• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Unitymedia Der streng geheime Streit über die Routersicherheit

Diskutiere Der streng geheime Streit über die Routersicherheit im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon; nicht uninteressant ..... https://www.golem.de/news/bsi-richtlinie-der-streng-geheime-streit-ueber-die-routersicherheit-1801-132363.html
  • Der streng geheime Streit über die Routersicherheit Beitrag #1

monster

Beiträge
244
Punkte Reaktionen
21
Ort
Hessen
nicht uninteressant .....

https://www.golem.de/news/bsi-richtlinie-der-streng-geheime-streit-ueber-die-routersicherheit-1801-132363.html
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #2
Klaaar...,

"Ihr dürft keine Softwareupdates einspielen"
und
"Ihr seid verantwortlich für Lücken in eurem selber gekauften Endgerät"
passt irgendwie nicht zusammen...

Ich bin mal gespannt was da raus kommt.
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #3
  • Der streng geheime Streit über die Routersicherheit Beitrag #4
Mit anderen Worten: das Kabelnetz ist sicher, es gibt keine Updates für die Kabelrouter, es sei denn man kann sein eigenes Produkt damit (besser) vermarkten. Was die vielleicht die Kunden wollen, interessiert nicht, die machen doch eh nur alles kaputt.

Sehr lustig :)
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #5
Es könnte so einfach sein ..... Modem vom Provider, Ethernet Buchse als Übergabe zum Kunden. Klare Schnittstelle der Zuständigkeit.
Oder wenn Kunde ein Provider Multigerät haben möchte und sich um nix kümmern möchte: Modem/Router Gerät (AVM, Connectbox, ...)
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #6
Mit reinen Modems kann man aber dem Kunden keinen weiteren Mist verkaufen (Wifispot) und hat keine Einsicht in sein Netzwerk.
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #7
Auch Modems brauchen neue Firmware - sieht man ja am TC4400, was dämlicherweise nicht vernünftig mit DS-Lite funktioniert obwohl IPv6 angeblich unterstützt wird ...
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #8
Bis jetzt hat es nur einer mit DS Lite probiert oder? Und dort ging doch auch IPv6 nicht richtig, oder? Ich würde daher mal abwarten bis andere das Modem mit DS Lite einsetzen.
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #9
rv112 schrieb:
Mit reinen Modems kann man aber dem Kunden keinen weiteren Mist verkaufen (Wifispot) und hat keine Einsicht in sein Netzwerk.
Zum Vergrößern anklicken....

Ach ... ;-)
Aber ich denke mal die wenigsten sind Nerds.... die Masse sind Otto-Normal-User mit Geiz ist geil...

Leseratte10 schrieb:
Auch Modems brauchen neue Firmware - sieht man ja am TC4400, was dämlicherweise nicht vernünftig mit DS-Lite funktioniert obwohl IPv6 angeblich unterstützt wird ...
Zum Vergrößern anklicken....

Deshalb ja Modem vom Provider.

Zum TC4400... da hatte ja erst 1 User versucht das mit DS-Lite ans laufen zu bringen. Das Modem hat der User ja nicht mehr und alle anderen reden von Theorie und DS-Lite.
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #10
Leseratte10 schrieb:
"Ihr dürft keine Softwareupdates einspielen"
Zum Vergrößern anklicken....
... allerdings nur bei Routern, die NICHT gekauft worden sind.

Bei gekauften Routern darf der Provider nichts mitreden.

Und Unitymedia hat (ich glaube, es war im Blog?) ja auch geschrieben, dass bei gekauften Routern die Kunden die Softwareupdates sogar selbst machen müssen.
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #11
MartinDJR schrieb:
Leseratte10 schrieb:
"Ihr dürft keine Softwareupdates einspielen"
Zum Vergrößern anklicken....
... allerdings nur bei Routern, die NICHT gekauft worden sind.

Bei gekauften Routern darf der Provider nichts mitreden.

Und Unitymedia hat (ich glaube, es war im Blog?) ja auch geschrieben, dass bei gekauften Routern die Kunden die Softwareupdates sogar selbst machen müssen.
Zum Vergrößern anklicken....

Die Anga-Vertreter seien strikt dagegen, dass die Nutzer ihre eigene Firmware auf die Geräte aufspielen könnten. "Und die wollen auf gar keinen Fall Verantwortung dafür haben, dass die Router sicher sind",
Zum Vergrößern anklicken....

