Versand von Lancom-Routern - Sicherheit

[joeMJ]

Hallo zusammen,

inzwischen greift hier die Paranoia um sich. Entschuldigt bitte, wenn Ihr diesen Post mit einem Schmunzeln zur Kenntnis nehmt.

Im allgemeinen war es üblich, Lancoms vorzubereiten und sie dann zum jeweiligen Einsatzort per DHL versichert zu versenden. Das die typischen Hütten, nicht die CC-Derivate. Die Geräte sind kennwortgesichert, SSH und https sind intern und für VPN offen. Weitere Kommunikationsports, auch die serielle Schnittstelle sind nicht deaktiviert - wenn überhaupt möglich, da fehlt's mir noch.

Bei den letzten beiden Versendungen von zwei 1781ef+ kam es vor, das die Paketlaufzeiten zum Kunden von üblicherweise 1-2 Tagen auf 4-5 Tage ausgedehnt wurden. Die zuletzt versendeten Geräte werden in sensiblen Bereichen eingesetzt. Jetzt stellt sich der Kunde die Frage, welche Angriffsmöglichkeiten es (DHL - wertungsfrei) möglicherweise gegeben haben könnte - sprich wie sicher ist die Konfiguration auf dem Gerät vor externem Zugriff. Weiterhin geht es mir selbst um eine Empfehlung, wie ich die Tamperresistance erhöhen kann oder ob ich die Dinger zukünftig mit einem Kurierdienst zustellen lasse oder tatsächlich vor Ort konfiguriere - Wie macht Ihr das? Mit den CC Features habe ich mich noch nicht auseinandergesetzt.

[Dr.Einstein]

Hey joeMJ,

du könntest auch zB die Hardware einfach so ohne Konfiguration zum Kunden schicken, und die Konfiguration über einen seperaten Weg, z.B. S/MIME - PGP Mail an den Kunden senden, und er soll diese Datei einfach auf einen USB Stick schieben -> USB an Lancom. Ansonsten bei CC Routern verändert sich das Risiko nicht, wenn du diese im Vorfeld vorbereitest. Nur die Einstellungen innerhalb der Konfiguration sind halt auf Sicherheit ausgerichtet inkl dem Inbetriebnahmeprozess mittels COM Kabel, falls hierfür Bedarf ist.

Gruß Dr.Einstein

[joeMJ]

Hey joeMJ,
du könntest auch zB die Hardware einfach so ohne Konfiguration zum Kunden schicken, und die Konfiguration über einen seperaten Weg, z.B. S/MIME - PGP Mail an den Kunden senden, und er soll diese Datei einfach auf einen USB Stick schieben -> USB an Lancom.

Perfekt. Ich spiele das Szenario kurz nach. Danke!

[stefanbunzel]

Hallo joeMJ,

naja, ganz unbegründet ist deine Sorge nicht! Ich hatte erst kürzlich geschluckt, als man so ganz nebenbei las, dass angeblich in den USA jeder Router, der die Landesgrenze überschreitet, von den "zuständigen Behörden kontrolliert" wird - oder so... Vor allem fand ich es sehr erstaunlich, dass es auf diese Info keinen allgemeinen Aufschrei in der Öffentlichkeit oder der Fachpresse gab!

Auch wenn ich mal hoffe, dass soetwas bei einem Versand innerhalb Deutschlands mit einem offiziellen Paketdienst ganz einfach nicht passieren darf, muss ich dir als ehemaliger DDR-Bürger bezüglich der Praxis von vor 25 Jahren schon Recht geben, dass man sich darüber unbedingt Gedanken machen sollte! Nichts ist unmöglich...

Ich würde dir empfehlen, zukünftig niemals fertig konfigurierte Geräte - unabhängig von den gerätespezifischen Sicherheitseinstellungen - zu versenden und somit ggf. vorübergehend unbekannten Dritten zugänglich zu machen. Es könnte immer die Gefahr bestehen, dass du deine Konfig eben doch nicht zu 100% abgesichert hast und dann ein Dritter so an Passwörter bzw. Zugangsdaten deines Auftraggebers gelangen könnte. Schließlich haftest du ggf. für Datenverlust bzw. Datenmissbrauch Dritter.

