Unitymedia Security: Wie weit kommt der ISP in mein LAN?

[DerZweifler]

Hallo,

Eine vielleicht etwas provozierende Frage: Wie weit können KabelBW / Unitymedia mitlerweile eigentlich "zu Supportzwecken" in mein privates Heimnetzwerk schauen?

Dass sie das rechtlich garnicht dürfen sollte (zumindest aus meiner Laiensicht) klar sein ("Ausspähen von Computernetzen").

Aber spätestens seit Snowden wissen wir ja, dass man zumindest damit rechnen sollte: alles was gemacht werden kann wird auch gemacht.


Hintergrund der Frage: Nachdem mein gutes altes Cisco Modem den Geist aufgegeben hat musste ich entsetzt feststellen, dass ich als Ersatz kein einfaches Modem mehr bekommen werde.

Hinter dem Modem hatte ich meinen eigenen Router aufgestellt und damit mein Heimnetz mit dessen Firewall per NAT versteckt. Damit muss ich mir zumindest in Richtung ISP nicht mehr Sorgen machen als für jede andere Internet-Quelle auch.

Als Hardware Ersatz gibt es jetzt nurnoch entweder den Technicolor Router oder die FritzBox, beide mit mutmaßlich von KabelBW modifizierter Firmware.

Beim Technicolor Router wurde die normalerweiße herstellerseitige vorhandene Bridge-Funktion (mit der man das Ding auf einfachen "Modem"-Betrieb schalten könnte) ziemlich schlampig von KabelBW deaktiviert.
Die Option ist im WebInterface noch vorhanden und auswählbar, aber wenn man auf speichern drückt läd sich die Seite neu und die Einstellung springt einfach zurück. Die Unterdrückung der Bridge-Funktion ist explizit von KabelBW gewollt (es gibt hier zahlreiche Threads dazu...).

Bin jetzt küzlich mangels Alternative in den günstigsten Business Tarif umgestiegen. Dort sollte mit der FritzBox und zubuchbarer statischer IP ein Bridging und die verwendung eines eigenen Routers zumindest wieder möglich sein. Da bin ich momentan noch drann ...

Bei einem Telefonat mit der Hotline hat mich aber eine Aussage stutzig gemacht: Die KabelBW-Mitarbeiterin hat mir erzählt, sie sehe die Geräte hinter der Fritzbox. Sie konnte mir sogar IP und MAC Adresse nennen!!

Für mich ist das fast schon besagtes "Ausspähen von Computernetzen"! Auch wenn die Grenzen bezüglich "Supportrelevanten Daten" etwas fließend sein dürften.

Aber ich spinn jetzt mal ein Bisschen rum:
Wenn die modifizierten Firmware dem ISP bereits jetzt ausführliche Informationen über das private LAN liefert, wie weit ist denn dann noch der Sprung um im Router eine Hintertür einzubauen, die dem ISP im Zweifel Zugriff auf das komplette LAN erlaubt? VPN, SSH Port Tunnel, ...

Vielleicht bin ich an der Stelle ein Bisschen paranoid, aber ich denke nicht, dass es irgendwen bei KabelBW was angeht sollte, welche Geräte sich in meinem LAN befinden. Und der Integrität der KabelBW Hardware blind zu vertrauen finde ich mitlerweile echt schon ziemlich viel verlangt ...

Gibt es hier evtl. jemand der hier weitergehendes Wissen hat?

 

[Tobey]

http://www.wehavemorefun.de/fritzbox/TR-069

Über dieses Protokoll hat der Dienstleister Vollzugriff auf die FritzBox. Er kann alles auslesen was du sehn kannst und noch vieles weitere mehr.
Die Fritz Box hat sogar eine eingebaute Funktion alle Pakete zu protokollieren die verarbeitet werden. Auch diese Funktion könnte der Dienstleister theoretisch benutzen.

wie es für den Technicolor Router aussieht weiß ich nicht, wahrscheinlich aber ziemlich ähnlich.

 

[reset]

Hier geht es auch um diese Thematik: http://www.unitymediakabelbwforum.de/viewtopic.php?f=53&t=17702

Gruß reset

 

[avalon]

Das ist aber eine andere Thematik da bei der Dortigen Anfrage es ausschließlich um ein Kabelmodem handelte.

Das der Provider die IP und MAC Adressen sieht ist nicht verwunderlich, die sieht auch jeder andere im Internet. Die Frage ist ob er außer den Konfigurationsdateien des Routers auch in das LAN vordringen kann.

