[Frage] [Fritzbox 7312] 1&1: Hintertür zum Webinterface von außen?

[caystorm]

Hallo,

aufgrund von Problemen mit VOIP hatte ich letzte Woche Kontakt mit dem 1&1-Support.
Dabei hat mir der Supporter mitgeteilt, dass auf meiner Fritzbox nicht die aktuellste Firmware
installiert sei und hat angeboten, ein Firmware-Update anzustoßen!
Ich war und bin geschockt!!!

Warum kann der Supporter von außen auf meine Box zugreifen?
Und nicht mal beschränkt auf Lesezugriff, sondern offensichtlich kann er sogar schreiben!

Ich habe den AVM-Support mit dieser Problematik konfrontiert, und die sagen, es gebe keine
solche Hintertür. Dies wäre nicht möglich, solange ich es im Webinterface nicht bewußt
freigegeben habe, wie hier beschrieben:
http://service.avm.de/support/de/SK...che-der-FRITZ-Box-ueber-das-Internet-aufrufen

In meiner Fritzbox ist der Zugang auf das Webinterface aus dem Internet NICHT FREIGEGEBEN
(zumindest soweit ich das über das Webinterface beurteilen kann).

Kennt ihr diese Problematik?
Kann ein Umstellen auf die Freetz-Firmware dies beheben?

Vielen Dank
Cid

 

[Green7]

Nennt sich tr- 069. musst mal danach googeln damit hat dein Provider vollzugriff auf die fritz box

 

[MuP]

Stichwort: Standards TR-064 /TR-069 Automatische Konfig. der FB
http://www.avm.de/de/Service/Servic...ktuelle_Downloads/TN_FRITZ_Box_und_TR-064.pdf

Heimnetzwerk > Netzwerk > Programme:
"Zugriff für Programme im Heimnetz zulassen
Diese Einstellung ermöglicht ... oder ein Einrichtungprogramm Ihres Diensteanbieters. "

 

[koyaanisqatsi]

Tr-069

Moin

...darüber wurde auch deine 1&1 Box mittels Startcode konfiguriert.
Dies läßt sich hier deaktivieren:

Aus der ar7.cfg der Box...

# cat ar7.cfg | grep tr069
tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";
tr069_ip6_forwardrules = "tcp 8089";
tr069discover_active = yes;
tr069discover_without_dhcpoption = no;
tr069discover_forced = no;
tr069discover_vlancfg_list {
name = "tr069";
rule = "localmark sipdns,ntpdns,tr069dns,tr069";

Trotzdem bleibt dieser TCP Port 8089 für Remotezugriff von Internetseite offen.
<--<< Gescannt über grc.com Service: ShieldsUP

 

[informerex]

es kann nur auf einen "Teil der Box" zugegriffen werden.
eine Deaktivierung dieser Funktion, kann jedoch auch zu Problemen in Sachen 1&1 AGB/Aktualität der FW führen.
vor wenigen Wochen wurde bei 1&1 ein FW-Update (bei neueren Boxen) auf x.53 durchgeführt.

Dh. man sollte sich überlegen, ob es nicht auch Vorteile hat, dass Updates durchgeführt und somit evtl. Lücken/Probleme mit div. FW schnell geschlossen werden.

 

[MuP]

Ungefragt fehlerhafte Updates automatisch vom Provider einspielen lassen ?
Damit ist wohl niemand einverstanden.

 

[koyaanisqatsi]

Deswegen nehm ich auch freiwillig am Betatest der aktuellen Laborfirmware für die 7360SL (FRITZ!OS 05.60-26692 BETA) von AVM teil.

 

[Hans Juergen]

Damit ist wohl niemand einverstanden.

Geh doch mal von Usern wie caystorm aus, die gar nicht wissen, dass es Updates gibt. Für die ist diese Funktion durchaus sinnvoll. Bisher ist nur dieses eine Mal von einem ungefragten Update etwas bekannt geworden, offenbar geht der Provider durchaus bewusst sparsam mit dieser Möglichkeit um.

 

[csmulo]

Kann ich bestätigen.
Das war seit Benutzung der Fritzboxen das erste mal.

 

[caystorm]

[Edit Novize: Überflüssiges Fullquote gelöscht - siehe Foren-Regeln]

Mir war durchaus bewußt, dass es hin und wieder Firmware-Updates für die Fritzbox gibt. Ich schaue nur nicht 2-mal die Woche nach. Ich hatte 5.50 drauf und 5.51 war die aktuellste verfügbare.

Und:
Der Provider hat bei mir nicht von sich aus das Update eingespielt, er hat (wie ich in meinem Original-Posting geschrieben habe) nur angeboten, dass er es könnte, falls ich möchte; andernfalls könnte ich es auch selbst machen. Aber allein die Möglichkeit, dass er es könnte, gefällt mir ja schon nicht.

Grundsätzlich muss ich ja so damit rechnen, dass es auch jeder andere kann (z.B. jemand, der mal als
Sys-Admin bei 1&1 gearbeitet hat und daher das Prozedere kennt, und der sich jetzt als Hacker betätigt, weil er Geld braucht).

Der NSA-Skandal kann einen ja schon ein bisschen paranoid machen ...

Gruß
Cid

 

[koyaanisqatsi]

Unsere Politiker behaupten ja: Jeder Bürger muss sich selbst schützen...bla..bla..bla.
Dafür muss man aber auch wissen vor was, und welche Mechanismen dafür benutzt werden und was man selber nutzen kann.
Also, meiner Meinung nach, für ein normal Menschen unmöglich.

