Unitymedia 6320 Offene Ports, evtl. Sicherheitsleck?

[Fell]

Ich habe gestern eine neue FB6320 erhalten + Router und habe wie ich es standardmäßig tue nach der INstallation einen Portcheck gemacht.
Die TC7200 die ich davor hatte hatte mir bei den IPv4 sowie IPv6 Open Portcheck immer alles als Stealth (optimal) angezeigt was ja auch so sein sollte.

Die Fritze jedoch bringt mir bei unterschiedlichen Ports aber immer wieder eine andere Meldung und zwar PHBTD bei IPv6.
Erst dachte ich ok, ich habe mich verguckt und habe danach noch einmal einen IPv6 Portcheck gemacht und dort wurden wieder Ports als PHBTD angezeigt, allerdings andere.
Auch habe ich die direkte LAN-Leitung an der Fritzbox probiert sowie die Leitung an dem dahintergeschaltenem zusätzlichen Router (der als AP und Switch dient). Gleiches Ergebnis.

Auch habe ich in der Fritzbox dazu keine Einstellungen gefunden.

Zur Erklärung:
Stealth bedeutet: Wird die IPv6 mit einem Port aufgerufen antwortet der Router einfach darauf nicht. Der Angreifer weiß somit nicht ob die Maschine hinter dem Router ist oder nicht.
PHBTD bedeutet: Eine administrative Instanz (z.B. der Router) verbietet den Kontakt. Der Angreifer weiß somit ok, da ist ein Rechner an der IPv6 aber der Kontakt wird verboten.

Da mir das keine Ruhe lies, habe ich heute AVM kontaktiert und dort war man doch sehr erstaunt da dieses Ergebnis nicht auftreten dürfte. Ich muss nun ein Logfile erstellen während ich diesen Test mache und dann hoffen wir mal das das geklärt wird. Szenarien gehen über: Das hat nur meine Box bis zu es gibt ein neues Firmware-Update.
Auf meine Nachfrage ob ich einfach mal andere Leute die die 6320 haben auch fragen soll hieß es ja das würde einiges helfen. Deshalb frage ich bei euch an:
Habt ihr das auch?

Ihr könnt dies testen indem ihr hier: http://ipv6.chappell-family.com/ipv6tcptest/ den 1. Check macht. Es sollten alle Ports grün also als Stealth erscheinen.
Probiert auch das ganze mehrfach nacheinander ob sich die PHBTD Ports ändern bitte.

Sofern sich hier Leute finden die das gleiche Problem haben werde ich das natürlich in der Support-Mail mit aufnehmen.

 

[josen]

Hallo,

benenne bitte mal die Ports.

Grüße

 

[Fell]

Das ist es ja eben. Es sind verschiedene. Sprich einmal sind es Port A, B und C. Und beim nächsten mal sind es die Ports D, E und F.

Sprich beim 2. Versuch kann es zum Beispiel sein das die Ports aus dem ersten Versuch als STEALTH angezeigt werden...
Das ganze sieht für mich als Laie so aus als würde der Router mit dem STEALTH nicht hinterher kommen. Genau deshalb frage ich ja ob bei dem Test das bei euch auch so ist. Leider kenne ich nicht soviele IPv6 Tests bisher und auf die oben genannte Seite bin ich doch immer wieder gestoßen bei meiner Suche nach IPv6-Port Tests.


Deshalb nochmals:
Checkt einfach mal diese Portreihe wo da vorgeschlagen wird und schaut das Ergebnis an. Sollte da etwas mit PHBTD auftauchen (also Ports PHBTD sein) wiederholt einfach mal den Test ob dann andere und/oder gleiche Ports wieder den Status haben. Wenn das bei euch auch wechselt und ihr keine Ports freigegeben habt tjoar dann wirds interessant.


Wenn das mehrere haben werde ich das wie gesagt auch per Mail so weitergeben (verlinke dann hier auf den Thread).

