ein paar Beobachtungen zum Thema Passwort

[Koppelfeld]

Moinsen!

Hallo Koppelfeld,
es ging, als Teilbereich, hier nicht um Dein "Lieblings Haß-Thema" SIP-ALG, sondern warum sich dessen Port geändert hat, mehr nicht.

Das ALG ist doch kein Haßthema! Frage mich nach Lennart Poettering, 'udev', "Ubuntu", "Cloud", "Java" oder schlicht "App-Designer".

Allgemein wollte ich nur motivieren:
"Lullipulli-Features" wie "CAPWAP", "Layer-7-Firewall", "TFTP", "LANCapi" usw. usf. eher abschalten. Weniger Komplexität --> weniger Probleme.
Momentan habe ich nur noch ein Problem mit Lancom, dahingehend, daß sich manchmal kein VPN zur Gegenstelle aufbauen läßt. Da hilft dann nur auf der fernen Seite "Regelerzeugung aus" + "Regelerzeugung auto".
Ansonsten tun die Router jetzt wieder, was sie sollen, insbesondere Policy Based Routing plus QoS.
WENN Features fehlen, dann sind das 'Destination NAT' und ein (auch negativ) cachender DNS-Server. Und: Eine durchgängig nutzbare Objekt-Tabelle. Und: Konfigurations-Konsistenzcheck.

"Featureschübe" dagegen sorgen zum einen für beschleunigte Hardware-Obsoleszenz und zum anderen für fiese Sicherheitsprobleme, von denen Jirka eines entdeckt hat.

Wer sich für LANCOM entscheidet, möchte weder eine "Fritzbox" noch einen "Speedport" noch eine "UTM".

Meine evtl. unerwünschte Warnung äußere ich nebenher nicht aufgrund allgemeiner Erfahrungen, sondern als "gebranntes Kind".

Also bitte nicht übelnehmen.
Ah, und noch einer: Wenn Deine geliente "Starface" nicht ohne ALG kann: Es gibt auch Alternativen.

[stefanbunzel]

Guten Morgen in die Runde,

@Jirka

...Muss ich noch mehr dazu sagen?

Ja, Bitte! Ich habe nur "Bahnhof" verstanden...

@MoinMoin

... Damit müsste ein Angreifer erst mal eine passende CAPI-Applikation schreiben, um die Lücke auszunutzen. Da greift man doch lieber SIP auf einer Fritz-Box an.

Autsch! Hochmut kommt vor dem Fall!
Da gibt es eine bekannte und nutzbare Sicherheitslücke im LCOS und nur, weil es für euch "unwahrscheinlich" erscheint, wird die nicht geschlossen - und hier auch noch öffentlich publiziert!?
Also, wenn ich Hacker wäre und auch nur einen einzigen Lancom-Router kennen würde, den ich mal eben so übernehmen möchte um mich danach "beruflich zur Ruhe setzen" zu wollen und können, dann hätte ich jetzt eine lohnenswerte Aufgabe. Schließlich nutzen Behörden, Banken, größere Firmen, Verbrauchermärkte usw. eben extra keine Fritz!Box, sondern "hochsichere" Lancom-Router, welche keine bekannten Sicherheitslücken oder sogar Backdoor's haben...

Viele Grüße - vom geschockten und leicht verstörten
Stefan

[MoinMoin]

Moin Stefan!

Wir werden sicherlich so schnell wie möglich eine Lösung für aktuell noch mit Firmwareupdates versorgte Geräte finden. Für ältere Geräte können wir da aber nichts mehr machden, das muß der Administrator machen (kein TFTP vom WAN, gegebenenfalls Port weiterleiten, LANCAPI-Port weiterleiten).

Bei aktuell ausgelieferten Geräten gibt es kein akutes Problem, da dort TFTP auf dem WAN im Default nicht erlaubt ist.

Ciao, Georg

[Jirka]

Hallo beki,

Macht das Sinn?

aber klar! Danke, für die kompetente Erklärung und die versierte Ausführung. Ich bin begeistert.

Hallo Georg,

Es gibt also nur einen einzigen Client, nämlich die LANCAPI von LANCOM. Damit müsste ein Angreifer erst mal eine passende CAPI-Applikation schreiben, um die Lücke auszunutzen.

also die LANCAPI zu installieren, ist ja nun kein Ding. Und eine passende CAPI-Applikation ist doch kein Problem? Erstens gab es seinerzeit Telefonsoftware, die auf CAPI aufsetzte und zweitens kann ich doch jede beliebige FAX-Software nehmen und laufende Meter 0900-er Nummern anwählen. Also ich sehe hier null Probleme. Und über eine bekannte Suchmaschine LANCOMs mit erlaubtem TFTP zu finden ist auch kein Thema.

