Hi,
es geht nicht ums "durchlassen", sondern um einen offenen Port am Modem selbst, welcher eine Verbindung darauf erlaubt. Das ist ein Unterschied. Mit Verlaub, aber ich rede doch nicht chinesisch, oder?
Gruß
Kater Kahlohr
Also, nochmal,
OK, ein Modem lässt alles passieren, entweder direkt an einen angeschlossenen Router oder direkt an einen PC, das ist ja klar. Weiterleiten ohne Filterung darf es ja, aber es soll *keine Verbindungen auf sich selbst zulassen*, sprich, keinen Port offen haben ins Internet, wie die Fritzbox. Es soll vom Internet aus nicht erreichbar sein in dieser Form. Darum geht es.
TR-069 und Sicherheit
Forumsregeln
Forenregeln
Bitte gib bei der Erstellung eines Threads im Feld „Präfix“ an, ob du Kunde von Vodafone Kabel Deutschland („[VFKD]“), von Vodafone West („[VF West]“) oder von O2 über Kabel („[O2]“) bist.
Außerdem gib bitte an, ob es sich bei deiner FRITZ!Box um eine Leihbox von Vodafone („[Leihbox]“) oder eine Kaufbox („[Kaufbox]“) handelt.
Forenregeln
Bitte gib bei der Erstellung eines Threads im Feld „Präfix“ an, ob du Kunde von Vodafone Kabel Deutschland („[VFKD]“), von Vodafone West („[VF West]“) oder von O2 über Kabel („[O2]“) bist.
Außerdem gib bitte an, ob es sich bei deiner FRITZ!Box um eine Leihbox von Vodafone („[Leihbox]“) oder eine Kaufbox („[Kaufbox]“) handelt.
-
Kater Kahlohr
- Newbie
- Beiträge: 21
- Registriert: 19.02.2014, 22:28
-
Kunterbunter
- Insider
- Beiträge: 5729
- Registriert: 12.05.2009, 18:14
- Wohnort: Region 9
Re: TR-069 und Sicherheit
Du redest doch chinesisch. 
Ein reines Modem kann kein Endpunkt im Internet sein. Deshalb kann es auch "keine Verbindungen auf sich selbst zulassen". Aber die KDG Hotline kann trotzdem auf dein Modem aus der Ferne zugreifen und Werte auslesen.
Falls du genauer wissen willst, was alles möglich ist, kannst du die Spezifikation Cable Broadband Intercept Specification studieren.
Das ist mal richtig chinesisch.
Deshalb reicht Seite 10 Overview.
Ein reines Modem kann kein Endpunkt im Internet sein. Deshalb kann es auch "keine Verbindungen auf sich selbst zulassen". Aber die KDG Hotline kann trotzdem auf dein Modem aus der Ferne zugreifen und Werte auslesen.Falls du genauer wissen willst, was alles möglich ist, kannst du die Spezifikation Cable Broadband Intercept Specification studieren.
Das ist mal richtig chinesisch.
Deshalb reicht Seite 10 Overview.jetzt bei: M-net ISDN Maxi komplett Aktuelle Datenrate 21997/1277 kBit/s
VoIP-Provider: dus.net Router: [KD Homebox] AVM Fritz!Box Fon WLAN 7270 54.06.05
Telefone: Siemens OpenStage 40 SIP, Siemens optipoint 400/600 SIP, FON1 Siemens Gigaset A2
VoIP-Provider: dus.net Router: [KD Homebox] AVM Fritz!Box Fon WLAN 7270 54.06.05
Telefone: Siemens OpenStage 40 SIP, Siemens optipoint 400/600 SIP, FON1 Siemens Gigaset A2
-
Kater Kahlohr
- Newbie
- Beiträge: 21
- Registriert: 19.02.2014, 22:28
Re: TR-069 und Sicherheit
OK, dann mache ich jetzt mal einen auf Michel Friedman, haben die Modems einen Port offen, der aus dem Internet ansprechbar ist ("telnet IP port"), jaaa oder neeeiin?
Und warum kann man den Port 8089 bei der Fritzbox nicht filtern, alle Pakekte die aus einem anderen Netz als kdg kommen droppen, wenn der Port schon zum Internet hin offen sein muss? Ich vermute "Faulheit" seitens der Provider, nur weil TR-069 als sehr sicher gilt heisst das ja nicht, dass es nicht mal früher oder später einen Exploit gegen die Implementierung in den Fritzboxen geben wird. Naja, wenn dann mal was passiert, kann ich wenigstens sagen, dass ich den offenen Port schon immer riskant fand ;->
Gruß
Kater Kahlohr
Ach so,
das verlinkte PDF überschreitet meinen Horizont übrigens nicht, nur so zur Info, falls das so ein "Standard-DAU-Killer-und-Ruhigsteller" sein sollte ;-> Ich bin seit 1996 im Internet und beschäftige mich seit Ende 1997 mit Netzwerksicherheit.