Bei einer Fritzbox kann man im übrigen falls man den Providern gar nicht traut einfach eine zweite anschließen und diese als Router für das lokale Netzwerk betreiben.

Allerdings wird dann die Portweiterleitung schwierig und wie das Ganze bei IPV6 aussieht, wo im Prinzip alle Geräte direkt im Internet hängen auch die hinter einem weiteren Router ...

 

[DerZweifler]

Hi,

Danke für die fixen Antworten. TR-069 also ... interessant.

Meine Befürchtungen sehe ich damit so ziemlich bestätigt.

Ich will jetzt mal nicht davon ausgehen, dass jeder gelangweilte Techniker in seiner Kaffeepause über Fritzbox oder Technicolor Router nach belieben auf Geräte und deren Services in meinem LAN zugreifen könnte. Aber das Potential dafür ist definitiv vorhanden und lässt sich nicht wegdiskutieren.

Über TR-069 scheint man sich theoretisch erstmal alle potentiellen Angriffsziele im Kunden-LAN auflisten lassen zu können, um dann direkt mit einer "Konfigurationsänderung" den Zugriff möglich zu machen (sei es über "offizielles Portforwarding" oder über irgendwelche Backdoors).

Wie gesagt ... ich behaupte nicht dass die ISPs das tatsächlich tun ... aber wenn sie wollten könnten sie ... oder wenn man sie zwingt.

Besonders im Zusammenhang mit der Tatsache, dass Bestandskunden, die in der mitlerweile obsoleten Konstellation "Cisco KabelModem + privaten Router" bisher geschützt waren, konsequent und ohne direkt sichtbare Alternative auf die neuen und anfälligen "All-In-One"-Blackboxen umsgellt werden, halte ich das für brandgefährlich. Wenn dieses Projekt abgeschlossen ist sind 99% der Kunden anfällig und 99,9% komplett Ahnungslos welche Macht der ISP jetzt in den Händen hält!

Daran dass im Internet jedes Datenpaket potentiell aufgezeichnet und ausgelesen wird hat man sich ja gewöhnt.

Aber das mitlerweile auch großflächig ein solcher "Standardzugriffspfad" auf private Netzwerk-Shares usw. besteht, setzt dem ganzen Wahnsinn nochmal ziemlich einen drauf.


Inzwischen ist bei mir, gut 6 Wochen nachdem mein Cisco-Modem den Geist aufgegeben hat, die Umstellung auf den Business Tarif + Beantragung der statischen IP durch und ich surfe wieder sicher mit meinem DD-WRT zwischen mir und der Fritzbox. Die Mehrkosten (bzw. in meinem Fall das Downgrade vom Privat-Tarif mit 100Mbit auf Geschäftstarif mit 50Mbit) kann ich noch halbwegs mit dem Mehr an Service und den Servicegarantien rechtfertigen. (Auch wenn knallig garantierten 99,5% Verfügbarkeit sich bei genauerem Hinschaun als unterm Strich wachsweich und weit weniger herrausstellen).

Aber sei es drumm ... die eigene Firewall lässt mich erstmal ruhiger schlafen.

Für mich wäre die potentielle Gefährlichkeit des Themas etwas mit dem sich die üblichen Sensationsmagazine mal Abends im Fernsehen beschäftigen sollten.

Die Tatsache dass das nicht passiert spricht für mich Bände.

 

[relaxxer]

Hallo DerZweifler,

danke für dein Feedback hier Ich bin gerade sehr sehr happy, dass ich deine Antwort lese (passt einfach in mein Szenario) und es freut mich zu hören, dass bei dir soweit alles geklappt hat.
Ich überlege eventuell UM abzuschliessen, wobei ich noch sehr unschlüssig bin. Ich wohne in Köln und der Anschlusscheck sagt mir, dass an meiner Adresse alles von UM bereit gestellt werden kann.

Allerdings hätte ich ein paar Fragen an Dich und würde mich sehr darüber freuen, wenn Du mir eventuell antworten würdest.

1) Ich habe das Problem, dass ich definitv eine Verbindung brauche, die gebridged ist, da ich ungern auf meine HW Firewall meiner Zywall USG verzichen möchte. Es laufen dahinter getrennte Netzwerke mit Servern, VPN etc...! Ich liebe meine USG, da man wirklich alles erdenkliche einstellen kann und ich möchte auf keinen Fall auf diese verzichten, gerade in Bezug auf die Firewall mit IDP, ADP etc... Dieser Routerzwang bzw. die Unfähigkeit ein anständiges MODEM im Privatkundensektor bereit zustellen, ist einfach für solch ein Unternehmen lächerlich.
Wie ich sehe bist du auf business 50 umgestiegen, wo die Fritzbox 6360 von UM per config gebridged wird, so dass du dann DHCP technisch via statische IP verbinden kannst. Sind die statischen IPs jetzt IP4 oder IP6? Ich möchte nur sicherstellen, dass meine DDNS Funktion durch die statische IP nochgewährleistet ist via IP4 hoffentlich?!

