Lancom-Router: Web-Interface WAN-seitig - zu viele Informationen!

[plumpsack]

A) Warum wird der Hersteller und das Modell WAN-seitig, also im Web-Interface publiziert?

B) Warum benennen "Adminitratoren" dann noch ihre Router nach Firmen-, bzw Unternehmensnamen inkl. Standort?

zu A) das könnte Lancom ändern.
Zu B) sind das Azubis?

Mir ist das auf der Suche nach Informationen zu einem Router bei Google aufgefallen.

Da greift Google, also "nicht" Shodan oder Censys und wie die alle heißen, die Login-Seiten der Router ab.

Da ich selbst keinen Fernzugriff, via Port 80 oder auch Port 443, erlaube ist mir das nie aufgefallen.

Kann man evtl. die Login-Seite mit Board-Mitteln ändern oder ist die fest im ROM?


PS: Das ist doch schon fahrlässig:

Gebt mal bei Google:

Code: Alles auswählen

"Caution! Your are using an unencrypted connection. The password will be transmitted as"

ein.

[tstimper]

PS: Das ist doch schon fahrlässig:

Hm, ob fahrlässig der richtige Begriff hier ist?
Aus meiner Sicht liegt das Problem viel tiefer.
Ein kurzes googeln ergibt z.B. "Fahrlässigkeit ist die Außerachtlassung der gehörigen Sorgfalt."

Meiner Meinung nach erleben wir immer wieder solche Probleme, wenn Hersteller, Kunden, Admins,
wer auch immer das aus unserer Sicht beobachtete Fehlverhalten - die beobachtete Fehlkonfiguration gar nicht als Problem sehen,
sondern entweder als normal ansehen oder als nicht beachtenswert.

Fahrlässig handelt jemand, der es eigentlich besser wüßte.

Wir als IT Admins und / oder Consultants oder einfach Verantwortliche für ein konkretes Device müssen
wohl auch immer wieder erklären und drauf hinweisen, wie man ordentlich uns sicher gerate und Systeme einrichtet.

Auch wenn es vielen um uns herum egal zu sein scheint.

Viele Grüße

ts

[COMCARGRU]

Gebt mal bei Google:

AUTSCH!!!

die beobachtete Fehlkonfiguration gar nicht als Problem sehen,
sondern entweder als normal ansehen oder als nicht beachtenswert.

Genau das ist Punkt! Ich habe vor einiger Zeit einen IT-Verantwortlichen kennengelernt, der genau so handelt - auch Maskierung auf RDP usw. Der sagt schlicht: Das Produkt kann das - also ist das völlig korrekt so und der Hersteller wird schon alles getan haben, damit es sicher ist sonst würde das Produkt diese Möglichkeit gar nicht anbieten. Eine so herrliche Naivität sorgt bestimmt für ein angenehmes Leben - ich weiß nicht ob ich da neidisch sein soll oder nicht?

[root]

Kann man evtl. die Login-Seite mit Board-Mitteln ändern oder ist die fest im ROM?

Die Login-Seite kann nicht vom Benutzer angepasst werden.

Viele Grüße
root

[plumpsack]

Die Login-Seite kann nicht vom Benutzer angepasst werden.

Da hoffe ich aber das es da bald einen Patch für gibt.

Das hier ist für die Suche mit https bei Google, die sind auch nicht besser ....

Code: Alles auswählen

"A webbrowser with active JavaScript support is required."

[plumpsack]

Nochwas:

Die Suche nach

Code: Alles auswählen

"A webbrowser with active JavaScript support is required."

bei www.bing.com zeigt bei mir als ersten Treffer, das das Ding schon seit dem 20.05.2021 bekannt ist:

Code: Alles auswählen

Published: 	2021-06-07 
Date: 		2021-05-20

https://***.exploit-db.com/ghdb/6992

Auch das der Crawler/Spider, von Bing, nicht nur die Standard-Ports für das Web-Interface scant.

:6443 ist ja schon wie eine Handschrift ...

Und einen A-Record auf das Web-Interface des Routers zu legen ist glaube ich "keine gute Idee" ...

[Dr.Einstein]

Und einen A-Record auf das Web-Interface des Routers zu legen ist glaube ich "keine gute Idee" ...

Wo liegt jetzt der Unterschied zwischen einem Router-Webserver und einem Web-Webserver? Gehst du jetzt davon aus, dass alle Webdienste von Lancom unsicher , und alle Windows/Linux/etc-Webserver absolut sicher sind?

[plumpsack]

@Dr.Einstein

Grundsätzlich ist jedes Betriebssystem und/oder auch jede Anwendung als "unsicher" anzusehen / zu betrachten!

Das Lancom-Router grundsätzlich ihr Modell und ihren Firmennamen via externes Web-Interface publizieren ist ein Unding!

Selbst wenn es nur um einer IP-Adresse gehen würde und wenn der Name des Routers dem Namen des Modells entsprechen würde.

Das geht niemanden etwas an!

Das gibt nur wieder eine Angriffsfläche.

(Selbst bei z.B. einem Apache2 deaktiviert man die Publizierung der Versionsnummer um keine Angriffsfläche zu bieten.)

Benennt man dann noch den Router mit Firmennamen / Filiale / Standort wird es m.E. noch kritischer.

Wenn man dann noch einen A-Record von der externen Firmen-Domäne auf das Web-Interface zur Konfiguration des "Routers" setzt, dann ist das eine "Einladung"!

Da braucht man erst gar nicht herausfinden um wen es sich bei der IP-Adresse handelt.

Ich glaube nicht, das Router von Lancom "kugelsicher" sind!

[Dr.Einstein]

(Selbst bei z.B. einem Apache2 deaktiviert man die Publizierung der Versionsnummer um keine Angriffsfläche zu bieten.)

Und wo ist der Unterschied zu: "Hey, ich bin ein nginx" zu "Hey ich bin ein Lancom Router"?

[plumpsack]

"Hey ich bin ein Lancom Router"

mit der Modellnummer und meiner Firmenadresse ...

"*ick mich ..."

Und genau das geht niemanden etwas an!

Ist das so schwer zu verstehen?

[Dr.Einstein]

mit der Modellnummer

Obs nun ein 1783, 1793 oder 1926 ist, was ändert es am Sachverhalt. Ist alles ein LCOS, mir wäre keine Modellbezogene Angriffsfläche bekannt, nur LCOS Stand bezogen.

Und genau das geht niemanden etwas an!

Die WAN IP ist zumindest bei vernünftigen Anschlüssen sowieso in der RIPE mit Inhaber hinterlegt. Da steht in der Regel sogar dein Name + Telefonnummer drin.

Meiner Meinung nach fokussierst du dich auf die völlig falsche Sache. Selbst wenn dort nicht LANCOM xyz steht, wirst der Scan aufgrund der HTML Struktur sofort das Gerät als Lancom einstufen.

[DanLo]

(Selbst bei z.B. einem Apache2 deaktiviert man die Publizierung der Versionsnummer um keine Angriffsfläche zu bieten.)

Die installierte Firmware-Version wird auf der Loginseite auch nicht veröffentlicht.


Zudem ist von WAN aus per Default kein HTTP(S)-Zugriff erlaubt, LAN und WLAN kann man abschalten:

Code: Alles auswählen

root@DeviceName:/Setup/Config/Access-Table
> ls

Ifc.    Telnet  TFTP    HTTP    SNMP    HTTPS   Telnet-SSL  SSH     Config-Sync  SNMPv3
========-------------------------------------------------------------------------------
LAN     No      Yes     Yes     Yes     Yes     Yes         Yes     Yes          Yes   
WAN     No      No      No      No      No      No          No      No           No    
WLAN    No      Yes     Yes     Yes     Yes     Yes         Yes     Yes          Yes   

... und wenn man es versucht, lädt auch die Loginseite nicht.

Das ist also eher ein Konfigurationsproblem.

Daniel

[plumpsack]

PS: Das ist doch schon fahrlässig:

Hm, ob fahrlässig der richtige Begriff hier ist?
Aus meiner Sicht liegt das Problem viel tiefer.

Sehe ich nach einer tieferen Recherche auch so.

Das ist nicht fahrlässig, sondern grob fahrlässig!

Der Begriif "Fachkräftemangel" wird hierdurch nur wieder bestätigt, aber durch einen anderen Blickwinkel!

Den "Adminitratoren" fehlt einfach das "s" für Sicherheit oder auch Sicherheitsbewusstsein ...

PS: Einen A-Record auf das Web-Interface des Lancom-Routers zu setzten, obwohl dieser seine Identifikation publiziert und gleichzeitig einen exchange.meine-domäne per A-Record auf gleicher IP-Adresse zu setzen geht gar nicht!

[tstimper]

PS: Das ist doch schon fahrlässig:

Hm, ob fahrlässig der richtige Begriff hier ist?
Aus meiner Sicht liegt das Problem viel tiefer.

Sehe ich nach einer tieferen Recherche aus so.

Das ist nicht fahrlässig, sondern grob fahrlässig!

Der Begriif "Fachkräftemangel" wird hierdurch nur wieder bestätigt, aber durch einen anderen Blickwinkel!

Den "Adminitratoren" fehlt einfach das "s" für Sicherheit oder auch Sicherheitsbewusstsein ...

Der Punkt ist auch das wir Admins und Consultants konsequent sind und unsichere Dinge nicht mitmachen.
z.B. wenn ich einen Lancom Router anfasse, bekommt er ein starkes Password, die Sicherheitseinstellungen werden überprüft,
TFTP, HTTP, Telnet ohne SSL, SNMPv1 und V2, also jeder unverschlüsselter Zugriff wird disabled und Zugriff nur aus dem LAN und ggf VPN und nur von bestimmten Netzen und / oder Stationen erlaubt.
Und die Firewall ist Deny-ALL und erlaubt expizit nur was wirklich nötig ist.

Und die Konfig wird auditiert gesichert. und das Root Passwort wird ggf automatisiert dannach geändert.
Anders gehts nicht. Das ist auch ganz einfach, das macht keine Mühe.
Ich muss auch nicht nachdenken, ob es jetzt "wirklich" sein muss für den Anwendungsfall.
Es ist einfach Standard, Teil der täglichen Routine.

Und wenn es z.b. ein Problem mit einem Firewall Block gibt, wird solange gesucht, bis die Ursache gefunden wurde und nicht einfach mal die Firewall disabled um zu sehen ob es dann geht.
(Natürlich geht es dann auch nach enablen der Firewall auf dem Lancom weiter, da bestehende Sessions nicht geprüft werden...)

Letzendlich geht es darum, sichere Best Practices bei den Admin zu etablieren, die diese auch verstehen und selbst anpassen können,
da sie diese inklusive Grundlagen verinnerlicht haben und wissen, warum diese Vorgangsweise sinnvoll ist.

Viele Grüße

ts

[plumpsack]

Der Punkt ist auch das wir Admins und Consultants konsequent sind und unsichere Dinge nicht mitmachen.

PS: Einen A-Record auf das Web-Interface des Lancom-Routers zu setzten, obwohl dieser seine Identifikation publiziert und gleichzeitig einen exchange.meine-domäne per A-Record auf gleicher IP-Adresse zu setzen geht gar nicht!

Was sind denn das für "Adminitratoren" die so etwas machen?

Hast du dir mal die Suche von Suchbegiffen von "Lancom TM"

Code: Alles auswählen

"A webbrowser with active JavaScript support is required."
"Ein Webbrowser mit aktiver JavaScript Unterstützung wird benötigt."
"Your are using an unencrypted connection. The password will be transmitted as plain text."

bei Google oder Bing "genauer" angeguckt?