Sicherheitsleck im Speedport W501V bei UDP-Portscan?
Hallo, bin neu hier und grüße die Mitglieder des Forums.
Ich vermute einen Bug in meinem Router Speedport W501V und bitte Euch um Fehlerbewertung/Rückinfo, ggf. Mitteilung ob bei Euren W501V auch eine entsprechende Sicherheitsrisikomeldung auftaucht.
Ich habe bei einem Speedport W501V und (aufgrund des u.g. Scanergebnisses auch) bei einem Speedport W500V je einen Portscan vor allem UDP mit mehreren Testsites
http://www.security-check.ch/
http://www.port-scan.de/
http://207.33.111.32/
laufen lassen.
Als Einstellungen bei beiden Routern wurde jeweils verwendet:
NAT-Filterung aktiv
WLAN komplett deaktiv
DHCP aus
PPPOe Pass-Through aus
UPnP aus
IP Routen (nur W501V) keine
zusätzliche Desktopfirewall Outpost an
Ergebnis:
Während der W500V alles gefiltert/geblocked anzeigt, sind beim W501V ca. 10 UDP-Ports offen und als Sicherheitslücken bezeichnet:
UDP-Ports z.B. 111,135,137,138,139,161,1434,1604,407,22,520
Beispielsweise beim Sygate-Scan sind alle nicht-offenen UDP-Ports lediglich Closed im W501V und geblocked im W500V.
TCP-Ports scheinen davon nach den Testergebnissen nicht betroffen zu sein.
Getestet habe ich 2 Varianten beim W501V:
1. EinzelPC mit festen IPs (IP 192.168.2.100/Gateway 2.1 / DNS 2.1) direkt an Speedport W501V (IP 192.168.2.1)
2. Netzwerk mit Einwahl WAN durch Speedport (IP 192.168.2.1) mit dahintergeschaltetem Siemens-Router SE505 ohne Modem
(IP 192.168.2.2 an WAN und IP 192.168.0.1 an LAN sowie PCs am SE505 mit IP 192.168.0.x/Gateway 0.1 / DNS 0.1)
Der Datenfluss ist in beiden Fällen völlig o.k (am Netzwerk kann es also auch nicht liegen), lediglich bei UDP scheint ein Sicherheitsleck/Bug vorhanden zu sein. Ein Rücksetzen auf Werkseinstellung und erneutes Einspielen der aktuellen Firmware hat keine Veränderung ergeben.
Kann mir jemand sagen, worauf das zurückzuführen ist (Bug im W501V? NAT-defekt?), dies auch bei anderen auftritt und durch welche konkrete Einstellung dies behoben werden kann?
cu Nobody073
Ich vermute einen Bug in meinem Router Speedport W501V und bitte Euch um Fehlerbewertung/Rückinfo, ggf. Mitteilung ob bei Euren W501V auch eine entsprechende Sicherheitsrisikomeldung auftaucht.
Ich habe bei einem Speedport W501V und (aufgrund des u.g. Scanergebnisses auch) bei einem Speedport W500V je einen Portscan vor allem UDP mit mehreren Testsites
http://www.security-check.ch/
http://www.port-scan.de/
http://207.33.111.32/
laufen lassen.
Als Einstellungen bei beiden Routern wurde jeweils verwendet:
NAT-Filterung aktiv
WLAN komplett deaktiv
DHCP aus
PPPOe Pass-Through aus
UPnP aus
IP Routen (nur W501V) keine
zusätzliche Desktopfirewall Outpost an
Ergebnis:
Während der W500V alles gefiltert/geblocked anzeigt, sind beim W501V ca. 10 UDP-Ports offen und als Sicherheitslücken bezeichnet:
UDP-Ports z.B. 111,135,137,138,139,161,1434,1604,407,22,520
Beispielsweise beim Sygate-Scan sind alle nicht-offenen UDP-Ports lediglich Closed im W501V und geblocked im W500V.
TCP-Ports scheinen davon nach den Testergebnissen nicht betroffen zu sein.
Getestet habe ich 2 Varianten beim W501V:
1. EinzelPC mit festen IPs (IP 192.168.2.100/Gateway 2.1 / DNS 2.1) direkt an Speedport W501V (IP 192.168.2.1)
2. Netzwerk mit Einwahl WAN durch Speedport (IP 192.168.2.1) mit dahintergeschaltetem Siemens-Router SE505 ohne Modem
(IP 192.168.2.2 an WAN und IP 192.168.0.1 an LAN sowie PCs am SE505 mit IP 192.168.0.x/Gateway 0.1 / DNS 0.1)
Der Datenfluss ist in beiden Fällen völlig o.k (am Netzwerk kann es also auch nicht liegen), lediglich bei UDP scheint ein Sicherheitsleck/Bug vorhanden zu sein. Ein Rücksetzen auf Werkseinstellung und erneutes Einspielen der aktuellen Firmware hat keine Veränderung ergeben.
Kann mir jemand sagen, worauf das zurückzuführen ist (Bug im W501V? NAT-defekt?), dies auch bei anderen auftritt und durch welche konkrete Einstellung dies behoben werden kann?
cu Nobody073
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1715
Url: https://administrator.de/contentid/1715
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
11 Kommentare
Neuester Kommentar
Ergebnis:
Während der W500V alles
gefiltert/geblocked anzeigt, sind beim W501V
ca. 10 UDP-Ports offen und als
Sicherheitslücken bezeichnet:
UDP-Ports z.B.
111,135,137,138,139,161,1434,1604,407,22,520
Beispielsweise beim Sygate-Scan sind alle
nicht-offenen UDP-Ports lediglich Closed im
W501V und geblocked im W500V.
Während der W500V alles
gefiltert/geblocked anzeigt, sind beim W501V
ca. 10 UDP-Ports offen und als
Sicherheitslücken bezeichnet:
UDP-Ports z.B.
111,135,137,138,139,161,1434,1604,407,22,520
Beispielsweise beim Sygate-Scan sind alle
nicht-offenen UDP-Ports lediglich Closed im
W501V und geblocked im W500V.
Also, es ist ein Unterschied ob ein Port offen ist oder nicht. Offen bedeutet, an dem Port ist ein Dienst der nicht abgeschirmt ist. Closed bedeutet, da ist zwar ein Dienst der am Port lauscht, aber der Port wird durch Filter (die Firewall) geschützt.
Warum das nun speziell bei UDP bei Dir ist, weiß ich auch nicht, aber ich würde erstmal nicht von einer riesengroßen Gefährdung reden solange die Ports closed sind. Solche Scans kenne ich eher von nicht ganz sauber konfigurierten Servern die an der externen IP lauschen. Warum der Speedport nun nach außen anzeigt das im Netzwerk dahinter Ports offen sind, keine Ahnung. Bei Dir laufen Samba/Windows-shares, RPC, SNMP, SSH, und MS SQL Monitor?
Gruß, Oliver
Ist bei mir auch so, dass die 10 Ports offen sind aber bis jetzt ist da keiner drüber reingekommen.
Ich verwende zum Testen fast immer
http://www.grc.com/zonealarm.htm
und die zeigen mir an, dass ich kein Sicherheitsproblem hätte, ausser dass der Router auf Pings antwortet. Das konnte ich ihm bis jetzt nicht abgewöhnen.
Ich verwende zum Testen fast immer
http://www.grc.com/zonealarm.htm
und die zeigen mir an, dass ich kein Sicherheitsproblem hätte, ausser dass der Router auf Pings antwortet. Das konnte ich ihm bis jetzt nicht abgewöhnen.
Hallo nochmal, Nobody
ich hatte Dich ja völlig falsch verstanden! Ich versuch's nochmal...
UDP ist verbindungslos, also _wenn_ am Port eine Applikation lauscht, wird sie meist nicht auf Portanfragen antworten. Wenn nun eine FW keine Antwort gibt, sondern das Paket einfach verwirft, dann wird ein Portscanner häufig sagen, der Port ist offen denn das Betriebssystem sagt nichts, da ist also eine Anwendung die nicht antwortet an den Port gebunden. Ein sauberes Verhalten einer FW würde sein, irgendeine 'prohibited' oder 'unreachable' Antwort zurück zu geben. Aber das ist meist zu viel für die kleinen Router und sehr viele setzen immer noch auf 'Security by obscurity'...
