UPNP Internetgateway: Internetverbindung WEG?!

[JohnDoe007]

Hallo!

Ich habe auch mal wieder ein kleines Problem mit der Fritzbox.

Selten ist nach einem Rechner-Neustart mehr oder minder unabhängig von Neustarts der Fritzbox in den Netzwerkverbindungen das UPNP-Gerät Internetverbindung als Internetgateway aufgeführt.
Das nutze ich dann auch, wenn ich mal meinen apache-Server aktiviere, um per UPNP dann das Portforwarding zu machen.

Das Problem ist, irgendwann ist dieses Symbol einfach weg. Und ich bekomme es dann auch nicht wieder zurück... Da hilft kein Rechner-Neustart, kein Fritzbox-Neustart, usw. irgendwann ist es mal wieder da, aber keine Ahnung wann es dann plötzlich wieder erscheint.

UPNP funktioniert aber! Bspw. wenn dieses UPNP-Device nicht mehr aufgeführt ist, kann ich trotzdem noch über Reconnect-Programme meine Verbindung trennen und auch das Startcenter zeigt alles richtig an...

Im Anhang Screenshots dazu...

VG JD.

 

[KuniGunther]

Dieses Symbol hat mit der Portfreigabe über UPnP nur soviel zu tun, als dass es das gleiche Gerät ist

Das Symbol "Internetgateway" hängt nur an der Einstellung, ob die FritzBox Statusinformationen über UPnP senden soll. Einen anderen Nutzen als die Anzeige "Internetverbindung vorhanden" und eventuell der Datenrate, die Du darüber verschickst, hat das Symbol nicht. Ob die FritzBox auf Einstellungensänderungen reagiert, ist von der Anzeige unabhängig.

Ich habe schon lange aufgegeben, wovon es abhängt, dass Windows mir ein UPnP-Gerät im Netz zuverlässig anzeigt. Meine UPnP Mediastreamer werden auch nur zufällig angezeigt.

 

[JohnDoe007]

Leider, leider, total FALSCHE Aussage dazu!!!!

Man kann das Ding rechts anklicken und über die Eigenschaften dann UPNP-Portfreigaben konfigurieren, und das OHNE in die Weboberfläche zu müssen und ohne extra UPNP-Software... So kann man ganz schnell und komfortabel per UPNP Portfreigabe/Portforwarding einrichten und löschen!

Das kann nämlich XP von Hause aus!!!!

Also ich hätte nach wie vor gerne eine Lösung?

Keine schon mal dieses Problem gehabt?

VG JD.

 

[KuniGunther]

Dann nehme ich meine Antwort natürlich zurück und werde das heute abend nochmal ausprobieren. Offenbar habe ich das dann immer übersehen. Ich hatte nämlich selbst schon mal wissen wollen, ob es da unter Windows eine Möglichkeit ohne AVM-Startcenter oder direkte Softwareunterstützung gibt und keine solche Antwort bekommen.

 

[Beobachter]

ports kanst du auf diese art nur freigeben wenn upnp komplett im router
aktiviert ist, was aber sicherheitsloecher reißt

gruß beobacher

 

[JohnDoe007]

@beobachter: nein das ist so nicht korrekt. denn wenn ich hier reconnector-tools benutze, dann ist im router auch upnp aktiviert (!!!) das ist natürlich vorraussetzung UND es reißt auch ganz sicher keine sicherheitslöcher (!!!), da ich nur gewissen programmen und diensten erlaube, über die upnp ports herauszusenden...

vg jd.

 

[Beobachter]

du hast keine ahnung

warum glaubst du wohl das es bei besseren routern unterteilung zwischen
upnp statusinformationen und upnp sicherheitseinstellungen gibt. tu mir einen gefallen und hoere auf halbwarheiten zu verbreiten und sie als fakten zu verkaufen. wenn du upnp im komplett router komplett aktivierst, heisst das das jede anwendung die upnp unterstützt und es moechte ports in deiner
routerfirewall öffnen kann. kontrollieren kannst du das ganze dann nur noch durch eine Personalfirewall auf dem jeweiligen PC. Die aber umgangen werden kann. (z.b. DLL Injection in freigegebene programme/hooking von systemfunktionen oder durch anwenungen die auf kernelebene laufen)

beobachter

 

[JohnDoe007]

natürlich, aber diese gefahr besteht ja in der regel nicht. woher soll die kommen?

 

[KuniGunther]

kontrollieren kannst du das ganze dann nur noch durch eine Personalfirewall auf dem jeweiligen PC. Die aber umgangen werden kann. (z.b. DLL Injection in freigegebene programme/hooking von systemfunktionen oder durch anwenungen die auf kernelebene laufen)

Wenn Du schon einen Schädling auf Deinem Rechner, der diese ganzen Dinge tut und ungehindert Informationen verschicken kann, dürfte die zusätzliche Gefahr, dass eine Portweiterleitung im Router geschaltet wird, wohl Dein geringstes Problem sein.

