• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Vodafone Hardware - Wie geht der OFT weiter?

Diskutiere Vodafone Hardware - Wie geht der OFT weiter? im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon bei Unitymedia; Genau deswegen (fehlender Bridge Mode wegen DS-Lite) nehme ich am OFT mit der VF Station nicht mehr teil. Habe keine Lust das immer weider...

monster

Beiträge
204
Reaktionen
0
Genau deswegen (fehlender Bridge Mode wegen DS-Lite) nehme ich am OFT mit der VF Station nicht mehr teil.
Habe keine Lust das immer weider umzubasteln.
 

phantasio77

Beiträge
48
Reaktionen
0
Hallo zusammen, ich organisiere mein Netzwerk gerne so, dass ich über die statischen DHCP Einträge bestimmten Geräten trotz DHCP Server eine bestimmt Ip und den Klarnamen des Geräts zuweise. Diese Möglichkeit bietet die VS genauso schön wie die Fritzboxen. Ich habe aber das Problem, dass ich damit 5-6 Geräten was zuweisen kann und dann friert die Oberfläche ein, wenn ich einem weiteren Gerät eine Ip zuweisen will. Hat noch jemand das Problem oder sogar eine Lösung dafür ?
 

Meco

Beiträge
29
Reaktionen
0
Gibt es hier eigentlich OFT Nutzer die Dualstack (Powerupload /40Up) provisoniert bekommen ?
 

rv112

Beiträge
3.517
Reaktionen
17
Dass Du den Router nicht erreichen kannst. Weiterhin weiß man nicht was der Router davor schon Filtert usw. Eine unnötige weitere Störquelle die man sich sparen sollte.
 
  • Gefällt mir
Reaktionen: DerMaas

addicted

Beiträge
4.579
Reaktionen
15
Doppeltes NAT ist zum Beispiel tödlich für Anwendungen, die dynamisch eingehende Verbindungen erlauben müssen. Mit UPnP können in der Firewall z.B. Ports geöffnet werden – aber nur an einem Router, nicht an mehreren hintereinander.
Auch z.B. Protokolle wie STUN, SIP oder Hole Punching können bei doppeltem NAT in Probleme laufen, wenn die Router nicht gut zusammenspielen.

Der manchmal genannte kleine Sicherheitsgewinn (Abschottung des internen Netzes von einem Providergerät) ist zwar gegeben, aber dieser ist trivial auch durch den Einsatz eines einzelnen, besseren Routers zu erreichen.

Daher hat doppeltes NAT eher Nachteile.
 

rv112

Beiträge
3.517
Reaktionen
17
Sicherheit und NAT ist doch Quatsch und mit IPv6 eh Geschichte.
 
DerMaas

DerMaas

Beiträge
80
Reaktionen
6
Wenn ich das WLAN an der Vodafone Station abschalten würde und das Orbi System per LAN verbinden und als Access Point einrichten würde sollte es aber gehen oder?
 

Tom_123

Beiträge
64
Reaktionen
3
Hi,

jop, sollte klappen.
Dann hättest du das NAT des Orbi Systems eliminiert. Die Vodafone Station übernimmt dann die komplette Routerfunktion (NAT, Portfreigaben, DHCP, DNS usw.).
 
  • Gefällt mir
Reaktionen: DerMaas

addicted

Beiträge
4.579
Reaktionen
15
Sicherheit und NAT ist doch Quatsch und mit IPv6 eh Geschichte.
Wie gesagt, es geht darum, einen vom Provider kontrollierbaren Router vom LAN zu trennen.
1. NAT ist nicht der Teil, der dabei die zusätzliche Sicherheit gewährt, sondern die zusätzliche Firewall.
2. Bei IPv6 ist es noch relevanter, weil da im LAN noch mehr Multicast gemacht wird als mit IPv4 :)
 

rv112

Beiträge
3.517
Reaktionen
17
Bevor ich den Umweg eines Providerrouters gehe, der nach wie vor volle Kontrolle über das Gerät hat, hänge ich mir doch lieber einen eigenen Router, oder ein Modem dran und dahinter einen vernünftigen Router. Alles andere ist doch als würde der Briefträger die Post erst noch einem weiteren Mitarbeiter der in meinem Haus wohnt geben, der sie dann in meinen Briefkasten wirft.
 
boba

boba

Beiträge
753
Reaktionen
17
Wie gesagt, es geht darum, einen vom Provider kontrollierbaren Router vom LAN zu trennen.
Meinst du das wirklich ernst? Ich kann diese Paranoia (sorry) nicht nachvollziehen. Es gibt kein Indiz darauf, dass Unitymedia als Provider, wie auch alle anderen Provider in Deutschland, über die von ihnen gestellten Routergeräte in die LANs seiner Kunden hineinschaut.