Da ist jetzt die Frage, ob es um "alternative" Firmware oder um die vom Router-Hersteller selber geht, also die Betonung auf "ihre eigene" liegt ...
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #12
Noch ein paar Gedanken dazu:

Die Probleme der Kabel-Internet-Provider sind auf der anderen Seite verständlich

- Die Einhaltung der gebuchten Bandbreite wird durch das auf das Modem geladene Konfigurationsfile bestimmt - da wäre eine Hacker-Firmware auf dem Router, die diese Konfiguration ignoriert, und mehr Bandbreite ermöglicht nicht im Sinne des Providers.

- Die Kabelmodems können nicht anhand der Leitung identifiziert werden, da Kabel eben ein shared Medium ist. Da wäre eine Firmware, die es ermöglicht ein fremdes Modem zu imitieren weder im Sinne der Provider, noch der Kunden ...

Wenn aber diese vielleicht 5 % des Firmware-Umfanges eines Kabel-Routers dazu führen, dass man über 100 % des Firmware-Umfanges nicht mehr bestimmen kann, wünsche ich mir die Modems zurück ...
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #15
MartinP_Do schrieb:
Noch ein paar Gedanken dazu:

Die Probleme der Kabel-Internet-Provider sind auf der anderen Seite verständlich

- Die Einhaltung der gebuchten Bandbreite wird durch das auf das Modem geladene Konfigurationsfile bestimmt - da wäre eine Hacker-Firmware auf dem Router, die diese Konfiguration ignoriert, und mehr Bandbreite ermöglicht nicht im Sinne des Providers.

- Die Kabelmodems können nicht anhand der Leitung identifiziert werden, da Kabel eben ein shared Medium ist. Da wäre eine Firmware, die es ermöglicht ein fremdes Modem zu imitieren weder im Sinne der Provider, noch der Kunden ...

Wenn aber diese vielleicht 5 % des Firmware-Umfanges eines Kabel-Routers dazu führen, dass man über 100 % des Firmware-Umfanges nicht mehr bestimmen kann, wünsche ich mir die Modems zurück ...
Zum Vergrößern anklicken....

Absolut korrekt.

Wären jedoch nicht die "Design-Schwächen" des DOCSIS Protokolls vorhanden, d.h. eine richtige Verschlüsselung / Authentifizierung in Form einer PKI im Protokoll eingebaut, bräuchten wir diesen derzeitigen Unsinn bei der Provisionierung nicht. Letztendlich sind doch wieder nur die Standard-Setter der Kabelnetz-Betreiber schuld.
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #16
  • Der streng geheime Streit über die Routersicherheit Beitrag #17
#DiRK schrieb:
MartinP_Do schrieb:
Noch ein paar Gedanken dazu:

Die Probleme der Kabel-Internet-Provider sind auf der anderen Seite verständlich

- Die Einhaltung der gebuchten Bandbreite wird durch das auf das Modem geladene Konfigurationsfile bestimmt - da wäre eine Hacker-Firmware auf dem Router, die diese Konfiguration ignoriert, und mehr Bandbreite ermöglicht nicht im Sinne des Providers.

- Die Kabelmodems können nicht anhand der Leitung identifiziert werden, da Kabel eben ein shared Medium ist. Da wäre eine Firmware, die es ermöglicht ein fremdes Modem zu imitieren weder im Sinne der Provider, noch der Kunden ...

Wenn aber diese vielleicht 5 % des Firmware-Umfanges eines Kabel-Routers dazu führen, dass man über 100 % des Firmware-Umfanges nicht mehr bestimmen kann, wünsche ich mir die Modems zurück ...
Zum Vergrößern anklicken....

Absolut korrekt.

Wären jedoch nicht die "Design-Schwächen" des DOCSIS Protokolls vorhanden, d.h. eine richtige Verschlüsselung / Authentifizierung in Form einer PKI im Protokoll eingebaut, bräuchten wir diesen derzeitigen Unsinn bei der Provisionierung nicht. Letztendlich sind doch wieder nur die Standard-Setter der Kabelnetz-Betreiber schuld.
Zum Vergrößern anklicken....

Leute was schreibt ihr denn da für einen Unsinn?

