Hallo,
9.04.0257 (tritt auch bereits bei früheren Build-Nummern auf)
in WEBconfig unter Extras -> Andere Geräte suchen/anzeigen ("Scan") sind gefundene Geräte nicht mehr derart verlinkt, dass mit einem Klick ein TCP/HTTP-Tunnel erzeugt werden kann.
Viele Grüße,
Jirka
Andere Geräte suchen/anzeigen nicht mehr verlinkt
Moderator: Lancom-Systems Moderatoren
Re: Andere Geräte suchen/anzeigen nicht mehr verlinkt
Hi Jirka,
es wurde entfernt, weil irgendwer meinte, das wäre eine Sicherheitslücke, weil man ja nur einen TFTP-Server aufsetzen müsse, der eine Datei "sysinfo" ausliefert... Selbst das Argument: "dann kopiert der User die URL halt sorglos und ungeprüft in die Adresszeile des Browsers" konnte nicht bewirken, diese Meinung zu ändern...
Gruß
Backslash
es wurde entfernt, weil irgendwer meinte, das wäre eine Sicherheitslücke, weil man ja nur einen TFTP-Server aufsetzen müsse, der eine Datei "sysinfo" ausliefert... Selbst das Argument: "dann kopiert der User die URL halt sorglos und ungeprüft in die Adresszeile des Browsers" konnte nicht bewirken, diese Meinung zu ändern...
Gruß
Backslash
-
Christoph_vW
- Beiträge: 282
- Registriert: 02 Mai 2011, 09:47
- Wohnort: Berlin
- Kontaktdaten:
Re: Andere Geräte suchen/anzeigen nicht mehr verlinkt
Ich bekenne mich schuldig...
Das war aber auch einfach zu verlockend...
Das war aber auch einfach zu verlockend...
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Andere Geräte suchen/anzeigen nicht mehr verlinkt
Hallo Backslash,
Da ist jede Phishing-Mail ja wohl ein wesentlich höheres Risiko - die beherrschen ja mittlerweile sogar Deutsch - , als diese Funktionalität. Dazu kommt, dass ich aktiv suche, d. h. ich habe zuvor angewiesen, ein Gerät ins LAN zu hängen - ich weiß also, was gefunden werden müsste. Eh, das ist so krass unwahrscheinlich, dass da jemand auf diese Weise versucht, mich zu täuschen, ich kann mich echt nicht einkriegen.
Und selbst wenn nun diese Forderung im Raum steht, ich sage mal, dann müsste man doch immer noch was machen können, dass die Auswirkungen in Grenzen gehalten werden. Ich meine der Angreifer arbeitet hier doch mit Code Injection, das sieht ja ein Blinder mit 'nem Krückstock, der Eintrag in der Spalte Gerätetyp ist ja verlinkt. Zudem stimmt noch nicht mal die Gerätebezeichnung. Ok, könnte seitens des Angreifers sicherlich alles noch verbessert werden, aber Code Injection sollte man doch ausfiltern können. Dann kann der Angreifer mir zwar immer noch eine gefälschte IP (und einen gefälschten Port) unterschieben, aber die IP-Adresse sehe ich doch in der Spalte "Adresse" und den Port könnte man mit einer zusätzlichen Spalte anzeigen. Man könnte sogar dazu übergehen, drei oder noch mehr Port-Spalten anzubieten - HTTP-Port, HTTPS-Port, SSH-Port - und diese dann auch noch entsprechend zu verlinken. Ich verstehe hier also nicht das Problem. Wenn IP-Adresse und Port sichtbar sind, weiß der fachwissende LANCOM-User, worauf er sich einlässt. Dass die in der Tabelle vorliegenden Daten auch nicht mit zertifikatsbasiert abgesicherten Verbindungen eingeholt wurden, dass weiß der fachwissende User ebenfalls, also wo ist das Problem?
Manchmal finde ich es schlimm, wie einem ständig irgendwas vorgeschrieben wird, nur um die Sicherheit zu erhöhen, koste es was es wolle. Da geht eine Menge Komfort verloren und der resultierende Sicherheitsgewinn ist für die Katz. Das ist genauso wie mit der nicht mehr möglichen WAN-Anmeldung von SIP-Clients an Routern mit der All-IP-Option. Man muss Handstand machen, um ein Versuchsaufbau zu kreieren, bei dem der Telefonanlagenhersteller ein Testanruf initiieren kann (in dem Fall waren leider keine snoms vor Ort, mit denen man so ein Testanruf remote hätte durchführen können), mit dem er nachvollziehen kann, warum seine Art der Anmeldung am LANCOM falsch ist. Und dazu kommt ja, dass eine Anmeldung über VPN noch nicht mal funktioniert, weil der LANCOM die Sprachdaten auf ein völlig falsches Interface schiebt.