Viel wahrscheinlicher ist ein Angriff von innen, z.B. durch einen Virus/Trojaner, den irgendeine Maschine im LAN einfängt, und die dann im LAN die Privatsphäre gefährdet. Ganz am Router vorbei. Auch gerne ein Laptop, den man mitnimmt, der sich "draußen" was einfängt, und den man dann zuhause wieder ins lokale Netz einhängt.

Deshalb muss heutzutage jede einzelne Maschine im LAN für sich mit best practice abgesichert sein als ob sie direkt im Internet hängt, also die lokale Firewall und die lokalen Anmeldeverfahren entsprechend sicher eingestellt. Der Router ist da nur ein Sicherheitsaspekt von vielen. Man muss alle Aspekte gleichmäßig härten und darf sich nicht darauf verlassen, einen Aspekt (Doppel-NAT/Firewall mit 2 Routern) extrem zu härten und damit sämtliche potentiellen Angriffe ausgesperrt zu haben. Viel wichtiger ist es, eine mehrstufige Absicherung zu bauen. Deren einzelne Sicherheitsaspekte multiplizieren sich, und die gesamte Kette ist weniger anfällig ist als nur nur ein extrem abgeschottetes LAN als einzige Komponente.

Es gibt ja Leute, die meinen sie haben ihr lokales Netz total abgeschottet und könnten dann im LAN tun was sie wollen. Triviale oder keine Passwörter, keine lokalen Firewalls, Windows Benutzeraccountkontrolle abgeschaltet, keine Windows Updates, kein Virenscanner usw... Hauptsache im Router die Verbindungen kontrolliert, das LAN ist ja "sicher". Das hält keinem wirklichen Angriff stand.
 

addicted

Beiträge
4.579
Reaktionen
15
Diskutiert das nicht mit mir, ich würde sowas nicht machen.

Aber die Möglichkeit des Zugriffes auf den Kabelrouter besteht in jedem Fall und die kannst Du auch nicht mit "gibt keine Indizien, dass das irgendwer machen würde" wegfegen. Ob eine Sicherheitslücke aktiv ausgenutzt wird, ändert höchstens noch die Dringlichkeit, mit der man sie beheben sollte.
Außerdem würde ich auch keinem Provider mehr trauen, der sich so übel gegen die Endgerätefreiheit streubt wie die Kabelnetzbetreiber das getan haben. Keine Indizien my ass.

Gegen den Rest Deines Beitrages habe ich nichts einzuwenden, @boba.
 

rv112

Beiträge
3.517
Reaktionen
17
Gerade Geräte die weit verbreitet sind, sind besonders interessant für Hacks. Wenn ich mitbekomme was die ISP teils allein via TR-069 anstellen und was man heutzutage alles im eigenen Netzwerk hängen hat, würde ich persönlich mit so einer Wunderkiste ja schon nervös werden. Wer das nicht wird hat meinen Respekt.
 
boba

boba

Beiträge
753
Reaktionen
17
@rv112 Jedes Gerät hat Sicherheitslücken. Ausnahmslos jedes. Sie muss nur gefunden werden. Dann wird sie gepatcht. Und dann gehts wieder von vorne los. Wer sich davon nervös machen lässt, der sollte nicht ins Internet gehen. Hilfreich ist ein pragmatischer Denkansatz: zum einen verhält sich der Provider gesetzeskonform. Sonst könnte er seinen Betrieb nicht ausüben, und du wärst nicht sein Kunde. Er spioniert nicht in Kunden-LANs hinein, weil das gesetzwidrig ist, und er konfiguriert mutwillig auch keine Sicherheitslücken, weil er dann schadensersatzpflichtig den Kunden gegenüber werden könnte. Bei Millionen von Kunden könnte das teuer werden. Zum anderen bin "ich" (also auch du und jeder einzelne hier) völlig uninteressant zum gehackt werden. Also entweder alle, über eine Sicherheitslücke, oder niemand, weil sich niemand wirklich für einen interessiert. (ich hoffe, ich stoße niemanden vor den Kopf, wenn ich euch offenbare, dass ihr völlig unwichtig zum gezielt gehackt werden seid)

