Unitymedia Illegitime Zugriffe auf Router? Wie Router-Konfigartion auslesen?

[openunity]

Hallo,

seitdem ich meinen Internet-Anschluss bei Unitymedia habe, erlebe ich ständig 'Seltsamheiten' (bin selbst im IT-Bereich tätig und kann daher die Meldungen im Router-Log zumindest teilweise deuten) in diesem Zusammenhang. Ein paar Auszüge aus meinem Router-Log könnt Ihr hier sehen:
https://pasteboard.co/37xGxmsB5.jpg
https://pasteboard.co/37yuTEaQX.jpg

Bei den Einträgen, die auf dem ersten Screenshot zu sehen sind, kam es jeweils zu den dort angezeigten Zeichen zu Verbindungsabbrüchen. Bei diesem Gerät, dessen MAC-Adresse mit "00:01:5c" anfängt, handelt es sich wohl um von Unitymedia verwendete Hardware des Herstellers "Cadant Inc." (wahrscheinlich der nächste 'Knotenpunkt'). Dass es nach diesen Meldungen zu Verbindungsabbrüchen kommt, ist mir klar, was da aber gerade gemacht worden war, weiß ich natürlich nicht. Normalerweise würde ich schlicht von Wartungsarbeiten ausgehen, nur konnte ich im Rahmen einer Analyse per Wireshark bereits sehen, dass da etwas nicht so ganz richtig sein kann mit den Paketen, die mir mein Router schickt (im Browser war es dann auch einmal sichtbar, als sich die Internetseite einer staatlichen Behörde auf Grund eines Zertfikatsfehlers nicht öffnen ließ, was entweder auf einen fehlerhaften Datentransfer oder auf Spoofing hindeutet).
Was ich bei den auf dem ersten Screenshot zu sehenden Meldungen auch nicht verstehe, ist, warum dort "TEK invalid - Invalid key sequence number" angezeigt wird - Übertragung von fehlerhaften Schlüsseln bei der Durchführung von Wartungsarbeiten, die zu Verbindungsabbrüchen führen?

Auf dem anderen Screenshots sieht man, dass das oben genannte Gerät offensichtlich die Konfiguration meines Routers modifiziert hat ("Stored MIMO [...] post.cfg file", was beinahe ein Mal pro Tag zu sehen war. Daher wäre es für mich interessant, was sich da nun für eine Konfiguration auf meinem Router befindet. Man kann diese zwar lokal speichern, das aber nur in einem Binärformat, und ich konnte bislang nichts finden, womit man dieses lesbar machen könnte.
Ich habe die entsprechende Datei ebenfalls hochgeladen, vielleicht ist ja jemand in der Lage, diese zu entschlüsseln:
https://ufile.io/5obw9


Eine Mail an den Unitymedia-Support habe ich bereits heute morgen geschickt, bislang aber noch keine Antwort erhalten.


Es würde mich freuen, wenn jemand etwas zu den im Router-Log zu sehenden Einträgen sagen könnte.

 

[Leseratte10]

Die beiden Bilder existieren leider nicht.

Die "MIMO"-Config ist einfach nur, dass UM deinem CPE mitteilt, ob er sich mit IPv4 oder IPv6 verbinden soll, nix besonderes: https://www.speedguide.net/faq/what-does-the-mimo-event-mimo-log-message-mean-393

Das passiert, wenn sich das Modem neu verbindet - also nicht die neue MIMO-Config löst den Abbruch aus, sondern nach Abbruch der verbindung holt sich das Modem ne neue Konfig.

Der TEK ist der Schlüssel, mit dem ein Datenblock verschlüsselt wird. Wenn der "Hauptrouter" und die CMTS zwischen dir und UM nicht mehr ganz syncron laufen, dann nutzen sie irgendwann mal aus Versehen einen falschen / verworfenen Schlüssel und dein Modem handelt einen neuen aus. Nix besonderes, solange das nicht im Sekundentakt passiert.