 

[piotr]

Gar nicht antworten (drop) ist für eine Firewall sogar einfacher zu handhaben als eine abweisende Antwort (reject) zu senden.

Kann es vielleicht sein, dass Du vor dem Test etwas auf der FB verändert hast?

Wenn Du Deinen PC freigegeben hast, geht IPv6 hier bis zu Deinem PC durch. Ohne NAT.
D.h. die Antworten sind dann eher von Deinem PC.

 

[josen]

Hallo,

wie ich bereits sagte: Benenne bitte die Ports. Am besten dann kenntlich machen, zu welchen Testreihen welche Ports offen waren.
Dazu bitte kurz überfliegen: Wie man Fragen richtig stellt: Beschreibe die Problemsymptome, nicht deine Vermutungen

Grüße

 

[Fell]

Gar nicht antworten (drop) ist für eine Firewall sogar einfacher zu handhaben als eine abweisende Antwort (reject) zu senden.

Kann es vielleicht sein, dass Du vor dem Test etwas auf der FB verändert hast?

Wenn Du Deinen PC freigegeben hast, geht IPv6 hier bis zu Deinem PC durch. Ohne NAT.
D.h. die Antworten sind dann eher von Deinem PC.

Bei der FB wurde nichts geändert alos keine weiteren Portfreigaben durchgeführt. Sprich Standard, Außer den Portfreigaben kann man ja die NAT an sich nicht deaktivieren bei der FB (zumindest habe ich dazu keine Option).

 

[Fell]

Hallo,

wie ich bereits sagte: Benenne bitte die Ports. Am besten dann kenntlich machen, zu welchen Testreihen welche Ports offen waren.
Dazu bitte kurz überfliegen: Wie man Fragen richtig stellt: Beschreibe die Problemsymptome, nicht deine Vermutungen

Grüße

Es sind bei jeder Testreihe (jedes mal gleicher Test gleiche Portreihe die von der Webseite vorgeschlagen wird) andere Ports betroffen. Ich möchte eigentlich auch nicht wissen welche Ports von euch betroffen sind sondern edeiglich ob ihr die gleichen Symptome habt.

Heißt:
Symptom:
Die hier aufgeführten Ports: http://www6.ipv6.chappell-family.co.uk/cgi-bin6/ipscan-js.cgi sind untershciedlich betroffen. Führe ich den Test aus sind z.B. 5 beim ersten mal betroffen beim nächsten mal 6 andere oder teilweise auch gleiche. Es gibt hier kein Muster.
Sprich ich kann auch 5 Testreihen machen und es gibt kein Muster bei dem ganzen da ohne Änderung der FB oder Portfrreigaben dennoch Portanfragen unterschiedlich beantwortet werden (getan und probiert).

Gewolltes Ziel:
Ob nur meine FB betroffen ist oder aber die ganze 6320 Reihe.

Sprich selbst wenn ich Nicht-Standard-Portfreigaben definiert hätte (also ich welche hinzugefügt hätte die nicht automatisch bei der FB freigegeben waren), was ich aber nicht habe, dürfte so etwas nicht passieren da ja eben wechselnde Ports beantwortet werden. Das einmal Port A als STEALTH beantwortet wird und danach auf einmal als PHBTD und Port b als PHBTD und danach auf einmal STEALTH ist, ist eben ein Verrhalten das zumindest mir absolut unbekannt ist.

Lösung (für mich):
Ich werde jetzt die gewünschten Support-Files an AVM schicken, denn ehrlich gesagt habe ich das Problem schon mehrfach nun genau benannt und auch erklärt und irgendwie kommt es mir so vor als müsste ich mich hier rechtfertigen. Ich frage lediglich ob dieses Phänomen auch andere haben und wenn ja das eben dieses laut Aussage der AVM-Hotline eben so nicht sein sollte.

