Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

FB als DSL-Modem - höheres Angriffsrisiko für die FB

Frage Netzwerke DSL, VDSL

Mitglied: 118184

118184 (Level 1)

06.12.2014, aktualisiert 23:08 Uhr, 1654 Aufrufe, 18 Kommentare

Hallo Leute,

ich werde mir wahrscheinlich bald einen Mikrotik Cloud Core Router zulegen, brauche für meine VDSL-Leitung logischerweise ein Modem.

Nun habe ich den Gedanken, meine FB 7390 als reines VDSL-Modem zu konfigurieren (durch Einstellungen in der exportierten Config, siehe hier: http://www.hauiswelt.de/2013/09/17/fritzbox-7390-mit-aktueller-firmware ... , über die Weboberfläche geht das ja nicht mehr).

Jetzt wäre meine Frage: Wenn die Fritte dann nur noch als Modem arbeitet, ist sie dann einem höheren Angriffsrisiko ausgesetzt? Eigentlich dürfte das ja nicht sein, da der Router ja die öffentliche IP kriegt und nicht die Fritte; somit dürfte sie eigentlich unerreichbar sein.

Ich wollte mich nur mal vergewissern, nicht, dass ich irgendwas übersehen habe.

Vielen Dank schonmal!!

BG draugrdeathlord
Mitglied: 114757
LÖSUNG 06.12.2014, aktualisiert um 23:08 Uhr
Moin,
Wenn die Fritte dann nur noch als Modem arbeitet, ist sie dann einem höheren Angriffsrisiko ausgesetzt?
Nope, sie macht ja dann nur noch PPPoE und ist nur noch eine transparente Bridge, und das WEB-IF etc. dadurch natürlich nicht mehr exposed.

Eigentlich dürfte das ja nicht sein, da der Router ja die öffentliche IP kriegt und nicht die Fritte; somit dürfte sie eigentlich unerreichbar sein.
Das siehst du richtig

Gruß jodel32
Bitte warten ..
Mitglied: 118184
06.12.2014 um 23:08 Uhr
Super, das ist klasse, vielen Dank für deine Hilfe!

BG draugrdeathlord
Bitte warten ..
Mitglied: aqui
07.12.2014 um 09:44 Uhr
Nur ums technisch korrekt zu machen für andere Forum Leser: Das ist Unsinn das sie nur noch PPPoE macht, denn dann würde sie ja aktiv IP sprechen was aber als reines Modem nicht mehr der Fall ist ! Eine Bridge ist sie in dem Sinne auch nicht, denn das bezeichnet in der Netzwerkwelt eine Layer 2 Ethernet Bridge. xDSL Framing hat aber kein Ethernet Format ist also in dem Sinne nicht bridgebar.
Im Modem Modus macht sie das was ein Modem macht also rein passives Format wandeln von xDSL Frames mit DMT Modulation auf dem Draht auf Ethernet Pakete.
http://www.academia.edu/215563/Very_High_Bit_Rate_Digital_Subscriber_Li ...
Sie spricht aktiv kein IP mehr !
Das Angriffsrisiko geht damit auf Null, denn was sollte man denn noch angreifen ohne IP und Konfiguration in so fern stimmt deine Schlussfolgerung dann wieder.
Erinner dich an die guten alten Analog Zeiten mit den Analogmodems. Die haben serielle Bits und Bytes in Töne gewandelt ! IP machte erst der Rechner dahinter....gleiches Prinzip !
Weitere VDSL Modem Tips findet man auch hier:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: Lochkartenstanzer
07.12.2014 um 10:47 Uhr
Moin,

Alles falsch.

Die Fritzbox arbeitet dann zwar als Modem, aber genaugenommen ist sie in dem Fall einfach nur eine Bridge zwischen DSL und ihrem LAN. d.h sie ist mit Ihren RFC1918-Adressen am LAN-Port durchaus aus dem "Internet" erreichbar, was zwar ein Erschwernis ist, aber kein Hinderungsgrund, die Fritzbox zu übernhemen. i.d.R. kann dieser Schwachpunkt zwar nur vom Provider (und dessen Mitarbeitern) ausgenutzt werden, soltle aber bei einer Risikoanalyse der Angriffvektoren nicht außer acht gelassen werden.

Insbesodnere sollte man bedenken, daß viele Provider RFC1918-Adresse auch nciht sauber filtern, was hier im Forum ja auch schon das ein oder andere mal thematisiert wurde.

Du soltltest also auf jeden Fall zumidnest die Zugangdaten zu der fritzbox sicher genug wählen (und TR-069 sollte eh ausgeschaltet sein).

lks

PS. Die Fritzbox ist ein vollwertiger transparenter Proxy. Im Zweifelssfall, kann da ein Angreifer unbemejrt vom Provider und Kunden den gesammten Internetverkehr des Kunden manipulieren, weil das Ding meist vom Radar verschwindet, weil es "eh nur ein Modem" ist.
Bitte warten ..
Mitglied: aqui
07.12.2014 um 14:00 Uhr
OK einigen wir uns auf " Modem mit Management IP Adresse"
Bitte warten ..
Mitglied: SickOne
01.01.2015 um 19:05 Uhr
Nur zur Verständnis.

Würde sowas mit einem Draytek oder ähnlichen VDSL-Modem auch machbar sein? Dieses "kapern".

