Speedport W700V NAT und Port Regel

[md8800]

Haben denn alle Besitzer dieses Routers schon brav die Firmware upgedatet und das Standard-Passwort durch ein anderes ersetzt? Ist wirklich WICHTIG, denn:

http://www.heise.de/newsticker/meldung/81233

Es lohnt auch durchaus die Lektüre der Beiträgen im heise-Artikel- und user-2-user-Forum zu diesem Thema. Über einen offenen Port soll der Router nämlich nach wie vor angreifbar sein (bezieht sich nur auf den 700, nicht auf den 701, der von AVM stammt).

cu

[NOMINATOR]

Also ich verstehe die Panikmache nicht so ganz...

- Klar sollte man sein Admin-Passwort ändern
- Klar sollte man eine neue SSID wählen und sie möglichst verstecken
- Klar sollte man die MAC-Adressenfilterung verwenden

Aber: das muss ich bei nahezu jedem Router erst mal einstellen, das ist kein Speedport-spezifisches Problem! Dass ich von WEP, WPA und Co. nichts halte, lassen wir mal ganz außen vor.

[md8800]

Das Problem liegt darin, dass beim Speedport W700V die Fernwartung (Remote Control) ganz offensichtlich NICHT via Browser-Konfigurations abschaltbar ist, und damit auch nicht der ständig offene Port, der dafür benutzt wird.

Klar ist die Router-Konfiguration aus dem internen, privaten Netzwerk von jedem abrufbar, der das Passwort des Routers kennt. Das ist bei nahezu jedem Heimanwender-Router so.

Hier ging es aber darum, dass der Browser-Anmeldebildschirm des Routers problemlos von außen, also von einem beliebigen Rechner aus dem Internet aus zugreifbar war (und noch ist?). Mit anderen Worten, bildlicher formuliert: Der Feind kommt nicht über Funkwellen oder das heimige LAN-Kabel, sondern über die Telefondose.

Oder erlaubt die Browser-Konfiguration dieses Routers mittlerweile, durch Firmware-Upgrade verursacht, die Deaktivierung der Fernwartung? Oder steht es zumindestens in einer Regel für Portweiterleitung (Port forwarding), die man dann ggf. deaktivieren kann?

Aber da mit dir gerade mal ein Nutzer dieses Routers verfügbar ist, mach mal folgenden Test: Deaktiviere mal Javascript (geht im Firefox ganz einfach über Extras / Einstellungen / Inhalt / Häkchen bei Javascript aktivieren wegmachen. Ruf dann mal via Browser die Router-Konfig auf. Wenn die dann gar nicht mehr oder nur noch eingeschränkt funktioniert, ist dies streng genommen gleich das nächste Problem.

cu

[NOMINATOR]

"Willkommen im Konfigurationsprogramm!

Das Konfigurationsprogramm wurde für folgende Browser optimiert:

# Internet Explorer ab Version 5.5
# Firefox ab Ver. 0.9 / Mozilla ab Ver. 1.7 / Netscape ab Ver. 7.1
# Opera ab Version 8

Die soeben durchgeführte Systemüberprüfung hat ergeben,
dass in Ihrem Browser die Javascript-Funktion deaktiviert ist.

Bitte aktivieren Sie in Ihrem Browser die Javascript-Funktion
und rufen Sie dann das Konfigurationsprogramm erneut auf."


Und was soll das Problem sein? Java ist doch mittlerweile Standard!

[md8800]

Konntest du wenigstens noch die Login-Prozedur durchführen, oder kam sofort diese Meldung?

Klar ist Javascript heutzutage Standard. Javascript-Exploits aber auch. Weshalb es klüger wäre, bei der Router-Konfig via Browser darauf zu verzichten. Zumindestens was die Login-Prozedur anbelangt. NACH dem erfolgten Login mag man es ja dafür benutzen, dass die Klickibunti-Oberfläche hübscher aussieht.

cu

[NOMINATOR]

md8800 schrieb:
-------------------------------------------------------
> Konntest du wenigstens noch die Login-Prozedur
> durchführen, oder kam sofort diese Meldung?
>

Nö, ohne Java, kein Login!

[md8800]

NOMINATOR schrieb:
-------------------------------------------------------

> Nö, ohne Java, kein Login!

Was bedeutet, dass bei diesem Router bereits die Login-Prozedur mit Hilfe von Javascript implementiert wurde. Gruselig. Naja, wie heißt es doch so schön: No risk, no fun.

