Zugriffsrechte Router über WAN

[RalphT]

Hallo,

ein Nutzer ist Telekomkunde. Er bekam einen Brief vom Abuse-Team mit dem Hinweis, dass eine Sicherheitslücke gefunden wurde. Weiterhin wurde auch der Grund genannt.

Öffentlicher Port : 161
Protokoll/Type: UDP
Private IP-Adresse: Siehe Hinweis unten
Privater Port: 64287

Der Router hat derzeit bei den Zugriffseinstellungen über WAN einen erlaubten Zugriff für SNMP. Das hatte ich allerdings vergessen, wieder auf lesen zu stellen.

Ist das hier evtl. der Grund des Anschreibens? In der Regel stelle ich bei SNMP den Zugriff auf lesen ein.

Oder könnte hier das Problem ganz wo anders liegen?

[backslash]

Hi RalphT,

Port 161 ist SNMP - das dürfte deine Frage beantworten...

BTW: der Brief käme vermutlich auch, wenn du auf dem WAN nur lesenden Zugriff zuliessest - denn die testen vermutlich nur, ob es da einen Listener gibt. Du mußt also den Zugriff auf dem WAN auf "nur über VPN" beschränken oder ganz abschalten!

Gruß
Backslash

[RalphT]

Danke Dir,

habe ich schon umgesetzt. Jetzt ist die Einstellung "nur über VPN".

Was mich nur wundert, ich habe das schon einige Jahre so praktiziert, dass die Einstellung "lesen ist." Da kam bis jetzt nie ein Brief.

[Dr.Einstein]

Moment, die Abuse Meldung bekommst du nur, wenn der Port erreichbar ist. Lancom Router senden auf keinerlei Antworten, wenn die Community falsch ist. Also egal ob WAN SNMP auf aktiv oder deaktiviert steht, solange der Gegenüber dein Passwort nicht hat, wird der UDP Port als "zu" dargestellt.

Jirka hatte hier letztens im Forum was vermerkt, was dieses Problem verursachen könnte, finde gerade den Beitrag nicht. Auf jeden Fall gab es mal ein Fehler? durch ein Firmwareupdate, dass die Public Community fälschlicherweise über WAN funktionierte.

Gruß Dr.Einstein

[RalphT]

Hallo,

vielleicht findest Du ja noch etwas dazu.

Der Port als geschlossen wird nur angezeigt, wenn die Einstellung "deaktivert" oder "nur über vpn" ist. Zumindest nach diesem Tool hier:

http://www.speedguide.net/portscan.php?udp=1&port=161

[Dr.Einstein]

Hallo,

der Test macht nix böses. mMn darf ein richtig eingestellter Lancom darauf nicht reagieren, auch mit WAN offen.

Code: Alles auswählen

Frame 840: 102 bytes on wire (816 bits), 102 bytes captured (816 bits) on interface 0
Ethernet II, Src: , Dst: 
Internet Protocol Version 4, Src: 68.67.73.20, Dst: 
User Datagram Protocol, Src Port: 49720 (49720), Dst Port: 161 (161)
Simple Network Management Protocol
    msgVersion: snmpv3 (3)
    msgGlobalData
        msgID: 19049
        msgMaxSize: 65507
        msgFlags: 04
            .... .1.. = Reportable: Set
            .... ..0. = Encrypted: Not set
            .... ...0 = Authenticated: Not set
        msgSecurityModel: USM (3)
    msgAuthoritativeEngineID: <MISSING>
    msgAuthoritativeEngineBoots: 0
    msgAuthoritativeEngineTime: 0
    msgUserName: 
    msgAuthenticationParameters: <MISSING>
    msgPrivacyParameters: <MISSING>
    msgData: plaintext (0)
        plaintext
            contextEngineID: <MISSING>
            contextName: 
            data: get-request (0)
                get-request
                    request-id: 14320
                    error-status: noError (0)
                    error-index: 0
                    variable-bindings: 0 items

http://www.lancom-forum.de/post87178.html?hilit=snmp

[hyperjojo]

hallo,

Was mich nur wundert, ich habe das schon einige Jahre so praktiziert, dass die Einstellung "lesen ist." Da kam bis jetzt nie ein Brief.

vielleicht, weil diese Briefe erst seit einiger Zeit versendet werden. Ich habe auch erst in diesem Jahr davon erfahren, dass Kunden solche Briefe erhalten haben.

Gruß hyperjojo