Security: Wie weit kommt der ISP in mein LAN?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von tq1199 » 08.08.2014, 09:31

DerZweifler hat geschrieben:Aber ich müsste entweder das WLAN der Fritzbox anmachen ...
Kannst Du das WLAN deiner FB6360 noch benutzen (... weil Du eine statische IP-Adresse hast)? Denn lt. deinem Provider:
Für Kunden, die eine / fünf statische IP-Adressen nutzen:
Die AVM FRITZ!Box 6360 Cable ist für die Nutzung mit statischen
IP-Adressen konfiguriert. Sie fungiert in dieser Konfiguration als eRouter/Kabelmoden und IP-basierte Telefonanlage. Die Funktionen WLAN, DHCP, NAT und Firewall sind deaktiviert. Sie können Ihren eigenen Router an die FRITZ!Box 6360 Cable anschließen und über diesen Ihre(n) Server einbinden. Die Telefoniefunktionen der FRITZ!Box 6360 Cable stehen Ihnen weiterhin zur Verfügung, u. a. gleichzeitig mit bis zu 3 Kabel BW-Rufnummern telefonieren (max. 2 Telefonate gleichzeitig über den S0-Bus), DECT Basisstation, Anrufbeantworter, Fax inkl. E-Mail-Weiterleitung.
Quelle: Eingeschränkter Funktionsumfang bei statischen IP-Adressen (siehe dort Konfigurationshinweise)

EDIT:

Wie ist die Bezeichnung der Konfigurationsdatei deiner FB6360?
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

DerZweifler
Kabelneuling
Beiträge: 4
Registriert: 07.08.2014, 13:55

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von DerZweifler » 08.08.2014, 10:56

Die zitierte Aussage ist so nicht ganz korrekt: Wie gesagt, die FB hat 4 LAN Ports. Im FB Interface kann ich 3 davon auf "Bridge" umschalten. (Port 2,3 und 4, warum auch immer ...). Danach bekommen die Geräte hinter dem geschalteten Port von Kabel BW (nicht von der FB!) eine IP zugewiesen. Der Netzwerkverkehr an diesem einen Port wird dann von der FB nichtmehr geNATet.


Aber die FB selber hat weiterhin auch eine Dynamische WAN IP. Ich kann auf der FB auch immernoch ganz normal DHCP/NAT/Internet an den anderen LAN-Ports oder über das FB WLAN nutzen. Das funktioniert weiterhin, habs getestet.

Der Punkt ist nur: ich werds so garantiert nicht nutzen. Höchstens mal temporär, wenn ich ganz dringend in das FB Interface muss :smile:

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von tq1199 » 08.08.2014, 11:05

DerZweifler hat geschrieben:Die zitierte Aussage ist so nicht ganz korrekt: ... Ich kann auf der FB auch immernoch ganz normal DHCP/NAT/Internet an den anderen LAN-Ports oder über das FB WLAN nutzen. Das funktioniert weiterhin, habs getestet.
Danke für die Info.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
josen
Ehrenmitglied
Beiträge: 293
Registriert: 20.11.2008, 12:54

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von josen » 10.08.2014, 11:39

Hallo,

der Angriffspfad ist sogar noch einfacher, wenn man mal die rechtlichen Rahmenbedingungen außen vor lässt. Nur rein hypothetisch gesprochen.

1. Mittels TR-069 Telnet auf der Fritz!Box aktivieren
2. Beliebige Programme auf die Fritz!Box hochladen
* Beispiele:
- NMAP
- SOCKS-Proxy
- FinFIsher Client
3. Profit!

Du kannst nichts gegen deinen ISP tun. Dem musst du vertrauen. Oder so wie ich eine pfSense mit anonymem VPN dahinter laufen haben und dann eben dem VPN-Anbieter vertrauen.

