Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Sicherheits Tips (https://www.dedies-board.de/wbb2/board.php?boardid=14)
--- Portscann nach Firmwareupdate (https://www.dedies-board.de/wbb2/thread.php?threadid=2133)
Geschrieben von deoroller am 28.10.2007 um 09:24:
Portscann nach Firmwareupdate
Vor ein paar Tagen habe ich bei dem Router ein Firmwareupdate gemacht, da es Verbesserungen bei hohen Dämpfungen bringt. Mit der neuen Firmware synchronisiert er unter einer Minute, mit der alten dauerte es mindestens 10 Minuten. Mir geht es aber hier um die Sicherheit.
Changelog
http://www.t-home.de/dlp/eki/downloads/Speedport/Speedport%20W%20701%20V/Speedport_W701V_Firmwareaenderung.txt
Dazu habe ich einen neuen "Full Scan" bei webscan.security-check.ch machen lassen.
Router Speedport W701V
mit Firmware V.33.04.25 am 04.07.2007
"Ihr System antwortet auf Ping Requests."
Das ist grundsätzlich nicht schlecht, aber es gab in der Vergangenheit auch schon Probleme damit (z.b. Ping Of Death, damit konnte ein System mit nur einem Ping Request zum Absturz gebracht werden).
Sie können die Sicherheit Ihres Systems verbessern indem Sie mit einer Firewall Ping (ICMP) Requests filtern.
mit Firmware v33.04.44 am 27.10.2007
1 offene Dienst SIP 5060 / TCP
Dazu habe ich das gefunden
http://de.wikipedia.org/wiki/Session_Initiation_Protocol
"Ping" Sehr gut, Ihr System antwortet nicht auf Ping Requests
Was soll ich davon halten?
Geschrieben von dedie am 28.10.2007 um 11:12:
Wenn ich das richtig sehe hat das Firmwareupdate nen Dienst eingerichtet mit dem die I-Net-Telefonie via Skype erleichtert werden soll.
Geschrieben von deoroller am 28.10.2007 um 13:16:
Ich benutze kein Skype. Ist es dann besser, wenn ich wieder die alte Firmware herstelle?
Geschrieben von Vimes am 28.10.2007 um 21:46:
RE: Portscann nach Firmwareupdate
| Zitat: |
Original von deoroller
"Ping" Sehr gut, Ihr System antwortet nicht auf Ping Requests
Was soll ich davon halten? |
|
Nichts. Der übliche Blödsinn. Einen Ping zu filtern, ist absolut sinnlos. Im Gegenteil, im Rahmen einer Netzwerkdiagnose kann man sich damit ganz gewaltig in die Füße schießen.
Es gibt bestimmte ICMP-Typen, die man nicht unbedingt durchlassen möchte (ich bin aber nach mehr als einem halben Liter hervorragender Riesling Spätlese zu faul, das rauszusuchen), aber so pauschal ist das Filtern von Pings Blödsinn und zeigt nur, daß der Betreiber der Seite
a) keine Ahnung hat oder
b) auf der allgemeinen Welle mitschwimmt.
MfG
Vimes
Geschrieben von MobyDuck am 28.10.2007 um 22:26:
| Zitat: |
| Ist es dann besser, wenn ich wieder die alte Firmware herstelle? |
|
Warum? Gibt es bekannte Lücken?
Was sagt netstat?
Hast du Traffic über den Port? Mal gesnifft?
Zu diesen "Online-Scans" möchte ich ansonsten nichts sagen.
Geschrieben von deoroller am 28.10.2007 um 22:55:
netstat zeigt keine Veränderungen.
Eine Einstellung für Ping Requests scheint es nicht zu geben.
Meinen Router kann ich aber anpingen.
Geschrieben von MobyDuck am 28.10.2007 um 23:13:
| Zitat: |
| Eine Einstellung für Ping Requests scheint es nicht zu geben. |
|
Das wäre auch reichlich sinnfrei.
| Zitat: |
| netstat zeigt keine Veränderungen. |
|
Das verstehe ich nicht. Ist der Port offen oder nicht?