Versuche mal die FW auszuschalten und dann den UDP-Scan zu machen, aber vergiß nicht die FW hinterher wieder anzuschalten Evtl. wird der Scanner dann feststellen das die Ports 'closed' sind.
Viel Spaß,
Oliver
ich hatte Dich ja völlig falsch verstanden! Ich versuch's nochmal...
Wenn alle UDP-Ports im W501V offen
wären, wäre ggf. eine akzeptable
Logik die, daß bei UDP-Scans vom
Router generell keine
ICMP-unreachable-Antwort zurückgesandt
wird (Rücksendung ICMP-unreachable
würde geschlossen bedeuten), und die
Online-Portscanner interpretieren dies
fälschlicherweise als "offener
Port".
wären, wäre ggf. eine akzeptable
Logik die, daß bei UDP-Scans vom
Router generell keine
ICMP-unreachable-Antwort zurückgesandt
wird (Rücksendung ICMP-unreachable
würde geschlossen bedeuten), und die
Online-Portscanner interpretieren dies
fälschlicherweise als "offener
Port".
UDP ist verbindungslos, also _wenn_ am Port eine Applikation lauscht, wird sie meist nicht auf Portanfragen antworten. Wenn nun eine FW keine Antwort gibt, sondern das Paket einfach verwirft, dann wird ein Portscanner häufig sagen, der Port ist offen denn das Betriebssystem sagt nichts, da ist also eine Anwendung die nicht antwortet an den Port gebunden. Ein sauberes Verhalten einer FW würde sein, irgendeine 'prohibited' oder 'unreachable' Antwort zurück zu geben. Aber das ist meist zu viel für die kleinen Router und sehr viele setzen immer noch auf 'Security by obscurity'...
Versuche mal die FW auszuschalten und dann den UDP-Scan zu machen, aber vergiß nicht die FW hinterher wieder anzuschalten Evtl. wird der Scanner dann feststellen das die Ports 'closed' sind.
Viel Spaß,
Oliver
Also wenn Du den Speedport mit NAT am Laufen hast, dann solltest Du ihn als System betrachten. So wie ein Betriebssystem. _Normalerweise_ sollte dann ein System ohne Firewall die entsprechenden Ports als "closed" anzeigen.
Das Vorhandensein von NAT ist für mich aber immer ein Hinweis auf eine Firewallapplikation. Frage ist hier allerdings wie genau die läuft. Ich denke mal, die fahren im NAT-Modus eine Standard-FW hoch die einfach alles was ankommt, verwirft. Dann sind wir wieder bei den evtl. laufenden Diensten.
Warum nun gerade diese? Die meisten dieser Portscan-Websites testen eigentlich bis 1024, darüber nur noch ein paar "Well known" Ports. Evtl. ist auch einfach das Antwortverhalten des Speedport genau wie das Verhalten der angezeigten Dienste wenn sie "Offen" sind. Das ist ohne eine wirklich gute Doku für den Speedport schwer zu sagen.
Ich gehe nicht von einer Überlastung des Speedport bei den ICMP-Antworten aus, sondern wirklich eher von einem vom Anbieter so eingestellten Verhalten.
Solltest Du die Möglichkeit haben Deinen Rechner mal selbst von außerhalb mit nmap oder so zu scannen, tue es, versuche mal so viel wie möglich herauszufinden. Ich kann es ja nicht sicher sagen, aber ich denke, hier handelt es sich um ein Feature, nicht um einen Käfer.
Grüße, Oliver
Das Vorhandensein von NAT ist für mich aber immer ein Hinweis auf eine Firewallapplikation. Frage ist hier allerdings wie genau die läuft. Ich denke mal, die fahren im NAT-Modus eine Standard-FW hoch die einfach alles was ankommt, verwirft. Dann sind wir wieder bei den evtl. laufenden Diensten.