Grüße

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von SpaceRat » 10.08.2014, 23:12

josen hat geschrieben:1. Mittels TR-069 Telnet auf der Fritz!Box aktivieren
Man kann TR-069 auf der Fritz!Box auch deaktivieren. Allerdings nicht bei einer Kabelfritte (Weil man da nicht wirklich "rein" kommt), wohl aber auf einer Fritte hinterm klassischen Kabel-Modem.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Benutzeravatar
koax
Kabelkopfstation
Beiträge: 3970
Registriert: 09.12.2007, 10:43
Wohnort: Köln

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von koax » 15.08.2014, 06:47

Wird mal wieder aktuell, denn es ist wohl weniger (oder nicht nur) der Provider, vor dem man Angst haben muss:
http://www.heise.de/newsticker/meldung/ ... 92576.html

hajodele
Kabelkopfstation
Beiträge: 4820
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von hajodele » 15.08.2014, 07:58

koax hat geschrieben:Wird mal wieder aktuell, denn es ist wohl weniger (oder nicht nur) der Provider, vor dem man Angst haben muss:
http://www.heise.de/newsticker/meldung/ ... 92576.html
Danke :super: aber nur für die Info
Sonst :wein:

Man bin ich froh, dass ich VDSL habe und TR-069 normalerweise deaktiviert habe.
Dadurch, dass ich Zugriff auf alle Passwörter habe, funktioniet bei mir ja trotzdem alles.

Leider geht bei den von mir betreuten Familien im Be- und Verwandtenkreis nur Kabel :wein:

Die Hoffnung liegt jetzt wieder mal beim Gesetzgeber, der sich nach der Sommerpause hoffentlich zügig ohne zu lange Übergangsfristen um die Router-Transparenz kümmern wird.

Benutzeravatar
thorium
Glasfaserstrecke
Beiträge: 1793
Registriert: 09.03.2008, 19:50

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von thorium » 15.08.2014, 08:35

Die Horizon Geschichte macht das alles hier auch nicht zwingend transparenter. Komfort Zugewinn für den 0815-Ahnungslos-Apple Nutzer wird hier mit potentiell völligem Entgleiten der Kontrolle über das eigene LAN erkauft.

Der Sicherheitsexperte empfiehlt Anwendern, TR-069 über das Web-Interface zur Konfiguration abzuschalten. Sollte dies nicht machbar sein, sollten Kunden ihren ISP nach einer neueren Firmware fragen, die dies zulässt.
:D

Ich schätze ein Kinderbrief an den Weihnachtsmann hat mehr Erfolgsaussicht.
_______________________________________________________________
SKY ohne UM auf UM02 & Telekom IPTV @ Dreamboxen, Fritz 7490 VDSL50


Wann auch SKY Kabel-Kunden in den Genuss der neuen HD-Sender kommen werden, ist bisher noch nicht bekannt.

Benutzeravatar
thorium
Glasfaserstrecke
Beiträge: 1793
Registriert: 09.03.2008, 19:50

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von thorium » 15.08.2014, 08:42

hajodele hat geschrieben:
Die Hoffnung liegt jetzt wieder mal beim Gesetzgeber, der sich nach der Sommerpause hoffentlich zügig ohne zu lange Übergangsfristen um die Router-Transparenz kümmern wird.
...und sich endlich den EU Vorgaben fügt...
_______________________________________________________________
SKY ohne UM auf UM02 & Telekom IPTV @ Dreamboxen, Fritz 7490 VDSL50


Wann auch SKY Kabel-Kunden in den Genuss der neuen HD-Sender kommen werden, ist bisher noch nicht bekannt.

Benutzeravatar
reset
Glasfaserstrecke
Beiträge: 1389
Registriert: 10.09.2009, 11:48
Wohnort: Frankfurt am Main (Höchst)

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von reset » 15.08.2014, 11:21

Hier auch mal ein Artikel von der Def Con 22 dazu: http://www.golem.de/news/security-lueck ... 08607.html

Gruß reset

Benutzeravatar
thorium
Glasfaserstrecke
Beiträge: 1793
Registriert: 09.03.2008, 19:50

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von thorium » 15.08.2014, 12:03

Wäre interessant zu hören was UM dazu meint.