2) Dadurch das deine Fritz 6360 nun gebridged ist, kannst Du doch trotzdem Dich immernoch auf das GUI der Box loggen oder wird das auch abgeschaltet, wie Firewall, WLAN usw...? Ich kenn das Teil nicht, daher frage ich sicherhaltshalber ;-)

3) Für WLAN nutze ich eine alte Fritz, welche in einem eigenem Netzwerk dank der USG liegt, so dass ich das WLAN der 6360 eh nicht genutzt hätte. Wie schaut es denn mit Telefoneinstellungen aus? Diese sind bzw. müssen diese weiterhin auf der 6360 sein oder kann ich diese auch irgendwie in meine alte Fritzbox übertragen, so dass man die von UM umgefrickelte 6360 sprich nur als MODEM nutzen würde / könnte?

4) Durch die Umstellung bzw. Bestellung auf Business 50 + Telefon, kann man schon fast wieder darüber nachdenken, eher auf vDSL 50 umzusteigen, da man um einiges flexibler in Bezug auf Hardware ist und jedes beliebige vDSL Modem nutzen kann. (Zyxel, Draytek haben da schöne Dinge im Angebot)
Ich erkenne hier schon kaum noch einen Vorteil, nur weil UM es einem so schwer macht. Auch der Upload bei vDSL ist doppelt so hoch im Vergleich zu Business 50 (also wie rein technisch angepriesen wird, ob es so ist, weiss man ja im Vorfeld nie)

5) Wodurch mir meine letzte Frage in Sinn kommt. Wieso hast Du nicht zu vDSL gewechselt?


Würde mich sehr freuen von Dir zu hören und danke vorab für Deine Feedbacks
Bye
relaxxer

 

[Knifte]

@relaxxer: Wenn du die Wahl zwischen Office Internet & Phon 50 und VDSL 50 hast, dann entscheide dich für VDSL.

Die meisten Kabelkunden werden Kabelinternet haben, weil dort kein schnelles DSL verfügbar ist.

Vorteile VDSL:
- freie Routerwahl
- vollwertiges Dual Stack
- höherer Upload

 

[DerZweifler]

Hi Relaxxer,

In aller Kürze (Zeitmangel [])

1) Statische IP ist V4. DDNS Weiterleitung funktioniert wunderbar.

2) Jain ... Setting ist fritzbox -> DD-WRT Router -> LAN. Der Router hängt an einem der 4 LAN Ports der Fritzbox. In der Fritzbox selber kann ich explizit auswählen welcher Port gebridget werden soll. Auf dem Port bekommt das Gerät dahinter dann von KabelBW direkt eine IP zugewiesen. Allerdings kommt man erst nach der Registrierung als statische IP damit online.

Vom LAN hinter meinem Router komme ich nicht auf die Fritzbox. Aber ich müsste entweder das WLAN der Fritzbox anmachen oder mich an einen der 3 anderen Ports einstöpseln.

3) kann ich dir leider nicht sagen, müsste man ausprobieren. Mir reichts im Moment völlig wenn sie an der 6360 hängen.

4&5) Stimmt definitiv. Aber VDSL ist bei mir nicht ausgebaut. Die Alternativen sind KabelBW oder DSL < 16k

 

[hajodele]

...
Besonders im Zusammenhang mit der Tatsache, dass Bestandskunden, die in der mitlerweile obsoleten Konstellation "Cisco KabelModem + privaten Router" bisher geschützt waren, konsequent und ohne direkt sichtbare Alternative auf die neuen und anfälligen "All-In-One"-Blackboxen umsgellt werden, halte ich das für brandgefährlich. Wenn dieses Projekt abgeschlossen ist sind 99% der Kunden anfällig und 99,9% komplett Ahnungslos welche Macht der ISP jetzt in den Händen hält!

