[Info] Neue Sicherheitshinweise von AVM

Lieber PeterPawn,

nun schau dir einfach mal die Zugangsdaten der Fritzbox an. Es wird eine Verbindung aufgebaut, die dem VPN gleich kommt. Das Modem wählt sich mit Benutzernamen und Passwort am nächst gelegenen Internetserver ein. So wird quasi ein Tunnel zur (V-)DSL-Karte aufgebaut und die leitet dann an den ersten verfügbaren Internetserver weiter. Für mich ist das eine VPN-Verbindung. Also eine Virtuelle Private Netzverbindung. Unabhängig von der Verschlüsselung, die da irgendwo drin ist.

Und weil der Startcode es auch mit den ersten 4 Zeichen hinbekommt, die Verbindung zum Internet herzustellen, ohne, das bereits eine vollständige Eintragung von Benutzername und Passwort stattgefunden hat, wird deutlich, wo da welche Ebenen des möglichen Zugriffs auf das Internet, aber auch aus dem Internet möglich sein können.
 
Und weil der Startcode es auch mit den ersten 4 Zeichen hinbekommt, die Verbindung zum Internet herzustellen, ohne, das bereits eine vollständige Eintragung von Benutzername und Passwort stattgefunden hat, wird deutlich, wo da welche Ebenen des möglichen Zugriffs auf das Internet, aber auch aus dem Internet möglich sein können.
Das läßt sich ja ziemlich gut mitschneiden, was da bei einer FRITZ!Box beim Aktivieren des Startcodes so über die Leitung geht.

Normalerweise sollte das erst einmal die BRAS-Suche über PADI/PADO sein und (meines Wissens, das kann aber auch etwas angestaubt sein in Bezug auf die Telekom als Vorleister) dort - also auf dem BRAS - wird dann weiter entschieden, was mit der "Verbindung" passiert.

Ich würde tippen (vielleicht kann ja mal jemand einen Mitschnitt so einer "Erstkonfiguration" - auf der "1. Internetschnittstelle" - zur Verfügung stellen?), daß die unkonfigurierte FRITZ!Box erst einmal gar nichts weiter macht und brav die Füße still hält, bis sie anhand der ersten Gruppe des Startcodes (wenn Du sagst, daß diese ausreicht für die Verbindung zum 1&1-ACS) dann weiß, welcher Provider es sein soll (bisher verwendet m.W. nur 1&1 den Start-Code, vielleicht werden es ja bald mehr?) und Verbindung dorthin aufnimmt.

Ich hätte zwar eher vermutet, daß die Telekom das anhand der Präfix-Kennzeichnungen (bei mir "feste-ip", bei 1&1 m.W. "1und1") bei der LCP-Authentication festmacht und die FRITZ!Box nach der Auswahl von 1&1 als Provider dann eben mit einem generischen Nutzernamen von 1&1 erst einmal eine Adresse bezieht, aber das ist tatsächlich reine Spekulation ohne (aktuellen) Mitschnitt. Wenn man jetzt direkt mit einem Startcode loslegen kann ohne vorher 1&1 als Provider wählen zu müssen, kann die Information zum Provider ja nur in der von Dir erwähnten ersten Gruppe stecken. Aber irgendjemand muß ja in so einer PPP(oE)-Verbindung erst einmal mittels LCP/IPCP irgendwelche Adressen setzen, vorher geht natürlich gar nichts weiter als bis zum BRAS, denn da ist theoretisch erst mal Schluß mit L2-Adressierung und alles danach braucht mehr "input".