Der typische Zwangsrouter macht das sicher auch einfacher, zumal UM ja aus den "All you data belong to me" Staaten kommt.
http://www.heise.de/newsticker/meldung/ ... 92859.html
Zuletzt geändert von thorium am 15.08.2014, 12:19, insgesamt 1-mal geändert.
_______________________________________________________________
SKY ohne UM auf UM02 & Telekom IPTV @ Dreamboxen, Fritz 7490 VDSL50


Wann auch SKY Kabel-Kunden in den Genuss der neuen HD-Sender kommen werden, ist bisher noch nicht bekannt.

magentis
Übergeordneter Verstärkerpunkt
Beiträge: 575
Registriert: 15.03.2013, 09:00

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von magentis » 15.08.2014, 12:19

thorium hat geschrieben:Wäre interessant zu hören was UM dazu meint.
Na was schon? Ich vermute mal: "Wir haben die Lücke schon vor Jahren bei einem Update geschlossen". Und weil man schon vor Wissen der Lücke alles geschlossen hat, stand deren System letztens erst offen. UM dachte halt, man hätte das schon vor Jahren geschlossen. :brüll:
3Play Premium 100
DigitalTV Allstars + HD Option
Echostar Recorder
Cisco EPC 3208
Firmwarename: e3200-E10-5-v302r125562-130611c_upc.bin Jun 19 17:34:31 2013
Config-File: generic_100000_5000_ipv4_ncs_wifi-on.bin
Asus RT-N66U
Samsung UE40F6500
Sky Buli + Sport HD auf Sky Recorder
Synology DS213+

Die Moral von der Geschicht, traue keinen Versprechungen der UM-Hotliner.

Benutzeravatar
thorium
Glasfaserstrecke
Beiträge: 1793
Registriert: 09.03.2008, 19:50

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von thorium » 15.08.2014, 12:21

Da die Anglo-Amerikanischen Provider an einer Kurzen Leine geführt werden war eventuell auch eine Order da sich nicht um diese Problemchen zu kümmern :-).

Das ist auch lesenswert
http://www.heise.de/ct/artikel/NSA-GCHQ ... &hgf=false
_______________________________________________________________
SKY ohne UM auf UM02 & Telekom IPTV @ Dreamboxen, Fritz 7490 VDSL50


Wann auch SKY Kabel-Kunden in den Genuss der neuen HD-Sender kommen werden, ist bisher noch nicht bekannt.

Benutzeravatar
reset
Glasfaserstrecke
Beiträge: 1389
Registriert: 10.09.2009, 11:48
Wohnort: Frankfurt am Main (Höchst)

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von reset » 15.08.2014, 12:34

ISPs mit Ursprung in Nordamerika, hinterlassen in letzter Zeit bei mir immer ein etwas ungutes Gefühl......
da man sich da nie wirklich sicher sein kann, was da im Hintergrund wirklich läuft und an welche Gesetzte sie sich denn halten.
(wenn überhaupt)

Gruß reset

Benutzeravatar
thorium
Glasfaserstrecke
Beiträge: 1793
Registriert: 09.03.2008, 19:50

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von thorium » 15.08.2014, 12:37

Wir haben auch einen "Feind" in eigenem Bett, ich denke da an die kleine abtrünnige West-EU Insel Provinz mit Ex-Imperial-Minderwertigkeitskomplexen.
_______________________________________________________________
SKY ohne UM auf UM02 & Telekom IPTV @ Dreamboxen, Fritz 7490 VDSL50


Wann auch SKY Kabel-Kunden in den Genuss der neuen HD-Sender kommen werden, ist bisher noch nicht bekannt.

