Open Ports @ AVM FB Fon WLAN 7170

[malte]

Hallo ich habe eine FB mit Firmware-Version 29.04.49 ich habe einige offne Ports gefunden sind die bei euch auch offen? Wie bekomme ich raus was dort aktiv ist?

tcp:
21 ftp ??? ich habe keinen ftp Server installiert.
23 telnet habe ich gestartet
80 http Webinterface
1012 ???

2049 nfs ???
8080 ???
49000 ???



UDP:
53 domain ??? ISC BIND (Fake version: 9.3.4) | Ist das ein DNS Server ? Warum fake version ?
1900 ssdp ??? Wofür?
1978 ???
2049 nfsd ???
3333 ???
61747 ???
61748 ???


mfg

 

[phoneyII]

Hallo Malte,

habe ähnliche Fragen dem AVM-Support gestellt und bekam folgende Antwort zurück:
----------------------------------------------------------------------------------------------
1. Frage: Können Sie mir erklären, welche Dienste sich hinter
> folgenden Ports verbergen?
>
> 23/tcp open telnet
> 80/tcp open http
> 1012/tcp open unknown
> 2049/tcp open nfs
> 5031/tcp open unknown
> 5060/tcp open sip
> 8080/tcp open http-proxy
> 49000/tcp open unknown
>
> 2. Frage:
> Welche Aufgabe genau hat der HTTP-Server hinter Port 2049?
>
> 3. Frage:
> Wieso schickt nach einen Firmware - Update der multid UDP - Packete an
> die IP: 192.168.180.2 ?

Anwort:

Sie haben einen internen Portscan mit NMAP auf die Fritz!Box durchgeführt.
Die intern zu erreichenden Ports können in dieser Form nicht aus dem
Internet angesprochen werden, es ist für uns daher nicht nachvollziehbar,
was Sie sich von einen internen Portscan versprechen. Kurz gehe ich auf die
angesprochenen Punkte ein, prinzipiell handelt es sich hier um allgemein
übliche Standardports.

1.

TCP 23: Hierüber ist ein telnet-Zugriff auf den AR7-Webserver der FritzBox
möglich.
TCP 80/8080: Um eine Benutzeroberfläche ansprechen zu können, muss hierfür
ein Webserver zur Verfügung stehen.
TCP 1012/2049: Das sind intern notwendige Ports, um zB Dateisysteme wie NFS
nutzen zu können
TCP 5031: Dieser Port wird für das Fax benötigt.
TCP 5060: SIP-Kommunikation
TCP 49000: Interne Kommunikation der FritzBox

2.

Ohne HTTP-Server gibt es keine Konfigurations-Oberfläche, der Port 2049 hat
hiermit aber nichts zu tun.

3.
Hierbei handelt es sich um notwendige DNS-Anfragen.

Wir können Ihnen versichern, daß die Fritz!Box beim Punkt Sicherheit
ausgiebig getestet worden ist.

Mit freundlichen Grüßen aus Berlin

XXX XXXX (AVM Support)
----------------------------------------------------------------------------------------------


Leider wurde unter anderem die Tatsache, dass auf Port 2049 ein HTTP-Server läuft, bis jetzt schlicht ignoriert.
----------------------------------------------------------------------------------------------
selma:[~]$ wget -O - http://router:2049
--11:31:38-- http://router:2049/
=> `-'
Resolving router... 192.168.178.1
Connecting to router|192.168.178.1|:2049... connected.
HTTP request sent, awaiting response... 404 Not Found
11:31:38 ERROR 404: Not Found.
----------------------------------------------------------------------------------------------

Prinzipiell hat er ja Recht. Die Ports sind von aussen nicht erreichbar, also ist es auch nicht so schlimm, wenn da intern der ein oder andere Port offen ist.
Dummerweise gilt diese Aussage nur dann, wenn man hinter seiner Fritzbox im C-Netz alleine ist, oder all seinen Freunden, mit denen man das Netzwerk hinter der Fritzbox teilt, blind vertraut.

Teilt man das Netz hinter einer Fritzbox mit Leuten, die man vielleicht nicht so gut kennt (z.B. eine kleine Firma, die bei Kundenbesprechungen ihren Kunden anbietet, das Internet zu nutzen), gilt diese Aussage leider nicht mehr.

Nun hat man vier Optionen:
- Diese Leute einfach nicht ins lokale Netz lassen
- Die Fritzbox auch nach innen mit einer Firewall abschotten
- Dienste abschalten
- Augen zu und hoffen ...

Ich habe unter anderem wg. Port 2049 nochmal eine Anfrage gestellt und bin schon ganz gespannt auf die Antwort ...

Nutze Firmware-Version: 29.04.57

 

[sf3978]

Sie haben einen internen Portscan mit NMAP auf die Fritz!Box durchgeführt.