Was als realistisches Angriffsszenario bleibt, ist die Sicherheitslücke, und die steckt nicht nur im Router, sondern in allen Geräten, die man einsetzt. Dazu gibt es die best practice, wie man Netze und Computer aufsetzt, und wer die beachtet, der ist nach aktuellem Kenntnisstand vor automatisierten Angriffen ausreichend geschützt. Wer die beachtet, ist besser geschützt als diejenigen, die sie nicht beachten, und da haben wir das Kanonenfutter, an das sich die Hacker zuerst machen: an die, die die best practice nicht beachten. Wir, die wir die best practice beachten, kommen erst hinterher dran. Und das dauert, weil die, die sie nicht beachten, durchaus eine gewisse Menge darstellen, die erstmal abgearbeitet werden muss. Doppel-NAT mit 2 Routern ist unter dem Gesichtspunkt kein best practice, sondern ein Umstand, der Workarounds nötig macht, die wiederum ihrerseits Sicherheitslücken aufreißen könnten. Es ist also nicht gesagt, dass das überhaupt die Sicherheit erhöht - möglicherweise erniedrigt es sie sogar.
 

rv112

Beiträge
3.517
Reaktionen
17
Wie schnell die ISP Firmware einspielen haben wir ja schon gesehen. Wie viele Lücken sind nicht bekannt? Gerade dann sind Geräte die in großer Zahl vorhanden sind interessant.
Natürlich sind Geräte im LAN noch gefährlicher. Darum setzt man sie im Zweifel ja auch in ein eigenes VLAN. Meine IP Cams würden zu gerne ihre Bilder nach Baidoo senden und andere chinesische Unternehmen. Daher braucht es auch eine Outboundfirewall. Alles Dinge die ein Billigstgerät nicht kann. Ganz zu schweige fehlender Logs. Wenn es ein Problem oder Zweifel gibt, kann ich sie nicht mal eingrenzen. Und das müssen nicht nur Firewall Logs oder States sein, das können auch schon DHCP Logs sein usw.
TR-069 kann nicht mal deaktiviert werden, was soll das? Und das ist nur ein Beispiel: https://netzpolitik.org/2016/tr-069-die-telekom-und-das-was-wirklich-geschah/
 
Zuletzt bearbeitet:

websurfer83

Moderator
Beiträge
907
Reaktionen
13
In Sachen IT-Sicherheit wird es immer unterschiedliche Meinungen geben. Ich hatte z.B. mal einen Kollegen, der der Meinung war, jeder Server muss in ein eigenes VLAN, so dass im Falle eines Falles keine Ausbreitung einer Infektion auf andere Rechner möglich sei. Das hört sich zunächst einmal gut an, jedoch wird das Setup bei vielen Servern schnell sehr komplex und die Firewall muss entsprechend sauber konfiguriert sein. Der Haken an der Sache war, dass die Config so komplex wurde, dass niemand außer ihm mehr verstanden hat, was denn nun wie geroutet wird und was nicht. Und ein Doppel-NAT mit zwei Routern kann sehr schnell in eine ähnliche Richtung laufen. Trotz aller Sicherheitsmaßnahmen, die gut und wichtig sind, sollte die Komplexität nicht zu hoch werden, da hier neue Fehlerquellen drohen, die das Gesamtsystem auch unsicherer machen können.

Deshalb bin ich da ganz bei @boba: Man sollte sich an die Best Practises halten und die Netze so gut es geht absichern, aber nicht durch wenige Einzelmaßnahmen, sondern jede einzelne Komponente betrachten und die nötigen Maßnahmen zur bestmöglichen Sicherheit ergreifen. Bei "normalen" Clients mit Windows, Linux usw. bedeutet das, dass sowohl Betriebssystem, Anwendungen, Treiber als auch Firmware/BIOS stets aktuell gehalten werden müssen. Damit verringert man die Gefahr eines Angriffs bereits deutlich, da Zero Days, welche noch nicht gepatcht wurden, eher wenig angegriffen werden, weil sich die Masse der Kriminellen auf die Ziele konzentriert, welche schnell viel Erfolg versprechen.

Bei anderen Clients wie Mobilgeräten, IoT-Devices usw. ist der Software-Support oft eher Mangelware. Solche Devices gehören stets vom "Produktiv-Netz" getrennt in eine separates Netz/VLAN, für welches strengere Firewall-Regeln gelten und eben kein Zugriff auf andere Netzbereiche gestattet wird. So kann man eine Ausbreitung einer Infektion weitestgehend verhindern.

