nobody073
Goto Top

Sicherheitsleck im Speedport W501V bei UDP-Portscan?

Hallo, bin neu hier und grüße die Mitglieder des Forums.

Ich vermute einen Bug in meinem Router Speedport W501V und bitte Euch um Fehlerbewertung/Rückinfo, ggf. Mitteilung ob bei Euren W501V auch eine entsprechende Sicherheitsrisikomeldung auftaucht.

Ich habe bei einem Speedport W501V und (aufgrund des u.g. Scanergebnisses auch) bei einem Speedport W500V je einen Portscan vor allem UDP mit mehreren Testsites

http://www.security-check.ch/
http://www.port-scan.de/
http://207.33.111.32/

laufen lassen.

Als Einstellungen bei beiden Routern wurde jeweils verwendet:

NAT-Filterung aktiv
WLAN komplett deaktiv
DHCP aus
PPPOe Pass-Through aus
UPnP aus
IP Routen (nur W501V) keine

zusätzliche Desktopfirewall Outpost an

Ergebnis:
Während der W500V alles gefiltert/geblocked anzeigt, sind beim W501V ca. 10 UDP-Ports offen und als Sicherheitslücken bezeichnet:
UDP-Ports z.B. 111,135,137,138,139,161,1434,1604,407,22,520
Beispielsweise beim Sygate-Scan sind alle nicht-offenen UDP-Ports lediglich Closed im W501V und geblocked im W500V.
TCP-Ports scheinen davon nach den Testergebnissen nicht betroffen zu sein.

Getestet habe ich 2 Varianten beim W501V:
1. EinzelPC mit festen IPs (IP 192.168.2.100/Gateway 2.1 / DNS 2.1) direkt an Speedport W501V (IP 192.168.2.1)
2. Netzwerk mit Einwahl WAN durch Speedport (IP 192.168.2.1) mit dahintergeschaltetem Siemens-Router SE505 ohne Modem

(IP 192.168.2.2 an WAN und IP 192.168.0.1 an LAN sowie PCs am SE505 mit IP 192.168.0.x/Gateway 0.1 / DNS 0.1)

Der Datenfluss ist in beiden Fällen völlig o.k (am Netzwerk kann es also auch nicht liegen), lediglich bei UDP scheint ein Sicherheitsleck/Bug vorhanden zu sein. Ein Rücksetzen auf Werkseinstellung und erneutes Einspielen der aktuellen Firmware hat keine Veränderung ergeben.

Kann mir jemand sagen, worauf das zurückzuführen ist (Bug im W501V? NAT-defekt?), dies auch bei anderen auftritt und durch welche konkrete Einstellung dies behoben werden kann?

cu Nobody073

Content-ID: 1715

Url: https://administrator.de/contentid/1715

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

Okies
Okies 12.07.2006 um 18:36:27 Uhr
Goto Top
Ergebnis:
Während der W500V alles
gefiltert/geblocked anzeigt, sind beim W501V
ca. 10 UDP-Ports offen und als
Sicherheitslücken bezeichnet:
UDP-Ports z.B.
111,135,137,138,139,161,1434,1604,407,22,520
Beispielsweise beim Sygate-Scan sind alle
nicht-offenen UDP-Ports lediglich Closed im
W501V und geblocked im W500V.

Also, es ist ein Unterschied ob ein Port offen ist oder nicht. Offen bedeutet, an dem Port ist ein Dienst der nicht abgeschirmt ist. Closed bedeutet, da ist zwar ein Dienst der am Port lauscht, aber der Port wird durch Filter (die Firewall) geschützt.

Warum das nun speziell bei UDP bei Dir ist, weiß ich auch nicht, aber ich würde erstmal nicht von einer riesengroßen Gefährdung reden solange die Ports closed sind. Solche Scans kenne ich eher von nicht ganz sauber konfigurierten Servern die an der externen IP lauschen. Warum der Speedport nun nach außen anzeigt das im Netzwerk dahinter Ports offen sind, keine Ahnung. Bei Dir laufen Samba/Windows-shares, RPC, SNMP, SSH, und MS SQL Monitor?