Warum nun gerade diese? Die meisten dieser Portscan-Websites testen eigentlich bis 1024, darüber nur noch ein paar "Well known" Ports. Evtl. ist auch einfach das Antwortverhalten des Speedport genau wie das Verhalten der angezeigten Dienste wenn sie "Offen" sind. Das ist ohne eine wirklich gute Doku für den Speedport schwer zu sagen.
Ich gehe nicht von einer Überlastung des Speedport bei den ICMP-Antworten aus, sondern wirklich eher von einem vom Anbieter so eingestellten Verhalten.
Solltest Du die Möglichkeit haben Deinen Rechner mal selbst von außerhalb mit nmap oder so zu scannen, tue es, versuche mal so viel wie möglich herauszufinden. Ich kann es ja nicht sicher sagen, aber ich denke, hier handelt es sich um ein Feature, nicht um einen Käfer.
Grüße, Oliver
@sysad: Zumindestens beruhigt mich Deine
Aussage etwas, daß bei dir die
gleichen UDP-Ports beim Speedport W501V
offen sind. PS: Die grc-Testseite von Steve
Gibson testet allerdings nur TCP-Ports
(keine UDP-Ports), und die sind auch bei mir
alle dicht und grün.
Aussage etwas, daß bei dir die
gleichen UDP-Ports beim Speedport W501V
offen sind. PS: Die grc-Testseite von Steve
Gibson testet allerdings nur TCP-Ports
(keine UDP-Ports), und die sind auch bei mir
alle dicht und grün.
Auch bei den anderen Testseiten kommt nichts schlechtes über den W501V.
Mal ehrlich, ein Router wird doch praktisch immer mit NAT betrieben, also ohne PPPOE-Passthrough, und da ist es schon mal ganz schön schwer, auf die Rechner dahinter zukommen, Konfigurationsfehler mal ausgenommen.
Wenn ich mich wo reinhacken müsste, würde ich mir was einfacheres als Router und NAT aussuchen
Die Kids (wenigstens machen meine das schon immer so...) sind clevere Portforwarder, die werden also eine PC-Firewall entweder ausmachen (was ja bei NAT hinter Router eigentlich ok sein sollte) oder die Ports die sie brauchen sowohl am Router als auch am PC durchlassen. Da liegt dann das PRoblem, wenn über diese Ports was reinkäme. Aber das ist kein PRoblem des Routers selber.
Bei der miesen Doku muss ich Dir recht geben, ich lese die meisten schon gar nicht mehr, weil das wichtige nicht oder falsch dargestellt wird. Die Speedports haben auch noch das Problem, dass sie mit der heissen Nadel gestrickt werden mussten, damit die TCOm nicht weitere Kunden an 1&1 verliert, die eine Fritz 7050 bzw. 7170 an die Kunden abgeben. Dann kam raus was der W500V von Hitachi für eine Gurke ist und dann haben sie auf die Schnelle den W501V bei AVM zusammenschustern lassen.
So richtig gut ausgereift sind beide nicht, ich nehme mal an, es wird einen SW-Update geben so dass man wenigstens bei VOIP nicht bei jeder Nummer die Ortsvorwahl mit eingeben muss (der 500er kann das mittlerweile).
Wegen den 10 offenen UDP-Ports kam auch beim Googeln nichts gefährliches raus. WEiß jemand mehr?
Bei der miesen Doku muss ich Dir recht geben, ich lese die meisten schon gar nicht mehr, weil das wichtige nicht oder falsch dargestellt wird. Die Speedports haben auch noch das Problem, dass sie mit der heissen Nadel gestrickt werden mussten, damit die TCOm nicht weitere Kunden an 1&1 verliert, die eine Fritz 7050 bzw. 7170 an die Kunden abgeben. Dann kam raus was der W500V von Hitachi für eine Gurke ist und dann haben sie auf die Schnelle den W501V bei AVM zusammenschustern lassen.
So richtig gut ausgereift sind beide nicht, ich nehme mal an, es wird einen SW-Update geben so dass man wenigstens bei VOIP nicht bei jeder Nummer die Ortsvorwahl mit eingeben muss (der 500er kann das mittlerweile).
Wegen den 10 offenen UDP-Ports kam auch beim Googeln nichts gefährliches raus. WEiß jemand mehr?