TR-069 und Sicherheit

[KleinerAdmin]

2) Alternative KD Standard Abschlussgerät als Router: Port 8089 dort offen...

Woran erkennst du das bzw. wo steht das?

Ich gehe davon aus, dass KD jedes seiner Abschlussgeräte (Modem, Router, FB 6360) fernkonfiguriert und dies mit großer Wahrscheinlichkeit über TR-069. Selbst beim unter 3) genannten Bridge-Modus, den man ja auch als Modemmodus bezeichnen kann, wird es dies geben, obwohl ein Modem kein Endpunkt im Netz ist und daher eigentlich keine IP-Adresse und Ports hat. Aber das sind nur meine persönlichen Rückschlüsse auf der Basis der Erfahrungen meiner "Vor-FB 6360" Zeit (mein altes Kabelmodem hatte eine öffentliche IP!).

Einigermaßen gefeit vor TR-069 (oder auch anderen Port-bezogenen) Angriffen auf das eigene Netz ist man daher m.E. nur, wenn man entweder einen eigenen Router hinter einen KD Router schaltet (natürlich mit div. Nachteilen wie doppeltes NAT etc.) oder man schaltet einen eigenen Router, bei dem man sicher alle Ports WAN-seitig schließen kann, hinter ein KD Modem. Wie auch immer, das Mehr an Sicherheit kostet auf jeden Fall gewisse Einbußen bei Funktionalität (Internet, Telefonie etc.)

Vielleicht noch ein Aspekt aus meiner beruflichen Praxis: die meisten, gerade professionell betriebenen Router haben eine ganze Reihe bewusst "offener" Ports (HTTP, HTTPS, FTP, SSH, RDP, VPN etc.). Entscheidend ist nicht, dass sie offen sind, sondern dass dahinterliegenden Systeme und Dienste entsprechend abgesichert sind. Dreh- und Angelpunkt ist, dass bei TR-069 der antwortende Dienst auf dem Router selbst läuft und wir keinen Einfluss darauf haben. Gelingt jemand der Zugriff auf diesen Konfigurationsdienst, dann gut Nacht!

Entschuldige bitte, ich habe jetzt ein wenig ausgeholt und nicht nur auf Deine Rückfrage geantwortet (war mir ein Bedürfnis). Letztlich muss jeder für sich selbst entscheiden, wie er oder sie mit dem Spannungsfeld "Sicherheit - Funktionalität - Providerinteressen - eigene Kompetenz" umgeht. Einen Königsweg gibt es m.E. nicht!

[Kunterbunter]

Ich gehe davon aus, dass KD jedes seiner Abschlussgeräte (Modem, Router, FB 6360) fernkonfiguriert und dies mit großer Wahrscheinlichkeit über TR-069.

Mit Sicherheit wird das bei keinem der Kabelmodems von Thomson, Motorola, Arris, Cisco über TR-069 gemacht.

[Kater Kahlohr]

@KleinerAdmin:

schön, dass wenigstens Du meiner Meinung bist Also ist bei den Modems auch immer ein Port offen, wie ich befürchtet habe? Das ist natürlich dann egal, ob die Kriminellen das Modem oder die Fitz!Box kapern, in beiden Fällen hat man verloren.

Gruß
Kater Kahlohr

[Thyrael]

Leute, ernsthaft, schlecht lesen könnt ihr beiden aber echt gut.

[Kater Kahlohr]

@Thyrael: was soll das nun wieder heissen?

Gruß
Kater Kahlohr

[Thyrael]

Das soll heissen, da ein Modem ja nicht aus dem Internet erreichbar ist, kann es auch nicht per TR-069 konfiguriert werden, davon mal abgesehen werden diese Geräte von der CMTS konfiguriert und das innerhalb des Kabelnetzes welches nicht öffentlich zugänglich ist. Auch wenn so ein Kabelmodem als Router läuft ist es zwar aus dem Internet erreichbar, wie jeder andere Router auch, aber es ist trotzdem nicht per TR-069 fernsteuerbar, das trifft nur auf die Fritzbox zu.

Was eine CMTS ist und was diese macht, sagt euch Google.

[Kater Kahlohr]

Wenn das so ist, ist das ja gut. Aber allein dass es mit der Fritz!Box möglich ist, ist ja schlimm genug. Warum filtert Kdg den Port nicht?

Gruß
Kater Kahlohr

[Thyrael]

Ich glaube diese Funktion wird eh ausschliesslich dafür benutzt um die Daten zur Telefonie auf die Fritzbox zu übertragen, alles andere läuft über die CMTS aber sicher bin ich mir da nicht. Eine genaue Auskunft kann wohl nur die KDG dazu geben.

[Kater Kahlohr]

Auch gut, dass Kdg diese Schnittstelle nutzt ist mir ja auch egal, da bin ich nicht paranoid. Nur, da sie ja für jeden offen ist, fürchte ich halt einen zero-day-exploit, der Missbrauch durch Dritte ermöglicht. Ein Filtern des Ports auf kdg-Seite (nur providerinterne IPs verbinden lasse) wäre da schon eine Sicherheitsmassnahme.

Gruß
Kater Kahlohr

[KleinerAdmin]

Das soll heissen, da ein Modem ja nicht aus dem Internet erreichbar ist, kann es auch nicht per TR-069 konfiguriert werden, davon mal abgesehen werden diese Geräte von der CMTS konfiguriert und das innerhalb des Kabelnetzes welches nicht öffentlich zugänglich ist. Auch wenn so ein Kabelmodem als Router läuft ist es zwar aus dem Internet erreichbar, wie jeder andere Router auch, aber es ist trotzdem nicht per TR-069 fernsteuerbar, das trifft nur auf die Fritzbox zu.

Was eine CMTS ist und was diese macht, sagt euch Google.

Lieber Thyrael,
natürlich ist ein Modem grundsätzlich transparent, hat keine IP-Adresse und keine Ports. Genau das habe ich geschrieben. Aus eigener Erfahrung weiß ich aber, dass von Providern überlassene Modems sehr wohl zusätzlich mit einer IP-Adresse (intern und extern), Ports, einem Web-Server usw. ausgestattet sind. Damit sind die Grundvoraussetzungen gegeben, ein solches Modem auch per TR-069 konfigurierbar zu machen. Ich bin überzeugt, dass KD auch bei meinem alten Kabelmodem die Firmware genauso aktualisiert hat wie jetzt bei der Fritzbox. Die Provider werden mit Sicherheit nicht abhängig vom jeweiligen Kundenendgerät vollkommen verschiedene Konfigurationsprozesse einsetzen.

PS Dass ein CMTS die Endkundenmodems konfiguriert, habe ich im Netz nicht gefunden. Es ist im Prinzip ein Mehrkanal-Modem mit Vermittlungs- und QoS-Fähigkeiten (siehe z.B. http://www.itwissen.info/definition/lex ... -CMTS.html)