 

[NoGi]

Es sind bei jeder Testreihe (jedes mal gleicher Test gleiche Portreihe die von der Webseite vorgeschlagen wird) andere Ports betroffen. Ich möchte eigentlich auch nicht wissen welche Ports von euch betroffen sind sondern edeiglich ob ihr die gleichen Symptome habt.

Heißt:
Symptom:
Die hier aufgeführten Ports: http://www6.ipv6.chappell-family.co.uk/cgi-bin6/ipscan-js.cgi sind untershciedlich betroffen. Führe ich den Test aus sind z.B. 5 beim ersten mal betroffen beim nächsten mal 6 andere oder teilweise auch gleiche. Es gibt hier kein Muster.
Sprich ich kann auch 5 Testreihen machen und es gibt kein Muster bei dem ganzen da ohne Änderung der FB oder Portfrreigaben dennoch Portanfragen unterschiedlich beantwortet werden (getan und probiert).

Ich kann m1ch anstellen wie ich will, ich bekomme die IPv6 Adresse der FB6340 nicht getestet. Ich sehe beim Test immer nur die
IPv6 Adresse meines Rechners, nicht die der FB.

-NoGi

 

[Fell]

Es sind bei jeder Testreihe (jedes mal gleicher Test gleiche Portreihe die von der Webseite vorgeschlagen wird) andere Ports betroffen. Ich möchte eigentlich auch nicht wissen welche Ports von euch betroffen sind sondern edeiglich ob ihr die gleichen Symptome habt.

Heißt:
Symptom:
Die hier aufgeführten Ports: http://www6.ipv6.chappell-family.co.uk/cgi-bin6/ipscan-js.cgi sind untershciedlich betroffen. Führe ich den Test aus sind z.B. 5 beim ersten mal betroffen beim nächsten mal 6 andere oder teilweise auch gleiche. Es gibt hier kein Muster.
Sprich ich kann auch 5 Testreihen machen und es gibt kein Muster bei dem ganzen da ohne Änderung der FB oder Portfrreigaben dennoch Portanfragen unterschiedlich beantwortet werden (getan und probiert).

Ich kann m1ch anstellen wie ich will, ich bekomme die IPv6 Adresse der FB6340 nicht getestet. Ich sehe beim Test immer nur die
IPv6 Adresse meines Rechners, nicht die der FB.

-NoGi

Ist ja soweit auch korrekt da du ja mittels deines PC's den Test aufrufst und nicht über den Router. Die Ergebnisse dort laufen ja aber über die Fritzbox zu deinem PC und sollten somit von der Firewall der FB gecheckt werden bzw. gefiltert werden. Sprich alles läuft ja über die Firewall der Fritzbox und eben da sollte die Fritzbox eingreifen und das ganze verhindern.
Wurden bei dir PHBTD Ports gefunden und wennja habend ie sich bei einem nochmaligen Check geändert? Oder alle Stealth?

 

[NoGi]

Ist ja soweit auch korrekt da du ja mittels deines PC's den Test aufrufst und nicht über den Router. Die Ergebnisse dort laufen ja aber über die Fritzbox zu deinem PC und sollten somit von der Firewall der FB gecheckt werden bzw. gefiltert werden. Sprich alles läuft ja über die Firewall der Fritzbox und eben da sollte die Fritzbox eingreifen und das ganze verhindern.
Wurden bei dir PHBTD Ports gefunden und wennja habend ie sich bei einem nochmaligen Check geändert? Oder alle Stealth?

So, ich hab's jetzt noch ein paar mal versucht.
Mit geschlossener Firewall meldet das Tool nach einem Zufallsmuster stealth bzw. prohibited.
Wenn ich die FritzBox öffne und das Tool gegen meine Linux Firewall laufen lasse, bekomme ich
wie zu erwarten den offenen SSH Port angezeigt und alle anderen zeigen "stealth" (ist halt so eingestellt).