Für viele Kunden wäre das wirklich der bessere Weg, wenn im Support tatsächlich jemand erreichbar wäre, der Ahnung hat.
Bis Mitte 2012 wurden nur Modems verteilt. Die 6360 gab es nur wegen der Telefonie (ISDN-Option).
Die Bundesnetzagentur hat im Frühjahr einen Entwurf zu einer neuen Verordnung "Mehr Transparenz bei Breitbandanschlüssen" veröffentlicht. In der Praxis geht es genau darum, dass die Kunden die Möglichkeit haben sollen, eigene Router zu verwenden. Die Verordnung wurde bereits ordentlich zerrupft. Wann sie in welcher Form tatsächlich Gesetz wird und ab wann die Übergangsfristen abgelaufen sind steht auf einem anderen Blatt.

Aber das mitlerweile auch großflächig ein solcher "Standardzugriffspfad" auf private Netzwerk-Shares usw. besteht, setzt dem ganzen Wahnsinn nochmal ziemlich einen drauf.
...
Für mich wäre die potentielle Gefährlichkeit des Themas etwas mit dem sich die üblichen Sensationsmagazine mal Abends im Fernsehen beschäftigen sollten.

Die Tatsache dass das nicht passiert spricht für mich Bände.

Dieser Pfad ist nicht neu. Nach dem Sicherheitsleck bei den Fritzboxen Anfang des Jahres hat man sich auch in verschiedenen Publikationen über diese Problematik ausgelassen.
Zum damaligen Zeitpunkt hat dich wahrscheinlich das Thema einfach nicht interessiert.

 

[hajodele]

zu 3)
Die Übertragung kann entweder über ISDN erfolgen (dann halt nur 2 Parallel-Anrufe).
oder wahrscheinlich über "LAN/WLAN"-Telefoniegeräte.

 

[tq1199]

Aber ich müsste entweder das WLAN der Fritzbox anmachen ...

Kannst Du das WLAN deiner FB6360 noch benutzen (... weil Du eine statische IP-Adresse hast)? Denn lt. deinem Provider:

Für Kunden, die eine / fünf statische IP-Adressen nutzen:
Die AVM FRITZ!Box 6360 Cable ist für die Nutzung mit statischen
IP-Adressen konfiguriert. Sie fungiert in dieser Konfiguration als eRouter/Kabelmoden und IP-basierte Telefonanlage. Die Funktionen WLAN, DHCP, NAT und Firewall sind deaktiviert. Sie können Ihren eigenen Router an die FRITZ!Box 6360 Cable anschließen und über diesen Ihre(n) Server einbinden. Die Telefoniefunktionen der FRITZ!Box 6360 Cable stehen Ihnen weiterhin zur Verfügung, u. a. gleichzeitig mit bis zu 3 Kabel BW-Rufnummern telefonieren (max. 2 Telefonate gleichzeitig über den S0-Bus), DECT Basisstation, Anrufbeantworter, Fax inkl. E-Mail-Weiterleitung.

Quelle: Eingeschränkter Funktionsumfang bei statischen IP-Adressen (siehe dort Konfigurationshinweise)

EDIT:

Wie ist die Bezeichnung der Konfigurationsdatei deiner FB6360?

 

[DerZweifler]

Die zitierte Aussage ist so nicht ganz korrekt: Wie gesagt, die FB hat 4 LAN Ports. Im FB Interface kann ich 3 davon auf "Bridge" umschalten. (Port 2,3 und 4, warum auch immer ...). Danach bekommen die Geräte hinter dem geschalteten Port von Kabel BW (nicht von der FB!) eine IP zugewiesen. Der Netzwerkverkehr an diesem einen Port wird dann von der FB nichtmehr geNATet.


Aber die FB selber hat weiterhin auch eine Dynamische WAN IP. Ich kann auf der FB auch immernoch ganz normal DHCP/NAT/Internet an den anderen LAN-Ports oder über das FB WLAN nutzen. Das funktioniert weiterhin, habs getestet.

Der Punkt ist nur: ich werds so garantiert nicht nutzen. Höchstens mal temporär, wenn ich ganz dringend in das FB Interface muss :smile:

 

[tq1199]

Die zitierte Aussage ist so nicht ganz korrekt: ... Ich kann auf der FB auch immernoch ganz normal DHCP/NAT/Internet an den anderen LAN-Ports oder über das FB WLAN nutzen. Das funktioniert weiterhin, habs getestet.

Danke für die Info.

 

[josen]

Hallo,

der Angriffspfad ist sogar noch einfacher, wenn man mal die rechtlichen Rahmenbedingungen außen vor lässt. Nur rein hypothetisch gesprochen.

1. Mittels TR-069 Telnet auf der Fritz!Box aktivieren
2. Beliebige Programme auf die Fritz!Box hochladen
* Beispiele:
- NMAP
- SOCKS-Proxy
- FinFIsher Client
3. Profit!