Darüber hinaus gehören möglicherweise schwer beherrschbare Komponenten wie z.B. NAS-Appliances NIE aber auch GAR NIE direkt ins Internet, sprich keine Port-Weiterleitungen, Freigaben, Cloud-Anbindungen oder was auch immer. Diese Geräte erhalten Updates oft sehr zeitverzögert im Gegensatz zu "normalen" Linux-Distributionen. Zudem implementieren die Hersteller dieser Appliances ihre eigenen Dienste oft eher "quick and dirty". Sollte ein Zugriff auf solche Geräte von außen erforderlich sein, dann bitte ausschließlich eine entsprechend abgesicherte VPN-Verbindung. Und auch hier gibt es genügend Fallstricke, die man vermeiden sollte, wie z.B. IKEv1 mit dem Aggressive Mode ist nicht mehr state-of-the-art.

Man sollte in Sachen IT-Sicherheit stets selbst auf dem aktuellen Stand bleiben und seine Maßnahmen daran anpassen. Ich kenne auch Kollegen, die der Meinung sind, eine vor 15 Jahren (!) selbst aufgesetzte Linux-Firewall mit einem Uralt-SUSE-Linux 8.0 wäre noch heute "sicher", weil "Linux ja sicher ist". Denen kann ich leider auch nicht mehr helfen, die leben in ihrer eigenen Welt, die jedoch nichts, aber auch gar nichts mit der heutigen Realität zu tun hat.
 
  • Gefällt mir
Reaktionen: boba

rv112

Beiträge
3.517
Reaktionen
17
Bei anderen Clients wie Mobilgeräten, IoT-Devices usw. ist der Software-Support oft eher Mangelware. Solche Devices gehören stets vom "Produktiv-Netz" getrennt in eine separates Netz/VLAN, für welches strengere Firewall-Regeln gelten und eben kein Zugriff auf andere Netzbereiche gestattet wird. So kann man eine Ausbreitung einer Infektion weitestgehend verhindern.
Das wäre auch meine Empfehlung. Diese Geräte sollten immer getrennt sein. Ich hab zudem noch meine Lichtsteuerung separat da diese nur auf wenige gezielte Server die zwingend erforderlich sind zugreifen darf. Dafür darf sie jedoch auch beschränkt ins LAN schauen von dem die iot Devices hingegen nichts wissen.

D3B9AE06-1FD5-4605-8F01-C80634B1A4AA.jpeg
 
desmaddin

desmaddin

Beiträge
178
Reaktionen
2
Tatsache ist mir gar nicht aufgefallen.. kann man wirklich keine ipv6 ports öffnen ?
Nein, man kann die Firewall nichtmal für mehr als 24h abschalten. Prefix Delegation ist auch deaktiviert. Dazu ist das Teil wie erwähnt ziemlich lahm. Hätte nicht gedacht, dass es noch schlimmer als ConnectBox geht.

Ohne Bridge Mode Fass ich das Ding nicht mal mit ner Kneifzange an.
 

h00bi

Beiträge
512
Reaktionen
2
Der OFT soll ja aber vermutlich genau dafür da sein die Vodafone Station im Standardmodus im UM Netz zu testen.
Wenn man das nicht will sollte man sich eben nicht für den OFT melden oder sich dort wieder abmelden.
 

harv

Beiträge
118
Reaktionen
1
Bitte an alle Tester: Bemängelt die fehlende Prefix-Delegation und den fehlenden Bridgemode!
Zumindest die Pre-D brauche ich bei DS-Lite, um meine SipNummern zu verwenden (Fritzbox hinter TC7200). Wobei natürlich BridgeMode auch bei DS-Lite nicht zu verachten wäre;), dann brauch ich die Pre-D nicht mehr. Aber wenn das Teil beides nicht kann müsste ich bei Zwangsumstellung wohl den Provider wechseln.
 

Edding

Beiträge
889
Reaktionen
4
Nein, man kann die Firewall nichtmal für mehr als 24h abschalten. Prefix Delegation ist auch deaktiviert. Dazu ist das Teil wie erwähnt ziemlich lahm. Hätte nicht gedacht, dass es noch schlimmer als ConnectBox geht.

Ohne Bridge Mode Fass ich das Ding nicht mal mit ner Kneifzange an.
ohgott ...