Entweder hat das Tool einen Schuss und zeigt prohibited willkürlich an, oder die Programmierer der FB-Firewall treiben
Verwirrspielchen bei einem port scan.

-NoGi

 

[Fell]

Ist ja soweit auch korrekt da du ja mittels deines PC's den Test aufrufst und nicht über den Router. Die Ergebnisse dort laufen ja aber über die Fritzbox zu deinem PC und sollten somit von der Firewall der FB gecheckt werden bzw. gefiltert werden. Sprich alles läuft ja über die Firewall der Fritzbox und eben da sollte die Fritzbox eingreifen und das ganze verhindern.
Wurden bei dir PHBTD Ports gefunden und wennja habend ie sich bei einem nochmaligen Check geändert? Oder alle Stealth?

So, ich hab's jetzt noch ein paar mal versucht.
Mit geschlossener Firewall meldet das Tool nach einem Zufallsmuster stealth bzw. prohibited.
Wenn ich die FritzBox öffne und das Tool gegen meine Linux Firewall laufen lasse, bekomme ich
wie zu erwarten den offenen SSH Port angezeigt und alle anderen zeigen "stealth" (ist halt so eingestellt).

Entweder hat das Tool einen Schuss und zeigt prohibited willkürlich an, oder die Programmierer der FB-Firewall treiben
Verwirrspielchen bei einem port scan.

-NoGi

Also die Seitel hatte vor kurzem bei der TC7200 (die hatte ich davor) alles als Stealth und somit alles korrekt angezeigt.
Das die FB evtl. hier ien Verwirrspielchen macht bei einem Portscan dachte ich ja auch, weshalb ich ja dort anrief bei AVM, doch die sagen dieses Verhalten ist eben nicht normal.
Außerdem: Was bringt dieses Verwirrspielchen? Reiner STEALTH-Auswurf sollte doch sicher genug sein bzw. ich sehe jetzt nicht was ein PHBTD der ab und an erscheint zur Sicherheit beiträgt?!


Wenn du dieses ich nenne es mal Fehlerbild auch angezeigt bekommst bin ich wohl doch nicht der einzigste...
Hast du nun eigentlich die 6340 oder 6320 jetzt?

 

[NoGi]

Wenn du dieses ich nenne es mal Fehlerbild auch angezeigt bekommst bin ich wohl doch nicht der einzigste...
Hast du nun eigentlich die 6340 oder 6320 jetzt?

FB6340, aber ich denke die Brandschutzmauer der 63x0 Serie ist die gleiche bei allen FB.

-NoGi

 

[Fell]

So ich habe Antwort erhalten und bekam mitgeteilt dsas ich UPnP deaktivieren soll.
Allerdings hatte ich UPnP bis auf die Statusinformationen schon deaktiviert und auch nach Abwahl der Statusinformationen blieb der Fehler bestehen.
Mittlerweile erhalte ich auch ab und an den RFSD-Status beim Test. Ob das durch die Änderung des UPnP kommt kA.

Auf den Thread hier habe ich im übrigen auch hingewiesen.

 

[josen]

Hallo,

ein letztes mal versuche ich es noch Nennt doch Ports. Ansonsten kann ich auch gern mit professionellem Werkzeug einen Portscan anfertigen. Der zeigt dann nicht nur, welche Ports offen sind, sondern auch, welche Software oder zumindest welches Protokoll an besagtem Port lauscht. Das könnte euch bei der Entstörung weiterbringen

Bei Interesse einfach IPv4 oder IPv6 (aber nur die der zu scannenden Hosts) per PN an mich.



Grüße

 

[NoGi]

Hallo,

ein letztes mal versuche ich es noch Nennt doch Ports. Ansonsten kann ich auch gern mit professionellem Werkzeug einen Portscan anfertigen. Der zeigt dann nicht nur, welche Ports offen sind, sondern auch, welche Software oder zumindest welches Protokoll an besagtem Port lauscht. Das könnte euch bei der Entstörung weiterbringen

Bei Interesse einfach IPv4 oder IPv6 (aber nur die der zu scannenden Hosts) per PN an mich.