Ich habe gerade mal die Ankündigungen der Änderungen in der 06.35 durchgelesen und kann mir unter

System: Verbesserung - Einrichtung am Vodafone-Anschluss vereinfacht
System: Verbesserung - Ersteinrichtung für Vodafone auch bei nicht gestecktem DSL-Kabel
System: Verbesserung - Ersteinrichtung mit 1&1 Start-Code bereits vor Schaltungstermin unterstützt

nichts so richtig vorstellen. Wenn da jetzt eine Einrichtung bei 1&1 schon vor dem Schaltungstermin möglich ist und bei Vodafone die Ersteinrichtung ohne DSL-Kabel, dann stellt sich mir die Frage, ob das "ohne Kabel" auch bei 1&1 gilt oder ob das eigentlich nur das von Dir beschriebene Vorgehen ist (wo dann eben der 1&1-ACS schon kontaktiert werden kann, wenn die Leitung eigentlich noch über einen anderen Reseller bei demselben Vorleister läuft - 1&1 betreibt (m.W.) ja auch keine eigenen BRAS und greift immer auf Vorleistungen zurück) oder ob das auch eine "Offline"-Konfiguration mit dem Startcode werden soll - wobei mir da bei 12 Zeichen so etwas der Glaube fehlt. Bei "Online"-Konfiguration würde ja "vor Schaltungstermin" trotzdem noch voraussetzen, daß da die Leitung zum BRAS schon steht. Ich bin etwas verwirrt ob der recht mehrdeutigen Beschreibung seitens AVM. :gruebel:

Und da es bei der WAN-Zugangskonfiguration der FRITZ!Box tatsächlich auch die Möglichkeit gibt, eine ganz "klassische" VPN-Verbindung zu verwenden, hatte ich Dein "VPN" in dieser Richtung verstanden und mich nur darüber gewundert.

@KingTutt:
Vermutlich wird sie irgendwann über einen Link in einer anderen Seite mal den Weg in einen Suchmaschinen-Index finden. ;)
 
Findet man diese Seite eigentlich auch ohne Kenntnis des Direktlinks? Ich habe sie zumindest weder über "Ratgeber -> Sicherheit" noch über "Services" gefunden :eek:
Ratgeber -> Sicherheit mit AVM -> Updates erhöhen Sicherheit und liefern mehr Funktionen (ganz unten) -> Sicherheitshinweise (ganz unten)
 
Ich vermute ganz einfach, dass die Box sich ohne DSL-Kabel, oder vor der Freischaltung, den Startcode merkt, und dann erst nach Herstellen der Verbindung alle nötigen Schritte im Hintergrund durchführt. Dem Anbieter kann ja egal sein, ob der Startcode "live" oder vor 5 Minuten / Stunden / Tagen eingegeben wurde.
 
@sneaker2
Danke, es gibt also einen Weg, aber das zu finden ist schon ein echtes Kunststück ;)
 
erst nach Herstellen der Verbindung alle nötigen Schritte im Hintergrund durchführt.
Könnte ich - in gewissen Grenzen - auch nachvollziehen .. wobei dann bei einem "Anbieterwechsel" (wo sich also an der Leitung nichts ändert und die schon vorher synchron ist) die Frage weiterhin besteht, wie das die FRITZ!Box bemerken soll, daß sich da jetzt etwas geändert hat und sie nun die Verbindung zum ACS aufnehmen kann/soll.
 
Eventuell setzt die Eingabe eines (neuen) Startcodes ein Flag "Neu-Anmeldung, sobald möglich", welches erst nach erfolgreichem Abschluß wieder gelöscht wird?

Abgesehen davon ... die Anbieterwechsel, die ich bisher hatte, beinhalteten auch ein Umschalten der Telefonleitung auf einen neuen Anbieter bzw. dessen Port. Ergo kurzzeitig kein Sync.

Gruß
HSishi
 
Habe vor 2 Wochen einen Anbieterwechsel gemacht (Telekom > 1und1).

Nach Trennung der gekündigten Telekomverbindung durch die Telekom wurde die Box bei den anschließenden Versuchen, die Verbindung wieder herzustellen, mit dem Fehlercode "0028 LSOFF004 vip lock" abgewiesen.

Falls das ein Standard ist, könnte sie also an dem Fehlercode die Abschaltung erkennen.
 
