Lancom-Router: Web-Interface WAN-seitig - zu viele Informationen!

[tstimper]

Der Punkt ist auch das wir Admins und Consultants konsequent sind und unsichere Dinge nicht mitmachen.

PS: Einen A-Record auf das Web-Interface des Lancom-Routers zu setzten, obwohl dieser seine Identifikation publiziert und gleichzeitig einen exchange.meine-domäne per A-Record auf gleicher IP-Adresse zu setzen geht gar nicht!

Was sind denn das für "Adminitratoren" die so etwas machen?

Die Frage die ich mir da stelle ist, was ist der sichere Weg, um das jeweils von der Fehlkonfiguration betroffene Unternehmen freundlich auf das Problem hinzuweisen und eine Änderung der Konfig vorzuschlagen ohne z.B. eine Hacker Anzeige zu riskieren.

Viele Grüße

ts

[plumpsack]

Die Frage die ich mir da stelle ist, was ist der sichere Weg, um das jeweils von der Fehlkonfiguration betroffene Unternehmen freundlich auf das Problem hinzuweisen und eine Änderung der Konfig vorzuschlagen ohne z.B. eine Hacker Anzeige zu riskieren.

A) persönlicher Kontakt
B) ein Anruf per Telefon
C) ein Anruf per Telefon und dann persönlicher Kontakt

Ja, das kennt man heute nicht mehr ... funktioniert aber immer noch super!
glaub mir ...

[plumpsack]

Ich habe vor einiger Zeit einen IT-Verantwortlichen kennengelernt, der genau so handelt

Und was genau hatte ihn als IT-Verantwortlichen qualifiziert?

[tstimper]

Die Frage die ich mir da stelle ist, was ist der sichere Weg, um das jeweils von der Fehlkonfiguration betroffene Unternehmen freundlich auf das Problem hinzuweisen und eine Änderung der Konfig vorzuschlagen ohne z.B. eine Hacker Anzeige zu riskieren.

A) persönlicher Kontakt
B) ein Anruf per Telefon
C) ein Anruf per Telefon und dann persönlicher Kontakt

Ja, das kennt man heute nicht mehr ... funktioniert aber immer noch super!
glaub mir ...

Na dann , Du hast es entdeckt:-)
Und erzähl was rausgekommen ist.

Oder wollen wir gemeinsam dort anrufen?

Viele Grüße

ts

[plumpsack]

Oder wollen wir gemeinsam dort anrufen?

Wo willst du anfangen?

bei kappa-deutschand?

oder willst du erst die Rechtsanwälte oder Ärzte abklappern??


Huch, wir haben teilwese ihre Netzwerk-Infastuktur offen gelegt ... ist uns erst jetzt aufgefallen ...

[COMCARGRU]

Ich habe vor einiger Zeit einen IT-Verantwortlichen kennengelernt, der genau so handelt

Und was genau hatte ihn als IT-Verantwortlichen qualifiziert?

Sage ich es mal so: Es war nicht seine Ausbildung/Studium und auch nicht ein eventuelles autodidaktisch erworbenes Wissen im IT-Bereich.

[tstimper]

Oder wollen wir gemeinsam dort anrufen?

Wo willst du anfangen?

bei kappa-deutschand?

oder willst du erst die Rechtsanwälte oder Ärzte abklappern??


Huch, wir haben teilwese ihre Netzwerk-Infastuktur offen gelegt ... ist uns erst jetzt aufgefallen ...

Ich werde das mal intern nächste Woche besprechen.
Wie können auch mal telefonieren wenn Du willst.
Das einfach auf sich beruhen zu lassen fände ich auch nicht gut.

Ggf LANCOM mit einbeziehen..

Nur so als Idee

Viele Grüße

ts

[plumpsack]

Sage ich es mal so: Es war nicht seine Ausbildung/Studium und auch nicht ein eventuelles autodidaktisch erworbenes Wissen im IT-Bereich.

Ich rate mal, BWLer oder Chef?