Auch eine Hacker-Firmware kann die Konfiguration der Bandbreite nicht ändern. Dafür sorgt der normale Anmeldungsprozess zwischen dem CMTS und Kabelmodem, wo dann die Werte für die Geschwindigkeit durch eine Hash-Funktion vom CMTS verifiziert werden. Diese Hash-Funktion braucht auch ein Password (Shared-Secret) welches nur dem Kabel-Internet-Provider und dem CMTS bekannt ist. Ausserdem kommen noch weitere Funktionen dazu, so vergleichen die aktuellen CMTS sogar den Inhalt der Konfigurationsdatei und dort hinterlegten Geschwindigkeiten während der Übertragung zum Kabelmodem mit den Werten welche vom Kabelmodem bei der Anmeldung an das CMTS übertragen wird.

Das Kabelmodem wird anhand seiner CM-MAC Adresse und in Verbindung einer Public Key Infrastucture authentifiziert. Wenn man nicht gerade AVM ist und nicht kapiert wie man sowas absichert, ist die Methode schon sicher.

Was ihr “Design-Schwächen” des DOCSIS Protokolls nennt, sind einfach nur dämliche Admins, welche sich nicht über den Stand der Technik auf den Laufenden halten.
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #18
MartinP_Do schrieb:
Da ist jetzt die Frage, ob es um "alternative" Firmware oder um die vom Router-Hersteller selber geht, also die Betonung auf "ihre eigene" liegt ...
Zum Vergrößern anklicken....
Die Provider hätten auch an dieser Stelle nichts zu melden.
MartinP_Do schrieb:
- Die Einhaltung der gebuchten Bandbreite wird durch das auf das Modem geladene Konfigurationsfile bestimmt - da wäre eine Hacker-Firmware auf dem Router, die diese Konfiguration ignoriert, und mehr Bandbreite ermöglicht nicht im Sinne des Providers.
Zum Vergrößern anklicken....
Erstens bremsen die Provider auch heute schon den Datenverkehr aus, weil es wohl schon in der Vergangenheit Hacker gab, die die providereigenen Modems "bearbeitet" haben.

Zweitens wäre das für die Provider sehr einfach lösbar: In die Router der Provider einen Mechanismus einbauen, der so etwas erkennen kann und im Zweifelsfall den Internet-Anschluss für z.B. 12 Stunden sperrt. Wenn der Kunde sich dann beschwert, dass das Internet 12 Stunden lang ausgefallen ist, wird eine Fehlersuche gemacht und dem Kunden mitgeteilt, dass das Problem nicht auf Providerseite liegt, sondern dass das Endgerät (Modem) sich nicht laut Schnittstellenbeschreibung verhalten hat.
MartinP_Do schrieb:
- Die Kabelmodems können nicht anhand der Leitung identifiziert werden, da Kabel eben ein shared Medium ist. Da wäre eine Firmware, die es ermöglicht ein fremdes Modem zu imitieren weder im Sinne der Provider, noch der Kunden ...
Zum Vergrößern anklicken....
Dazu müsste man bei der aktuellen Funktionsweise von DOCSIS schon den Private-Key aus dem Inneren des Modems auslesen...
monster schrieb:
Deshalb ja Modem vom Provider.
Zum Vergrößern anklicken....
Mit DS-Lite oder sogar 464xlat?

Ich behaupte, dass gerade bei 464xlat dem Otto-Normalkunden kaum eine andere Möglichkeit bleibt, als den Router vom Provider zu nehmen. Selbst ich wüsste jetzt nicht, woher man einen Router bekommt, der 464xlat unterstützt.

Bei der großen Anzahl an IPv4-only-Routern, die noch im Handel sind, wäre sogar bei DS-Lite die Gefahr groß, dass jemand einen IPv4-Router ohne B4-Element kauft - der an einem DS-Lite-Anschluss gar nicht funktionieren würde!
MartinP_Do schrieb:
monster schrieb:
die aber nicht mal eben für jedermann zu kaufen sind .....
Zum Vergrößern anklicken....
Da könnte man fast den Eindruck bekommen, dass auch da Geheimverhandlungen laufen, dass diese Modems nur als Beistellgeräte der Provider erreichbar sind - wenn überhaupt...
Zum Vergrößern anklicken....
... oder sie wollen sich einfach den Ärger mit den (Privat-) Kunden sparen:

Wenn ich es richtig mitbekommen habe, hat irgendwer sein TC4400 zurückgeschickt, weil er es nicht zum Laufen gebracht hat.