Das erinnert mich an das TC7200 war ja der gleiche humbug
OFT`ler bitte melden das es keine möglichkeit gibt ports zu öffnen für ipv6 :eek:
 
Torsten1973

Torsten1973

Beiträge
2.146
Reaktionen
15
Bitte an alle Tester: Bemängelt die fehlende Prefix-Delegation und den fehlenden Bridgemode!
Zumindest die Pre-D brauche ich bei DS-Lite, um meine SipNummern zu verwenden (Fritzbox hinter TC7200). Wobei natürlich BridgeMode auch bei DS-Lite nicht zu verachten wäre;), dann brauch ich die Pre-D nicht mehr. Aber wenn das Teil beides nicht kann müsste ich bei Zwangsumstellung wohl den Provider wechseln.
Da du Providerhardware nutzt, bestimmt auch der Provider (in unserem Fall Vodafone), welches Endgerät du gestellt bekommst und kann das jederzeit ersetzen. Du hast doch immer noch die Möglichkeit, dir ein eigenes Modem oder eine Cable-Fritte aktivieren zu lassen ;)
 

Edding

Beiträge
889
Reaktionen
4
So ganz ohne Vorwarnung kam heute ein OFT Paket von Unitymedia :oops:
 
Thema:

Vodafone Hardware - Wie geht der OFT weiter?

Vodafone Hardware - Wie geht der OFT weiter? - Ähnliche Themen

  • Erfahrungen mit der Vodafone Station

    Erfahrungen mit der Vodafone Station: Hallo hat Jemand die Vodafone Station und kann was zu der sagen? Ist die besser als die Connect Box?
  • vodafone Kabel mit TC4400 aktivieren

    vodafone Kabel mit TC4400 aktivieren: Hallo, ich hab' mir ein technicolor TC4400 besorgt und bekomme das bei Vodafone nicht aktiviert. Die Aktivierungsseite lädt, ich kann...
  • Gigabit-Tarif: Unitymedia weiter deutlich teurer als Vodafone

    Gigabit-Tarif: Unitymedia weiter deutlich teurer als Vodafone: Die Internet-Tarife von Vodafone und Unitymedia sind weiterhin noch nicht vereinheitlicht. Das macht sich besonders deutlich bei den Konditionen...
  • HD TV bei UM mit Modul wenn Vodafone ?

    HD TV bei UM mit Modul wenn Vodafone ?: Hallo, kann mir jemand sagen was passiert mit den Leuten die bei Unitymedia einen Vertrag HD Vertrag für TV haben und ein HD-Modul (CI+) als Miete...
  • Technsiche Veränderungen durch Vodafone Übernahme?

    Technsiche Veränderungen durch Vodafone Übernahme?: hi, was denkt ihr so über die Vodafon-Übernahme in technischer Hinsicht? Über die zeit hinweg hat sich unitymedia gut gemaußert was...
  • Technsiche Veränderungen durch Vodafone Übernahme? - Ähnliche Themen

  • Erfahrungen mit der Vodafone Station

    Erfahrungen mit der Vodafone Station: Hallo hat Jemand die Vodafone Station und kann was zu der sagen? Ist die besser als die Connect Box?
  • vodafone Kabel mit TC4400 aktivieren

    vodafone Kabel mit TC4400 aktivieren: Hallo, ich hab' mir ein technicolor TC4400 besorgt und bekomme das bei Vodafone nicht aktiviert. Die Aktivierungsseite lädt, ich kann...
  • Gigabit-Tarif: Unitymedia weiter deutlich teurer als Vodafone

    Gigabit-Tarif: Unitymedia weiter deutlich teurer als Vodafone: Die Internet-Tarife von Vodafone und Unitymedia sind weiterhin noch nicht vereinheitlicht. Das macht sich besonders deutlich bei den Konditionen...
  • HD TV bei UM mit Modul wenn Vodafone ?

    HD TV bei UM mit Modul wenn Vodafone ?: Hallo, kann mir jemand sagen was passiert mit den Leuten die bei Unitymedia einen Vertrag HD Vertrag für TV haben und ein HD-Modul (CI+) als Miete...
  • Technsiche Veränderungen durch Vodafone Übernahme?

    Technsiche Veränderungen durch Vodafone Übernahme?: hi, was denkt ihr so über die Vodafon-Übernahme in technischer Hinsicht? Über die zeit hinweg hat sich unitymedia gut gemaußert was...