[Problem] Broadcom - WAN-Sniffer mit Raspberry Pi / decrypt SSL der VoIP Passwörter aus TR-069

alecxs

Mitglied
Mitglied seit
22 Apr 2015
Beiträge
230
Punkte für Reaktionen
0
Punkte
16
Hallo zusammen,

ttomjones hatte die Idee eine Fritzbox zwischen o2 Homebox und DSLAM zu klemmen, um so den WAN Traffic sniffen und die o2 Anmeldedaten erhalten zu können. Da das Thema 'Zugangsdaten auslesen' sehr gefragt ist, eröffne ich hier mal ein neues Thema, in der Hoffnung das hieraus mal ein WAN-Sniffer entsteht. Da es mit einer Fritzbox nicht funktioniert, könnte man das vielleicht mit einem Raspberry Pi realisieren.

1. Problem: DSL Traffic 1:1 durchleiten und dabei sniffen
2. Problem: Analyse und decrypt der (vermutlich) verschlüsselten Daten

Wer sich diesbezüglich schon mal in dieser Richtung damit beschäftigt hat, kann gerne seine Erfahrungen hier posten. Anregungen, Bedenken, Kritik willkommen!

Für mich ist das alles Neuland, eine erste Suche brachte mir bzgl. 1.) diesen Link hervor:
VLANs auf dem Raspberry einrichten

Gruss
Alex
 
Wenn du es nur sniffst, brauchst du keine VLANs einrichten, dafür gibt es Möglichkeiten:

- Rechner mit 2 Netzwerkkarten, die Karten 1:1 überbrücken
- Hub (oder degradierbarer Switch) zwischen Modem und o2-Box hängen und den Rechner dran
- managerbarer Switch mit eingebauten Netzwerksniffing

PS: Entschlüsseln teilweise nicht notwendig, PPP ist idR unverschlüsselt, bei SIP weiß ich es nicht
 
Zuletzt bearbeitet:
Da man 'gute alte' Hubs, die ja die Daten an alle angeschlossen Teilnehmer weiterleiten, heutzutage nur noch schlecht bekommt, kann man das über einen Switch, der einen 'Mirror-Port' hat, lösen.
Den Rechner, der den Datenverkehr sniffen soll, einfach dort anhängen, und auf dem Switch einstellen, dass er alles zwischen den beiden andern Port auch dort abliefern soll.
 
Eine SIP-Anmeldung zu "sniffen" ist wenig hilfreich (die kann man auch im Klartext mitlesen), da dort die Anmeldedaten nur in Form eines "salted hash"s übertragen werden (die "nonce" dient als "salt").

Wenn so etwas irgendwie funktionieren könnte, dann nur bei der Fernkonfiguration über TR-069. Selbst wenn die "Control-Verbindung" zum ACS in der Regel mit TLS gesichert ist (und damit da auch kein Lauschen möglich ist), ist oftmals das Belauschen der Übertragung einer konkreten Konfigurationsdatei trotzdem noch machbar (zumindest denkbar).

Im Rahmen des CWMP werden die Dateien ja nicht direkt zum CPE übertragen, der ACS sendet eine Aufforderung zum Download einer solchen Datei an das CPE und übermittelt dabei die URL der zu ladenden Datei (und deren Typ).

Wenn also der ACS die Übertragung der Daten nicht mit einer verschlüsselten URL ausführen läßt (eine FRITZ!Box kann das z.B. nur mit HTTPS, denn das ansonsten eingesetzte wget kennt keine Verschlüsselung und daher wird dort ein AVM-Eigengewächs namens "httpsdl" verwendet), dann sieht man diese Übertragung sehr wohl wieder in so einem Mitschnitt und das ist offenbar einigen Providern noch nicht in vollem Umfang klar bzw. einige haben wohl auch Probleme bei der Konfiguration eines HTTPS-Servers mit SNI (oder benutzen dafür gleich eine URL mit IP-Adresse und ohne Verschlüsselung) und verzichten daher beim Download von Konfigurationsdaten (genauso wie beim Download von Firmware-Images) auf eine Verschlüsselung ... zumindest war das in der Vergangenheit bei einigen so, O2 kenne ich jetzt (in den verschiedenen Spielarten der - auch historischen - Anschlußvarianten) nicht genug, um da zum aktuellen Zustand etwas zu wissen.