Gruß
Kater Kahlohr
Und warum kann man den Port 8089 bei der Fritzbox nicht filtern, alle Pakekte die aus einem anderen Netz als kdg kommen droppen, wenn der Port schon zum Internet hin offen sein muss? Ich vermute "Faulheit" seitens der Provider, nur weil TR-069 als sehr sicher gilt heisst das ja nicht, dass es nicht mal früher oder später einen Exploit gegen die Implementierung in den Fritzboxen geben wird. Naja, wenn dann mal was passiert, kann ich wenigstens sagen, dass ich den offenen Port schon immer riskant fand ;->
Gruß
Kater Kahlohr
Ach so,
das verlinkte PDF überschreitet meinen Horizont übrigens nicht, nur so zur Info, falls das so ein "Standard-DAU-Killer-und-Ruhigsteller" sein sollte ;-> Ich bin seit 1996 im Internet und beschäftige mich seit Ende 1997 mit Netzwerksicherheit.
Gruß
Kater Kahlohr
-
steve0564
- Kabelexperte
- Beiträge: 984
- Registriert: 11.05.2010, 13:00
Re: TR-069 und Sicherheit
Und auch für dich nochmals: Modems haben keinen Port, den man schließen könnte. Es gibt schlicht keine Ports, also kann man auch nix schließen oder öffnen!!Kater Kahlohr hat geschrieben:... haben die Modems einen Port offen, ...
Anbindung: KD 32/2
Router: AVM Fritz!Box Fon WLAN 7270v2, FW 54.05.22
VoIP: sipgate, easybell, KD, intervoip
Telefone: AVM MT-F, mehrere Siemens-Dects
Router: AVM Fritz!Box Fon WLAN 7270v2, FW 54.05.22
VoIP: sipgate, easybell, KD, intervoip
Telefone: AVM MT-F, mehrere Siemens-Dects
-
Kunterbunter
- Insider
- Beiträge: 5729
- Registriert: 12.05.2009, 18:14
- Wohnort: Region 9
Re: TR-069 und Sicherheit
Bravo. Du solltest aber deine Bemühungen in dieser Hinsicht intensivieren.Kater Kahlohr hat geschrieben:Ich bin seit 1996 im Internet und beschäftige mich seit Ende 1997 mit Netzwerksicherheit.
jetzt bei: M-net ISDN Maxi komplett Aktuelle Datenrate 21997/1277 kBit/s
VoIP-Provider: dus.net Router: [KD Homebox] AVM Fritz!Box Fon WLAN 7270 54.06.05
Telefone: Siemens OpenStage 40 SIP, Siemens optipoint 400/600 SIP, FON1 Siemens Gigaset A2
VoIP-Provider: dus.net Router: [KD Homebox] AVM Fritz!Box Fon WLAN 7270 54.06.05
Telefone: Siemens OpenStage 40 SIP, Siemens optipoint 400/600 SIP, FON1 Siemens Gigaset A2
-
Thyrael
- Ehrenmitglied
- Beiträge: 9750
- Registriert: 03.02.2009, 12:46
Re: TR-069 und Sicherheit
Japp, aber dringend!
P.S.: Ich hab die Doppelposts mal zusammengefasst.
P.S.: Ich hab die Doppelposts mal zusammengefasst.
-
berlin69er
- Insider
- Beiträge: 14841
- Registriert: 14.08.2012, 19:24
- Wohnort: Berlin-Charlottenburg
Re: TR-069 und Sicherheit
Ich fahre schon seit 1970 mit Bus und Bahn. Kann ich sie jetzt selber steuern?
Kabelnetz: Vodafone Kabel Deutschland Berlin-Charlottenburg (ungenutzt)
TV: Sony KD-55A1 OLED
Receiver: VU+ UNO 4K SE mit DVB-T2 HD Dualtuner & 1TB Samsung 850 EVO SSD
Zubehör: Apple TV 4K für MagentaTV Smart 2.0 und Co.
TV: Sony KD-55A1 OLED
Receiver: VU+ UNO 4K SE mit DVB-T2 HD Dualtuner & 1TB Samsung 850 EVO SSD
Zubehör: Apple TV 4K für MagentaTV Smart 2.0 und Co.
-
Kater Kahlohr
- Newbie
- Beiträge: 21
- Registriert: 19.02.2014, 22:28
Re: TR-069 und Sicherheit
Ja ja,
ist ja gut jetzt
Dass ein Modem grundsätzlich "transparent" arbeitet, ist mir schon klar (aber wer weiss, was die Kdg-Geräte machen). Im Übrigen lerne ich gerne dazu. Ich habe nie behauptet, dass ich alles besser weiss. Seit 1997 hat sich IMHO allerdings auch nicht viel grundsätzliches geändert. Per definitionem ist Tr-069 sehr sicher, das ist schon klar. Offener WAN-Port für den Zugriff bzw. das "Anstossen" seitens Kdg, naja, muss es denn sein? Hat mir noch keiner beantwortet, ob der Port nicht wenigstens gefiltert werden könnte seitens Kdg, ich finde, Ports gehören grundsätzlich geschlossen, wenn es denn nicht unbedingt sein muss.
Wie ist es denn nun mit der Sprachqualität Modem vs. Fritz!Box, kann das jemand beantworten?