Also was würde - abgesehen vom Entwicklungsaufwand - jetzt gegen meine Variante sprechen, jegliches Code Injection aus der sysinfo auszufiltern, als IP-Adresse in der sysinfo nur eine normale numerische IP-Adresse zu akzeptieren, als Ports lediglich natürliche Zahlen und dann lediglich die Spalten mit den Ports entsprechend zu verlinken?
Hallo Christoph,
Vielen Dank und viele Grüße,
Jirka
ich bin entsetzt. Jetzt aber ehrlich, das darf doch nicht sein. Dann sollte man besser gleich den ganzen Router abschalten und alle Stecker ziehen, denn nur das ist wirklich sicher. Wie bitte schön, soll denn jemand in (m)einem lokalen LAN einen TFTP-Server aufsetzen? Wenn es soweit gekommen ist, dann bringen derartige Sicherheitsvorkehrungen auch keine Besserung.backslash hat geschrieben:es wurde entfernt, weil irgendwer meinte, das wäre eine Sicherheitslücke, weil man ja nur einen TFTP-Server aufsetzen müsse, der eine Datei "sysinfo" ausliefert...
Da ist jede Phishing-Mail ja wohl ein wesentlich höheres Risiko - die beherrschen ja mittlerweile sogar Deutsch - , als diese Funktionalität. Dazu kommt, dass ich aktiv suche, d. h. ich habe zuvor angewiesen, ein Gerät ins LAN zu hängen - ich weiß also, was gefunden werden müsste. Eh, das ist so krass unwahrscheinlich, dass da jemand auf diese Weise versucht, mich zu täuschen, ich kann mich echt nicht einkriegen.
Und selbst wenn nun diese Forderung im Raum steht, ich sage mal, dann müsste man doch immer noch was machen können, dass die Auswirkungen in Grenzen gehalten werden. Ich meine der Angreifer arbeitet hier doch mit Code Injection, das sieht ja ein Blinder mit 'nem Krückstock, der Eintrag in der Spalte Gerätetyp ist ja verlinkt. Zudem stimmt noch nicht mal die Gerätebezeichnung. Ok, könnte seitens des Angreifers sicherlich alles noch verbessert werden, aber Code Injection sollte man doch ausfiltern können. Dann kann der Angreifer mir zwar immer noch eine gefälschte IP (und einen gefälschten Port) unterschieben, aber die IP-Adresse sehe ich doch in der Spalte "Adresse" und den Port könnte man mit einer zusätzlichen Spalte anzeigen. Man könnte sogar dazu übergehen, drei oder noch mehr Port-Spalten anzubieten - HTTP-Port, HTTPS-Port, SSH-Port - und diese dann auch noch entsprechend zu verlinken. Ich verstehe hier also nicht das Problem. Wenn IP-Adresse und Port sichtbar sind, weiß der fachwissende LANCOM-User, worauf er sich einlässt. Dass die in der Tabelle vorliegenden Daten auch nicht mit zertifikatsbasiert abgesicherten Verbindungen eingeholt wurden, dass weiß der fachwissende User ebenfalls, also wo ist das Problem?
Manchmal finde ich es schlimm, wie einem ständig irgendwas vorgeschrieben wird, nur um die Sicherheit zu erhöhen, koste es was es wolle. Da geht eine Menge Komfort verloren und der resultierende Sicherheitsgewinn ist für die Katz. Das ist genauso wie mit der nicht mehr möglichen WAN-Anmeldung von SIP-Clients an Routern mit der All-IP-Option. Man muss Handstand machen, um ein Versuchsaufbau zu kreieren, bei dem der Telefonanlagenhersteller ein Testanruf initiieren kann (in dem Fall waren leider keine snoms vor Ort, mit denen man so ein Testanruf remote hätte durchführen können), mit dem er nachvollziehen kann, warum seine Art der Anmeldung am LANCOM falsch ist. Und dazu kommt ja, dass eine Anmeldung über VPN noch nicht mal funktioniert, weil der LANCOM die Sprachdaten auf ein völlig falsches Interface schiebt.
Also was würde - abgesehen vom Entwicklungsaufwand - jetzt gegen meine Variante sprechen, jegliches Code Injection aus der sysinfo auszufiltern, als IP-Adresse in der sysinfo nur eine normale numerische IP-Adresse zu akzeptieren, als Ports lediglich natürliche Zahlen und dann lediglich die Spalten mit den Ports entsprechend zu verlinken?