Ich habe mit namp (-sS) 2 externe Portscans (VPN und Internet) auf eine FritzBox7170 mit der Firmware 29.04.57 gemacht.

1. externer Portscan im VPN-Lan ergibt folgende offene tcp-Ports: 21, 80, 139, 445, 2049, 5060, 8080

2. externer Portscan über das Internet (an die DynDNS-Adresse) ergibt folgenden offenen tcp-Port: 5060

ShieldsUP! (https://www.grc.com/) zeigt den Port 5060 auch als open an.

Prinzipiell hat er ja Recht. Die Ports sind von aussen nicht erreichbar, ....

Er hat nicht Recht.

 

[wichard]

Wenn Du über ein VPN mit der Box verbunden bist, so befindest Du dich logisch im internen Netz. Ein Portscan über die VPN-Verbindung ist somit kein Portscan von extern, sondern ebenso ein interner Scan.

Wenn Du von aussen per VoIP erreichbar sein willst, muss der entsprechende Dienst nach aussen lauschen. Machst Du alle Ports zu (hier also den 5060), so bist Du nicht mehr telefonsich erreichbar. Besser?


Gruß,
Wichard

 

[staubsauger-nono]

Dummerweise gilt diese Aussage nur dann, wenn man hinter seiner Fritzbox im C-Netz alleine ist, oder all seinen Freunden, mit denen man das Netzwerk hinter der Fritzbox teilt, blind vertraut.

Teilt man das Netz hinter einer Fritzbox mit Leuten, die man vielleicht nicht so gut kennt (z.B. eine kleine Firma, die bei Kundenbesprechungen ihren Kunden anbietet, das Internet zu nutzen), gilt diese Aussage leider nicht mehr.

Die Fritzbox ist IMO wohl eher für den Privathaushalt ausgelegt.
Wenn man speziellere Funktionen benötigt oder höhere Sicherheitsauflagen benötigt, sollte man sie wohl für diese Zwecke besser geeignete HW anschaffen.

 

[sf3978]

Wenn Du von aussen per VoIP erreichbar sein willst, muss der entsprechende Dienst nach aussen lauschen. Machst Du alle Ports zu (hier also den 5060), so bist Du nicht mehr telefonsich erreichbar. Besser?

@wichard:
Ich benutze kein VoIP. Ja, für mich wäre es besser, wenn dieser Port 5060 geschlossen ist. Aber, auch für die die VoIP nicht benutzen, kann mit der Firmware 29.04.57, der Port 5060 nicht geschlossen werden.

 

[wichard]

Wohl nicht über das Webinterface, das ist richtig. Aber mal ganz ehrlich: Würde man das bei einer Fon-Box erwarten?

Es steht Dir aber frei, entweder den voipd abzuschießen (den Dienst auf der Box, nicht unseren gleichnamigen User hier!), oder die ar7.cfg entsprechend zu modifizieren, dass der Port 5060 geblockt wird. Ob Du damit insgesamt einen Sicherheitsgewinn erreichst, bleibt offen.


Gruß,
Wichard

 

[phoneyII]

Die Fritzbox ist IMO wohl eher für den Privathaushalt ausgelegt.
Wenn man speziellere Funktionen benötigt oder höhere Sicherheitsauflagen benötigt, sollte man sie wohl für diese Zwecke besser geeignete HW anschaffen.

Du meinst also: Um das WLAN mit den Nachbarn zu teilen, ist die FritzBox die falsche Wahl ?!?

Die FritzBox ist 'ne coole Sache - und ich denke, dass es nicht wirklich ein grosser technischer Aufwand wäre, Dienste für die "Interne Kommunikation der FritzBox" ausschliesslich über das Loopback - Interface laufen zu lassen, oder zumindest nicht über's WLAN - Interface zu propagieren.

Ich sehe hier auf jeden Fall noch Verbesserungspotential, du nicht?

 

[wichard]

War dafür nicht der Haken "WLAN-Netzwerkgeräte dürfen untereinander kommunizieren"?

Gruß,
Wichard

 

[phoneyII]

War dafür nicht der Haken "WLAN-Netzwerkgeräte dürfen untereinander kommunizieren"?

Möglich, aber nach setzen des Hackens auf unchecked ist der Port 4900 für die "interne Kommunikation" immer noch offen.

Mich würde aber viel mehr interesieren, wofür der HTTP - Server auf dem Port 2049 gut sein soll.

----------------------------------------------------------------------------------------------
selma:[~]$ wget -O - http://fritz.box:2049
--11:31:38-- http://fritz.box:2049/
=> `-'
Resolving fritz.box... 192.168.178.1
Connecting to fritz.box|192.168.178.1|:2049... connected.
HTTP request sent, awaiting response... 404 Not Found
11:31:38 ERROR 404: Not Found.
----------------------------------------------------------------------------------------------

 

[phoneyII]

Offizielles Statement von AVM zu meiner Frage bzgl. des HTTP-Servers hinter den Port 2049 i.d. Firmware 29.04.57, FRITZ!Box Fon WLAN 7170 (UI).