Moins

Mir hats dann auch mal in den Fingern gejuckt und von avme auf avm gebrandet und auf 6.30 recovert.
Dann hab ich die Box ohne Startcode aber mit Sicherungsdatei aus einer andern Box wiederhergestellt.
Was soll ich schreiben, ich poste einfach mal das Ereignislog...


TR-069 lässt grüssen.
Und das gegen meinen Willen.
 
Meines Wissens nach:
Auch die ungebrandeten Boxen nutzen bei 1&1 TR-069, solange die Konfiguration über Start-Code oder über das vorgegebene 1&1-Profil in der Anbieterliste erfolgt. Die Konfiguration muß als "Weitere Internetanbieter"->"Anderer Internetanbieter" erfolgen, dann sollte TR-069 abgeschaltet sein. Angeblich soll ab 06.20 auch das Abschalten der "Anbieterdienste" über das Webinterface funktionieren, aber das habe ich nicht überprüft. In den alten Versionen war das noch fehlerhaft und TR-069 bleibt trotz Abschalten aktiv. Über einen Portscan oder über Diagnose->Sicherheit sollte man sehen können, ob der Port noch offen ist. (Kannst ja schauen, was dort jetzt steht und dann nochmal nachdem Du in den Anbieterdiensten warst.)

Aber gehört das wirklich hier ins Thema? Diese Dinge sollten sich über die Forensuche finden lassen.
 
@koy: Und dieses Verhalten ist jetzt für Dich neu oder nur überraschend oder was verstehe ich jetzt nicht?

Daß TR-069 automatisch aktiviert wird, wenn die Einstellungen in der providers-049.tar das so vorsehen, ist ja nun alles andere als neu (auch "litemode" vs. "enabled" ist Dir sicherlich schon einmal über den Weg gelaufen) und wenn Du das verhindern/vermeiden willst, stellst Du eben "Anderer Anbieter" ein und dann weiß die Box auch nicht mehr, welchen ACS sie kontaktieren soll. Wenn in der Sicherungsdatei 1&1 als Provider eingetragen ist, dann ändert der ctlmgr einige Einstellungen, daß ist aber "verfügbares Wissen" und das haben wir spätestens seit der 06.0x-irgendwas immer wieder auf's Neue untersucht und rauf und runter diskutiert. Dazu fallen mir (beim derzeitigen Kenntnisstand zur TR-069-Implementierung von AVM) auch keine neuen Fakten mehr ein.
 
Äh, ja natürlich. Wie dumm von mir.
Jetzt fühl ich mir aber sowas von bevogesichert.
Das andere User sich erst garnicht mit solchen Lapalien beschäftigen können, stört ja dann auch Niemanden.
Das wären dann die berühmt berüchtigten 90%.
Und zum Glück zähl ich mich zu den 10%.

BTW: Warum mach ich eigentlich eine Sicherung? Brauch ich doch nie mehr machen.
1&1 bügelt sowieso wieder alles glatt. Und weiss bestimmt meine (Ex)geheime EMailadresse.
...aber was weiss ich schon.
 
Zuletzt bearbeitet:
Kein Nutzer muß sich damit auseinandersetzen. 99% richten ihre FritzBox über den Startcode ein, Internet und Telefon funktionieren auf Anhieb und das war es. 1&1 stößt sogar automatisch die Sicherheitsupdates von AVM an. Genau so sollte es auch sein.

BTW: Warum mach ich eigentlich eine Sicherung? Brauch ich doch nie mehr machen.
1&1 bügelt sowieso wieder alles glatt.
Wieso sollte eine Sicherung ein abgeschaltetes TR-069 implizieren? Wenn die Box, von der die Sicherung erstellt wurde, über das voreingestellte 1&1-Profil eingerichtet wurde, wird das anscheinend auch auf die neue Box übernommen. Nicht wirklich überraschend.