Mein Tipp: Wenn Versand erforderlich ist, dann unkonfiguriertes Gerät. Und die Konfig inkl. Anleitung zum Einspielen entweder in separater Post oder auf hoffentlich sicherem elektronischem Wege - falls es soetwas bei Nutzung des Internets überhaupt noch gibt?

Viele Grüße,
Stefan

[MariusP]

Hi,
Wenn das Gerät während der Laufzeit des Paketes manipuliert wurde, wird das schwer zu erkennen sein. Zumal Warranty-Seals nicht zu schwer sind zu manipulieren.
Alternativ könntest du die Pakete auch selbst ausliefern.
Wenn du die Konfig vorher löscht kannst du jedenfalls sicher sein, dass keiner an Passwörter herrankommt.

Ich denke das die Sicherheit des Rest der Systeme auf beiden Seiten (Versender Empfänger) eh wichtiger ist.
Gruß

[stefanbunzel]

... größte Schwachstelle ist ja nach wie vor der Nutzer selbst.

Wie oft sieht man dann an solch sensiblen Standorten, die "hochsicher" per VPN gekoppelt und mit Zäunen und Zutrittskontrollen mehrfach gesichert sind, in den Büros "private" WLAN-Router fürs Smartphone der Mitarbeiter oder PowerLAN-Adapter für die Anbindung von Räumen, in denen ja leider mal ein LAN-Kabel vergessen wurde zu verlegen, die somit jede Datensicherheit im Umkreis von mehreren 100 Metern wieder aushebeln...

Viele Grüße,
Stefan

[langewiesche]

du kannst auch einfach eine basic cfg (nur internet mit SSH) aufliefern. dann Firmware Remote updaten. Und die echt config mit Zertifikaten einspielen. Damit bist du schon weit vorne
Wir versenden sogar mit einer TEMP dsl kennung. mit fester IP so lange es telekom ist.

[langewiesche]

das bringt dir aber nichts wenn die Bonus material einloeten

[joeMJ]

Danke Euch allen. Auch für das Verständnis + Eure Reaktion ohne Häme. Ich habe in diesem Fall bei den Gegenstellen in der Vermaschung die kritischen Elemente bereits gelöst und verfahre so, wie beschrieben mit PGP. Die Firmware ist noch 82, 84 kommt in diesem Schritt für die zwei Knoten gleich mit, auch dann für den ganzen Rest im Verbund, dann sollte das Vertrauen zu den beiden Plasten wieder da sein. Auch zukünftig wird's das so nur noch so mit einer Minimalkonfig per PGP/Mail/USB mit 'nem Tunnel zu 'nem Konfig-Lancom hier geben, den ich zum Schluss wieder töte. Ist ja nun wirklich recht einfach. Howto ist zwar noch nicht geschrieben, aber der Kunde vor Ort ist recht fit und hat gut geholfen.

[joeMJ]

das bringt dir aber nichts wenn die Bonus material einloeten

Das ist der letzte, traurige Punkt. Eine Versiegelung bei den CPE's mit Holo wäre wünschenswert...

[Dr.Einstein]

Auch für das Verständnis + Eure Reaktion ohne Häme.

Find es auch interessant, dass bis jetzt jeder das Thema Ernst betrachtet und für möglich hält. Ich persönlich bevorzuge eher den Weg von langewiesche, wobei es variiert, ob vorher die Kennung reinkommt, oder jemand fähiges vor Ort ist und wir dann zumindest telefonisch zusammen den Router mit einer minimalen Grundkonfig online bringen, sodass der Rest über SSH (ab 9.00 auch wieder über https) konfiguriert wird.

Ansonsten bei den diversen CC Geräten, die ich schon hatte, wirklich maximale Sicherheit, z.B. COM Port mittels Chipkarte etc. Macht auf jeden Fall einen guten Eindruck und lässt man sich ja auch bezahlen.

Gruß Dr.Einstein