Aber ich will auch nicht überdramatisieren und Panik verbreiten, deshalb schrieb ich weiter oben ja auch, dass dies streng genommen ein Problem ist. Denn ein Argument ist sicherlich auch nicht von der Hand zu weisen: Hundertprozentige Sicherheit gibt es diesbezüglich nur, wenn man das Kabel aus der Telefondose reißt, um zukünftig vollständig auf das Internet zu verzichten.

Aber das will heutzutage ja auch niemand mehr ernsthaft. Zumindestens keiner, der sich daran bereits gewöhnt hat.

cu

[NOMINATOR]

md8800 schrieb:
-------------------------------------------------------
Hundertprozentige
> Sicherheit gibt es diesbezüglich nur, wenn man das
> Kabel aus der Telefondose reißt, um zukünftig
> vollständig auf das Internet zu verzichten.

Eben und sonst ist das Gerät wirklich sehr empfehlenswert, wenn man die neuste Firmware aufgespielt hat, vor allem, wenn man den Preis bedenkt!

[questionmark]

wird nicht um java etwas zuviel tohubawohu gemacht ?
man kann schaden anrichten,aber wer kann denn wirklich sagen,er ist durch ein java applet geschädigt worden,wer hatte schonmal einen richtigen virus auf dem rechner,an dessen ausbruch er nicht selber schuld war ???
ich habe java aktiviertr,nutze kein av programm und habe hier im netzwerk sogar für einen speziellen rechner eine dmz eingerichtet,aber einen schaden habe ich noch nicht erlitten,suspekt,suspekt...

wobei ich natürlich dringend empfehlen möchte,einen router als firewall zu nutzen und ein nicht störendes av programm (z.b. antivir) aufzuspielen !

[md8800]

Was will uns das jetzt sagen? Etwa: Nur weil es einen bis jetzt nicht erwischt hat, kann und wird es nie passieren? Also brauch ich mich damit nicht weiter zu beschäftigen? Und Diskussionen über mögliche Sicherheitsrisiken sind erst recht pure Zeitverschwendung, weil es statistisch betrachtet höchst unwahrscheinlich ist, dass es einen selber mal erwischt?

Mit einer derartigen Maxime bräuchte man solange keine sicherheitsrelevanten Patches mehr ausliefern, bis sich diese Statistik irgendwann einmal ins Gegenteil verkehrt. (wobei manche Leute der festen Überzeugung sind, (nicht nur) große Software-Konzerne wurden eh nach diesem Verfahren handeln).

Es ging hier um das, was du selber empfiehlst (einen Router), und um potentielle Sicherheitsrisiken ein solches Gerät betreffend. Potentiell bedeutet ja nun nicht, dass alle Besitzer eines solchen Routers nunmehr sofort Opfer eines Hacker-Angriffes werden (und ich wünsche es auch in Zukunft keinem). Die Wahrscheinlichkeit eines erfolgreichen Angriffes ist gering, durch Verwendung von (unnötigerweise) Javascript während der Login-Prozedur ist sie etwas größer geworden; um mehr ging es hier nicht, um weniger aber auch nicht.

Ferner gilt (eigentlich) die Empfehlung, aktive Inhalte - also Active Scripting / Active X (Microsoft) sowie Javascript / Java (Sun) mit Hilfe einer Positiv-Liste nur auf den Webseiten zuzulassen, denen man vertraut. Siehe z.B. c't-Browsercheck und viele weitere Webseiten zu diesem Thema.

Dass es kaum jemand so macht, schon klar. Aus purer Bequemlichkeit - und weil dann heutzutage die allermeisten Klickibunti-Webseiten nicht mehr richtig funktionieren. Und weil es für Maus-Herumklicker ja mühevoll ist, eine Liste zu erstellen.

Und deshalb ist der Weg zur Hölle gepflastert mit heldenhaften Typen, die vorher gesagt haben: "Mir passiert so etwas garantiert nie und nimmer". Denn eher früher als später kommt dann doch jemand, der klüger war, als man sich selbst gehalten hat

cu


(und bitte nicht immer Javascript mit Java vermengen - ersteres ist eine Scriptsprache, letzteres in Webcode eingebettete Applets. Hier ging es ausschließlich um ersteres)


(und nach dieser klugscheißerei wird es jetzt prompt mich erwischen - und so mach ich dann nochmal schnell *winke winke* auf dem Weg zur Hölle)