Wie man eine Box ohne TR-069 einrichtet wurde Dir mitgeteilt. Dies umzusetzen liegt an Dir.
 
Ja, aber mit der 6.03i.
Selbst nach einspielen meiner Sicherung hält TR-069/1&1 bei dieser Firmware die Füsse still.
So wie ich es will und ohne irgendwelche andere Anbieter Verrenkungen.

Diese Firmware (6.30) können sie (AVM) getrost auf ihren FTP vergammeln lassen.
Exakt dieselben Fehler wie bei der 6.20, kein nmbd und schrottiges My!FRITZ Webinterface.
 
Zuletzt bearbeitet:
Fazit: @koy mag die neue Firmware nicht ... das hat bestimmt sein Gründe, hat aber mit den Sicherheitshinweisen von AVM (die Dich "verunsichert" haben) erst einmal nichts zu tun.

Wenn Du lieber mit den geschilderten Lücken in der Firmware leben willst, ist das doch Deine eigene Entscheidung.

Für eine substantielle Kritik an der neuen Firmware 06.30 reicht ein "schrottig" für mich eher nicht aus ... die Änderungen/Probleme der neuen Firmware sind in den jeweiligen Threads beschrieben, die kennst Du auch alle.

Was wolltest Du also mit der Feststellung, daß TR-069 nach der 06.0x anders gehandhabt wird (wie gesagt, hier zig-mal diskutiert, u.a. m.W. auch von/mit Dir), dem geneigten Publikum hier am Ende mitteilen? Daß Du Dich jetzt wegen der Sicherheitshinweise und Deiner neuen Gewißheit, daß Deine Firmware angreifbar wäre (ob das sich für jemanden lohnt und er es auch macht, steht ja auf einem anderen Blatt), schlechter fühlst, obwohl oder weil Du besser informiert bist? Ich verstehe einfach die Intention und den Kern der Aussage nicht.

Wenn Dir die (neue) Firmware nicht zusagt, lebe weiter mit der alten ... wenn Dir die Risiken der alten Firmware zu unklar oder zu hoch sind, nimm die neue. Wenn Du eine vollkommen neue Firmware mit dem alten TR-069-Verhalten, ohne Samba, NAS, was auch immer willst, baue Dir Deine eigene (wie das geht, steht unter "Modifikationen" oder unter "Modifikationen / Freetz") oder wende Dich mit einem "+1" an AVM, damit auch Du Teil einer kritischen Masse sein kannst, die AVM ggf. in Deinem Sinne beeinflußt.

Ich sehe keine anderen Optionen (bräuchte persönlich auch keine weiteren) und kann am Ende nur noch einmal die Frage erneuern: Was willst Du uns denn nun sagen bzw. wo drückt der Schuh wirklich?
 
Es gibt nur einen korrekten Sicherheitshinweis: Benutzen sie kein Internet

AVM macht die Boxen dicht und will sich mit dieser Sicherheitshinweisseite,
die nur per Direktlink, meine Wissens, zu erreichen ist, mehr Vertrauen schaffen?

Bin ich ein gläubiger Mensch? Na dann brauch ich auch keine Beweise.

Da drückt der Schuh.

Nee, dann lieber eine funktionierende Box. Mit der uneingeschränkten Möglichkeit des Selbereingreifens.
...damit bin ich mein eigener Herr und belästige auch niemals den Support.

Und deswegen: Ohne Support, brauch ich keine Sicherheitshinweise.
...ich bin somit durchs Netz gefallen.
Und vertraue auf: Individualisierung

Desweiteren bin auch auch so konsequent und verabschiede mich hiermit aus diesem Thread.
 