Sie können offensichtlich weder mit telnet noch mit wget auf diesen Port
zugreifen, was soll also Ihr Nachbar hier für einen Dienst nutzen können?
Welche Sicherheitsbedenken sollte ein nur intern erreichbarer Port
auslösen, der nicht ansprechbar ist? Ich kann mit Verlaub die Brisanz
dieser Anfrage nicht erkennen. Im Support stehen uns nicht alle
Informationen aus der Entwicklung zur Verfügung, dafür bitte ich um
Verständnis. Hier liegt kein fehlerhaftes oder gar unsicheres Verhalten der
Fritz!Box vor. Besteht ein konkreter Anlass oder Problem, der mit diesem
Port in Zusammenhang zu bringen ist, würden wir natürlich Ihre Anfrage an
die Entwicklung weiterleiten. Dafür sehe ich aber momentan keinen
Beweggrund, da kein Fehler vorliegt. Ich bitte ausdrücklich um Verständnis
für unsere Argumentation!

Mit freundlichen Grüßen aus Berlin

XXXX (AVM Support)​

Mir fehlen hierfür irgendwie die Worte

 

[phoneyII]

Hinter Port 4900 verstecken sich ganz interessante Features ...
http://www.wehavemorefun.de/fritzbox/index.php/Hilfsprogramme ----------------------------------------------------------------------------

Nur mit dem HTTP-Server auf Port 2049 tappe ich weiterhin im Dunkeln:

wget ftp://ftp.avm.de/develper/opensrc/fritzbox-source-files.04.57.tar.gz

egrep -R 2049 * | egrep -i port
busybox/busybox-1.1.2/util-linux/nfsmount.c: NFS_PORT = 2049
linux-2.6.13.1/include/linux/nfs.h:#define NFS_PORT 2049
linux-2.6.13.1/include/linux/nfs2.h:#define NFS2_PORT 2049
linux-2.6.13.1/include/linux/nfsd/nfsfh.h: * security than blocking external access to port 2049 on your firewall.
linux-2.6.13.1/include/linux/nfs3.h:#define NFS3_PORT 2049

Kann im http://www.faqs.org/rfcs/rfc1094.html nirgends eine HTTP-Schnittstelle für NFS finden.
Kann man nun NFS definitiv ausschliessen?

 

[LPW]

Hallo,

Wenn Du über ein VPN mit der Box verbunden bist, so befindest Du dich logisch im internen Netz. Ein Portscan über die VPN-Verbindung ist somit kein Portscan von extern, sondern ebenso ein interner Scan.

Wir wissen natürlich nicht, wie genau sf3978 vorgegangen ist, aber wenn der Scan des fernen Rechners auf die öffentliche IP-Adresse der Fritz!Box erfolgt, sollte das nicht über den VPN-Tunnel gehen.

Mit freundlichen Grüßen
LPW

 

[sf3978]

@LPW:

Den 1. Portscan mit nmap habe ich im VPN (LAN-LAN, 2 Fritzboxen mit 2 verschiedenen Subnetzen, d. h. verschiedene IP-Adressen: 192.168.155.1 und 192.168.143.1, in 200 Km Abstand sind per VPN verbunden) gemacht.

Für den 2. Portscan mit nmap habe ich VPN deaktiviert (d. h. es war keine VPN-Verbindung zwischen den 2 Fritzboxen vorhanden). Die 2. Fritzbox habe ich dann über das Internet (d. h. über die öffentliche DynDNS-Adresse) gescannt.

 

[LPW]

Hallo,

Den 1. Portscan mit nmap habe ich im VPN (LAN-LAN, 2 Fritzboxen mit 2 verschiedenen Subnetzen, d. h. verschiedene IP-Adressen: 192.168.155.1 und 192.168.143.1, in 200 Km Abstand sind per VPN verbunden) gemacht.

Die Entfernung ist an sich gleichgültig, aber sie macht klar, daß Du die Verbindung wohl per Internet hergestellt hast.

Für den 2. Portscan mit nmap habe ich VPN deaktiviert (d. h. es war keine VPN-Verbindung zwischen den 2 Fritzboxen vorhanden). Die 2. Fritzbox habe ich dann über das Internet (d. h. über die öffentliche DynDNS-Adresse) gescannt.

Dann hast Du im ersten Fall einen Portscan im LAN durchgeführt und im zweiten Fall hast Du zuverlässig die öffentliche Seite gescannt.

Mit freundlichen Grüßen
LPW

 

[RalfFriedl]

Die Entfernung ist gleichgültig, und die Adresse 192.168.x.x besagt, daß es über VPN ging und nicht über Internet.

Ein VPN über 10.000km ist immer noch ein VPN.