 

[Beobachter]

Nix Fuer ungut. Ihr scheint zwei sehr naive Naturen zu sein, aber jedem das seine. Es gibt heutzutage soviele unbekannte Schädlinge, die ihre Erkennung
durch exotische Laufzeitpacker, polymorphen Code, VM Detection immer
mehr verschleiern. Das belegen schon die immer weniger werdenden
generischen Signaturen der Antivirenhersteller.

nimm mal folgendes scenario an:

du surfst auf eine Webseite und fängst dir einen unbekannten "dropper" der von der AVsoft nicht erkannt wird.

dieser nutzt eine Sicherheitslücke meinetwegen im Browser aus und lädt eine dll nach. nun injeziert er sie in den adressraum eines bekannten prozesses, der zu einem dir bekannten, und inder firewall freigegebenen Anwendung gehoert. (browser,Teamspeak,ICQ...etc.)

im besten falle sagt dir deine firewall jetzt so was wie "iexplore.exe will sich mit ip ... verbinden. im schlechtesten falle "svhost.exe versucht folgende ip ... zu kontaktieren" (... ist die ip deines routers)

viele werden sowas jetzt einfach freigeben, weil sie schon schlechte erfahrungen mit dem blocken von svhost diensten gemacht haben (windows funktionen gehen nicht mehr richtig) oder weil es logisch erscheint das der browser ja über den router ins inet muss.

die injezierte dll enthaelt code um port xxx in der routerfirewall freizuschalten.
das heist eingehende anfragen werden dann auf deinen internen Pc weitergeleitet.

dort lauscht dann ein spider und schwubs ist dein PC mitglied in einem botnetz.

nun werden viele sagen. die firewall meldet ja wenn ein programm auf einem port lauschen will. sicherlich tut sie das. aber wartet mal ab, bis ihr die nächste updateversion von z.B einem sharing oder messi Programm auf eurer rechner macht. dann geht nähmlich die ganze firewall fragerei wieder los. es kommt dann nur drauf an, wieviel technisches verstaendnis derjenige hat, und das man das ganze gut verpackt. (icq.exe will auf port xxx lauschen) das schwaechste glied in der kette ist immer der mensch, ich denke da sind wir uns einig.

die nächste generation werden botnetze mit peer2peer struckturen sein, die ohne zentralen server fungieren. wenn du dann noch solche sachen wie Emule, oder µtorrent drauf hast wo eh schon tausende Portanfragen kommen,
na dann gute nacht.

beobachter

PS: entschuldigt bitte die rechtschreibung, hab gerade wenig zeit

 

[KuniGunther]

Das ist ja alles richtig, aber Du hast den Einwand wohl nicht verstanden. Wenn ein unbekannter Trojaner oder sonst was durch meinen Virenscanner schlüpft, dann habe ich mehr Angst und Probleme damit, was er direkt mit meinem Rechner anfängt. Ob dann noch ein Port im Router offen ist oder nicht, ändert nichts daran, dass irgendwer auf meinem Rechner tut, was er will.

Etwas, das "Sicherheitslücken reißt" ist bestimmt nicht etwas, das voraussetzt, dass jemand bei mir eingebrochen ist, sondern etwas, das einen Einbruch ermöglicht. So gesehen reißt auch mein EMail-Client mit Adressbuch eine Sicherheitslücke, da er einem Einbrecher ermöglicht, Spam-Mails zu verschicken. Alles, was mir das Leben erleichert, tut das nun mal auch für einen Einbrecher.

 

[Beobachter]

wenn du dir ein neues programm runterlädst von dem du denkst das es ok ist?
ist das dann einruch oder nicht? Dazu hat jeder ne andere meinung

 

[KuniGunther]

Ob das Programm nicht ok ist, hängt bestimmt nicht davon ab, ob ich UPnP aktiviert habe. Wer die Meldungen seiner Firewall nicht liest oder verstehen will, hat sowieso ein ganz anderes Problem als UPnP. Ausgehende, nicht gewollte Verbindungen sind da ein viel größeres Sicherheitsrisiko - viele Bots arbeiten immer noch über IRC o.ä. - und dafür brauche ich keine Portweiterleitung.

 

[Beobachter]

da du offsichtlich immer das letzte wort haben musst, empfehle ich dir dich mal im rokop forum umzusehen. wenn es fuer dich kein sicherheitsrisiko darstellt, schoen und gut. für mich ist es eins.

Beobachter

 

[4nt4r3s]

@KuniGunther

das vollständige aktivieren von UPnP reisst gravierende Lücken in die Sicherheit. hier ein paar praktische Nutzen:

1. Übernahme einer Box mit nicht mehr ganz aktueller Firmware:
Der UPNP Dienst gibt die bei AddPortMapping/DelPortMapping übergebene IP an ein Script weiter. Dieses hatte bis vor kurzem ein paar löcher, weswegen es möglich war, anstatt der IP-Addresse einen bis zu 255 Zeichen langen string zu übergeben, mit dem man zb mittels escaping aus dem script ausbrechen konnte, und befehle auf der Box ausführen konnte. zb telnet ohne PW starten... Wenn die Box dann noch WEP oder gar unverschlüsselt ist, kann sowas schonmal im vorbeifahren passieren.

2. Übernahme der Box durch "Reset by UPNP" - Durch geschicktes Triggern eines Reconnects kann eine Race-Condition erzeugt werden, die nach einiger Zeit zum Neustart der Box führt. Danach kann die Box auf Factory defaults resettet werden

3. Proxying ins internet - das hat AVM leider immer noch nicht gescheit hinbekommen. Einem Angreifer ist es möglich mittels der Port-Mapping SOAPS eine Freigabe auf das WAN-Interface einzurichten. Damit wird die FBox zum Proxy.

das sind die drei die mir auf anhieb einfallen - der PC des nutzers muss dafür nicht befallen sein, ein unsicheres WPA-Passwort, eine schlecht gewählte ESSID die einen Preimage-Angriff auf PBKDF(HMAC(SHA1),4096) erlaubt, WEP oder gar keine Verschlüsselung reichen bereits aus.

Abgesehen davon lässt sich ein PortMapping schon mit Javascript im Browser realisieren.

Daher: UPnP ist in der Regel besser deaktiviert.

 

[3949354]

Hallo,
Du hast gesehen, das der Thread 3,5 Jahre alt ist? :gruebel: