[Frage] Suche "dummes" VDSL2+ Vector Modem

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
B

burnersk

Neuer User
Mitglied seit
4 Feb 2011
Beiträge
54
Punkte für Reaktionen
0
Punkte
6
Für ein neues Netzwerksetup suche ich ein reines ("dummes") Modem, welches einfach nur VDSL2+ mit Vectoring auf Ethernet umsetzt. Die Internetterminierung/PPPoE erfolgt dann auf einer vorhandenen Hardware (gesonderter Router). Das Modem soll eine Bandbreite von symmetrischen 100 Megabits pro Sekunde bereitstellen können.

Das Modem soll "dumm" sein, um die Angriffsfläche auf das Modem selbst möglichst gering zu halten.

Konfiguration sollte am besten ausschließlich über einen Konsolenanschluss möglich sein.

Das Modem sollte jeweils einen DSL- und 1000Base-T-Anschluss besitzen.

Ich habe schon bei ALLNET geschaut, aber die haben offenbar nur "Eierlegendevollmilchsäue" (wie Fritzboxen) und das offizielle Statement dazu ist "Legen Sie doch ein Passwort drauf"... lach! Ich erinnere mich an den Glitsch bei AVM, wo zwar ein Passwort gesetzt war, man über die API aber alles ohne jegliche Authentifizierung abfragen konnte. So unüblich sind derartige "Schwachstellen" bei Web-Admin-GUIs leider nicht.

Kennt jemand ein Modem, wo man ggf. als Krücke das die Web-GUI komplett abschalten kann (oder sie nur Statusinfos zeigt)? Sicher könnte ich mir auch ein eigens "bauen" (z.B. OpenWRT), aber da ist mir schon wieder zuviel Intelligenz und Angriffsvektoren drin.
 
Eigentlich alle *DSL-Modems sind auch Router.
 
Theo Tintensich schrieb:
Eigentlich alle *DSL-Modems sind auch Router.
Zum Vergrößern anklicken....
Das stelle ich leider auch langsam fest. Es gibt zwar noch aktuelle und reine Modems/Medienkonverter z.B. für die Hutschiene, aber die können durchweg kein VDSL sondern nur ADSL2+ :(

Das Problem ist einfach, dass den meisten Herstellern die "Benutzerfreundlichkeit" und "Ein-Modell-für-alle-Einsatzwecke" vor der Sicherheit des Produkts selbst steht. Das sehen wir dann eben daran das Kunden-"modems" weltumspannend als kostenloses "frei Haus" Botnets benutzt werden. Man muss nur halbwegs intelligent den dynamischen ISP-Adressbereich abfragen bzw. bekommt schon einfach via Google Suchergebnisse angreifbare "benutzerfreundliche" Router in Masse präsentiert.

Ich habe jetzt die Hoffung, dass das Allnet ALL_BM100VDSL2 im Fullbridge-Modus "weniger" Schwachstellen bietet. Am liebsten wäre mir eben eine Konfiguration ausschließlich über Konsolenanschluss und nicht geshared über Ethernet (egal ob VLAN oder nicht).
 
@Theo Tintensich
Bzw. lassen sich optional als Router nutzen. Das was der TE sucht gibt es nicht. Na ja, bis auf ein xDSL SFP-Modul mit Metanoia-Chipsatz welches aber wohl ebenfalls etwas mehr kann als gewünscht und auch die PCIe Modem-Karte NIC 132 von Draytek kann sogar als Router genutzt werden.
 
Ja, aber dadurch, dass sie Router sind, sind sie eben keine 'dummen Modems'.
Und das, was der Mensch von Allnet gesagt hatte, was der TO nicht so gut fand, trifft damit auf alle Systeme zu.
Sie können mehr als gewünscht, und sind dadurch auch angreifbarer als gewünscht.
Das sollte man bei jedem Gerät, dass mein dann Nutzt, im Hinterkopf behalten und auch daran denken, dass ein DSL-Modem ein kleiner Computer ist, und unter den gleichen Mängeln leiden kann wie jeder Computer:
Software-Lücken/Bug.
 
Zuletzt bearbeitet:
"Dumme xDSL-Modems" gibt es schon lange nicht mehr, allein schon aufgrund der Tatsache, dass die (wenigen) verfügbaren xDSL-Chipsätze (welche VDSL2 mit Vectoring unterstützen) für die Aufgabe "dummes Modem" nicht entwickelt/konzipiert wurden.
 
Gab es da nicht mal ein dummes, daß Speedport 221 oder 300 HS hieß?
Aber Vectoring kann das vermutlich nicht, wenn überhaupt VDSL2.
Das war wohl das letzte seiner Art - ausgestorben.
 
Zuletzt bearbeitet:
Wenn das VDSL - Modem so konfiguriert werden kann, das es weder über WAN noch über die verbundene interne Schnittstelle konfiguriert werden kann, ist das Risiko zumindestens erheblich geringer. Aber Geräte die das können sind nicht so billig zu haben.
 
@eisbaerin
Darin war der VINAX Chipsatz verbaut, aber 1. unterstützt dieser alte Chipsatz kein Vectoring (VDSL2 allerdings schon) und 2. ist dieses Gerät trotz seines Alters dann dennoch nicht so "dumm" wie vom TE gewünscht.

Edit:
Kalle2006 schrieb:
Aber Geräte die das können sind nicht so billig zu haben.
Zum Vergrößern anklicken....
Als teuer würde ich das VMG1312-B30A aber auch nicht bewerten...
 
Um es vielleicht klarer herauszustellen... es geht mir um die Deaktivierung (ggf. lokale IPTables) der Web-GUI oder um ein Gerät ohne solche. Die Chipsets selbst können "erweiterte Funktionen" haben, die Sicherheitsanforderungen besagen jedoch, dass "... 5) eine Konfiguration des Netzgerätes nicht über eine Webschnittstelle erfolgen darf, 6) die Konfiguration über eine dedizierte, physikalisch getrennte Schnittstelle zu erfolgen hat, ...".
Ich könnte mir ein Modem/Router mit Console-Port vorstellen, wo ich per IPTables alles blocke und die Konfiguration über RS232 mache. Ist zwar nicht mein Anspruch, aber zumindest ein Eintrag (von aktuell insgesamt 0) in der Sicherheitsanalyse (; welcher die Sicherheitsanforderung, nun sagen wir mal kreativ, "umgeht").

Oder kommt mein gerade aktueller "fantastischer" Gedankengang, dass die Chipsets selbst eine REST-API bieten und die Web-GUIs nur bessere XSLT-Proxies sind, der Realität eher näher? Wenn ja, dann muss ich meine rosarote Brille suchen und auf eine einsame Insel auswandern :eek:;)o_O (PS: siehe Zigbee und Z-Wave)
 
Zuletzt bearbeitet:
Die Anforderung ist halt etwas exotisch und stellt das genaue Gegenteil des allgemeinen Trends dar. Die Hersteller der Chipsets integrieren immer mehr Funktionen in ihre Erzeugnisse (ggf. mit Aufteilung, wo dann ein Frontend-Prozessor die konkrete Anbindung an ein WAN-Medium umsetzt) und kein (Geräte-)Hersteller geht jetzt hin und läßt bei einem halbwegs aktuellen Gerät die bereits vorhandenen Fähigkeiten des Chipsets einfach brachliegen.

Auch die Verteilung der Aufgaben (einmal reiner "Media-Konverter", einmal irgendein nicht näher bezeichneter Router und auch Telefonie wird ja irgendwie umgesetzt sein, auch wenn dazu nichts in #1 steht) läuft dem Trend eher entgegen, ein integriertes Gerät verbraucht i.d.R. weniger als ein "dummes" und ein "intelligentes", mal ganz abgesehen von den (per se zumindest) besseren Möglichkeiten der Reaktion auf Probleme bei höherer Integration.

Hier wird halt automatisch davon ausgegangen, daß der (nicht genauer beschriebene) Router das Nonplusultra bzgl. der Sicherheit ist und jede zusätzliche Komponente eigentlich nur eine zusätzliche Schwachstelle darstellt ... ein Standpunkt, den man nicht teilen muß, der aber durchaus dazu führen kann, daß man sich sein "Modem" ggf. selbst klöppeln muß, sofern es die Chipsets überhaupt in Einzelstückzahlen gibt (ansonsten muß man vielleicht ein irgendwo anders defektes Gerät ausschlachten und dessen Prozessor und FPE verwenden).

Anders als beim Breitbandkabel (wo es tatsächlich noch "Modems" gibt, auch wenn die in Wirklichkeit ebenfalls eher IADs sind, denn wenigstens eMTA/eDVA setzen die auch um, zumindest alles, was ich an Geräten so kenne) gibt es beim DSL (zumindest in D, wo fast überall PPPoE zum Einsatz kommt) auch immer die Notwendigkeit einer Konfigurationsmöglichkeit ... schon um die Accountdaten irgendwie zu hinterlegen.

Da ist die Forderung nach einem "Console-Port" (ich gehe mal davon aus, daß damit am ehesten eine UART-Schnittstelle gemeint ist ... oder ginge auch ein getrennter Ethernet-Port, der ausschließlich der Konfiguration des Gerätes dient?) dann schon etwas, was kein Hersteller (freiwillig) für einen Einsatz im SOHO-Bereich einbaut - schon eine Steckerleiste auf dem PCB ist eher selten und erst recht ein nach außen geführter RS232-Anschluß. Ganz im Gegenteil ... in die Chipsets wird immer öfter die Möglichkeit der "Abschaltung" dieser Schnittstellen in fertigen Geräten integriert, so daß auch das nachträgliche Bestücken ohne passende Änderungen an der Firmware (bis hin zum Bootloader) nicht wirklich etwas bringt.