Hallo Christoph,
Ich finde das jetzt nicht so lustig...Christoph_vW hat geschrieben:Das war aber auch einfach zu verlockend...
Vielen Dank und viele Grüße,
Jirka
Zuletzt geändert von Jirka am 27 Jun 2015, 09:02, insgesamt 1-mal geändert.
-
Christoph_vW
- Beiträge: 282
- Registriert: 02 Mai 2011, 09:47
- Wohnort: Berlin
- Kontaktdaten:
Re: Andere Geräte suchen/anzeigen nicht mehr verlinkt
Der Angriff braucht keine Code Injection, und nur wenn man die URL umbiegen wollte, erschien der Gerätetyp als Link. Ansonsten reicht es auch auf der gleiche Kiste, auf der der TFTP Server läuft einen Webserver aufzusetzen, der die Loginmaske des Router nachbaut und dann dein Passwort an den Angreifer wegschickt.
Dein lokales LAN mag ja so klein sein, das es überschaubar ist, das wird bei Installationen mit vielen APs aber sicher nicht immer der Fall sein.
Dein lokales LAN mag ja so klein sein, das es überschaubar ist, das wird bei Installationen mit vielen APs aber sicher nicht immer der Fall sein.
Re: Andere Geräte suchen/anzeigen nicht mehr verlinkt
Hallo Christoph,
Schicke mir doch bitte mal Deine Sysinfo-Datei für obigen Screenshot per Mail oder PN.
Irgendwie verstehe ich immer noch nicht, wieso es seitens LANCOM - das betrifft also nicht Dich - keine Anstrengungen gibt, diese Funktionalität durch Umgestaltung und Verbesserung sicherer zu gestalten und nicht einfach abzuschalten.
Viele Grüße,
Jirka
und wie bitteschön erreichst Du es dann, dass eine andere URL dahinkommt? HTML-Code, und damit auch schon der einfachste Link, eigentlich selbst schon eine URL, ist für mich auch Code. Denn die Geräte geben in der Sysinfo normalerweise nur ihre IP-Adresse an. Nicht mehr und nicht weniger.Christoph_vW hat geschrieben:Der Angriff braucht keine Code Injection
Schicke mir doch bitte mal Deine Sysinfo-Datei für obigen Screenshot per Mail oder PN.
Da müsstest Du aber schon einiges mehr machen, als nur eine Loginmaske... 95 % der Fälle sehen nämlich bei mir so aus, dass an der Stelle gar kein Passwort verlangt wird, das Gerät kommt nämlich zuvor frisch aus dem Karton. Dann bekommt es ein Firmware-Update, danach müsste der TFTP-Server dann eine andere oder aktualisierte Sysinfo-Datei ausliefern. Schon recht unwahrscheinlich, dass sich jemand so viel Arbeit macht...Christoph_vW hat geschrieben:Ansonsten reicht es auch auf der gleichen Kiste, auf der der TFTP-Server läuft, einen Webserver aufzusetzen, der die Loginmaske des Routers nachbaut und dann dein Passwort an den Angreifer wegschickt.
Irgendwie verstehe ich immer noch nicht, wieso es seitens LANCOM - das betrifft also nicht Dich - keine Anstrengungen gibt, diese Funktionalität durch Umgestaltung und Verbesserung sicherer zu gestalten und nicht einfach abzuschalten.
Viele Grüße,
Jirka
-
Christoph_vW
- Beiträge: 282
- Registriert: 02 Mai 2011, 09:47
- Wohnort: Berlin
- Kontaktdaten:
Re: Andere Geräte suchen/anzeigen nicht mehr verlinkt
@backslash: wie wäre es denn mit einer Prüfung durch L2MM?
Das lässt sich nicht so einfach wie ein TFTP Server nachbauen.
Das lässt sich nicht so einfach wie ein TFTP Server nachbauen.
Re: Andere Geräte suchen/anzeigen nicht mehr verlinkt
Hallo an Alle,
ich habe dieses Thema mit verfolgt und bin auch der gleichen Meinung wie Jirka. Ich sehe da auch kein akutes "Sicherheitsproblem", denn wenn man der Argumentation von Christoph_vW folgt, müsste man ja die DNS-Auflösung im Internet auch abschalten, da einem ja sonst "falsche Webseiten" untergeschoben werden könnten!!! Und das strebt ja auch keiner (der bei normalen Menschenverstand ist) an...
Insofern verstehe ich auch Lancom nicht, hat dieses Unternehmen solche Angst von "Fehlbedienungen durch dumme (!!!) User", dass immer gleich alles "abgeschaltet" werden muß ???