Die Config ist wohl verschlüsselt oder komprimiert - da lässt sich nix erkennen. Aber Unitymedia bastelt nicht an "deinem" Router rum, sondern an ihrem Eigentum, was sie dir leihweise zur Verfügung stellen. Willst du das nicht, musst du ein eigenes Gerät selber kaufen (z. B. ne 6490 / 6590), da lassen sich dann sämtliche Management-Schnittstellen für Unitymedia - außer die, die deinem Router mitteilt, welche Geschwindigkeit und Co. du gebucht hast - abstellen.

Was für Eigenheiten hast du denn in Wireshark gesehen? Und welchen Zertifikatsfehler? Abgelaufen? Fingerprint falsch (HPKP)? Domain falsch? Wenn ja, wie falsch?

 

[openunity]

Bei der Vorschau des Beitrags waren die verlinkten Bilder noch aufrufbar, gerade dann nicht mehr - Vielleicht ist irgendwas beim endgültigen Absenden falsch übermittelt worden. Jedenfalls habe ich die beiden Screenshots gerade nochmal hochgeladen und die Links in meinen Beitrag eingefügt, bei mir zumindest hatte der Aufruf gerade eben funktioniert.

Vorher hatte ich Einträge im Router-Log gesehen, denen zufolge der Router zunächst "Maintenance requests" empfangen hatte, und dann wieder Meldungen erschienen waren, die sich auf die Konfigurationsdatei bezogen.

Dass Unitymedia nicht an dem sich bei mir befindlichen Router rumbastelt, ist mir schon klar - Dass deren Infrastruktur absolut abgesichert gegen Angriffe ist, die dann wiederum Angriffe auf einzelne Kunden ermöglichen, ist aber vermutlich nicht gänzlich ausschließbar.

Ich würde normalerweise auch einen sicher konfigurierten OpenWrt- bzw. LEDE-Router hinter dem UnityMedia-Router betreiben, nur fehlt mir dazu 1) momentan jegliche Zeit und 2) soll das wohl ziemlich problematisch sein, wobei ich diesbezüglich aber auch nur eine ganz kurze Suche durchgeführt hatte und das sicher irgendwie gehen wird.


Auf Wireshark-Captures kann ich später eingehen, bin jetzt nicht zuhause. Die Zertifikatsfehler hatte ich mir nicht genauer angesehen, weil ich keine Zeit hatte (hätte ich mal besser tun sollen, aber jetzt ist es halt zu spät) - Jedenfalls wollten weder Firefox noch Chrome die entsprechende Seite öffnen, weil sie diese auf Grund eines Zertifikatfehlers als "unsicher" klassifiziert hatten.


Wie lange braucht denn der Support normalerweise, um auf Anfragen zu antworten?



EDIT: Natürlich ist die Konfig 'verschlüsselt' (eigentlich falsche Bezeichnung), hatte ich ja auch in meinem Beitrag geschrieben. Genauso auch bei den Routern von D-Link oder TP-Link z. B., nur gibt es (u. a.) für diese Tools für die 'Entschlüsselung', daher dachte ich, dass es so etwas auch für das von Unitymedia verwendete Format geben könnte oder jemand sich mal damit beschäftigt hat.

 

[hajodele]

Wie lange braucht denn der Support normalerweise, um auf Anfragen zu antworten?

Im Allgemeinen mehrere Wochen, wobei die Antwort nicht immer was mit der Frage zu tun hat.
Ob du jemals eine Antwort auf diese Frage bekommst, wage ich zu bezweifeln.

 

[MichaelBre]

bin selbst im IT-Bereich tätig und kann daher die Meldungen im Router-Log zumindest teilweise deuten

https://pasteboard.co/37xGxmsB5.jpg
https://pasteboard.co/37yuTEaQX.jpg

Aua...
Das sind keine Screenshots, das sind Bilder vom Monitor.
Hier ein bisschen was zum lesen: http://www.tippscout.de/screenshot-windows_tipp_6063.html

Weiterhin wären ein paar mehr Infos hilfreich.
- Welchen Router verwendest du?
- Seit wann hast den Vertrag bei Unitymedia?
- Welches Produkt hast du? (2play/3play/Geschwindigkeit)
- Hast du ansonsten Einschränkungen wie zB Einbrüche der Geschwindigkeit?

Generell hat Leseratte dir schon einiges zu dem Thema mitgeteilt.

