Unitymedia Fritzbox 6490 FW 6.88 Problem

[Hornewbie]

Hallo Zusamen
ich habe ein Problem mit der Fritzbox von UM.
Seit dem 25.7. bekomme ich von meiner Firewall täglich im Log die Meldung dass die Fritzbox über 500 mal auf den http-port 80 auf der Firewall zugreifen will. Der ist bei mir gesperrt, Zugriff nur über https möglich.

An der Fritzbox hängt kein anderes Gerät und das WLAN ist deaktiviert. Ein Firmware-Reset und aufspielen einer alten (2 Jahre) Einstellung brachte nichts. Auch wenn ich einen Firmware-Reset mache und dann keine Einstellungen ändere beginnt die Fritzbox mit den Anfragen. UM habe ich per Supportanfrage kontaktiert aber nach einer Woche keine Antwort erhalten

Deshalb habe ich folgende Fragen
Wan erfolgte in BaWue die Firmwareupdates auf 6.88? Gibt es hierzu einen Logeintrag, ich fand nämlich nichts.
kann das jemand bei seiner Box nachvollziehen?

oder kann mir jemand sagen was der Intergrund ist (neues "Feature", etc.) Für mich ist das nur unnötiger Netzwerkverkehr den man sinnvoller nutzen kann.

Gruß

Jörg

 

[Torsten1973]

Der Rollout erfolgte Mitte bis Ende Juli, nach der WM. Einen Log wirst du im Providergerät dazu eher nicht finden.

 

[robert_s]

Mach doch erst mal einen Capture und schau nach, was die Fritzbox da per http abrufen möchte. Vielleicht einen UPnP-Service?

 

[Hornewbie]

soory dass ich mich erst jetzt melde. Hier mal die Meldung meiner FW, diese 2 Einträge wiederholen sich regelmäßig.

fw: bad service IN=eth1 OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC=192.168.x.y DST=192.168.x.z LEN=60 TOS=00 PREC=0x00 TTL=64 ID=29186 DF PROTO=TCP SPT=58382 DPT=80 SEQ=3888479889 ACK=0 WINDOW=14600 SYN URGP=0 MARK=4000
fw: bad service IN=eth1 OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC=192.168.x.y DST=192.168.x.z LEN=60 TOS=00 PREC=0x00 TTL=64 ID=29187 DF PROTO=TCP SPT=58382 DPT=80 SEQ=3888479889 ACK=0 WINDOW=14600 SYN URGP=0 MARK=4000

Mac und IP habe ich neutralisiert.

Auf der Fritzbox ist UPNP nicht aktiviert (Heimnetz - Heimnetzübersicht - Netzwerkeinstellungen). Ebenso wie "Smarthome" und "Zugriff auf Anwendungen". Es sind keine USB-Geräte angeschlossen und sowohl der der Mediaserver als auch NAS ist nicht aktiviert. WLAN ist normalerweise abgeschaltet, DECT wird nicht benutzt.

Vielleicht kann mir ja damit jemand helfen

Gruß

Jörg

 

[MartinP_Do]

Als Erstes würde ich in der "Heimnetz" Übersicht schauen, welche Geräte sich hinter "SRC=192.168.x.y DST=192.168.x.z" verbergen. Es scheint sich ja um eine rein interne Verbindung zu handeln. Ggfs ein Smartphone (EDIT: dagegen spräche aber das abgeschaltete WLAN) mit einer FritzPhone App, das Schluckauf hat?

 

[MartinP_Do]

Der Rollout erfolgte Mitte bis Ende Juli, nach der WM. Einen Log wirst du im Providergerät dazu eher nicht finden.

Natürlich gibt es dazu Spuren im Log (Wenn sie nicht durch einen erfolgten Werksreset gelöscht wurden)

Man muss unter Internet/Kabel-Informationen den Reiter "Weitere Informationen" aufmachen. Da finde ich bei meiner Providerbox für den 25.Jul einen Log-Eintrag, dass eine neue Firmware heruntergeladen wurde ...

