Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gesperrte Ports auf der Fritzbox durch Kabelanbieter!?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: wolkipolki

wolkipolki (Level 1) - Jetzt verbinden

18.06.2014 um 09:03 Uhr, 11412 Aufrufe, 20 Kommentare, 1 Danke

Schönen Guten Morgen!

Es geht um folgendes, vielleicht haben weiß ein Profi von euch eine Lösung!

Zur Basis Stand Ende 2013: es ist eine Abus DVR Anlage (ABUS 16-Kanal Netzwerk Videorekorder NVR (TVVR45020) mit IP Kameras >>> an eine Fritzbox 6360 Cable angeschlossen mit Portfreigabe >>> zur Fernwartung der Kameras durch den entsprechende Abus App. Lief alles blendend.

Anfang 2014: Kam heraus das die Fritzbox Sicherheitslücken hatte und aus Sicherheitsgründen sperrten die Kabel Anbieter alle Ports von Außerhalb auf den entsprechenden Geräten!

Kabel Deutschland sperrt Fern­zugriff auf FRITZ!Box:
http://www.teltarif.de/kabel-deutschland-fernzugriff-fritzbox-sicherhei ...

6mal bei Kabel Deutschland angerufen! Zeit locker 2-3 Stunden verschwendet! Entweder Schlafzimmer-Musik gehört/ ich werde verbunden und dann aus der Leitung "versehentlich" geschmissen oder "Ja, wir wissen da auch nix, rufen Sie bei AVM an." AVM angerufen und die schicken mir eine Anleitung wie man entspr. Port für die Kamera frei gibt. ;( Leider helfen mir solch Aussagen nicht.

Darum...Frage an die Profis vom Administrator...hat jemand eine Lösung?
Liegt der Fehler bei mir, oder muss Kabel Deutschland nur die entspr. Ports freigeben?

Versuche / Detail:

+Fritzbox hat die neuste Version von Kabel Deutschland erhalten OS 06.04.
+Fritzbox wurde auf Werkseinstellung zurückgesetzt
+Port zur Abus Anlage freigegeben: Port 888 TCP (entsprechend an der Abus Anlage angepasst)
+Dyndns aktiv (Ping möglich)
+Port Scanner laufen lassen, alle Port gesperrt!
Mitglied: keine-ahnung
18.06.2014 um 09:10 Uhr
Moin,
AVM angerufen und die schicken mir eine Anleitung wie man entspr. Port für die Kamera frei gibt. ;( Leider helfen mir solch Aussagen nicht.
warum nicht? Hast Du die benötigten Ports auf der Fritte freigegeben und weitergeleitet?

LG, Thomas
Bitte warten ..
Mitglied: certifiedit.net
18.06.2014 um 09:25 Uhr
Hi,

ich meinte, dass gerade bei Kabel öfter untypische Ports gesperrt sind. Nimm mal 80 oder per HTTPS443.

Grüße,

Christian
Bitte warten ..
Mitglied: wolkipolki
18.06.2014 um 10:09 Uhr
82010d5d869deb7c2d3f691ca17e24af - Klicke auf das Bild, um es zu vergrößern

Portfreigabe (Portweiterleitung) auf der Fritzbox:
93bcd585fd2222b74c2ccbaf91d516c1 - Klicke auf das Bild, um es zu vergrößern

Und bei der Abus Anlage auch den entsprechenden Port als Standard definiert:

d4cdc1b784bd7145666a2de1334fc707 - Klicke auf das Bild, um es zu vergrößern


Bevor die Sicherheitslücken bekannt wurden...lief alles fehlerfrei!
Bitte warten ..
Mitglied: Deepsys
18.06.2014 um 10:16 Uhr
Hi,

nur mal so zum Verständnis:
Du hast den Port direkt zur Abus weitergeleitet, der war also offen für alle im Internet?
Wäre da generell VPN nicht besser um auch den Abus zu schützen?

Allerdings meine ich, gäbe es da auch Probleme mit den Kabelanbietern, wie die zum Teil nur private Adressen haben ...