Wie war das gleich damals (ist noch nicht so lange her) mit dem "Systemhaus" (oder die Firma, die sich dafür hielt) mit dem Thema "SIP Anmeldung per WAN"...??? Wenn dieses "Systemhaus" zu doof ist in einem 17xx die Funktion abzuschalten bzw. mit einem sicheren Passwort zu schützen, ist man selber schuld an seinen Problemen und den daraus entstandenen Kosten!!!
Und wie verhält sich Lancom? Die schalten aus Angst (ums Image) diese sehr nützliche und sinnvolle Funktion einfach ab!!! Fragt man dann mal nach, bekommt man gesagt, dass man einen VPN-Tunnel nach Intern aufbauen soll und darüber VoIP nutzen soll... ganz toll, zumal man ja überall auf der Welt auch immer superschnelles Internet hat...
Ich habe diese Funktion benutzt, damit ich die Festnetz-Anrufe auf meine Firmen-Nummer auch im Ausland auf dem Handy (über Internet) annehmen konnte und da ist meistens nicht genügend "Bandbreite" vorhanden um dieses auch noch (unsinnigerweise) in VPN zu verpacken!!!
Und wenn Lancom dann noch auf diese Argumentation mit der "Sicherheit gegen das Abhören der Gespräche durch VPN" antwortet, haben die (leider) nichts verstanden. Denn diese Problematik löst man heutzutage per VoIP mittels TLS und SRTP, aber das unterstützt bzw. kann Lancom (leider) auch nicht...!!!
Will Lancom aus Angst alles "sicher" haben, dann sollten sie "konsequenterweise" alle Zugriffe auf den Lancom deaktivieren und nur noch die Konfiguration und Fernwartung selber machen! Denn dann (zumindest in der Theorie) ist das "Lancom sicher"...
Lancom ist nun mal keine Fritzbox (wo man dieses "Angst"-Verhalten aufgrund des Kundenkreises noch verstehen könnte) und sollte nur von Profis (die auch wissen was sie tun) eingerichtet werden!!!
Entschuldigung an Alle für die harten Worte, aber das ganze andauernde bevormunden durch irgendwelche Hardware-Hersteller geht mir tierisch gegen den Strich!!!
Grüße
Cpuprofi
ich habe dieses Thema mit verfolgt und bin auch der gleichen Meinung wie Jirka. Ich sehe da auch kein akutes "Sicherheitsproblem", denn wenn man der Argumentation von Christoph_vW folgt, müsste man ja die DNS-Auflösung im Internet auch abschalten, da einem ja sonst "falsche Webseiten" untergeschoben werden könnten!!! Und das strebt ja auch keiner (der bei normalen Menschenverstand ist) an...
Insofern verstehe ich auch Lancom nicht, hat dieses Unternehmen solche Angst von "Fehlbedienungen durch dumme (!!!) User", dass immer gleich alles "abgeschaltet" werden muß ???
Wie war das gleich damals (ist noch nicht so lange her) mit dem "Systemhaus" (oder die Firma, die sich dafür hielt) mit dem Thema "SIP Anmeldung per WAN"...??? Wenn dieses "Systemhaus" zu doof ist in einem 17xx die Funktion abzuschalten bzw. mit einem sicheren Passwort zu schützen, ist man selber schuld an seinen Problemen und den daraus entstandenen Kosten!!!
Und wie verhält sich Lancom? Die schalten aus Angst (ums Image) diese sehr nützliche und sinnvolle Funktion einfach ab!!! Fragt man dann mal nach, bekommt man gesagt, dass man einen VPN-Tunnel nach Intern aufbauen soll und darüber VoIP nutzen soll... ganz toll, zumal man ja überall auf der Welt auch immer superschnelles Internet hat...
Ich habe diese Funktion benutzt, damit ich die Festnetz-Anrufe auf meine Firmen-Nummer auch im Ausland auf dem Handy (über Internet) annehmen konnte und da ist meistens nicht genügend "Bandbreite" vorhanden um dieses auch noch (unsinnigerweise) in VPN zu verpacken!!!
Und wenn Lancom dann noch auf diese Argumentation mit der "Sicherheit gegen das Abhören der Gespräche durch VPN" antwortet, haben die (leider) nichts verstanden. Denn diese Problematik löst man heutzutage per VoIP mittels TLS und SRTP, aber das unterstützt bzw. kann Lancom (leider) auch nicht...!!!
Will Lancom aus Angst alles "sicher" haben, dann sollten sie "konsequenterweise" alle Zugriffe auf den Lancom deaktivieren und nur noch die Konfiguration und Fernwartung selber machen! Denn dann (zumindest in der Theorie) ist das "Lancom sicher"...