 

[MartinP_Do]

oder kann mir jemand sagen was der Intergrund ist (neues "Feature", etc.) Für mich ist das nur unnötiger Netzwerkverkehr den man sinnvoller nutzen kann.

Z. B. dies hier
https://www.unitymediaforum.de/viewtopic.php?f=53&t=35824&start=725#p412540

Die 6.88 fußt auf der "freien" 6.87 Firmware. In den Changelogs stehen schon ein paar interessante Dinge, was IPv6 Unterstützung usw. angeht.

 

[tq1199]

oder kann mir jemand sagen was der Intergrund ist (neues "Feature", etc.)

Ja, so etwas ist das. Siehe z. B.: https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/249_Firewall-meldet-Angriffe-an-TCP-Port-80-bzw-14013-oder-unangeforderte-Pakete-vom-Typ-0x88e1/

 

[MartinP_Do]

oder kann mir jemand sagen was der Intergrund ist (neues "Feature", etc.)

Ja, so etwas ist das. Siehe z. B.: https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/249_Firewall-meldet-Angriffe-an-TCP-Port-80-bzw-14013-oder-unangeforderte-Pakete-vom-Typ-0x88e1/

Es wäre außerdem die Frage, auf welchem Zeitintervall sich "dass die Fritzbox über 500 mal auf den http-port 80 auf der Firewall zugreifen will." bezieht. Wenn das pro Tag 500 sind würde ich mir keinen Kopf machen. Bei 500 Anfragen pro Sekunde aber schon ...
Schön wäre es aber, wenn man die von Dir verlinkten Automatismen der Fritzbox abschalten könnte...

 

[tq1199]

Es wäre außerdem die Frage, auf welchem Zeitintervall sich "dass die Fritzbox über 500 mal auf den http-port 80 auf der Firewall zugreifen will." bezieht. Wenn das pro Tag 500 sind würde ich mir keinen Kopf machen.

Ja, lt. 1.Beitrag des TE sind diese 500 Zugriffe täglich.

Schön wäre es aber, wenn man die von Dir verlinkten Automatismen der Fritzbox abschalten könnte...

Ja, aber lt. AVM geht das z. Zt. nicht, denn:

Wenn Sie diese Meldungen nicht mehr erhalten wollen, richten Sie die Firewall des Gerätes so ein, dass eingehende Verbindungen an TCP-Port 80 und 14013 bzw. Pakete vom Typ 0x88e1 zugelassen werden.

 

[MartinP_Do]

Es wäre außerdem die Frage, auf welchem Zeitintervall sich "dass die Fritzbox über 500 mal auf den http-port 80 auf der Firewall zugreifen will." bezieht. Wenn das pro Tag 500 sind würde ich mir keinen Kopf machen.

Ja, lt. 1.Beitrag des TE sind diese 500 Zugriffe täglich.

Schön wäre es aber, wenn man die von Dir verlinkten Automatismen der Fritzbox abschalten könnte...

Ja, aber lt. AVM geht das z. Zt. nicht, denn:

Wenn Sie diese Meldungen nicht mehr erhalten wollen, richten Sie die Firewall des Gerätes so ein, dass eingehende Verbindungen an TCP-Port 80 und 14013 bzw. Pakete vom Typ 0x88e1 zugelassen werden.

Es geht doch darum, dass der Traffic durch die Anfragen der Fritzbox vermieden wird, und nicht um das Verhindern von Log-Meldungen dazu.
Wenn die Airbag - Kontrollampe im Auto leuchtet, lässt man das ja auch reparieren, und klemmt nicht die Kontrollampe ab (außer man ist ein windiger Gebrauchtwagenhändler...)
Wenn man nur die Log-Meldungen unterbinden will, würde ich zumindest den Filter so fassen, dass nur eingehende Verbindungen an TCP-Port 80 und 14013 bzw. Pakete vom Typ 0x88e1 von der IP-Adresse der Fritzbox durchgelassen werden.
Pakete von außen, die sich irgendwie durch die Fritzbox geschlängelt haben, solte die Firewall schon loggen und blockieren.