[plumpsack]

Ggf LANCOM mit einbeziehen..

Das Kind ist doch schon in den Brunnen gefallen!

Suchbegriffe wie

Code: Alles auswählen

"A webbrowser with active JavaScript support is required."
"Ein Webbrowser mit aktiver JavaScript Unterstützung wird benötigt."

oder:

Code: Alles auswählen

"Caution! Your are using an unencrypted connection."
"Achtung! Sie benutzen eine unverschlüsselte Verbindung."

bringen jedem selbst bei Google oder Bing die gewünschten Ergebnisse zu Lancom-Routern und weiteren Informationen.

Lancom selbst hätte m.E. schon 2021 auf die Meldung von "Anmol K Sachan" reagieren müssen!

Das das BSI nun noch irgendwelche nichtssagenden Zertifikate zu den Routern veröffentlicht bringt dem Endkunden nun rein gar nichts!

Keine Ahnung wie Lancom das jetzt "ausbügeln" will.

"War alles nur ein PR-/Werbegag" oder "... das sind alles nur Honeypots ..."

[COMCARGRU]

Sage ich es mal so: Es war nicht seine Ausbildung/Studium und auch nicht ein eventuelles autodidaktisch erworbenes Wissen im IT-Bereich.

Ich rate mal, BWLer oder Chef?

Da ich ein eventuelles mitlesen hier nicht ausschließen kann, keine weiteren Informationen, die zumindest den Betreffenden für sich selbst identifizierbar machen - Sorry...

[plumpsack]

Da ich ein eventuelles mitlesen hier nicht ausschließen kann, keine weiteren Informationen, die zumindest den Betreffenden für sich selbst identifizierbar machen

Da fällt mir noch folgender Satz zu ein:

"Das haben wir schon immer so gemacht ..."

[Carsten1972]

Da fällt mir noch folgender Satz zu ein:

"Das haben wir schon immer so gemacht ..."

Nur echt mit dem Zusatz "Und es hat immer funktioniert."

BTW:
Ich setze Telefonanlagen eines bestimmten Herstellers ein. Der sagt sicherheitshalber: Die Anlagen NICHT von außen erreichbar machen, dafür sind sie nicht freigegeben, nur über VPN arbeiten - ansonsten geschieht der Betrieb auf eigene Gefahr.
Ich habe mir mal den Spaß erlaubt, die Anlagen über Shodan zu suchen.
Genug Treffer (Foul!).
Dann habe ich mal bei einigen spaßeshalber (ach ne, "Aus Versehen") die IP-Adresse aufgerufen.
Und wenn man dann als Nutzer "admin" und als PW eine vierstellige Zahl (!) eingibt, die wohldokumentiert das voreingestellte Standardpasswort ist, um systemintern eine Konfigurationsebene freizuschalten - dann kommt man auf die Anlagen-Konfiguration und hat Vollzugriff auf ALLES.
Das Standardpasswort war NIE für die WEB-GUI vorgesehen und falls man es manuell dafür einträgt, kommt auch eine Warnung (zu kurz, zu einfach!).
Wie schmerz- und merkbefreit ist man eigentlich?

Ich war auch etwas erschrocken, wieviele "alte Möhren" von Lancom man mit so einer Google-Suche finden kann. LÄNGST ohne Support, Firmware von Neunzehnhundertnochwas...

[plumpsack]

Der sagt sicherheitshalber: Die Anlagen NICHT von außen erreichbar machen, ... , nur über VPN arbeiten

Das hatten unsere Dozenten schon vor Jahren gepredigt!

Nur das sie nicht NICHT sagten, sondern NIE!

[plumpsack]

Ich werde das mal intern nächste Woche besprechen.

Wir haben jetzt den 28.08.2022.

Was ist denn bei deiner internen Besprechung herausgekommen?

[plumpsack]

Warum wird der Hersteller und das Modell WAN-seitig, also im Web-Interface publiziert?

Schade, dass diese Frage bis heute nicht beantwortet wurde ...