VG
Deepsys
Bitte warten ..
Mitglied: aqui
18.06.2014, aktualisiert um 10:23 Uhr
Das Problem hier ist das die FB selber einen internen Webserver hat fürs Setup und auf TCP 80 Frames selber reagiert und deshalb NICHT weiterleitet, denn sie kann ja nicht entscheiden ob sie selber gemeint ist oder diese Pakete nun weiterleiten soll.
Du musst also mindestens den Web Zugriff auf die FB am WAN Port zwingend deaktivieren, denn sonst wird das mit TCP 80 nicht klappen da die FB das nicht weiterleitet.

Aus Sicherheitsgründen solltest du auch niemals Standardports nehmen, denn es dauert nichtmal 20 Sekunden ! bis du bei Standard Port Scanner Angriffen die minütlich auf Router einprasseln detektiert wirst wenn du Standard Ports verwendest.
Mal abgesehen davon das deine Daten mit simplen, dummen Port Forwarding auch unverschlüsselt übers Netz gehen und jeder mitsehen kann !!
Besser ist hier immer ein VPN !!

Besser ist es immer eine Port Translation mit den sog. "Ephemeral Ports" zu machen die von der IANA nicht vergeben sind und eine Port Translation zu aktivieren in der FB. Damit verschleierst du wenigstens den Zugang und fällst bei klasssichen Port Scanner Angriffen nicht sofort auf !
Diese Ports gehen von 49152 bis 65535 ! Wenn du also eingehend z.B. 58080 auf der FB definierst und dann 80 an die 192.168.0.2 weiterleitest wäre es halbwegs ok und diese Ports blockt dein provider ganz sicher nicht.
Im Browser gibst du dann an http://<WAN_IP_FB>:58080 oder eben http://>DynDNS_Name>:58080 und fertig ist der Lack.
Bitte warten ..
Mitglied: certifiedit.net
18.06.2014 um 10:33 Uhr
Hi aqui,

da liegst du falsch. Die FB haben zwar einen interne Webserver, reagieren aber von außen nicht darauf, außer, man stellt das exakt so ein (Weiterleitung auf interne IP). Bei HTTPS musst du natürlich die Fernwartung ändern. Das dürfte also nicht das Problem sein, außer, wenn das Update andere Fehler provoziert hat.

Grüße,

Christian
Bitte warten ..
Mitglied: keine-ahnung
18.06.2014 um 10:43 Uhr
An der firewall kann's nicht liegen? Was ist das überhaupt für eine??

LG, Thomas
Bitte warten ..
Mitglied: wolkipolki
18.06.2014 um 10:54 Uhr
Ich bin gerade am durchtesten..um irgendwie Kontakt herzustellen, aber wie gesagt bis jetzt ohne Lösung.
VPN dann müsste jedesmal beim abrufen der Kameras über die Abus App eine VPN aktiviert werden...mmh.
Mit den privaten Adressen hatte ich auch schon gehört...aber bei Kabel Deutschland wusste keiner was davon, wie man z.B. als Geschäftskunde reservieren kann.
Bitte warten ..
Mitglied: wolkipolki
18.06.2014 um 10:58 Uhr
aqui wird gemacht, Fritzbox Fernzugriff deaktvieren! Ok ich schau gleich mal nach. Danke erstmal
Bitte warten ..
Mitglied: wolkipolki
18.06.2014 um 11:04 Uhr
Also meint Ihr es liegt nicht am Kabel Anbieter???

Ich dachte vorher lief alles wie Butter und auf einmal ist nach dem Port Scan alles tot
Bitte warten ..
Mitglied: Lochkartenstanzer
18.06.2014 um 11:10 Uhr
Sniff doch mal auf der fritzbox mit und schau, was da überhaupt ankommt.

lks
Bitte warten ..
Mitglied: keine-ahnung
18.06.2014 um 11:52 Uhr
Beantworte doch mal zwei Basisfragen:

1. Was ist das für eine firewall in Deinem Malbuch und
2. was passiert überhaupt, wenn Du Deine DDNS-Adresse im Browser aufrufst?

LG, Thomas
Bitte warten ..
Mitglied: wolkipolki
18.06.2014 um 11:56 Uhr
Es gibt ja sogar von ABUS aus Hauseignes Dyndns das nennt sich DDNS https://www.abus-server.com/ aber leider auch nicht von Erfolg gekrönt.
Bitte warten ..
Mitglied: aqui
18.06.2014, aktualisiert um 12:06 Uhr
Fritzbox Fernzugriff deaktvieren! Ok ich schau gleich mal nach.
Wäre Blödsinn, denn der "Fernzugriff" ist ein IPsec VPN nach AVM Definition !! Nicht aber HTTP auch die Konfig mit doofem Port Forwarding.

Aber du kannst ja oben an der Antwort vom Kollegen certifiedit.net ja sehen das dies bei AVM vermutlich nicht der Fall ist wie bei anderen Herstellern.
Folglich wäre AVM dann also ausgenommen davon. So oder so ist es aber kontraproduktiv einen offenen Port wie TCP 80 zu nehmen für sowas wenn du nicht willst das BND, NSA und andere deine Videos mitsehen...

P.S.: DynDNS bekommst du kostenfrei noch von noip.com
Bitte warten ..
Mitglied: certifiedit.net
18.06.2014 um 12:16 Uhr
Nun, zumindest für einen Test wäre ein Standardport sinnvoll. Hier befürchte ich aber "tiefere" Probleme.
Bitte warten ..
Mitglied: keine-ahnung
18.06.2014 um 12:20 Uhr
Kannst Du gnädigerweise mal meine zwei o.g. Fragen beantworten:
1. Was ist das für eine firewall in Deinem Malbuch und
2. was passiert überhaupt, wenn Du Deine DDNS-Adresse im Browser aufrufst?
irgendwie schwindet sonst zumindest mein Interesse für Dein Problem ...

LG, Thomas
Bitte warten ..
Mitglied: Dobby
18.06.2014 um 12:32 Uhr
Hallo,

Ich dachte vorher lief alles wie Butter und auf einmal ist nach
dem Port Scan alles tot
Und das hat nicht mit der hauseigenen Firmware von Kabel BW
in der AVM FB zu tun?

VPN dann müsste jedesmal beim abrufen der Kameras über
die Abus App eine VPN aktiviert werden...mmh.
Nein musst Du nicht und warum auch?
Es gibt von AVM auch APPs für iOS und Android und einen eignen
DynDNS Dienst haben die auch für Ihre Kunden am laufen!
- AVM APP starten, und VPN Verbindung herstellen
- ASUS APP starten und auf den Videorecorder zugreifen

Ich habe das selbe mit einer Fritz!Box 7490 einem Lupus Recorder
mit 8 Kameras am laufen.

Gruß
Dobby


P.S.
Das mit der Firewall würde ich auch mal gerne wissen, nicht das
dort eine Routerkaskade mit doppeltem NAT läuft.
Bitte warten ..
Mitglied: wolkipolki
18.06.2014 um 14:58 Uhr
Firewall keine direkt, weder zusätzlich durch Hardware noch Software.
Die Abus hängt direkt an der Fritzbox.
Leider bin ich gerade nicht vor Ort um dies zu testen *grr*.


*Ping Test folgreich!
Aufruf über den Browser (keine Weiterleitung) :

Fehler: Verbindung unterbrochen
Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde.

Portscan:
Alle Ports geschlossen
Bitte warten ..
Mitglied: keine-ahnung
18.06.2014 um 15:15 Uhr
Firewall keine direkt, weder zusätzlich durch Hardware noch Software.
Warum zeichnest Du dann eine ein - damit wir hier das heitere Beruferaten spielen können?

Tracer mal die FQDN Deines DDNS-accounts und schau, wo der trace endet. Und wer ist die 192.168.0.2?
Bitte warten ..
Mitglied: bastian42
18.06.2014 um 21:44 Uhr
Du musst hierfür unter

Einstellungen-> Internet -> Portfreigabe einfach den Port 443 an die IP der Recorders freigeben
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Router & Routing
gelöst Fritzbox am FTTx-Anschluss ganz ohne Firewall ? (3)

Frage von Dilbert-MD zum Thema Router & Routing ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Datenschutz
gelöst USB-Ports sperren über Kaspersky (1)

Frage von Tak-47 zum Thema Datenschutz ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...