Du kannst nichts gegen deinen ISP tun. Dem musst du vertrauen. Oder so wie ich eine pfSense mit anonymem VPN dahinter laufen haben und dann eben dem VPN-Anbieter vertrauen.

Grüße

 

[SpaceRat]

1. Mittels TR-069 Telnet auf der Fritz!Box aktivieren

Man kann TR-069 auf der Fritz!Box auch deaktivieren. Allerdings nicht bei einer Kabelfritte (Weil man da nicht wirklich "rein" kommt), wohl aber auf einer Fritte hinterm klassischen Kabel-Modem.

 

[koax]

Wird mal wieder aktuell, denn es ist wohl weniger (oder nicht nur) der Provider, vor dem man Angst haben muss:
http://www.heise.de/newsticker/meld...069-Fernwartung-kompromittierbar-2292576.html

 

[hajodele]

Wird mal wieder aktuell, denn es ist wohl weniger (oder nicht nur) der Provider, vor dem man Angst haben muss:
http://www.heise.de/newsticker/meld...069-Fernwartung-kompromittierbar-2292576.html

Danke :super: aber nur für die Info
Sonst :wein:

Man bin ich froh, dass ich VDSL habe und TR-069 normalerweise deaktiviert habe.
Dadurch, dass ich Zugriff auf alle Passwörter habe, funktioniet bei mir ja trotzdem alles.

Leider geht bei den von mir betreuten Familien im Be- und Verwandtenkreis nur Kabel :wein:

Die Hoffnung liegt jetzt wieder mal beim Gesetzgeber, der sich nach der Sommerpause hoffentlich zügig ohne zu lange Übergangsfristen um die Router-Transparenz kümmern wird.

 

[thorium]

Die Horizon Geschichte macht das alles hier auch nicht zwingend transparenter. Komfort Zugewinn für den 0815-Ahnungslos-Apple Nutzer wird hier mit potentiell völligem Entgleiten der Kontrolle über das eigene LAN erkauft.

Der Sicherheitsexperte empfiehlt Anwendern, TR-069 über das Web-Interface zur Konfiguration abzuschalten. Sollte dies nicht machbar sein, sollten Kunden ihren ISP nach einer neueren Firmware fragen, die dies zulässt.

Ich schätze ein Kinderbrief an den Weihnachtsmann hat mehr Erfolgsaussicht.

 

[thorium]

Die Hoffnung liegt jetzt wieder mal beim Gesetzgeber, der sich nach der Sommerpause hoffentlich zügig ohne zu lange Übergangsfristen um die Router-Transparenz kümmern wird.

...und sich endlich den EU Vorgaben fügt...

 

[reset]

Hier auch mal ein Artikel von der Def Con 22 dazu: http://www.golem.de/news/security-luecken-in-update-servern-gefaehrden-millionen-router-1408-108607.html

Gruß reset

 

[thorium]

Wäre interessant zu hören was UM dazu meint.

Der typische Zwangsrouter macht das sicher auch einfacher, zumal UM ja aus den "All you data belong to me" Staaten kommt.
http://www.heise.de/newsticker/meldung/NSA-GCHQ-Hacienda-Die-vollstaendige-Kolonisierung-des-Netzes-2292859.html

 

[magentis]

Wäre interessant zu hören was UM dazu meint.

Na was schon? Ich vermute mal: "Wir haben die Lücke schon vor Jahren bei einem Update geschlossen". Und weil man schon vor Wissen der Lücke alles geschlossen hat, stand deren System letztens erst offen. UM dachte halt, man hätte das schon vor Jahren geschlossen. :brüll:

 

[thorium]

Da die Anglo-Amerikanischen Provider an einer Kurzen Leine geführt werden war eventuell auch eine Order da sich nicht um diese Problemchen zu kümmern .

Das ist auch lesenswert
http://www.heise.de/ct/artikel/NSA-GCHQ-Das-HACIENDA-Programm-zur-Kolonisierung-des-Internet-2292574.html?hg=1&hgi=9&hgf=false

 

[reset]

ISPs mit Ursprung in Nordamerika, hinterlassen in letzter Zeit bei mir immer ein etwas ungutes Gefühl......
da man sich da nie wirklich sicher sein kann, was da im Hintergrund wirklich läuft und an welche Gesetzte sie sich denn halten.
(wenn überhaupt)

Gruß reset

 

[thorium]

Wir haben auch einen "Feind" in eigenem Bett, ich denke da an die kleine abtrünnige West-EU Insel Provinz mit Ex-Imperial-Minderwertigkeitskomplexen.