Drei Tests mit unkenntlichen Adressen und "STLTH" durch ----- ersetzt.
Orginal-Adressen kommen per PN.

<i>
</i>IPv6 UDP and TCP Port Scan Results
Results for host : 2001:4dd0:SAG:ICH:NICHT:GANZ:GEHEIM:7f31
Scan beginning at: Tue Sep 24 16:30:24 2013 , expected to take up to 20 seconds ...
ICMPv6 ECHO REQUEST returned :	INDIRECT-PHBTD (from 2001:4dd0:SAG:ICH:AUCH:NICH::2)
Individual IPv6 UDP port scan results (hover for service names):
Port 53 = PHBTD	Port 69 = PHBTD	Port 123 = PHBTD	Port 161 = PHBTD
Port 1900 = PHBTD
Individual IPv6 TCP port scan results (hover for service names):
Port 7 = PHBTD	Port 21 = -----	Port 22 = -----	Port 23 = -----	Port 25 = -----	Port 37 = -----
Port 53 = -----	Port 79 = -----	Port 80 = -----	Port 88 = -----	Port 110 = -----	Port 111 = -----
Port 113 = -----	Port 119 = -----	Port 123 = PHBTD	Port 135 = -----	Port 137 = -----	Port 138 = PHBTD
Port 139 = -----	Port 143 = -----	Port 311 = -----	Port 389 = PHBTD	Port 427 = -----	Port 443 = -----
Port 445 = -----	Port 514 = PHBTD	Port 543 = -----	Port 544 = -----	Port 548 = PHBTD	Port 631 = -----
Port 749 = -----	Port 873 = -----	Port 993 = -----	Port 1025 = PHBTD	Port 1026 = -----	Port 1029 = -----
Port 1030 = -----	Port 1080 = -----	Port 1720 = -----	Port 1812 = -----	Port 2869 = PHBTD	Port 3128 = -----
Port 3306 = -----	Port 3389 = -----	Port 3689 = -----	Port 5000 = -----	Port 5060 = -----	Port 5100 = PHBTD
Port 5357 = -----	Port 5900 = -----	Port 8080 = -----	Port 9090 = -----	Port 10243 = -----
IPv6 UDP and TCP Port Scan Results
Results for host : 2001:4dd0:SAG:ICH:NICHT:GANZ:GEHEIM:7f31
Scan beginning at: Tue Sep 24 16:31:38 2013 , expected to take up to 20 seconds ...
ICMPv6 ECHO REQUEST returned :	INDIRECT-PHBTD (from 2001:4dd0:SAG:ICH:AUCH:NICH::2)
Individual IPv6 UDP port scan results (hover for service names):
Port 53 = PHBTD	Port 69 = PHBTD	Port 123 = PHBTD	Port 161 = PHBTD
Port 1900 = PHBTD
Individual IPv6 TCP port scan results (hover for service names):
Port 7 = -----	Port 21 = -----	Port 22 = -----	Port 23 = PHBTD	Port 25 = -----	Port 37 = -----
Port 53 = -----	Port 79 = PHBTD	Port 80 = -----	Port 88 = -----	Port 110 = -----	Port 111 = -----
Port 113 = -----	Port 119 = -----	Port 123 = PHBTD	Port 135 = -----	Port 137 = -----	Port 138 = -----
Port 139 = -----	Port 143 = PHBTD	Port 311 = -----	Port 389 = -----	Port 427 = -----	Port 443 = -----
Port 445 = -----	Port 514 = -----	Port 543 = -----	Port 544 = -----	Port 548 = PHBTD	Port 631 = -----
Port 749 = -----	Port 873 = -----	Port 993 = -----	Port 1025 = -----	Port 1026 = -----	Port 1029 = -----
Port 1030 = -----	Port 1080 = -----	Port 1720 = -----	Port 1812 = -----	Port 2869 = PHBTD	Port 3128 = -----
Port 3306 = -----	Port 3389 = -----	Port 3689 = PHBTD	Port 5000 = -----	Port 5060 = -----	Port 5100 = PHBTD
Port 5357 = -----	Port 5900 = -----	Port 8080 = -----	Port 9090 = -----	Port 10243 = -----
IPv6 UDP and TCP Port Scan Results
Results for host : 2001:4dd0:SAG:ICH:NICHT:GANZ:GEHEIM:7f31
Scan beginning at: Tue Sep 24 16:32:47 2013 , expected to take up to 20 seconds ...
ICMPv6 ECHO REQUEST returned :	INDIRECT-PHBTD (from 2001:4dd0:SAG:ICH:AUCH:NICH::2)
Individual IPv6 UDP port scan results (hover for service names):
Port 53 = PHBTD	Port 69 = PHBTD	Port 123 = PHBTD	Port 161 = PHBTD
Port 1900 = PHBTD
Individual IPv6 TCP port scan results (hover for service names):
Port 7 = -----	Port 21 = -----	Port 22 = PHBTD	Port 23 = -----	Port 25 = -----	Port 37 = -----
Port 53 = -----	Port 79 = -----	Port 80 = -----	Port 88 = -----	Port 110 = -----	Port 111 = -----
Port 113 = -----	Port 119 = -----	Port 123 = PHBTD	Port 135 = -----	Port 137 = PHBTD	Port 138 = -----
Port 139 = -----	Port 143 = -----	Port 311 = -----	Port 389 = -----	Port 427 = PHBTD	Port 443 = -----
Port 445 = -----	Port 514 = -----	Port 543 = -----	Port 544 = -----	Port 548 = PHBTD	Port 631 = -----
Port 749 = -----	Port 873 = -----	Port 993 = -----	Port 1025 = -----	Port 1026 = -----	Port 1029 = -----
Port 1030 = -----	Port 1080 = -----	Port 1720 = -----	Port 1812 = PHBTD	Port 2869 = PHBTD	Port 3128 = -----
Port 3306 = -----	Port 3389 = -----	Port 3689 = -----	Port 5000 = -----	Port 5060 = -----	Port 5100 = -----
Port 5357 = -----	Port 5900 = -----	Port 8080 = -----	Port 9090 = -----	Port 10243 = PHBTD