Wenn ein Modemhersteller die Dinger an geschäftliche Kunden (z.B. an einen Provider) verkauft, gibt es kein Rückgaberecht.
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #19
  • Der streng geheime Streit über die Routersicherheit Beitrag #20
MartinDJR schrieb:
Zweitens wäre das für die Provider sehr einfach lösbar: In die Router der Provider einen Mechanismus einbauen, der so etwas erkennen kann und im
Zum Vergrößern anklicken....

"Einen Mechanismus" - Hardware?
Und was hat der "Router des Providers" damit zu Tun, dass die Provider auch bestimmen wollen, was für Firmware auf den Routern im Besitz der Kunden laufen darf/kann?
 
  • Der streng geheime Streit über die Routersicherheit Beitrag #21
Andreas1969 schrieb:
MartinDJR schrieb:
Wenn ich es richtig mitbekommen habe, hat irgendwer sein TC4400 zurückgeschickt, weil er es nicht zum Laufen gebracht hat.
Zum Vergrößern anklicken....
Wo hast Du das denn gelesen?
Zum Vergrößern anklicken....
Möglicherweise habe ich den folgenden Beitrag ja auch nicht richtig verstanden:
monster schrieb:
Zum TC4400... da hatte ja erst 1 User versucht das mit DS-Lite ans laufen zu bringen. Das Modem hat der User ja nicht mehr und alle anderen reden von Theorie und DS-Lite.
Zum Vergrößern anklicken....

MartinP_Do schrieb:
"Einen Mechanismus" - Hardware?
Und was hat der "Router des Providers" ...
Zum Vergrößern anklicken....
Mit "Router des Providers" war das Ding im Schaltschrank im Rechenzentrum des Providers gemeint. Dort könnte man eine Erkennung einbauen, dass irgendwer mehr Bandbreite "zieht", als ihm laut Config-File zusteht.
MartinP_Do schrieb:
... damit zu Tun, dass die Provider auch bestimmen wollen, was für Firmware auf den Routern im Besitz der Kunden laufen darf/kann?
Zum Vergrößern anklicken....
Ich meinte nur, falls die Provider Angst davor haben, dass sich Kunden mit manipulierter Modem-Firmware höhere Bandbreiten beschaffen, als sie gebucht haben.

Die Aussicht darauf, dass man dann halt mal ein Wochenende lang ohne Internet und Telefon dasteht, wird wohl die Meisten davor abschrecken, so etwas zu tun.
 
Thema:

Der streng geheime Streit über die Routersicherheit

Der streng geheime Streit über die Routersicherheit - Ähnliche Themen

Vodafone beendet öffentliches Peering

Vodafone beendet öffentliches Peering: https://www.golem.de/news/inter-link-vodafone-deutschland-beendet-public-peering-2511-201922.html Wer nicht für Peering zahlt ist aus dem...

Deutschlandweite TV Frequenz-Umstellung

Deutschlandweite TV Frequenz-Umstellung: Hi, Umstellung für den 29. August 2025 geplant Bereits am 25., 26., und 27. August eine neue Frequenz. Bünde und Hürth in Nordrhein-Westfalen...

AVM soll verkauft werden

AVM soll verkauft werden: Die Gründer ziehen sich aus dem Geschäft zurück ... https://www.golem.de/news/fritzbox-hersteller-avm-soll-verkauft-werden-2309-177675.html...

Vodafone plant Kabel-Internet mit 400 MBit/s im Upload

Vodafone plant Kabel-Internet mit 400 MBit/s im Upload: https://www.heise.de/news/Vodafone-will-Festnetz-Internet-verbessern-9762838.html Will man da womöglich den Bereich 30 .... 204 MHz komplett für...

Vodafone bietet Anschlüsse im "Deutsche Glasfaser" Netz an

Vodafone bietet Anschlüsse im "Deutsche Glasfaser" Netz an: https://www.golem.de/news/ftth-deutsche-glasfaser-oeffnet-ihre-netze-fuer-vodafone-2211-170075.html Ich vermute aber, dort wo es Vodafone...
Registrieren

Neueste Beiträge

Oben