Wenn das aber jemand mit einer FRITZ!Box an einem O2-Anschluß vorher mal testet, kann man zumindest anhand der TR-069-Protokolldatei auch ermitteln, ob da TLS auch beim Konfigurationsdownload verwendet wird. Wenn das der Fall ist, dann reicht das simple Mitschneiden des Netzwerkverkehrs nicht aus, dann bräuchte man einen HTTPS-Proxy (z.B. mitmproxy) mit einem gültigen Zertifikat für die Adresse des ACS und/oder des Download-Servers. Da wird es dann schon wieder kritischer ... ob man auf einem O2-IAD überhaupt an das Verzeichnis mit den CA-Root-Zertifikaten kommt, weiß ich auch nicht ... bei einer FRITZ!Box (mit "normaler" Firmware) kann man da etwas machen.

Die Frage, ob die O2-IADs da überhaupt auf ein gültiges Zertifikat testen, wäre ggf. auch noch zu klären ... das wäre ja auch nicht das erste Mal, daß eine TLS-Verschlüsselung nur für die Sicherung der Übertragung und nicht zur Absicherung der Identität eines Servers genutzt würde. Wenn die O2-IADs da schlampig sind, dann ist natürlich ein MITM-Angriff auch wieder mit einem "self-signed certificate" möglich.

Fazit:
Erst einmal abklären, mit welchem Protokoll da überhaupt die Daten übertragen werden (da muß man den Mitschnitt ja noch nicht "verstehen") ... ist das TLS mit ordentlicher Zertifikat-Prüfung und ohne die Möglichkeit, dem IAD eine eigene CA unterzujubeln, ist das Projekt eine Totgeburt (zumindest für den anvisierten Zweck).

Auch macht das an einer DSL-Leitung natürlich nur dann Sinn, wenn man ein Modem zwischen der TAL und dem ersten Ethernet-Gerät (ob da nun ein Hub, Switch, Router, usw. ist) hat ... selbst wenn da kein ATM auf der Leitung mehr "gesprochen" wird, sind die Daten schon noch auf mehrere Träger aufmoduliert und die Aufgabe der Demodulation und des Zusammensetzens von Paketen muß schon noch jemand übernehmen.

Woher kommt eigentlich die Aussage, daß man eine FRITZ!Box nicht als reines Modem verwenden kann? Es gibt hier ja auch Erfahrungsberichte, daß das machbar sei (bei einigen Modellen ja sogar in der Firmware noch machbar per GUI) ... jedenfalls ist das wesentlich wahrscheinlicher (s.o. zum "Modem"), als daß sich ein RasPi da einspannen läßt. Ob die FRITZ!Box als Modem dann auch noch den Mitschnitt liefern kann, wüsste ich aus dem Stand jetzt auch nicht ... wenn ich raten sollte, würde ich eher auf "nein" tippen, da dann der PA wohl gar nicht aktiv ist.
 
  • Like
Reaktionen: alecxs
Wenn man die FB als DSL-Modem benutzt macht sie bspw. weiterhin DHCP, macht die VLANs uU nicht richtig, nach soetwas wird der o2-Router bei seiner Anschlusserkennung wohl suchen, daran scheitertete die Idee des "Ideenhabers" in dem anderen Thread
 
Zum zweiten muss auch erstmal geklärt werden, wie die o2 Homebox 6641 überhaupt in den WAN-Modus geschaltet werden soll, die einzig vorhandene Buchse "DSL/ETH" also von DSL auf Ethernet umgeschaltet wird. Das Zyxel-Handbuch gibt dazu absolut nichts her. Der "Ideeenhaber" ttomjones soll es aber irgendwie geschafft haben. :?
 
der erste Versuch war, den LAN 1 der FB zum WAN zu machen und dort das DSL-Kabel WAN-WAN durchzuschleifen
 
Hoffentlich ist dabei elektrisch nichts kaputt gegangen.
zwinkern.gif

Mit anderen Worten: Eine solche Verkabelung ist natürlich Unsinn.
eventuell habe ich da auch was missverstanden. mal abwarten was ttomjones dazu schreibt. aber deiner Aussage entnehme ich, das DSL nicht das gleiche ist wie WAN