-NoGi

 

[NoGi]

Bei Interesse einfach IPv4 oder IPv6 (aber nur die der zu scannenden Hosts) per PN an mich.

Nachdem "josen" mal meine Kiste gescant hat und außer dem TR69 Port nichts gefunden hat,
kann ich nur folgendes feststellen:

Ich würde sagen, das Teil hat eine Macke. Mache ich die FW auf der FB auf, erkennt
es die offenen Ports des Rechners ohne Probleme und berichtet auch den Zustand der anderen Ports korrekt.

Sobald ich die FW zumache, kommt es nicht mehr zu den Ports des Rechners durch und reimt sich dann
- möglicherweise laufzeitabhängig- irgendwas zusammen.
Selbst wenn ich es zwinge den TR69 Port zu scannen findest es den nicht, da der ja auf der FB ist und nicht
auf meiner Linux-Kiste. War eigentlich auch zu erwarten.

Dank Falks Hilfe ist der Fall für mich erledigt. Neudeutsch würde man sagen: false positive oder in richtigem Deutsch: Fehlalarm

Falk, vielen Dank für deine Mühe.

-NoGi

 

[josen]

Hallo,

gern geschehen. Ich hatte das Ergebnis hier nicht veröffentlicht, weil es dein Ergebnis ist

Grüße

 

[NoGi]

Ich hatte das Ergebnis hier nicht veröffentlicht, weil es dein Ergebnis ist

Weiß ich auch sehr zu schätzen. :super:

-NoGi