehmen.
Fell
Kabelneuling
 
Beiträge: 11
Registriert: 18.09.2013, 17:53


Re: 6320 Offene Ports, evtl. Sicherheitsleck?

Beitragvon Fell » 22.09.2013, 05:16

Das ist es ja eben. Es sind verschiedene. Sprich einmal sind es Port A, B und C. Und beim nächsten mal sind es die Ports D, E und F.

Sprich beim 2. Versuch kann es zum Beispiel sein das die Ports aus dem ersten Versuch als STEALTH angezeigt werden...
Das ganze sieht für mich als Laie so aus als würde der Router mit dem STEALTH nicht hinterher kommen. Genau deshalb frage ich ja ob bei dem Test das bei euch auch so ist. Leider kenne ich nicht soviele IPv6 Tests bisher und auf die oben genannte Seite bin ich doch immer wieder gestoßen bei meiner Suche nach IPv6-Port Tests.


Deshalb nochmals:
Checkt einfach mal diese Portreihe wo da vorgeschlagen wird und schaut das Ergebnis an. Sollte da etwas mit PHBTD auftauchen (also Ports PHBTD sein) wiederholt einfach mal den Test ob dann andere und/oder gleiche Ports wieder den Status haben. Wenn das bei euch auch wechselt und ihr keine Ports freigegeben habt tjoar dann wirds interessant.


Wenn das mehrere haben werde ich das wie gesagt auch per Mail so weitergeben (verlinke dann hier auf den Thread).
Fell
Kabelneuling
 
Beiträge: 11
Registriert: 18.09.2013, 17:53

Re: 6320 Offene Ports, evtl. Sicherheitsleck?

Beitragvon piotr » 22.09.2013, 09:52

Gar nicht antworten (drop) ist für eine Firewall sogar einfacher zu handhaben als eine abweisende Antwort (reject) zu senden.

Kann es vielleicht sein, dass Du vor dem Test etwas auf der FB verändert hast?

Wenn Du Deinen PC freigegeben hast, geht IPv6 hier bis zu Deinem PC durch. Ohne NAT.
D.h. die Antworten sind dann eher von Deinem PC.
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26


Re: 6320 Offene Ports, evtl. Sicherheitsleck?

Beitragvon Fell » 22.09.2013, 16:44

piotr hat geschrieben:Gar nicht antworten (drop) ist für eine Firewall sogar einfacher zu handhaben als eine abweisende Antwort (reject) zu senden.

Kann es vielleicht sein, dass Du vor dem Test etwas auf der FB verändert hast?

Wenn Du Deinen PC freigegeben hast, geht IPv6 hier bis zu Deinem PC durch. Ohne NAT.
D.h. die Antworten sind dann eher von Deinem PC.


Bei der FB wurde nichts geändert alos keine weiteren Portfreigaben durchgeführt. Sprich Standard, Außer den Portfreigaben kann man ja die NAT an sich nicht deaktivieren bei der FB (zumindest habe ich dazu keine Option).
Fell
Kabelneuling
 
Beiträge: 11
Registriert: 18.09.2013, 17:53

Re: 6320 Offene Ports, evtl. Sicherheitsleck?

Beitragvon Fell » 22.09.2013, 17:01

josen hat geschrieben:Hallo,

wie ich bereits sagte: Benenne bitte die Ports. Am besten dann kenntlich machen, zu welchen Testreihen welche Ports offen waren.
Dazu bitte kurz überfliegen: Wie man Fragen richtig stellt: Beschreibe die Problemsymptome, nicht deine Vermutungen

Grüße



Es sind bei jeder Testreihe (jedes mal gleicher Test gleiche Portreihe die von der Webseite vorgeschlagen wird) andere Ports betroffen. Ich möchte eigentlich auch nicht wissen welche Ports von euch betroffen sind sondern edeiglich ob ihr die gleichen Symptome habt.

Heißt:
Symptom:
Die hier aufgeführten Ports: http://www6.ipv6.chappell-family.co.uk/ ... can-js.cgi sind untershciedlich betroffen. Führe ich den Test aus sind z.B. 5 beim ersten mal betroffen beim nächsten mal 6 andere oder teilweise auch gleiche. Es gibt hier kein Muster.
Sprich ich kann auch 5 Testreihen machen und es gibt kein Muster bei dem ganzen da ohne Änderung der FB oder Portfrreigaben dennoch Portanfragen unterschiedlich beantwortet werden (getan und probiert).

Gewolltes Ziel:
Ob nur meine FB betroffen ist oder aber die ganze 6320 Reihe.

Sprich selbst wenn ich Nicht-Standard-Portfreigaben definiert hätte (also ich welche hinzugefügt hätte die nicht automatisch bei der FB freigegeben waren), was ich aber nicht habe, dürfte so etwas nicht passieren da ja eben wechselnde Ports beantwortet werden. Das einmal Port A als STEALTH beantwortet wird und danach auf einmal als PHBTD und Port b als PHBTD und danach auf einmal STEALTH ist, ist eben ein Verrhalten das zumindest mir absolut unbekannt ist.