 

[johnripper]

Dass deren Infrastruktur absolut abgesichert gegen Angriffe ist, die dann wiederum Angriffe auf einzelne Kunden ermöglichen, ist aber vermutlich nicht gänzlich ausschließbar.

Doch bestimmt. Ich empfehle in diesem Zusammenhang immer diesen Beitrag des CCC (etwas länger, aber mehrfach sehenswert):
https://media.ccc.de/v/32c3-7133-beyond_your_cable_modem#video

Ich würde normalerweise auch einen sicher konfigurierten OpenWrt- bzw. LEDE-Router hinter dem UnityMedia-Router betreiben, nur fehlt mir dazu 1) momentan jegliche Zeit und 2) soll das wohl ziemlich problematisch sein, wobei ich diesbezüglich aber auch nur eine ganz kurze Suche durchgeführt hatte und das sicher irgendwie gehen wird.

Natürlich kannst du ein Router hinter dem Router von UM verwenden. Mit einer öffentlichen IPv4 hast du dann eben ein Doppel-NAT bei DSLite ggf. sogar Tripple-NAT in Bezug auf die IPv4.

Wie lange braucht denn der Support normalerweise, um auf Anfragen zu antworten?

Ernsthaft: Spar die die Mühe. Du wirst (mit hocher Wahrscheinlichkeit) keine fundierte Antwort bekommen. Im 1st-Level Support fehlt dafür die Zeit und das Knowledge.

 

[openunity]

Aua...
Das sind keine Screenshots, das sind Bilder vom Monitor.
Hier ein bisschen was zum lesen: http://www.tippscout.de/screenshot-windows_tipp_6063.html

Weiterhin wären ein paar mehr Infos hilfreich.
- Welchen Router verwendest du?
- Seit wann hast den Vertrag bei Unitymedia?
- Welches Produkt hast du? (2play/3play/Geschwindigkeit)
- Hast du ansonsten Einschränkungen wie zB Einbrüche der Geschwindigkeit?

Generell hat Leseratte dir schon einiges zu dem Thema mitgeteilt.

Ja, das sind Fotos vom Monitor und keine Screenshots. Ich bitte um Entschuldigung für die Verwendung des falschen Wortes (habe in letzter Zeit recht wenig geschlafen).

Den Vertrag (Internet PREMIUM 120 Mbit/s) habe ich seit Anfang Mai, Geschwindigkeitseinbrüche habe ich nicht, und die anderen Fragen sollten die weiter unten verlinkten Screenshots (dieses Mal sind es Screenshots, keine Fotos) beantworten.

Ziemlich seltsam finde ich, dass der Router (bzw. die GUI der Firmware) www.blackhat.com nicht auflösen und auch kein Traceroute zur IP der Seite durchführen konnte (jeweils Fehlermeldung "bad address" - obwohl ich auf die Seite per Browser zugreifen kann). Ein Traceroute zu www.heise.de funktioniert jedoch ohne Probleme - Da auf dem Screenshots nicht das vollständige Ergebnis zu sehen ist, hier die ganze Ausgabe:

<i>
</i>traceroute to 2a02:2e0:3fe:1001:7777:772e:2:85 (2a02:2e0:3fe:1001:7777:772e:2:85) from 2a02:908:a00:3:319a:de24:faca:9933, 30 hops max, 16 byte packets
1 2a02:908:a00:3::1 10.000 ms 10.000 ms 10.000 ms
2 2a02:908:0:253::1 10.000 ms 30.000 ms 20.000 ms
3 2a02:908::a:2 10.000 ms 10.000 ms 10.000 ms
4 2001:730:2d00::5474:8065 10.000 ms 20.000 ms 20.000 ms
5 2001:730:2d00::5474:8042 10.000 ms 10.000 ms 30.000 ms
6 2001:7f8::1b1b:0:1 20.000 ms 20.000 ms 60.000 ms
7 * * *
8 2a02:2e0:12:19::101 10.000 ms 10.000 ms 20.000 ms
9 2a02:2e0:3fe:0:c::1 10.000 ms !S 10.000 ms !S 20.000 ms !S
[trace_route finish !]

Wieso kann der Router also www.heise.de auflösen, www.blackhat.com aber nicht, und auch kein Traceroute direkt zu der IP durchführen?