Gruß, Oliver
Nobody073
Nobody073 12.07.2006 um 22:54:10 Uhr
Goto Top
Hallo Oliver,

"closed" UDP-Ports beim Speedport W501V sind ja o.k, aber die rund 10 "offenen" Ports 111,135,137,138,139,161,1434,1604,407,22,520 im Speedport W501V stören (im Speedport W500V dagegen ist alles o.k. und die sind alle closed/geblocked).

Bei mir läuft weder auf den PCs noch auf dem Router irgendein Server noch irgendein anderer Dienst, im Netstat meines PCs ist keine einzige offene/Listening Verbindung außer dem Virenscanner, und bei der zusätzlichen Software-Firewall Outpost kommt nichts an, auch nicht bei deaktivierter Outpost!
Auch die Datei- und Druckerfreigabe ist nicht an die WAN-Netzwerkkarten gebunden.
Und selbst bei TCP-Ports ist alles geblocked.

Wenn alle UDP-Ports im W501V offen wären, wäre ggf. eine akzeptable Logik die, daß bei UDP-Scans vom Router generell keine ICMP-unreachable-Antwort zurückgesandt wird (Rücksendung ICMP-unreachable würde geschlossen bedeuten), und die Online-Portscanner interpretieren dies fälschlicherweise als "offener Port".

Es sind aber nur ein paar UDP-Ports, welche ein "offen"-Verhalten zeigen, und offenbar alles irgendwelche Remotes, PCAnywheres und Freigabe-Ports.
Und es sind immer diesselben Ports bei allen Online-Scannern, was auch eine andere Theorie (Verwendung eines Limiters im Speedport W501V bei UDP zur Vermeidung einer Überlastung des DSL-Upstreams durch notwendige ICMP-Antworten bei Denial-of-Services-Angriffen o.ä., der bei Überlastung einfach mal ein paar ICMP-unreachable-Antworten wegläßt - so z.B. bei FritzBox) für mich nicht so ganz einschlägig erscheinen läßt.

Solange aber dieses Verhalten nicht klar ist, fühle ich mich irgendwie beim Speedport W501V noch nicht so richtig toll aufgehoben, weil ich es nicht verstehe und weil man ja nie weiß, ob der Schutz des Routers in Zeiten von Backdoors und Rootkits ausreichend und unabhängig von einem kompromttierten PC auch funktioniert. Die Frage für mich bleibt damit offen: is this a Bug or is this a feature?

Bei den vielen Speedport W501V-Anwendern wundert mich aber doch etwas: tritt das o.g. Verhalten bei denen nicht auf oder hats nur noch keiner gemerkt?

Hast Du oder ein anderer der Router-Profis eine einleuchtende und schlüssige Erklärung?


cu Nobody
sysad
sysad 12.07.2006 um 23:08:22 Uhr
Goto Top
Ist bei mir auch so, dass die 10 Ports offen sind aber bis jetzt ist da keiner drüber reingekommen.

Ich verwende zum Testen fast immer

http://www.grc.com/zonealarm.htm

und die zeigen mir an, dass ich kein Sicherheitsproblem hätte, ausser dass der Router auf Pings antwortet. Das konnte ich ihm bis jetzt nicht abgewöhnen.
Okies
Okies 13.07.2006 um 00:48:58 Uhr
Goto Top
Hallo nochmal, Nobody

ich hatte Dich ja völlig falsch verstanden! Ich versuch's nochmal...

Wenn alle UDP-Ports im W501V offen
wären, wäre ggf. eine akzeptable
Logik die, daß bei UDP-Scans vom
Router generell keine
ICMP-unreachable-Antwort zurückgesandt
wird (Rücksendung ICMP-unreachable
würde geschlossen bedeuten), und die
Online-Portscanner interpretieren dies
fälschlicherweise als "offener
Port".