Bus und Bahn selbst fahren nach Jahrzehnten als Fahrgast? Nun, das kommt ganz auf den Fahrgast an, wenn er neugierig ist und die Fahrer jedes Mal ein bisschen befragt etc. ... Ich könnte es nach so langer Zeit vielleicht sogar, wenn es mich denn interessieren würde Führerschein Klassen A und B sind vorhanden (ehemals Klassen I und III)
Gruß
Kater Kahlohr
P.S. sollte es irgendwann einmal passieren, und Tr-069 wird gehackt, dann kann ich wenigstens behaupten, dass ich den WAN-Port schon immer zu haben wollte ;->
ist ja gut jetzt
Dass ein Modem grundsätzlich "transparent" arbeitet, ist mir schon klar (aber wer weiss, was die Kdg-Geräte machen
). Im Übrigen lerne ich gerne dazu. Ich habe nie behauptet, dass ich alles besser weiss. Seit 1997 hat sich IMHO allerdings auch nicht viel grundsätzliches geändert. Per definitionem ist Tr-069 sehr sicher, das ist schon klar. Offener WAN-Port für den Zugriff bzw. das "Anstossen" seitens Kdg, naja, muss es denn sein? Hat mir noch keiner beantwortet, ob der Port nicht wenigstens gefiltert werden könnte seitens Kdg, ich finde, Ports gehören grundsätzlich geschlossen, wenn es denn nicht unbedingt sein muss. Wie ist es denn nun mit der Sprachqualität Modem vs. Fritz!Box, kann das jemand beantworten?
Bus und Bahn selbst fahren nach Jahrzehnten als Fahrgast? Nun, das kommt ganz auf den Fahrgast an, wenn er neugierig ist und die Fahrer jedes Mal ein bisschen befragt etc. ...
Ich könnte es nach so langer Zeit vielleicht sogar, wenn es mich denn interessieren würde Führerschein Klassen A und B sind vorhanden (ehemals Klassen I und III) Gruß
Kater Kahlohr
P.S. sollte es irgendwann einmal passieren, und Tr-069 wird gehackt, dann kann ich wenigstens behaupten, dass ich den WAN-Port schon immer zu haben wollte ;->
-
KleinerAdmin
- Fortgeschrittener
- Beiträge: 122
- Registriert: 17.02.2014, 23:52
- Wohnort: Saarbrücken
Re: TR-069 und Sicherheit
Wenn ich richtig liege, käme man mit einem Modem u.U. vom Regen in die Traufe:
1) aktuell FB 6360: Port 8089 offen
2) Alternative KD Standard Abschlussgerät als Router: Port 8089 dort offen, nachgeschaltete Fritzbox (o.ä.) wäre wg. Firewall geschützt (egal ob Port hier offen)
3) Alternative KD Standard Abschlussgerät im Bridge-Modus (nur Modem): nachgeschaltete Fritzbox muss Port geschlossen haben, sonst gleiches Problem wie 1)
Habe gerade getestet: meine FB 6360 hat den Port 8089 offen sowohl aus dem KD-Netz als auch z.B. aus dem Mobilfunknetz (habe mein Notebook kurz mal vom LAN/WLAN abgeklemmt und mein 3G-Modem eingeschaltet)
Man kann also nur hoffen, dass der am Port 8089 der FB lauschende Dienst sehr sicher ist und den Einsatz starker Verschlüsselung mit ebensolchen Zertifikaten erfordert, weiterhin dass die Zertifikate beim Provider wie ein Augapfel gehütet werden. Ein Hack auf diesen TR-069 Port, und die Folgen wären nicht auszudenken...
1) aktuell FB 6360: Port 8089 offen
2) Alternative KD Standard Abschlussgerät als Router: Port 8089 dort offen, nachgeschaltete Fritzbox (o.ä.) wäre wg. Firewall geschützt (egal ob Port hier offen)
3) Alternative KD Standard Abschlussgerät im Bridge-Modus (nur Modem): nachgeschaltete Fritzbox muss Port geschlossen haben, sonst gleiches Problem wie 1)
Habe gerade getestet: meine FB 6360 hat den Port 8089 offen sowohl aus dem KD-Netz als auch z.B. aus dem Mobilfunknetz (habe mein Notebook kurz mal vom LAN/WLAN abgeklemmt und mein 3G-Modem eingeschaltet)
Man kann also nur hoffen, dass der am Port 8089 der FB lauschende Dienst sehr sicher ist und den Einsatz starker Verschlüsselung mit ebensolchen Zertifikaten erfordert, weiterhin dass die Zertifikate beim Provider wie ein Augapfel gehütet werden. Ein Hack auf diesen TR-069 Port, und die Folgen wären nicht auszudenken...
6591 Cable Kaufbox
-
Thyrael
- Ehrenmitglied
- Beiträge: 9750
- Registriert: 03.02.2009, 12:46
Re: TR-069 und Sicherheit
Woran erkennst du das bzw. wo steht das?KleinerAdmin hat geschrieben:2) Alternative KD Standard Abschlussgerät als Router: Port 8089 dort offen...