 

[tq1199]

Es geht doch darum, dass der Traffic durch die Anfragen der Fritzbox vermieden wird, ...

Ja, aber lt. Aussage von AVM geht das z. Zt. nicht. Die Anfragen der (nicht modifizierten) FritzBox können z. Zt. nicht abgeschaltet werden.

 

[Hornewbie]

Hallo zusammen
Danke für die vielen Tips, hier erst mal die Antwort auf die Frage von

Als Erstes würde ich in der "Heimnetz" Übersicht schauen, welche Geräte sich hinter "SRC=192.168.x.y DST=192.168.x.z" verbergen. Es scheint sich ja um eine rein interne Verbindung zu handeln. Ggfs ein Smartphone (EDIT: dagegen spräche aber das abgeschaltete WLAN) mit einer FritzPhone App, das Schluckauf hat?

192.168.x.y ist die Fritzbox
192.168.x.z ist die Firewall von hier stammt das log.

Der Zeitintervall ist 500 Aufrufe in 24 h.

Sonst hat derzeit nichts einen direkten Zugriff auf die Fritzbox. Auch keine Smartphone-App etc.

 

[MartinP_Do]

Hallo zusammen
Danke für die vielen Tips, hier erst mal die Antwort auf die Frage von

Als Erstes würde ich in der "Heimnetz" Übersicht schauen, welche Geräte sich hinter "SRC=192.168.x.y DST=192.168.x.z" verbergen. Es scheint sich ja um eine rein interne Verbindung zu handeln. Ggfs ein Smartphone (EDIT: dagegen spräche aber das abgeschaltete WLAN) mit einer FritzPhone App, das Schluckauf hat?

192.168.x.y ist die Fritzbox
192.168.x.z ist die Firewall von hier stammt das log.

Der Zeitintervall ist 500 Aufrufe in 24 h.

Sonst hat derzeit nichts einen direkten Zugriff auf die Fritzbox. Auch keine Smartphone-App etc.

Erklärung steht ja weiter oben im Thread.
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/249_Firewall-meldet-Angriffe-an-TCP-Port-80-bzw-14013-oder-unangeforderte-Pakete-vom-Typ-0x88e1/

TCP-Port 80:
Die FRITZ!Box ermittelt regelmäßig über den TCP-Port 80, ob mit der FRITZ!Box verbundene Computer oder andere Geräte über HTTP erreichbare Webdienste wie eine Benutzeroberfläche anbieten. Die Webdienste dieser Geräte können direkt über die FRITZ!Box-Benutzeroberfläche unter "Heimnetz > Heimnetzübersicht" aufgerufen werden.

 

[Hornewbie]

Laut der AVM Seite muss man wohl damit leben wenn man für etwas nicht gebrauchtes keinen Zugang öffnen will. Das ist m. E. zwar genau verkehrt herum aber vielleicht denke ich ja einseitig.

 

[tq1199]

Sonst hat derzeit nichts einen direkten Zugriff auf die Fritzbox.

Was für Geräte hast Du hinter der Firewall? Haben diese Geräte eine IP-Adresse aus dem Subnetz der FritzBox?

 

[boba]

Diese Verbindungstests sind völlig harmlos. Sie sind einfach nur für die Heimnetz->Heimnetzübersicht Seite, und zwar wird bei den dort aufgeführten Geräten beim Namen ein Link hinterlegt, den man klicken kann, falls einer der Verbindungstests erfolgreich war. Wird ein Webserver (Port 80) erkannt, wird ein http:// Link daraus. Wird ein Smart Home Gerät erkannt, ein entsprechender Link zur Verwaltung dessen - siehe die im Thread verlinkte AVM Doku. Kann man als Favoriten-Sammlung für die Geräte im Heimnetz verwenden.