Falls dem wirklich so ist: Es ist deine Entscheidung. Dein Router meint dann, er müsse ohne dich zu fragen einen von dir unbenötigten Port öffnen. Es ist deine Sache, ob du damit leben willst, dass irgend ein Pfiffikus vlt. irgend wann einen Bug findet, der gerade hier einschlägig ist. Es fallen auch Meteore vom Himmel.
Mehr kann ich nicht dazu sagen, da ich die Konsequenzen gezogen habe.
Geschrieben von deoroller am 28.10.2007 um 23:36:
Auf dem PC ist der Port nicht vorhanden. Im Router ist er offen.
Ich habe den Port mal in die Filterliste eingetragen. Er wurde aber weiterhin offen gemeldet.
Geschrieben von Vimes am 29.10.2007 um 21:33:
Der Check ist Dreck. TCP oder UDP? UDP-Ports werden, wenn sie gefiltert werden, gerne als "offen" gezeigt. Weil's ja verbindungslos ist ...
MfG
Vimes
Geschrieben von deoroller am 04.03.2008 um 20:45:
| Zitat: |
Original von Vimes
Der Check ist Dreck.
|
|
Da könnte etwas wahres dran zu sein.
Ich habe den Router mal wieder scannen lassen und er soll jetzt trotz gleicher Firmware, wie beim letzten mal, wieder auf ICMP-Pakete antworten.
Geschrieben von Vimes am 04.03.2008 um 22:02:
Das gehört auch so. Was soll dieser Rotz, ICMP-Pakete zu verwerfen? Es gibt tatsächlich ICMP-Pakete, die man nicht reinlassen bzw. durchreichen möchte, aber der simple Ping (der hier gemeint sein dürfte) gehört definitiv nicht dazu. Der ist absolut harmlos, für eine erste Analyse bei Netzwerkproblemen nützlich und nur Leute, die keine Ahnung haben, bauen eine Firmware, die per Default so etwas einfach schluckt.
MfG
Vimes
Geschrieben von Vimes am 17.05.2008 um 22:57:
Humor haben sie ja wenigstens ...
MfG
Vimes
Geschrieben von deoroller am 15.07.2008 um 06:30:
Nach dem Umstellen eines Freenet-DSL Anschlusses auf t-online bei einem Verwandten, fiel eine Fritzbox Fon für mich ab, die nun an meinem PC hängt (oder umgekehrt
).
Nachdem ich mit Hilfe eines Zwischenupdates die neueste Firmware installieren konnte, rennt sie jetzt auch mit t-online.
Jedenfalls gefällt sie mir so gut, dass der Speedport wieder im Karton ist.
Die Fritzbox habe ich auch mal dem Test unterzogen.
Geschrieben von deoroller am 11.07.2009 um 18:52:
TCP 5060 ist jetzt zu.
Ich habe den Speedport mit der Fritzbox Firmware modifiziert und da ist der Port zu, wenn IP-Telefonie nicht genutzt wird.
Jetzt merke ich erst, was mit der Firmware alles möglich ist.
Die Telekom lässt das Potential der AVM-Hardware zum großen Teil brach liegen. Im Moment sieht die Oberfläche so aus:
Neben der Laborversion habe ich auch ein Image mit der "normalen" Fritzbox-Firmware erstellt. Wenn ich mal am "Fritzen" bin, mache gleich mehrere Versionen zum Testen. Die kann man dann über die Router-Oberfläche bei Bedarf laden.
Ich lasse es aber nicht dabei. Beim "Freetz-Projekt" können weitere Pakete hinzugefügt werden, womit dann auch die AVM-Firewall konfigurierbar wird
http://www.freetz.org/wiki/packages/avm-firewall-cgi
und es gibt dann auch eine zusätzliche "richtige" Firewall zum konfigurieren.
http://www.freetz.org/wiki/packages/iptables-cgi
iptables ist ja bereits im Kernel und daran kann sich keine Verbindung vorbei mogeln aber nur die Profis trauen sich daran.