Fazit:
Erst einmal abklären, mit welchem Protokoll da überhaupt die Daten übertragen werden
zum testen suchen wir demnach jemand mit o2 und einer von o2 über TR-069 konfigurierbaren Box, also einer FRITZ!Box 7390/7490
 
Zuletzt bearbeitet:
Ich habe mich ja nie wirklich ausführlich mit diesen Zyxel-Routern befaßt (nur mal einen Speedlink - also Sphairon - analysiert), ist da denn keine Firmware verfügbar? Solange die auf OSS aufsetzt (AVM ist da ja eher ein Exot mit dem (teilweise) eigenen "IP-Stack"), müßte sich das mit der Umschaltung auf Betrieb ohne Modem doch realisieren lassen.

Man müßte nur mal (wenn einen das tatsächlich interessiert) die Quellen unter "[email protected]" anfordern ... solange das alles unter GPL steht, ist dann auch das "Teilen" mit anderen nicht mehr verboten, ganz im Gegenteil.

Was werkelt denn da überhaupt für ein Chipsatz in so einer 6641? Ist das - wie der Thread-Titel nahe legt - tatsächlich ein BCM6368?
 
hab mir die bisherigen Beiträge noch mal durchgelesen. man muss also die Daten zwischen Modem und Router abgreifen, direkt am DSL Kabel keine Chance? Auch nicht wenn man ein exakt gleiches zweites Modem parallel anschließt?
 
@alecxs:
Nimm mir die Frage nicht übel, aber hast Du auch nur eine ungefähre Vorstellung, wie das beim DSL läuft mit der Signalübertragung auf Layer1 (im OSI-Modell)?

Die Annahme mit dem "zweiten exakt gleichen Modem" ist èigentlich so abwegig, daß man ein wenig sprachlos vor einer passenden Antwort steht ... eine DSL-Verbindung ist keine "statische" Kabelverbindung (auch wenn die TAL - also die Kupferdoppelader - eine solche ist), das ist ein zwischen DSLAM und DSL-Modem ausgehandeltes "Gemisch" verschiedener Trägerfrequenzen mit jeweils dazu passender Modulation für jeden einzelnen Träger. Das "hört" sich in etwa so an, wie das Geräusch beim Handshake zweier Faxgeräte (nach dem CNG-Ton, das ist das charakteristische Pfeifen und das was ich meine, ist das "Rauschen" danach) - nur noch wesentlich mehr Träger und weitgehend außerhalb des "hörbaren" Bereichs.

Selbst ein "exakt gleiches Modem" wäre da nur ein zusätzlicher (elektrischer) "Störer" und wie wolltest Du in diesem Falle eigentlich festlegen, welches der beiden Modems denn nun der "Master" ist, der mit dem DSLAM die Leitung aushandelt?
 
  • Like
Reaktionen: alecxs
ich hab eigentlich überhaupt keine Vorstellung davon, bis vor paar Tagen wusst ich noch nicht mal was der Unterschied zwischen ADSL / VDSL ist. bin hier gelandet weil meine Freundin zu o2 gewechselt ist, und seitdem ihr Telefon nicht mehr funktionierte.
aber wenn man sich den andern Thread mal anschaut, da fing es auch an mit einem Newbie der blöde Fragen stellt, und rausgekommen ist ein Script mit dem man die VoIP Passwörter auslesen kann.
und natürlich nehme ich das nicht übel.. getreu nach dem Motto blöde Frage blöde Antwort ;)

EDIT: Deine Antwort ist natürlich nicht gemeint gewesen, sachlich und informativ! Jetzt kann ich mir auch was unter DSL-Synchronisation vorstellen. Da ein zweites Modem einklinken klingt ja fast so kompliziert wie das "abhören" einer Quantenverschränkung ;)

sonst noch Ideen? homebox öffnen und da irgendwo ans Modem? wobei sich das mit dem Raspberry Pi als Universallösung für alle künftigen TR-069-unterstützten Boxen nun erledigt hat, da es sich nun doch wieder nur um die 6641 drehen würde