Lancom ist nun mal keine Fritzbox (wo man dieses "Angst"-Verhalten aufgrund des Kundenkreises noch verstehen könnte) und sollte nur von Profis (die auch wissen was sie tun) eingerichtet werden!!!
Entschuldigung an Alle für die harten Worte, aber das ganze andauernde bevormunden durch irgendwelche Hardware-Hersteller geht mir tierisch gegen den Strich!!!
Grüße
Cpuprofi
-
Christoph_vW
- Beiträge: 282
- Registriert: 02 Mai 2011, 09:47
- Wohnort: Berlin
- Kontaktdaten:
Re: Andere Geräte suchen/anzeigen nicht mehr verlinkt
Naja, ich muss gestehen, ich hatte mir die Änderung noch gar nicht angesehen.
Ob man den Link nun anklickt, oder kopiert ist in der Tat egal.
Dieses Problem bestand aber aus drei verschiedenen Sicherheitslücken, von denen zwei korrekt gefixt worden sind - und die dritte und harmloseste - die Prüfung, ob es sich wirklich um einen LANCOM Router handelt - einfach durch entfernen des Links gelöst worden ist. Das ließe sich über eine extra Prüfung über L2MM ausreichend sicher gestalten.
@cpuprofi: Unsichere Vorstellungen sind eine blöde Idee. Nicht nur das es den Konfigurationsauswand jedes Mal erhöht, um das Gerät abzusichern, nach einem Reset kann man auch mal eine Einstellung übersehen. Mal ganz davon abgesehen das es auch viele gibt die sich Profi nennen, dann aber doch keine Ahnung haben, ein Gerät sicher zu betreiben.
Ob man den Link nun anklickt, oder kopiert ist in der Tat egal.
Dieses Problem bestand aber aus drei verschiedenen Sicherheitslücken, von denen zwei korrekt gefixt worden sind - und die dritte und harmloseste - die Prüfung, ob es sich wirklich um einen LANCOM Router handelt - einfach durch entfernen des Links gelöst worden ist. Das ließe sich über eine extra Prüfung über L2MM ausreichend sicher gestalten.
@cpuprofi: Unsichere Vorstellungen sind eine blöde Idee. Nicht nur das es den Konfigurationsauswand jedes Mal erhöht, um das Gerät abzusichern, nach einem Reset kann man auch mal eine Einstellung übersehen. Mal ganz davon abgesehen das es auch viele gibt die sich Profi nennen, dann aber doch keine Ahnung haben, ein Gerät sicher zu betreiben.
Re: Andere Geräte suchen/anzeigen nicht mehr verlinkt
Ich würde es nicht "unsichere Voreinstellungen" nennen, denn man kann ja z.B. "SIP per WAN" per "Default" deaktiviert lassen. Dieses wurde bei den 17xx ja auch per "Security-Update 8.62 SU6" gefixt.Christoph_vW hat geschrieben:@cpuprofi: Unsichere Vorstellungen sind eine blöde Idee. Nicht nur das es den Konfigurationsauswand jedes Mal erhöht, um das Gerät abzusichern, nach einem Reset kann man auch mal eine Einstellung übersehen. Mal ganz davon abgesehen das es auch viele gibt die sich Profi nennen, dann aber doch keine Ahnung haben, ein Gerät sicher zu betreiben.
Bezüglich der "dummen User": Die Lösung dieses Problem ist uns (und Lancom) wahrscheinlich nicht möglich und man muß damit halt leben...
Grüße
Cpuprofi
Re: Andere Geräte suchen/anzeigen nicht mehr verlinkt
Hallo zusammen,
oh Gott, ein Wunder ist geschehen! Die Verlinkung ist wieder da! Hurra...
Und danke vielmals.
Und ich hatte mir schon abgewöhnt, überhaupt noch auf die Seite zu gehen. Nur tat sich LANconfig eben schwer im Finden eines neuen Gerätes und da ging ich dann mal wieder drauf. Firmware ist die 9.10.0370 aktuell bei mir, mit der Release-Build geht es noch nicht, das habe ich eben mal gecheckt.
Viele Grüße,
Jirka
oh Gott, ein Wunder ist geschehen! Die Verlinkung ist wieder da! Hurra...
Und danke vielmals.Und ich hatte mir schon abgewöhnt, überhaupt noch auf die Seite zu gehen. Nur tat sich LANconfig eben schwer im Finden eines neuen Gerätes und da ging ich dann mal wieder drauf. Firmware ist die 9.10.0370 aktuell bei mir, mit der Release-Build geht es noch nicht, das habe ich eben mal gecheckt.
Viele Grüße,
Jirka