Grüße
Bitte warten ..
Mitglied: aqui
02.01.2015 um 12:21 Uhr
Alles was eine IP Adresse hat ist generell "kaperbar". Ob dann auf dem Device etwas ist was das Kapern sinnvoll macht bzw. für den Betreiber gefährlich ist eine Einzelfall Abwägung.
In der Regel sind rein passive Modems relativ sicher, da hier nichts einzustellen ist. Sie sind ja nur ein simpler Medienwandler mehr nicht !
Bei den meisten Routern die man als Modem umkonfiguriert verschwindet dann auch der IP Zugriff. Sie werden dann quasi von selbst sicher und der IP Zugriff kommt erst mit dem Werksreset wieder den das Modem dann wieder in den Routermodus versetzt.
Man sollte aber sofern möglich immer und in jedem Falle einen Zugriff von externen Netzen generell verbieten. Genauso wie UPnP Konfiguration.
Egal ob Router oder Modem sollte das immer ein absolutes NoGo sein für den der auf Sicherheit wert legt !!

.
Bitte warten ..
Mitglied: SickOne
02.01.2015 um 17:52 Uhr
Bei der Fritze als Modem eingerichtet kann man aber nicht viel verbieten, oder übersehe ich da was?

UPnP ist bei mir sowieso deaktiviert.

Grüße
Bitte warten ..
Mitglied: aqui
02.01.2015 um 18:07 Uhr
kann man aber nicht viel verbieten, oder übersehe ich da was?
Weil man auch wenig bis gar nichts machen kann ! Nein, du übersiehst nichts. Lass das Gateway weg und dann kommt auch keiner von draussen drauf.
Bitte warten ..
Mitglied: SickOne
02.01.2015 um 19:00 Uhr
Sorry jedoch verstehe ich nicht ganz was du mit "Gateway weglassen" meinst.
Bitte warten ..
Mitglied: aqui
03.01.2015 um 15:13 Uhr
Wenn du das Modem bzw. die Modem IP über ein geroutetes Netzwerk wie das Internet erreichen willst von überallher muss auch das Modem eine gültige Gateway IP Adresse haben um seinen Router zu erreichen, logisch, versteht jeder Netzwerker !
Fehlt die Gateway IP Adresse ist diese IP Adresse nur einzig und allein aus dem lokalen Netzwerk zu erreichen !
Comprende... ?!?
Bitte warten ..
Mitglied: SickOne
04.01.2015, aktualisiert um 02:00 Uhr
Si.

Also heißt es, dass wenn ich an der PfSense nichts einstelle, sollte die Fritze ja nicht von außen erreichbar sein.
Bitte warten ..
Mitglied: Lochkartenstanzer
04.01.2015 um 13:38 Uhr
Zitat von SickOne:

Also heißt es, dass wenn ich an der PfSense nichts einstelle, sollte die Fritze ja nicht von außen erreichbar sein.

Wie ich schon weiter oben sagte, ist der Provider im selben "LAN" wie die Fritte. Alles was zur fritte geht ist prinzipiell auch für den Provider sichtbar. Daher muß man das in die Risikobewertung mit einbeziehen.

lks
Bitte warten ..
Mitglied: SickOne
07.01.2015 um 11:36 Uhr
Alles klar.

Hab mich mal über das Vigor130 Modem schlau gemacht, aber irgendwie kann kein Modem mehr den "dummen" Betrieb ohne IP Management Interface, oder?


Gruß
Bitte warten ..
Mitglied: aqui
07.01.2015 um 15:48 Uhr
Da hast du Recht, denn die Modems sind heutzutage meist multifunktionell.
Wenn du wirklich so ein Modem suchst dann gehst du auf eBay. Alte Speedport Modems die wirklich reine Modems sind werden da zuhauf für sehr kleines Geld gehandelt und da wird man garantiert fündig !
Bitte warten ..
Mitglied: 114757
07.01.2015, aktualisiert um 16:46 Uhr
Zitat von SickOne:
Hab mich mal über das Vigor130 Modem schlau gemacht, aber irgendwie kann kein Modem mehr den "dummen" Betrieb ohne
IP Management Interface, oder?

Den Zugriff auf das Managment-IF kannst du auf MAC und IP-Adresse einschränken, das sollte an Sicherheit für Otto-Normalverbraucher reichen...

Gruß jodel32
Bitte warten ..
Mitglied: SickOne
08.01.2015 um 15:24 Uhr
Bezieht sich das auf das Vigor oder auf ne Fritze?

Grüße
Bitte warten ..
Mitglied: 114757
08.01.2015 um 15:27 Uhr
Zitat von SickOne:

Bezieht sich das auf das Vigor oder auf ne Fritze?
Vigor
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Erkennung und -Abwehr
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems Internet Storm Center (5)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

DSL, VDSL
DSL-Störung im Telekom-Netz (6)

Link von sabines zum Thema DSL, VDSL ...

LAN, WAN, Wireless
Fritzbox 3170 als modem und Lancom 1781ew+ als Router (6)

Frage von ItGeek zum Thema LAN, WAN, Wireless ...

Internet
gelöst Wlan erzeugen mit Internet von einem USB Modem Stick (8)

Frage von berli6 zum Thema Internet ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...