Hier also die erwähnten Screenshots, auf denen alles an relevanten Informationen zu sehen sein sollte:
https://pasteboard.co/jx7h1hsm.png
https://pasteboard.co/39luRkGsB.png
https://pasteboard.co/39lOhs8Lp.png
https://pasteboard.co/39m5GerJq.png
https://pasteboard.co/39mxWhosT.png
https://pasteboard.co/39mZBxiEW.png
https://pasteboard.co/39niakDpn.png
https://pasteboard.co/39nDE0vt1.png
https://pasteboard.co/39nV5I8D3.png
https://pasteboard.co/39obHNgQG.png
https://pasteboard.co/39ouGv92S.png
https://pasteboard.co/jxujgbR9.png
https://pasteboard.co/39qrjuzBi.png

 

[openunity]

Gerade habe ich mal zwei Wireshark-Aufzeichnungen durchgeführt. Einmal während des Router-Neustarts:
https://file.io/nCKgz1

... und einmal, während ich über den Browser auf www.redhat.com zugegriffen hatte:
https://file.io/swuoHQ


Es hatte übrigens nach dem Router-Neustart 15 Minuten gedauert (also nachdem die GUI wieder aufrufbar war), bis ich wieder Internet-Zugang hatte - Obwohl die GUI angezeigt hatte, dass ich online sei und es keine Probleme gebe. Lediglich das Diagnose-Tool der GUI war bei 25% einfach stehengeblieben.


Hier ein paar Screenshots, die ich während der Wireshark-Aufzeichnung aufgenommen hatte:
https://pasteboard.co/3afAZjQ6x.png
https://pasteboard.co/3afQKiQhg.png
https://pasteboard.co/3ag7N1fvG.png


Interessant ist vielleicht auch noch, dass die Firewall-Software auf meinem PC ständig (laut Log) ARP-Spoofing blockiert:
https://pasteboard.co/3ahTpMS1J.png


Auch die Ausgabe von "nestat -ao" kommt mir 'leicht seltsam' vor:
https://pasteboard.co/jD9R9WIJ.png
https://pasteboard.co/3ajUM03js.png

 

[Leseratte10]

Also, die Wireshark-Dateien kann ich nicht runterladen (404).

Was ist denn an den Wireshark-Daten so besonders? Falls du die merwkürdigen DNS-Abfragen und QUIC-Pakete meinst, die verursacht Chrome und nicht dein Router.

Dass die Firewall da irgendein ARP-Spoofing blockiert, wird aus dem Screenshot nicht ersichtlich - nur, dass ARP blockiert wird. Kann aber auch legitim und deine Firewall falsch eingestellt sein.

Und was genau soll denn an der Ausgabe von netstat jetzt so besonders sein?

 

[openunity]

Gestern konnte ich die Links noch öffnen, warum sie sich jetzt nicht mehr öffnen lassen, weiß ich nicht.

Naja, an der netstat-Ausgabe finde ich z. B. die diversen Verbindungen seltsam, die dem Prozess mit der PID "0" zugeordnet sind. Das muss aber natürlich nichts mit dem Router zu tun haben, sondern kann (eine Kompromittierung angenommen) genauso an meinem Rechner liegen.

Warum kann der Router www.blackhat.com denn nicht auflösen und auch kein Traceroute zu der IP durchführen, was bei www.heise.de hingegen beides kein Problem ist?

 

[openunity]

Gerade eben habe ich nochmal eine Wireshark-Aufzeichnung durchgeführt: Zunächst alles geschlossen (Browser, Dropbox, etc.), was irgendwie mit einem Server kommunizieren könnte (klar, Windows-Update oder meine Antivirus-Software könnte weiterhin Traffic verursachen), dann den Netzwerkstecker herausgezogen, Wireshark gestartet und dann die Verbindung mit dem Router wiederhergestellt. Die entspechende Datei habe ich dieses Mal per Dropbox freigegeben:
https://www.dropbox.com/sh/hckgb2can8sakaz/AAA-K3xFXP9Wd1DdtBM5lz33a?dl=0

Hier auch die währenddessen gemachten Screenshots:
https://pasteboard.co/kzRi8t1d.png
https://pasteboard.co/3jMPJiSbe.png
https://pasteboard.co/3jN7MQrh2.png

Etwas Auffälliges kann ich (!) an DIESER Aufzeichnung nicht feststellen. Ein ARP-Spoofing wird sich da auch nicht finden lassen, jedenfalls hat meine Antivirus-Software kein Spoofing während dieser Zeit erkannt. Dass da was falsch konfiguriert ist, wage ich mal auszuschließen, weil ich gar nichts konfiguriert habe. Ich werde mal den Comodo-Support fragen, ob die mir mitteilen können, warum da ARP-Spoofing festgestellt worden ist.


Gerade habe ich auch nochmal den gleichen Test durchgeführt: Mein Rechner kann ohne Probleme auf www.blackhat.com zugreifen, der Router aber weder die Adresse auflösen noch ein Traceroute zu der IP durchführen.


Dass zumindest mein Rechner infiziert ist, sagen zumindest die Rootkit-Scanner GMER und Adlice Rouge Killer.
GMER: https://pastebin.com/66DEGPje
Rouge Killer: https://pastebin.com/7Q6AaxeH
[Wen das interessiert (hat ja nichts mit dem Router zu tun), kann auch den Thread nachlesen, in dem ich das in dem Adlice-Forum thematisiert hatte: https://forum.adlice.com/index.php?topic=3385.0 ]


Übrigens hatte ich die netstat-Screenshots gemacht, als kein Browser etc. geöffnet gewesen war - Ich finde die Ausgabe schon ziemlich auffällig, auf der zig Verbindungen mit IPs zu sehen sind, bei denen teilweise eine Suche zu Seiten mit Malware-Einträgen führt, und die dem Prozess mit der PID "0" zugeordnet sind.

 

[Leseratte10]

PID 0 und Status "TIME_WAIT" im netstat-Output sind nix ungewöhnliches, das bedeutet einfach nur, der Prozess dem die Verbindung "gehört" ist mittlerweile beendet (und Windows hält die geschlossene Verbindung noch einige Zeit im Speicher um etwaige verspätete Pakete zuordnen zu können.

Aber wenn die zu irgend ner Malware-Seite gehören und auch Viren/Rootkit-Scanner dir Meldungen ausgeben, dann ist jetzt Schritt 1 "Rechner neu aufsetzen und Backup zurückspielen", nicht "Router auseinandernehmen und auf Fernzugriffe von UM untersuchen". Und DANN wundert mich auch nicht, dass du irgendwelche Zertifikatsfehler bekommst....

 

[openunity]

Es gab doch ein Problem mit dem Router, was ich aber mit dem Unitymedia-Support inzwischen klären und lösen konnte, und nichts mit illegitimen Zugriffen zu tun hatte (eine ausführliche Erkärung würde hier zu weit führen). Es war jedenfalls so, wie eingangs von jemandem gesagt worden war: Diese Meldungen bezüglich der Konfiguration bedeuteten einfach, dass sich der Router nach den ziemlich häufig auftretenden Verbindungsabbrüchen (die nun nach Konfiguration mit Unterstützung des Supports nicht mehr auftreten) jeweils eine neue Konfigurationsdatei geholt hatte.


Nach einem Neu-Aufsetzen des Systems zeigen GMER und der Scanner von Adlice nun auch nichts mehr an, ebenso wie keine ARP-Spoofing-Eintr?ge mehr in der Comodo-Firewall zu sehen sind (der Netstat-Output sah danach übrigens deutlich anders aus, aber das nur am Rande). DAS hatte also nichts mit Unitymedia bzw. deren Router zu tun (gehört daher auch überhaupt nicht hier hin), und "Virus" sowie "Windows" sind ja ohnehin quasi Synonyme... :zwinker:


Dass man einen OpenWrt- bzw. LEDE-Router hinter diesem Unitymedia-Router betreiben sollte, scheint mir dennoch eine sinnvolle Idee zu sein, würde das aber grundsätzlich empfehlen (oder halt ein ADSL-Modem/Router mit OpenWrt/LEDE-Unterstützung, da gibt es aber nicht viele gute Modelle).




Das Thema sollte sich erledigt haben, der Thread kann daher ggf. gerne geschlossen werden.