Zum Beispiel:

Wer sponsort mir einen IMSI-Catcher?
Damit ich auch Frau Bundeskanzler abhören kann.
Nur damit ich weiss wie es funktioniert.
Dann kann ich mich auch schützen.

 

[KunterBunter]

Grundsätzlich muss ich ja so damit rechnen, dass es auch jeder andere kann (z.B. jemand, der mal als
Sys-Admin bei 1&1 gearbeitet hat und daher das Prozedere kennt, und der sich jetzt als Hacker betätigt, weil er Geld braucht).

Nein, damit musst du grundsätzlich nicht rechnen. Der Aufwand, um für einen Autokonfigurations-Server die Zertifikate zu bekommen, ist höher als das Geld, dass man damit bei dir verdienen kann, wenn man deinen Router fernkonfiguriert.

 

[Hans Juergen]

Aber allein die Möglichkeit, dass er es könnte, gefällt mir ja schon nicht.

Nein, du kannst TR-69 selbst abschalten. In #4 steht doch wo und wie es geht

 

[koyaanisqatsi]

Das schliesst aber nicht den öffentlich zugänglichen Serviceport 8089.
Wer weiss was in Zusammenghang mit TR-064 und snmp noch alles ginge?

 

[caystorm]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Foren-Regeln]

Was ist denn mit Freetz? Sind diese Möglichkeiten bei Freetz auch genauso offen?
Posting 2:

[Edit Novize: Überflüssiges Fullquote gelöscht - siehe Foren-Regeln]

Die Einstellung, die in #4 gezeigt wird, war bei mir eh nicht aktiv, und trotzdem konnte 1&1 zugreifen.
Das ist ja genau das, was mich stört: im Webinterface habe ich scheinbar alles deaktiviert, und trotzdem gibts
scheinbar ein Loch. Aber vielleicht ist das genau die Sache mit dem Port 8089, wie in #14 erwähnt.

 

[Hans Juergen]

Wie kommst du da drauf? Der Supporter hätte dich dann bitten müssen, den Haken zu setzen, nur dann geht es. So hat es dir AVM mitgeteilt und nicht umsonst ist auch der 1&1-Vertrag so gefasst.
Sehen, was bei dir für eine FW-Version drauf ist, und FW-Update sind 2 verschiedene Paar Schuhe.

 

[koyaanisqatsi]

Da gibts bestimmt noch einige Ports wo man ein Augenmerk drauf richten sollte.
Darf zum Beispiel 5060 einfach so ereichbar sein? Das glaub ich nicht.
Wer sich selbst mal schocken möchte sollte mal seine öffentliche IP im Webbrowser eintippen plus :5060

SIP/2.0 400 Illegal request line
From: <sip:missing>
To: <sip:missing>;tag=badrequest
User-Agent: FRITZ!OS
Content-Length: 0

SIP/2.0 400 Illegal request line
From: <sip:missing>
To: <sip:missing>;tag=badrequest
User-Agent: FRITZ!OS
Content-Length: 0

SIP/2.0 400 Illegal request line
From: <sip:missing>
To: <sip:missing>;tag=badrequest
User-Agent: FRITZ!OS
Content-Length: 0

SIP/2.0 400 Illegal request line
From: <sip:missing>
To: <sip:missing>;tag=badrequest
User-Agent: FRITZ!OS
Content-Length: 0

SIP/2.0 400 Illegal request line
From: <sip:missing>
To: <sip:missing>;tag=badrequest
User-Agent: FRITZ!OS
Content-Length: 0

SIP/2.0 400 Illegal request line
From: <sip:missing>
To: <sip:missing>;tag=badrequest
User-Agent: FRITZ!OS
Content-Length: 0

SIP/2.0 400 Illegal request line
From: <sip:missing>
To: <sip:missing>;tag=badrequest
User-Agent: FRITZ!OS
Content-Length: 0

SIP/2.0 400 Illegal request line
From: <sip:missing>
To: <sip:missing>;tag=badrequest
User-Agent: FRITZ!OS
Content-Length: 0

Obs mit sipsak und den (mir unbekannten) richtigen Parametern gefügiger wird?

Frage: "Was ist denn mit Freetz? Sind diese Möglichkeiten bei Freetz auch genauso offen?"
Es gibt in freetz (make menuconfig) die Option "Remove TR-069":

 

[Novize]

Preisfrage: Wie soll die Fritz denn auf VoIP-Anrufe reagieren können, wenn der relevante Port 5060 NICHT offen wäre? :?
Bitte macht mal halblang mit den Verschwörungstheorien und der Hysterie.

 

[koyaanisqatsi]

Ehrlich?
Ich hab gedacht das läuft so:
Ich: Portnummer egal, sagen wir mal 56789
1&1: Portnummer nicht egal, also 5060

Genau wie bei http:
Ich: Portnummer egal, sagen wir mal 56790
Google.com: Portnummer nicht egal, also 80

Wenn jetzt einer über meine Fritz!Box telefonieren will:
Er: Portnummer egal, sagen wir mal 4711
Ich: Portnummer nicht egal, also 5060

 

[Telefonmännchen]

Wie willst Du denn Post (aka VoIP-Anrufe) erhalten, wenn Du Deinen Briefkasten (aka Ports am VoIP-Adapter) zumachst? Der Port 5060 ist bei jedem VoIP-Adapter (in Standardeinstellung) eingehend frei, bzw. wird durch den Adapter an einem vorgeschalteten Router offen gehalten. Alternativ dazu benötigt man eine Portweiterleitung. Diese wäre nicht notwendig, wenn nicht externe Dienste (der VoIP-Provider) auf den Adapter zugreifen müsste, um einen eingehenden Anruf zu signalisieren.

Gruß Telefonmännchen