 |
|
|
|
| Autor |
Nachricht |
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
 Verfasst am:
So 10 Jul, 2005 11:29 |
  |
|
Hallo,
Ich würde mir wünschen, das Login-Interface so zugestalten (Option ein/aus),
dass man bei einem Zugriff von extern nicht gleich erkennt, welcher Router mit welcher Firmware erreichbar ist.
In LCOS sollte es die Option geben, diese Webseite abzuschalten aber dennoch den Zugriff über http zu ermöglichen.
Es würde doch langen, wenn sofort ein Login käme, d.h. die Aufforderung zur Eingabe des PW.
Desweiteren sollte die Seriennummer beim Login/Passworteingabe nicht erscheinen, sondern vielmehr bei Verwaltung mehrerer Router eine intern vergebene Bezeichnung oder Standort.
Das würde sicher nicht viel Arbeit machen, dies in die LCOS einzuarbeiten und würde den Sec-Level der Geräte weiter erhöhen  |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
So 10 Jul, 2005 12:20 |
|
|
Moin,
inwiefern sollte das die Sicherheit erhöhen? 'Security by Obscurity' ist
keine wirkliche Sicherheit...
Gruß Alfred |
|
|
 |
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
So 10 Jul, 2005 12:28 |
|
|
| Zitat:
|
|
.....Obscurity' ist keine wirkliche Sicherheit...
|
Aber mein Anrufbeantworter sagt doch auch nicht, wann und wo ich geboren wurde und meine Rentennummer ...wenn ich das nicht will |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
So 10 Jul, 2005 13:02 |
|
|
Hi,
lol, der Vergleich ist ja nun etwas an den Haaren herbeigezogen. Realistisch wuerde Dein AB in diesem Vergleich seine Modellnummer und seinen FW-Stand ansagen, was aber natuerlich eine Einschraenkung in seiner Funktion bedeuten wuerde, also ist das Beispiel hier nicht wirklich anwendbar.
Die Seriennummer des Router ist voellig unkritisch, damit kann von Aussen niemand wirklich etwas anfangen und das der Router sein Modell und die FW Version verraet ist in meinen Augen auch nicht kritisch.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
  |
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
So 10 Jul, 2005 13:14 |
|
|
| Zitat:
|
|
der Vergleich ist ja nun etwas an den Haaren herbeigezogen.
|
Ich fand den Vergleich OK 
Wann=Firmware Wo=Lancom Rentennummer=Seriennummer/Modell
Kritisch ist es momentan nicht, denn wie ihr selber schon geäußert habt, gibt es keine Hintertürchen und Möglichkeiten...
Aber was ist, wenn´s doch mal passiert?
Ein Hacker würde sich freuen, wenn er gleich weiss, wo er anpacken muss ...Deshalb eigentlich der ganze Hintergedanke! |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
So 10 Jul, 2005 13:44 |
|
|
| Zitat:
|
Kritisch ist es momentan nicht, denn wie ihr selber schon geäußert habt, gibt es keine Hintertürchen und Möglichkeiten...
Aber was ist, wenn´s doch mal passiert?
Ein Hacker würde sich freuen, wenn er gleich weiss, wo er anpacken muss Wink ...Deshalb eigentlich der ganze Hintergedanke!
|
Um ein Gerät als solches zu identifizieren, gibt es genug andere
Möglichkeiten - z.B. TCP-Fingerprints von nmap...
Gruß Alfred |
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
So 10 Jul, 2005 14:11 |
|
|
mmmmmh ....na gut überzeugt ...ihr seit in der Übermacht 
Aber ich wäre trotzdem beruhigter, wenn ich nur das nackige Login sehen würde |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
telekomisbesser
Anmeldungsdatum: 22.01.2005
Beiträge: 113
Wohnort: NRW
|
| Verfasst am:
Mo 21 Nov, 2005 17:38 |
|
|
da kann ich nur zustimmen!!
cu
Bastian |
|
|
 |
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Mo 21 Nov, 2005 19:58 |
|
|
Hi Bastian!
Wozu? ...Bin ich doch nicht mehr allein? |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
langewiesche
Anmeldungsdatum: 27.04.2005
Beiträge: 921
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
|
| Verfasst am:
Di 22 Nov, 2005 19:09 |
|
|
eine nette sache waere das .....
User / Passwort login reicht doch ..... man muss ja nicht direkt alles zeigen ... falls es doch mal was gegen das lcos gibt reicht dann google ... und alles die eine router per namen ans inet angebunden haben sind am ***  |
_________________
Es gruesst Lars
VP-100 - L54xx- I1610 VPN 1611/1621B - IAP54/OAP54 - 1711/1722B /1723B - 1811/1821*+/1823B - 3x50 incl. UMTS - 3850 - 7011VPN - 7111 - 8011 - R800+ - R1011, WLCs, L315,322, |
|
 |
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Di 22 Nov, 2005 19:28 |
|
|
Hallo Lars,
| Zitat:
|
|
man muss ja nicht direkt alles zeigen ... falls es doch mal was gegen das lcos gibt reicht dann google ... und alles die eine router per namen ans inet angebunden haben sind am ***
|
security by obscurity hat noch nie gut funktioniert...