Hier wird beschrieben, wie AVM-Firewall und iptables zusammen arbeiten, (bzw. nicht zusammen arbeiten).
http://www.freetz.org/wiki/packages/iptables
Trotz Euphorie darf man aber nicht vergessen, dass nur benötigte Dienste auf der Box laufen sollen, um die Angriffsfläche nicht zu vergrößern.
Weitere imposante Bilders
http://images.google.de/images?hl=de&q=iptables+freetz&lr=lang_de&um=1&ie=UTF-8&sa=N&tab=wi&gbv=1&ei=QMJYSrjzDoXt-AadgpHJDQ
Geschrieben von deoroller am 22.07.2009 um 20:47:
Der SIP-Port war immer noch offen.
Ich habe ihn mit der AVM-Firewall von Außen unerreichbar gemacht. (Regel 15)
Geschrieben von Vimes am 23.07.2009 um 23:22:
| Zitat: |
Original von deoroller
iptables ist ja bereits im Kernel |
|
Der Fritz!Box? Prinzipiell gibt es das im Linux-Kernel, ja ...
| Zitat: |
| und daran kann sich keine Verbindung vorbei mogeln |
|
Wenn die Regeln vernünftig sind, ist es zumindest schwierig. Wenn man connection tracking betreiben möchte, das ist ziemlich leicht DOS-bar. Für Heimanwender ist das kein Problem, für Firmenanwender kann das eklig werden.
| Zitat: |
| aber nur die Profis trauen sich daran.
|
|
Paketfilter sollten generell nur Leute mit Ahnung konfigurieren.
Im übrigen verstehe ich die Aussage "der SIP-Port war offen" nicht. Lauscht bei Dir auf dem Port ein Dienst? Nein? Dann ist da auch kein "Port" offen. Falls Du das mit einem Portscanner geprüft hast, die liefern häufig kuriose Ergebnisse.
Nochmal: ein Port ist genau dann "offen", wenn ein Dienst läuft, der unter dieser Adressnummer einen Dienst anbietet und dieser Dienst von außen, d.h. WAN-seitig, erreichbar ist. Ansonsten gibt es diese Adressnummer nicht und der Port ist daher "zu", d.h. non-existent.
Da wird leider häufig (auch von Firewall-Anbietern) viel Mist erzählt. Und die Scanner, die häufig etwas von "offenen Ports" faseln, machen es auch nicht besser.
Selbst wenn (und das ist ein großes "wenn") die Fritz!Box Pakete an den SIP-Port (z.B. 5060) einfach routet (wohin eigentlich!), dann verwirft spätestens das Ziel des Routings die Pakete kommentarlos, wenn dort kein SIP läuft. Aus die Maus. Das können IP-Stacks schon ganz, ganz lange, dafür brauchen sie keine Paketfilter.
MfG
Vimes
Geschrieben von deoroller am 23.07.2009 um 23:42:
Jedenfalls wird TCP 5060 jetzt als gefiltert gemeldet.
Eine weitere Hintertür habe ich radikal beseitigt, indem die Fernwartung durch den Provider (TR69) komplett aus der Firmware entfernt wurde.
http://de.wikipedia.org/wiki/TR-069
Geschrieben von deoroller am 26.02.2010 um 21:13:
Exposed Host
Ich habe jetzt mal meinen PC scannen lassen. Dazu habe ich ihn als Exposed Host freigegeben.
| Zitat: |
Achtung: Die Firewall Ihrer FRITZ!Box ist deaktiviert.
Der als "Exposed Host" angegebene Computer ist ungeschützt im Internet sichtbar und erreichbar. Ausgenommen sind Portfreigaben zu anderen Computern in der Liste der Portfreigaben, welche nur an diese weiter geleitet werden. |
|
Obwohl in Windows keine Firewall läuft und die Routerfirewall für den PC aus sein soll, werden Ports als gefiltert gemeldet.
Die Dienste, die die Ports öffnen, sind aber tatsächlich deaktiviert, was netstat bestätigt.
Meine Vermutung: Die AVM-Firewall filtert die von AVM voreingestellten Ports immer.