Lösung (für mich):
Ich werde jetzt die gewünschten Support-Files an AVM schicken, denn ehrlich gesagt habe ich das Problem schon mehrfach nun genau benannt und auch erklärt und irgendwie kommt es mir so vor als müsste ich mich hier rechtfertigen. Ich frage lediglich ob dieses Phänomen auch andere haben und wenn ja das eben dieses laut Aussage der AVM-Hotline eben so nicht sein sollte.
Fell
Kabelneuling
 
Beiträge: 11
Registriert: 18.09.2013, 17:53

Re: 6320 Offene Ports, evtl. Sicherheitsleck?

Beitragvon NoGi » 22.09.2013, 17:32

Fell hat geschrieben:Es sind bei jeder Testreihe (jedes mal gleicher Test gleiche Portreihe die von der Webseite vorgeschlagen wird) andere Ports betroffen. Ich möchte eigentlich auch nicht wissen welche Ports von euch betroffen sind sondern edeiglich ob ihr die gleichen Symptome habt.

Heißt:
Symptom:
Die hier aufgeführten Ports: http://www6.ipv6.chappell-family.co.uk/ ... can-js.cgi sind untershciedlich betroffen. Führe ich den Test aus sind z.B. 5 beim ersten mal betroffen beim nächsten mal 6 andere oder teilweise auch gleiche. Es gibt hier kein Muster.
Sprich ich kann auch 5 Testreihen machen und es gibt kein Muster bei dem ganzen da ohne Änderung der FB oder Portfrreigaben dennoch Portanfragen unterschiedlich beantwortet werden (getan und probiert).


Ich kann m1ch anstellen wie ich will, ich bekomme die IPv6 Adresse der FB6340 nicht getestet. Ich sehe beim Test immer nur die
IPv6 Adresse meines Rechners, nicht die der FB.

-NoGi
NoGi
Übergeordneter Verstärkerpunkt
 
Beiträge: 572
Registriert: 08.11.2012, 11:59
Wohnort: Metropolregion Rhein-Neckar

Re: 6320 Offene Ports, evtl. Sicherheitsleck?

Beitragvon Fell » 22.09.2013, 20:34

NoGi hat geschrieben:
Fell hat geschrieben:Es sind bei jeder Testreihe (jedes mal gleicher Test gleiche Portreihe die von der Webseite vorgeschlagen wird) andere Ports betroffen. Ich möchte eigentlich auch nicht wissen welche Ports von euch betroffen sind sondern edeiglich ob ihr die gleichen Symptome habt.

Heißt:
Symptom:
Die hier aufgeführten Ports: http://www6.ipv6.chappell-family.co.uk/ ... can-js.cgi sind untershciedlich betroffen. Führe ich den Test aus sind z.B. 5 beim ersten mal betroffen beim nächsten mal 6 andere oder teilweise auch gleiche. Es gibt hier kein Muster.
Sprich ich kann auch 5 Testreihen machen und es gibt kein Muster bei dem ganzen da ohne Änderung der FB oder Portfrreigaben dennoch Portanfragen unterschiedlich beantwortet werden (getan und probiert).


Ich kann m1ch anstellen wie ich will, ich bekomme die IPv6 Adresse der FB6340 nicht getestet. Ich sehe beim Test immer nur die
IPv6 Adresse meines Rechners, nicht die der FB.

-NoGi


Ist ja soweit auch korrekt da du ja mittels deines PC's den Test aufrufst und nicht über den Router. Die Ergebnisse dort laufen ja aber über die Fritzbox zu deinem PC und sollten somit von der Firewall der FB gecheckt werden bzw. gefiltert werden. Sprich alles läuft ja über die Firewall der Fritzbox und eben da sollte die Fritzbox eingreifen und das ganze verhindern.
Wurden bei dir PHBTD Ports gefunden und wennja habend ie sich bei einem nochmaligen Check geändert? Oder alle Stealth?

//EDIT: 6340? Ich habs um die 6320 :smile:
Fell
Kabelneuling
 
Beiträge: 11
Registriert: 18.09.2013, 17:53

Re: 6320 Offene Ports, evtl. Sicherheitsleck?

Beitragvon NoGi » 23.09.2013, 00:28

Fell hat geschrieben:
Ist ja soweit auch korrekt da du ja mittels deines PC's den Test aufrufst und nicht über den Router. Die Ergebnisse dort laufen ja aber über die Fritzbox zu deinem PC und sollten somit von der Firewall der FB gecheckt werden bzw. gefiltert werden. Sprich alles läuft ja über die Firewall der Fritzbox und eben da sollte die Fritzbox eingreifen und das ganze verhindern.
Wurden bei dir PHBTD Ports gefunden und wennja habend ie sich bei einem nochmaligen Check geändert? Oder alle Stealth?

//EDIT: 6340? Ich habs um die 6320 :smile:


So, ich hab's jetzt noch ein paar mal versucht.
Mit geschlossener Firewall meldet das Tool nach einem Zufallsmuster stealth bzw. prohibited.
Wenn ich die FritzBox öffne und das Tool gegen meine Linux Firewall laufen lasse, bekomme ich
wie zu erwarten den offenen SSH Port angezeigt und alle anderen zeigen "stealth" (ist halt so eingestellt).

Entweder hat das Tool einen Schuss und zeigt prohibited willkürlich an, oder die Programmierer der FB-Firewall treiben
Verwirrspielchen bei einem port scan.

-NoGi
NoGi
Übergeordneter Verstärkerpunkt
 
Beiträge: 572
Registriert: 08.11.2012, 11:59
Wohnort: Metropolregion Rhein-Neckar

Nächste

Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: Yahoo [Bot] und 7 Gäste