Gruß
Mario |
|
|
|
|
andreas
Anmeldungsdatum: 04.01.2005
Beiträge: 66
|
| Verfasst am:
Di 22 Nov, 2005 21:14 |
|
|
Bei der ganzen Diskussion hier frage ich mich, worin der Sinn liegt die Daten auf der Webseite anzuzeigen.
Auch wenn "security by obscurity" nicht die alleinige Lösung ist, finde ich dennoch, das mehr Punkte gegen die Anzeige von Typ und Firmwarelease sprechen und kein einziger dafür.
Weiterhin denke ich schlicht und ergreifend, es geht niemanden etwas an, was für Hardware sich hinter einer IP verbirgt, auch wenn es zunächst m.E. keine Sicherheitslücke ist oder zum ausnutzen einer dienen würde.
Aber das "Problem" lässt sich ja einfach lösen:
Alle Configmöglichkeiten bis auf SSH aus und gut ist |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Di 22 Nov, 2005 21:41 |
|
|
Hallo andreas,
| Zitat:
|
|
Auch wenn "security by obscurity" nicht die alleinige Lösung ist, finde ich dennoch, das mehr Punkte gegen die Anzeige von Typ und Firmwarelease sprechen und kein einziger dafür.
|
es ist eine Konvention der RFCs, den Produktnamen und die Version des Webservers zu übermitteln. Ok - da muss keine Seriennummer und der Name des Lancomproduktes drinstehen. Minimal wäre aber LANCOM/<Versionsnummer> erforderlich. Und die Versionsnummer entspricht nun mal der Firmwareversion.
Gruß
Mario |
|
|
|
|
andreas
Anmeldungsdatum: 04.01.2005
Beiträge: 66
|
| Verfasst am:
Di 22 Nov, 2005 22:28 |
|
|
Hallo Mario,
| eddia hat folgendes geschrieben:
|
es ist eine Konvention der RFCs, den Produktnamen und die Version des Webservers zu übermitteln.
|
Ein "get" auf den "Webserver" des Lancom ergibt:
| Code:
|
<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD>
<BODY BGCOLOR="#000099" TEXT="#FFFFFF" LINK="#FFFFFF" VLINK="#FFFFFF">
<DIV ALIGN=CENTER><TABLE BORDER=0 COLS=1 WIDTH="1%" BGCOLOR="#c0c0c0">
<TR><TD><TT><FONT COLOR="#330033">WEBconfig</FONT></TT></TD></TR>
</TABLE></DIV>
<P><DIV ALIGN=CENTER><TT>An exception 404 has occurred at 0:001d9550 in Job H1.<
/TT></DIV>
<DIV ALIGN=CENTER><TT>This was called from 192.168.1.36 in 'UUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUU'.</TT></DIV>
<DIV ALIGN=CENTER><TT>It is possible to continue normally.</TT></DIV><P><DIV ALI
GN=CENTER><TABLE WIDTH="90%">
<TR><TD VALIGN=TOP><TT>* </TT><TD VALIGN=TOP><TT>Press your browser's 'Back' but
ton to attempt to continue normally.</TT></TR><TR><TD VALIGN=TOP><TT>* </TT><TD
VALIGN=TOP><TT><A HREF="/">Return to the entry page</A> to restart your WEBconfi
g session. You will loose any information entered in a wizard up to this point.
</TT></TR>
</TABLE></DIV>
<P><DIV ALIGN=CENTER><TT>Press your browser's 'Back' button to continue.</TT></D
IV>
</BODY></HTML>
|
Ich finde da keine Versionsnummer aber ok, das wird jetzt OT und ich muß gestehen ich kenne die RFC für Webserver überhaupt nicht, ich dachte beim get, sollte es angezeigt werden.
Im übrigen, gibt es aber glaube ich viele Hersteller, die gegen die RFC verstoßen und z.B. nicht das Build angeben.
Sei mir nicht böse, aber das ist m.E. kein wirklich guter Grund auf der Einstiegsseite diverse Informationen auszuplaudern. Ich vermute (mehr nicht) eher das Lancom gerne zeigen möchte, das es ein Geräte von Ihnen ist, was ja völlig ok ist, wenn es so wäre...
Ansonsten ist das eben meine Meinung zum Thema "Datensparsamkeit", wie ich es umsetze: siehe oben.
Viele Grüße
Andreas |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Di 22 Nov, 2005 22:56 |
|
|
Hallo andreas,
| Zitat:
|
|
Ich finde da keine Versionsnummer Wink aber ok, das wird jetzt OT und ich muß gestehen ich kenne die RFC für Webserver überhaupt nicht, ich dachte beim get, sollte es angezeigt werden.
|
Versuchs mal mit : GET / HTTP/1.0
| Zitat:
|
|
Im übrigen, gibt es aber glaube ich viele Hersteller, die gegen die RFC verstoßen und z.B. nicht das Build angeben.
|
Also ich kenne eigentlich keinen, der das nicht angibt - ob das nun der Apache, IIS, Notes oder irgendetwas anderes ist.
| Zitat:
|
|
Sei mir nicht böse, aber das ist m.E. kein wirklich guter Grund auf der Einstiegsseite diverse Informationen auszuplaudern.
|
Ich wüsste nicht, was die Angabe des Produktes und der Versionsnummer mit dem 'Ausplaudern' von Informationen zu tun haben.
Gruß
Mario |
|
|
|
|
|
|
|
|
| |
|
|