Benutzeravatar
reset
Glasfaserstrecke
Beiträge: 1389
Registriert: 10.09.2009, 11:48
Wohnort: Frankfurt am Main (Höchst)

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von reset » 15.08.2014, 12:47

thorium hat geschrieben:Wir haben auch einen "Feind" in eigenem Bett, ich denke da an die kleine abtrünnige West-EU Insel Provinz mit Ex-Imperial-Minderwertigkeitskomplexen.
Stimmt. Aber wie sagte Obelix:"Die spinnen die Briten!" :D

Gruß reset

Benutzeravatar
thorium
Glasfaserstrecke
Beiträge: 1793
Registriert: 09.03.2008, 19:50

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von thorium » 19.08.2014, 07:40

Jetzt müssen wir uns keine Sorgen mehr machen, die schaffen unsichere IT per Gesetzt ab:
http://www.computerbase.de/2014-08/inne ... icherheit/

Da ist wohl im Neuland jemand vom Pofalla-Virus befallen :-).
_______________________________________________________________
SKY ohne UM auf UM02 & Telekom IPTV @ Dreamboxen, Fritz 7490 VDSL50


Wann auch SKY Kabel-Kunden in den Genuss der neuen HD-Sender kommen werden, ist bisher noch nicht bekannt.

Benutzeravatar
koax
Kabelkopfstation
Beiträge: 3970
Registriert: 09.12.2007, 10:43
Wohnort: Köln

TR-069 Fernwanrtungslücke

Beitrag von koax » 20.08.2014, 06:56


Benutzeravatar
thorium
Glasfaserstrecke
Beiträge: 1793
Registriert: 09.03.2008, 19:50

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von thorium » 20.08.2014, 18:48

Hier gibt es auch ein Update zur Digitale Agenda im Neuland Internet
http://www.heise.de/newsticker/meldung/ ... 97601.html

Bleibt zu hoffen die neue EU Kommission macht einen besseren Job...
_______________________________________________________________
SKY ohne UM auf UM02 & Telekom IPTV @ Dreamboxen, Fritz 7490 VDSL50


Wann auch SKY Kabel-Kunden in den Genuss der neuen HD-Sender kommen werden, ist bisher noch nicht bekannt.

Benutzeravatar
thorium
Glasfaserstrecke
Beiträge: 1793
Registriert: 09.03.2008, 19:50

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von thorium » 22.08.2014, 11:26

Alles total sicher bei UM
http://www.heise.de/newsticker/meldung/ ... 99863.html
Security through obscurity, dazu freier Zugang durch GCHQ und andere. Again & Again - Saftladen!
_______________________________________________________________
SKY ohne UM auf UM02 & Telekom IPTV @ Dreamboxen, Fritz 7490 VDSL50


Wann auch SKY Kabel-Kunden in den Genuss der neuen HD-Sender kommen werden, ist bisher noch nicht bekannt.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von SpaceRat » 22.08.2014, 12:10

Wie immer.

Unitymedia hat ja auch schon Sicherheitsupdates in den Cisco-Kabelmodems drin, die zu dem Zeitpunkt nicht einmal der Hersteller hatte.
Sind schon tolle Hechte bei Unitymedia.

hajodele
Kabelkopfstation
Beiträge: 4820
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Security: Wie weit kommt der ISP in mein LAN?

Beitrag von hajodele » 22.08.2014, 12:10

Ein zweischneidiges Schwert
Ich bin davon überzeugt, dass heute noch zig aktiven Fritzboxen den Sicherheitsupdate von Anfang des Jahres nicht installiert haben.
Genau für dieses Benutzer ist TR069 die bessere Lösung. Trotz den eventuell vorhandenen Sicherheitsmängeln bei den Providern.

Im (leider) geschlossenen Forum von 1und1 wurde dieses Problem schon vor Monaten diskutiert.
Ich bin froh darum, dass ich TR069 abschalten kann und habe. Leider ist diese Funktion ganz schön versteckt und von der Bezeichnung her ziemlich verharmlost.
Wenn ich für irgendwas Support brauche und dieser sinnvoll auf meine Fritzbox zugreifen muss, kann ich das ruckzuck wieder einschalten.
Übrigens fragen dort die Supporter vorab, ob sie zugreifen dürfen.

Nur - solange der Benutzer daran gehindert wird, eigene Updates einzuspielen, wird es TR069 geben.

Antworten

Wer ist online?

Mitglieder in diesem Forum: snod und 2 Gäste