EDIT2: DSLAM für die Hosentasche gibts net, hab ich gegoogled. Aber einen WAN-Sniffer können wir trotzdem bauen. Die RasPis sind ja sehr preisgünstig (daher die Idee). Was es so teuer macht ist das V-DSL fähige Modem. Eine AVM 3370 gibts allerdings gebraucht schon für 40,-
 
Zuletzt bearbeitet:
Warum verweist Du hier auf ein, zwar ähnliches, aber dennoch komplett anderes Gerät? Das macht keinen Sinn, damit kann man nichts anfassen! So wie im anderen Thread, und auch von PeterPawn vorgeschlagen, besorg Dir das Open Source Package von ZyXEL! Btw gibt es für jede Firmware (B14, B14-1 und B14-2) eines und, beim letzten Anfordern war es zumindest noch so, man erhält von ZyXEL einen Link, auf einen Cloudstorage, wo alle 3 OSS Pakete (für jede Firmware) verlinkt sind!

Jetzt hast Du die freie Auswahl. Entweder B14-1 runterladen und bauen und dann mit der "alt-hergebrachten" Methode die Daten beziehen oder Du nimmst die B14-2 und liest dich ein wenig in den Source Code ein (ich gebe dir den Tip "serial" (ja, das englische Wort)) zu suchen) und baust Dir ein, übrigens problemlos flashbares, Image, bei dem Du dann auf die Box kommst um dann von dort die Daten abzurufen.

Das sniffen ist irgendwie mit Kanonen auf Spatzen schießen, zu Mal man mit dem OSS Paket ohne Probleme, vorausgesetzt man arbeitet damit ein wenig, an alles rankommt.

Gruß
Edge

Edit: Du solltest als Buildsystem bitte Ubuntu 12.04 nutzen. Mit Ubuntu 14.04 kommt es z.B. zu Problemen.
 
Zuletzt bearbeitet:
Warum verweist Du hier auf ein, zwar ähnliches, aber dennoch komplett anderes Gerät?
Was meinst Du, die AVM 3370? Die könnte als reines DSL Modem dienen.
Oder meinst Du die Zyxel VMG8924 - bin davon ausgegangen TR-069 wird in beiden Boxen gleich sein (auch wenn die Boxen es nicht sind?)
Das sniffen ist irgendwie mit Kanonen auf Spatzen schießen, zu Mal man mit dem OSS Paket ohne Probleme, vorausgesetzt man arbeitet damit ein wenig, an alles rankommt.
Das wäre eigentlich als Allgemeinlösung gedacht. Aber auch hierzu habe ich inzwischen einen Thread gefunden:
http://www.ip-phone-forum.de/showthread.php?t=279305
 
Ich meine das Zyxel VMG8924. Solange Du nicht den Kernel + RootFS in einem Emulator (Qemu) laufen lassen kannst oder die entsprechenden Kenntnisse mit einem Disassembler (IDA Pro oder andere lassen grüßen) hast, bringt Dir das (das OSS Paket zum VMG8924) nichts. Zu Mal die eigentliche tr69 Applikation ausschließlich Closed-Source ist (in beiden Paketen), sprich, Du muss es ey disassemblieren wenn Du verstehen möchtest, wie diese Applikation funktioniert. Auch das ist Kanonen mit Spatzen und nicht notwendig.
 
Was meinst Du, die AVM 3370? Die könnte als reines DSL Modem dienen.


:meinemei::
thtomate12 schrieb:
Wenn man die FB als DSL-Modem benutzt macht sie bspw. weiterhin DHCP, macht die VLANs uU nicht richtig, nach soetwas wird der o2-Router bei seiner Anschlusserkennung wohl suchen, daran scheitertete die Idee des "Ideenhabers" in dem anderen Thread
 
thtomate12 dein einwand ist berechtigt. aber vielleicht könnte man ja mit freetz was machen. soweit gedacht hab ich noch nicht, und ist in Anbetracht dessen dass TR-069 zu gut gesichert ist (Zertifikate usw.) auch nicht mehr weiterzuverfolgen vermute ich.
(ach mist jetz ist mein voriger beitrag weg)
 
Zuletzt bearbeitet:

Zurzeit aktive Besucher

Statistik des Forums

Themen
244,696
Beiträge
2,216,701
Mitglieder
371,316
Neuestes Mitglied
realbluethunder
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.