Wie wäre es denn mit einem Router, der ein integriertes Modem hat und auf dem man dann OpenWRT (oder einen der dortigen Ableger, wie LEDE) installieren kann? Wäre das dann sicher genug? Die möglichen Probleme mit dem DSL-Chipset (der FPE wird halt heutzutage auch vom OS erst passend konfiguriert und das muß dann das OS auf dem Gerät ebenfalls leisten) sollte man aber auch da dann nicht aus den Augen verlieren ...
 
voodoobaby schrieb:
ist das so ein Teil :?
Zum Vergrößern anklicken....
Das ist das in #4 erwähnte Gerät ... aber das hat ein GUI für die Konfiguration (auf 192.168.16.254) an allen 4 Switch-Ports (ist eigentlich auch eher ein Router bzw. kann sowohl Bridge- als auch Router-Mode) - iirc auch nicht abschaltbar, die einzige Konfigurationsoption unter "Web" war ein automatisches Logout nach Zeit.

Dazu kommt (zumindest als Option) auch noch TR-069, TR-064, FTP, Samba, Telnet als Schnittstellen ... alles zumindest in der Firmware angelegt/enthalten und wie weit das (regulär) abschaltbar ist (wo also nicht nur dem Benutzer das Recht zum Zugriff fehlt, sondern der Service gar nicht läuft), habe ich inzwischen wieder vergessen. Ich hatte auch eine ältere Firmware-Version getestet (C4.6A), mittlerweile gibt es neuere.

Preislich (zumindest neu) auch eher oberhalb eines kompletten Routers (inkl. Telefonie-Funktionen dank DECT-Basis, usw.) angesiedelt - so um 150 EUR kostet das Gerät. Dafür gibt's dafür die Sourcen ... wer also selbst basteln will, kriegt vermutlich auch eine Firmware ohne GUI hin bzw. kann alles das, was an Schnittstellen nicht benötigt wird, auch totlegen. Ist halt nur eine Frage des Aufwands und am Ende auch der Praktikabilität :D - irgendwie sollte ein nachgeschalteter Router (und der Besitzer) schon ermitteln können, ob das Modem nun synchron ist oder nicht bzw. woran das am Ende liegt. SNMP oder etwas ähnliches für diesen Zweck gab es nicht, wenn ich mich richtig erinnere.

Wenn die einzige Möglichkeit dazu am Ende ein Terminalprogramm an der RS232-Schnittstelle ist, muß man schon einigermaßen "hart drauf sein", um das irgendwie zu integrieren - aber da ist die "Datenlage" ja ohnehin schmal, was die konkreten Pläne angeht.
 
Die Protokollbeschreibung zum *DSL, und die in den verschiedenen Ländern eingesetzten Unterversionen, sind so umfangreich, dass das DSL-Modem mehr als ein normaler "Media-Konverter" ist.
Da ist es dann keine große Angelegenheit mehr, noch ein paar Funktionen hinzu zupacken.

Wenn, dass wäre eventuell auch ein DrayTek Vigor 130 'dumm' genug. Soweit ich mich erreiche,hat der aber auch keinen eigenen Management-Port.
 
Ich hatte auch längere Zeit nach einem reinen (V)DSL Modem wie @burnersk gesucht. Habe auch nichts brauchbares gefunden, da ich zum Schluss gekommen bin, das die DSL Technik
sich im ständigen "Fluss" befindet. Sprich der Hersteller muss soweit kompetent sein, das er in regelmäßigen Abständen entweder die Firmware an aktuelle Übertragungsstandards oder
eben die Hardware anpasst. Letztendlich wird so ein Modem sehr sehr teuer werden und damit keine große Verbreitung erfahren. Das wiederum erhöht die Kosten für den Hersteller/Kunden ...
Ein Teufelskreis ...

Mir stellte sich die Frage, was mir solch ein "dummes" DSL Modem mehr an Sicherheit bringt. Das Angriffsziel ist dann wohl nicht mehr das Modem (im Prinzip ist es ja nichts weiter als
ein reiner Medienkonverter (V)DSL in Richtung Ethernet doch der dahinterliegende Router. @burnersk wird ja wohl eher kein "dummes" DSL Modem suchen und dahinter dann einen
Consumer Router wie Draytec, Fritzbox oder sonstwas setzen sondern eher einen professionellen Router. Und professionelle Router werden wohl ein passendes (V)DSL Modem haben
und/oder sich entsprechend absichern lassen.

Wie gesagt, das Angriffsziel ist mit Sicherheit nicht die "dumme" Elektronik eines DSL Modems sondern doch eher der Router und/oder Firewall. Und an einem Firmenanschluss wird keiner eine FritzBox oder ähnlichem betreiben. Und umgekehrt an einem Privatanschluss professionelle Router wie Cisco, Juniper ist doch etwas übertrieben. Oder sehe ich das falsch?

Gruß
Michael
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 276 (Mitglieder: 11, Gäste: 265)

Neueste Beiträge

Statistik des Forums

Themen
244,913
Beiträge
2,220,801
Mitglieder
371,665
Neuestes Mitglied
H350
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück