118184
Dec 06, 2014, updated at 22:08:43 (UTC)
2729
18
0
FB als DSL-Modem - höheres Angriffsrisiko für die FB
Hallo Leute,
ich werde mir wahrscheinlich bald einen Mikrotik Cloud Core Router zulegen, brauche für meine VDSL-Leitung logischerweise ein Modem.
Nun habe ich den Gedanken, meine FB 7390 als reines VDSL-Modem zu konfigurieren (durch Einstellungen in der exportierten Config, siehe hier: http://www.hauiswelt.de/2013/09/17/fritzbox-7390-mit-aktueller-firmware ... , über die Weboberfläche geht das ja nicht mehr).
Jetzt wäre meine Frage: Wenn die Fritte dann nur noch als Modem arbeitet, ist sie dann einem höheren Angriffsrisiko ausgesetzt? Eigentlich dürfte das ja nicht sein, da der Router ja die öffentliche IP kriegt und nicht die Fritte; somit dürfte sie eigentlich unerreichbar sein.
Ich wollte mich nur mal vergewissern, nicht, dass ich irgendwas übersehen habe.
Vielen Dank schonmal!!
BG draugrdeathlord
ich werde mir wahrscheinlich bald einen Mikrotik Cloud Core Router zulegen, brauche für meine VDSL-Leitung logischerweise ein Modem.
Nun habe ich den Gedanken, meine FB 7390 als reines VDSL-Modem zu konfigurieren (durch Einstellungen in der exportierten Config, siehe hier: http://www.hauiswelt.de/2013/09/17/fritzbox-7390-mit-aktueller-firmware ... , über die Weboberfläche geht das ja nicht mehr).
Jetzt wäre meine Frage: Wenn die Fritte dann nur noch als Modem arbeitet, ist sie dann einem höheren Angriffsrisiko ausgesetzt? Eigentlich dürfte das ja nicht sein, da der Router ja die öffentliche IP kriegt und nicht die Fritte; somit dürfte sie eigentlich unerreichbar sein.
Ich wollte mich nur mal vergewissern, nicht, dass ich irgendwas übersehen habe.
Vielen Dank schonmal!!
BG draugrdeathlord
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 256972
Url: https://administrator.de/contentid/256972
Printed on: April 16, 2024 at 20:04 o'clock
18 Comments
Latest comment
Moin,
Gruß jodel32
Wenn die Fritte dann nur noch als Modem arbeitet, ist sie dann einem höheren Angriffsrisiko ausgesetzt?
Nope, sie macht ja dann nur noch PPPoE und ist nur noch eine transparente Bridge, und das WEB-IF etc. dadurch natürlich nicht mehr exposed.Eigentlich dürfte das ja nicht sein, da der Router ja die öffentliche IP kriegt und nicht die Fritte; somit dürfte sie eigentlich unerreichbar sein.
Das siehst du richtig Gruß jodel32
Super, das ist klasse, vielen Dank für deine Hilfe!
BG draugrdeathlord
BG draugrdeathlord
Nur ums technisch korrekt zu machen für andere Forum Leser: Das ist Unsinn das sie nur noch PPPoE macht, denn dann würde sie ja aktiv IP sprechen was aber als reines Modem nicht mehr der Fall ist ! Eine Bridge ist sie in dem Sinne auch nicht, denn das bezeichnet in der Netzwerkwelt eine Layer 2 Ethernet Bridge. xDSL Framing hat aber kein Ethernet Format ist also in dem Sinne nicht bridgebar.
Im Modem Modus macht sie das was ein Modem macht also rein passives Format wandeln von xDSL Frames mit DMT Modulation auf dem Draht auf Ethernet Pakete.
http://www.academia.edu/215563/Very_High_Bit_Rate_Digital_Subscriber_Li ...
Sie spricht aktiv kein IP mehr !
Das Angriffsrisiko geht damit auf Null, denn was sollte man denn noch angreifen ohne IP und Konfiguration in so fern stimmt deine Schlussfolgerung dann wieder.
Erinner dich an die guten alten Analog Zeiten mit den Analogmodems. Die haben serielle Bits und Bytes in Töne gewandelt ! IP machte erst der Rechner dahinter....gleiches Prinzip !
Weitere VDSL Modem Tips findet man auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Im Modem Modus macht sie das was ein Modem macht also rein passives Format wandeln von xDSL Frames mit DMT Modulation auf dem Draht auf Ethernet Pakete.
http://www.academia.edu/215563/Very_High_Bit_Rate_Digital_Subscriber_Li ...
Sie spricht aktiv kein IP mehr !
Das Angriffsrisiko geht damit auf Null, denn was sollte man denn noch angreifen ohne IP und Konfiguration in so fern stimmt deine Schlussfolgerung dann wieder.
Erinner dich an die guten alten Analog Zeiten mit den Analogmodems. Die haben serielle Bits und Bytes in Töne gewandelt ! IP machte erst der Rechner dahinter....gleiches Prinzip !
Weitere VDSL Modem Tips findet man auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Moin,
Alles falsch.
Die Fritzbox arbeitet dann zwar als Modem, aber genaugenommen ist sie in dem Fall einfach nur eine Bridge zwischen DSL und ihrem LAN. d.h sie ist mit Ihren RFC1918-Adressen am LAN-Port durchaus aus dem "Internet" erreichbar, was zwar ein Erschwernis ist, aber kein Hinderungsgrund, die Fritzbox zu übernhemen. i.d.R. kann dieser Schwachpunkt zwar nur vom Provider (und dessen Mitarbeitern) ausgenutzt werden, soltle aber bei einer Risikoanalyse der Angriffvektoren nicht außer acht gelassen werden.
Insbesodnere sollte man bedenken, daß viele Provider RFC1918-Adresse auch nciht sauber filtern, was hier im Forum ja auch schon das ein oder andere mal thematisiert wurde.
Du soltltest also auf jeden Fall zumidnest die Zugangdaten zu der fritzbox sicher genug wählen (und TR-069 sollte eh ausgeschaltet sein).
lks
PS. Die Fritzbox ist ein vollwertiger transparenter Proxy. Im Zweifelssfall, kann da ein Angreifer unbemejrt vom Provider und Kunden den gesammten Internetverkehr des Kunden manipulieren, weil das Ding meist vom Radar verschwindet, weil es "eh nur ein Modem" ist.
Alles falsch.
Die Fritzbox arbeitet dann zwar als Modem, aber genaugenommen ist sie in dem Fall einfach nur eine Bridge zwischen DSL und ihrem LAN. d.h sie ist mit Ihren RFC1918-Adressen am LAN-Port durchaus aus dem "Internet" erreichbar, was zwar ein Erschwernis ist, aber kein Hinderungsgrund, die Fritzbox zu übernhemen. i.d.R. kann dieser Schwachpunkt zwar nur vom Provider (und dessen Mitarbeitern) ausgenutzt werden, soltle aber bei einer Risikoanalyse der Angriffvektoren nicht außer acht gelassen werden.
Insbesodnere sollte man bedenken, daß viele Provider RFC1918-Adresse auch nciht sauber filtern, was hier im Forum ja auch schon das ein oder andere mal thematisiert wurde.
Du soltltest also auf jeden Fall zumidnest die Zugangdaten zu der fritzbox sicher genug wählen (und TR-069 sollte eh ausgeschaltet sein).
lks
PS. Die Fritzbox ist ein vollwertiger transparenter Proxy. Im Zweifelssfall, kann da ein Angreifer unbemejrt vom Provider und Kunden den gesammten Internetverkehr des Kunden manipulieren, weil das Ding meist vom Radar verschwindet, weil es "eh nur ein Modem" ist.
OK einigen wir uns auf " Modem mit Management IP Adresse"
Nur zur Verständnis.
Würde sowas mit einem Draytek oder ähnlichen VDSL-Modem auch machbar sein? Dieses "kapern".
Grüße
Würde sowas mit einem Draytek oder ähnlichen VDSL-Modem auch machbar sein? Dieses "kapern".
Grüße
Alles was eine IP Adresse hat ist generell "kaperbar". Ob dann auf dem Device etwas ist was das Kapern sinnvoll macht bzw. für den Betreiber gefährlich ist eine Einzelfall Abwägung.
In der Regel sind rein passive Modems relativ sicher, da hier nichts einzustellen ist. Sie sind ja nur ein simpler Medienwandler mehr nicht !
Bei den meisten Routern die man als Modem umkonfiguriert verschwindet dann auch der IP Zugriff. Sie werden dann quasi von selbst sicher und der IP Zugriff kommt erst mit dem Werksreset wieder den das Modem dann wieder in den Routermodus versetzt.
Man sollte aber sofern möglich immer und in jedem Falle einen Zugriff von externen Netzen generell verbieten. Genauso wie UPnP Konfiguration.
Egal ob Router oder Modem sollte das immer ein absolutes NoGo sein für den der auf Sicherheit wert legt !!
.
In der Regel sind rein passive Modems relativ sicher, da hier nichts einzustellen ist. Sie sind ja nur ein simpler Medienwandler mehr nicht !
Bei den meisten Routern die man als Modem umkonfiguriert verschwindet dann auch der IP Zugriff. Sie werden dann quasi von selbst sicher und der IP Zugriff kommt erst mit dem Werksreset wieder den das Modem dann wieder in den Routermodus versetzt.
Man sollte aber sofern möglich immer und in jedem Falle einen Zugriff von externen Netzen generell verbieten. Genauso wie UPnP Konfiguration.
Egal ob Router oder Modem sollte das immer ein absolutes NoGo sein für den der auf Sicherheit wert legt !!
.
Bei der Fritze als Modem eingerichtet kann man aber nicht viel verbieten, oder übersehe ich da was?
UPnP ist bei mir sowieso deaktiviert.
Grüße
UPnP ist bei mir sowieso deaktiviert.
Grüße
kann man aber nicht viel verbieten, oder übersehe ich da was?
Weil man auch wenig bis gar nichts machen kann ! Nein, du übersiehst nichts. Lass das Gateway weg und dann kommt auch keiner von draussen drauf.
Sorry jedoch verstehe ich nicht ganz was du mit "Gateway weglassen" meinst.
Wenn du das Modem bzw. die Modem IP über ein geroutetes Netzwerk wie das Internet erreichen willst von überallher muss auch das Modem eine gültige Gateway IP Adresse haben um seinen Router zu erreichen, logisch, versteht jeder Netzwerker !
Fehlt die Gateway IP Adresse ist diese IP Adresse nur einzig und allein aus dem lokalen Netzwerk zu erreichen !
Comprende... ?!?
Fehlt die Gateway IP Adresse ist diese IP Adresse nur einzig und allein aus dem lokalen Netzwerk zu erreichen !
Comprende... ?!?
Si.
Also heißt es, dass wenn ich an der PfSense nichts einstelle, sollte die Fritze ja nicht von außen erreichbar sein.
Also heißt es, dass wenn ich an der PfSense nichts einstelle, sollte die Fritze ja nicht von außen erreichbar sein.
Zitat von @SickOne:
Also heißt es, dass wenn ich an der PfSense nichts einstelle, sollte die Fritze ja nicht von außen erreichbar sein.
Also heißt es, dass wenn ich an der PfSense nichts einstelle, sollte die Fritze ja nicht von außen erreichbar sein.
Wie ich schon weiter oben sagte, ist der Provider im selben "LAN" wie die Fritte. Alles was zur fritte geht ist prinzipiell auch für den Provider sichtbar. Daher muß man das in die Risikobewertung mit einbeziehen.
lks
Alles klar.
Hab mich mal über das Vigor130 Modem schlau gemacht, aber irgendwie kann kein Modem mehr den "dummen" Betrieb ohne IP Management Interface, oder?
Gruß
Hab mich mal über das Vigor130 Modem schlau gemacht, aber irgendwie kann kein Modem mehr den "dummen" Betrieb ohne IP Management Interface, oder?
Gruß
Da hast du Recht, denn die Modems sind heutzutage meist multifunktionell.
Wenn du wirklich so ein Modem suchst dann gehst du auf eBay. Alte Speedport Modems die wirklich reine Modems sind werden da zuhauf für sehr kleines Geld gehandelt und da wird man garantiert fündig !
Wenn du wirklich so ein Modem suchst dann gehst du auf eBay. Alte Speedport Modems die wirklich reine Modems sind werden da zuhauf für sehr kleines Geld gehandelt und da wird man garantiert fündig !
Zitat von @SickOne:
Hab mich mal über das Vigor130 Modem schlau gemacht, aber irgendwie kann kein Modem mehr den "dummen" Betrieb ohne
IP Management Interface, oder?
Den Zugriff auf das Managment-IF kannst du auf MAC und IP-Adresse einschränken, das sollte an Sicherheit für Otto-Normalverbraucher reichen...Hab mich mal über das Vigor130 Modem schlau gemacht, aber irgendwie kann kein Modem mehr den "dummen" Betrieb ohne
IP Management Interface, oder?
Gruß jodel32
Bezieht sich das auf das Vigor oder auf ne Fritze?
Grüße
Grüße
Vigor