Zuletzt bearbeitet:
Es gibt nur einen korrekten Sicherheitshinweis: Benutzen sie kein Internet
Kann man natürlich auch so sehen ... aber sollte man so einen Hinweis dann nicht lieber auf kleine Zettel drucken und diese in die Briefkästen der Umgebung werfen oder beim nächsten Besuch der Damen und Herren, die über religiöse Themen reden und einem aus der Bibel vortragen wollen, mit dieser neuen Erkenntnis dem Gespräch eine überraschende Wendung geben? Als Warnung im Internet "Benutzen Sie kein Internet" zu veröffentlichen, ist irgendwie entweder inhaltlich oder in Bezug auf die Zielgruppe falsch.

AVM macht die Boxen dicht und will sich mit dieser Sicherheitshinweisseite,
die nur per Direktlink, meine Wissens, zu erreichen ist, mehr Vertrauen schaffen?
Nun laß das doch erst einmal überhaupt zu einer Entwicklung kommen. Auf den ersten grünen Halm zu latschen und dabei festzustellen, daß man auf diesem Rasen ohnehin noch nicht Fußball spielen kann, kann es doch irgendwie auch nicht sein, oder?

Bin ich ein gläubiger Mensch? Na dann brauch ich auch keine Beweise.
Das weiß ich nicht und dieser Satz brachte auch den Bezug in meinem oben stehenden Satz hervor. Gerade auch gläubige Menschen sind ja auf der Suche nach einem "Gottesbeweis", um die "Ungläubigen" zu überzeugen.

Da drückt der Schuh.
Ich weiß nicht, ob Dir der Begriff "blubbern" etwas sagt (in Berlin ist das eigentlich Allgemeingut) ... wenn man Dich nicht (aus anderen Forenbeiträgen) besser kennen würde, fühlte man sich fast bemüßigt, Dir Wege aus Deinem Dilemma aufzeigen zu wollen; aber in gewisser Weise fühlst Du Dich dabei wohl, das ist jedenfalls mein Eindruck. (BTW: Auch ich will den alten Kaiser Wilhelm wiederhaben - nicht wirklich, aber das Prinzip kommt mir bekannt vor.)

Auch damit kann man leben und jeder muß sich mal Luft machen ... aber dann schreib das doch einfach deutlich hin, dann kommt man gar nicht erst in Versuchung, Dir eine Antwort geben zu wollen bzw. einen "Subtext" in Deinem Beitrag zu suchen, wenn der Sinn (s.o. der Satz mit dem "gläubigen Menschen", da fehlt mir komplett der Zusammenhang, in dem ich den verstehen sollte) nicht so ganz klar wird ... in der Folge dann eben auch nicht, wo der Schuh nun wirklich drückt. Und ehe ich da jetzt wilde Spekulationen anstelle, warte ich doch lieber auf Deine Erklärung, wie das eigentlich gemeint ist ... aber nur wenn Du das hier fortführen willst; meinetwegen können wir hier auch Schluß machen, denn ich sehe den Zusammenhang zur Seite mit den "security advisories" von AVM irgendwie gar nicht mehr.
 
aber sollte man so einen Hinweis dann nicht lieber auf kleine Zettel drucken und diese in die Briefkästen der Umgebung werfen

Das gehört auf jeden Internetfähigen Gerät als Siegel auf dem Bildschirm und Anschaltknopf.
Raucher wissen was da gemeint ist.

Schon blöd wenn die Information erst zu finden ist wenn es schon zu spät dafür ist.

Aber so in 2 Jahren können wir gerne darüber weiterdiskutieren.
 
Aber grundsätzlich ist das doch trotz allem positiv zu bewerten, wenn der Hersteller grundlegende Infos über Sicherheitsprobleme seiner Lösungen veröffentlicht. Erst recht, wenn man berücksichtigt, dass das ja für home User ausgelegte Geräte sind (großteils). Kennt man in der Form doch auch von vielen anderen Herstellern, die auch nicht zwingender Weise jedes Detail offenlegen. Aber zumindest ist man in der Lage selbst entscheiden zu können. Bzw. bekommt eben mehr Informationen und das hat eigentlich noch nie geschadet.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.