Bei aktuell ausgelieferten Geräten gibt es kein akutes Problem, da dort TFTP auf dem WAN im Default nicht erlaubt ist.

...sofern die Konfig nicht vom alten Gerät übernommen wurde. Von der Konfigübernahme wird natürlich auch Gebrauch gemacht. Bei mir tauchen regelmäßig Leute mit neuen Routern auf, wo TFTP WAN-seitig erlaubt ist (neben anderen Sachen).

Viele Grüße,
Jirka

[stefanbunzel]

Hallo LoUiS,

...Wenn ich die geöffneten Dienste (nicht Ports) betrachten möchte, dann könnte es schon von Interesse sein, ob eben nur SNMPv3 erlaubt ist, oder auch SNMPv1/v2. Ansonsten muss man zum genauen Abklären der Situation eben doch noch mal in die Details der Konfig schauen. ...

Ich muss mich hier mal der Kritik von Jirka anschließen. Wenn Lancom im WebInterface eine Seite mit dem Titel "Dienste" erstellt und öffentlich anbietet, dann sollten hier bitte auch ALLE konfigurierbaren Dienste mit ihren Eigenschaften dargestellt werden. Hätte Lancom diese Seite "Ports" genannt, dann wäre deine Argumentation, dass es doch egal wäre, ob hier SNMPv1/v2 oder SNMPv3 aufgeführt wird richtig.

Und ich persönlich finde es schon äußerst interessant und wichtig auf dieser Seite zu sehen, ob ich eben SNMPv2 oder eben SNMPv3 über WAN erlaube - oder nicht! Und Lancom war auch einmal dieser Meinung und hatte (kurzfristig) in LANmonitor bei aktiviertem SNMPv2 eine Warnmeldung in Form eines Ausrufezeichens eingeblendet (was aber zum Glück wieder deaktiviert wurde).

Eine ganz andere Frage und Aufgabe wäre mal zu prüfen, ob wirklich alle verfügbaren Dienste des Lancom auf dieser Seite dargestellt werden...

Viele Grüße,
Stefan

[cpuprofi]

Hallo Koppelfeld,

...Ah, und noch einer: Wenn Deine geliente "Starface" nicht ohne ALG kann: Es gibt auch Alternativen...

eine Starface kann sowohl mit als auch ohne SIP-ALG genutzt werden.

Grüße
Cpuprofi

[MoinMoin]

Moin Jirka!

Natürlich gibt es CAPI-Software. Aber damit ein Infrastruktur aufzusetzen, mit der man so richtig Geld verdienen kann, ist halt doch etwas Aufwand. Da gibt es durchaus lohnendere Ziele, als weltweit eine handvoll LANCOMs mit offenenm TFTP.

Ich habe eben nochmal in den Source gesehen. Vor ein paar Jahren gab es eine Änderung, nach der ein Zugang zum LANCAPI-Server nur noch auf unmaskierten Verbindungen möglich ist. Damit dürfte die Anzahl der Weltweit verfügbaren Angriffsziele auch ohne Finger abzählbar sein.

Ciao, Georg

[Jirka]

Hallo Georg,

na das sind doch gute Neuigkeiten. Hätte mich irgendwo auch gewundert.

Viele Grüße,
Jirka

[stefanbunzel]

Hallo LANCOMer,

vielen Dank, dass inzwischen im WebInterface unter Systeminformationen - Dienste wie von uns empfohlen, SNMPv1/2 und SNMPv3 separat ausgewiesen wird. Danke!

Und von mir gleich noch ein weiterer Wunsch: Jeder hier aufgeführte Dienst könnte doch bitte gleich mit einem Link zur Konfigurations-Seite hinterlegt werden, so dass man aus dieser schönen Dienst-Seite jeweils gleich in die entsprechende Konfoiguration gelangt. Manchmal muss man ja echt erst eine Weile überlegen, wo man denn den jeweiligen Dienst konfiguriert...

Viele Grüße,
Stefan

[LittleIna]

Hi Stefan,

Und von mir gleich noch ein weiterer Wunsch: Jeder hier aufgeführte Dienst könnte doch bitte gleich mit einem Link zur Konfigurations-Seite hinterlegt werden, so dass man aus dieser schönen Dienst-Seite jeweils gleich in die entsprechende Konfoiguration gelangt. Manchmal muss man ja echt erst eine Weile überlegen, wo man denn den jeweiligen Dienst konfiguriert...

ich habe deinen Wunsch mal eingereicht, wann und ob was Entsprechendes implementiert wird, kann ich dir natürlich nicht sagen.

Lieben Gruß,

Ina