 

[MartinP_Do]

Naja, das "völlig Harmlos" relativiert sich dadurch, dass diese Tests derzeit die Loggings der Firewall fluten. Dadurch könnte einem ggfs. etwas wirklich wichtiges im Logging durch die Lappen gehen...
Zumindest sollte eine (aber nicht zu weit gefasste) Ausnahme-Regel für die Firewall geschrieben werden, die das Logging in der Firewall für diese Aktivitäten eindämmt ... Ob das aber geht, ohne der Fritzbox zu viele Freiheiten zu lassen...

 

[boba]

Man braucht innerhalb des privaten LAN zuhause kein Logging was die lokale Firewall alles geblockt hat. Wer sich sowas bastelt, will alle Aspekte des privaten Netzes kontrollieren. Aber wirklich brauchen tut man es nicht. 99% aller Haushalte haben es nicht, und es funktioniert trotzdem. Daran sieht man den Bedarf.
Von daher muss man die Firewall und das Logging den Gegebenheiten anpassen, wenn man es für sich dennoch baut, und es ist nutzlos zu fordern, dass die Gegebenheiten sich der Firewall und dem Logging anpassen. Die werden es nämlich nicht tun.

 

[tux]

hallo,
nachdem mich die ewigen psad - Meldungen auch genervt haben,
habe ich 80 und 14013 in iptables freigegeben - ein Sicherheitsproblem
erkenne ich dabei nicht, da
1. keine Dienste auf den Ports horchen und
2. die genannten Ports in der Fritzbox geschlossen sind
lasse mich aber gerne eines Besseren belehren...

 

[MartinP_Do]

Da verlässt man sich aber dann voll und Ganz darauf, dass die Fritzbox nicht doch irgendwie von Außen überwunden werden kann.

 

[boba]

Du musst doch der Meldungen wegen die Ports nicht freigeben. Soweit ich die Doku für psad verstehe, liest er einfach nur iptables LOG Meldungen aus dem System log. Man muss also nur verhindern, dass Meldungen für Port 80 im System Log auftauchen. Blocken kann man weiterhin.

Wenn du Port 80 freigegeben hast, dann hast du sowas gemacht:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

Da machst du einfach das draus:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j DROP

Damit werden die Pakete gedroppt, ohne einen Eintrag im Log zu hinterlassen.

 

[tux]

aha - wieder was gelernt, danke

 

[Hornewbie]

Sonst hat derzeit nichts einen direkten Zugriff auf die Fritzbox.

Was für Geräte hast Du hinter der Firewall? Haben diese Geräte eine IP-Adresse aus dem Subnetz der FritzBox?

Die Geräte hinter der Firewall haben alle ein anderes Subnetz. Das habe ich vorab extra geprüft.

Ich logge an der Firewall nur die eth0, also die, mit der die Fritzbox verbunden ist. Nennt es paranoia, aber ich möchte eben wissen was sich zugang verschaffen will da ich Ports von der Fritzbox auf die Firewall per forwarding durchreiche (VPN).

Eigentlich würde mir ein Modem reichen, durch die Firtzbox habe ich aber den Vorteil dass alles was ich nicht brauche, oder was von aussen reinwill, nicht an die Firewall kommt und so den Traffic reduziert.

Gruß

Jörg

 

[tq1199]

Die Geräte hinter der Firewall haben alle ein anderes Subnetz.

D. h. es wird zweimal NAT gemacht.

..., durch die Firtzbox habe ich aber den Vorteil dass alles was ich nicht brauche, oder was von aussen reinwill, nicht an die Firewall kommt und so den Traffic reduziert.

Weniger Traffic ja, aber nicht sicherer, ... denn deine Firewall (als border device) kannst Du anders (besser) konfigurieren als die FritzBox (als border device).