UDP ist verbindungslos, also _wenn_ am Port eine Applikation lauscht, wird sie meist nicht auf Portanfragen antworten. Wenn nun eine FW keine Antwort gibt, sondern das Paket einfach verwirft, dann wird ein Portscanner häufig sagen, der Port ist offen denn das Betriebssystem sagt nichts, da ist also eine Anwendung die nicht antwortet an den Port gebunden. Ein sauberes Verhalten einer FW würde sein, irgendeine 'prohibited' oder 'unreachable' Antwort zurück zu geben. Aber das ist meist zu viel für die kleinen Router und sehr viele setzen immer noch auf 'Security by obscurity'...

Versuche mal die FW auszuschalten und dann den UDP-Scan zu machen, aber vergiß nicht die FW hinterher wieder anzuschalten face-wink Evtl. wird der Scanner dann feststellen das die Ports 'closed' sind.

Viel Spaß,

Oliver
Nobody073
Nobody073 13.07.2006 um 22:16:03 Uhr
Goto Top
Hallo Oliver, hallo Sysad

Danke für Eure Rückinfo, so langsam kommen wir dem Fehler etwas näher.

@ Oliver: Deine Meinung zum Antwortverhalten des UDP-Protokolls sehe ich genauso.
Was mir aber unklar ist: eine Überlastung des Routers bei den ICMP-Antworten würde doch bedeuten, daß es irgendwann zum Eintritt der Überlastung beim Speedport kommt und erst ab dann keine Antworten zu ankommenden Paketen mehr gegeben werden (z.B UDP-Port 1 bis 5000 = Antwort; Überlastung bei Port 5000; keine Antwort mehr ab Port 5001 bis 65000).
Nachdem die "offenen" Ports aber relativ am Anfang der Range stehen (Port 111, 135, 137...) und soviel offene Verbindungen eigentlich jeder PC/Router "aushalten" müßte, verstehe ich dieses Verhalten immer noch nicht. Warum zum Teufel sind bei dieser Speedport-Kiste nur 10 Ports von 65000 offen, immer die selben und in der Range nicht viel weiter hinten???

Zu Deinem Vorschlag eines Portscans ohne Firewall habe ich eine Verständnisfrage:
Im Speedport W501V ist nur die NAT eingeschaltet, da sonst doch keine Auflösung der externen in interne IPs erfolgt und ohne NAT doch ein Router wohl nur im "Modembetrieb" ohne Routing-Funktion arbeitet. Im speedport ist Standardserver "aus", Portregeln und statische IP Routen sind keine definiert. Sonst gibts hier keine Firewall in der Speedport W501V. Auf dem PC hatte ich schon Scans mit und ohne Softwarefirewall mit gleichem Ergebnis. Nachdem das Problem im Router liegt, die PCs vollkommen "dicht"/stealth und ohne Dienst sind ist mir nicht so ganz klar, ob Du mit FW abschalten die Software meinst, weil ich ja gerade den Router (=NAT) und nicht den PC (=Modembetrieb) auf Sicherheit hin abklopfen müßte.

@sysad: Zumindestens beruhigt mich Deine Aussage etwas, daß bei dir die gleichen UDP-Ports beim Speedport W501V offen sind. PS: Die grc-Testseite von Steve Gibson testet allerdings nur TCP-Ports (keine UDP-Ports), und die sind auch bei mir alle dicht und grün.

Nachdem nun zumindestens 2 Speedport betroffen sind: Wenn es sich denn doch um ein "Feature" und nicht um einen Bug handeln könnte, wer hat dann die Erklärung parat, warum gerade diese Ports und was für eine undokumentierte Security-Methode bei dieser Modellreihe dahintersteckt?

cu Nobody
Okies
Okies 14.07.2006 um 00:16:07 Uhr
Goto Top
Also wenn Du den Speedport mit NAT am Laufen hast, dann solltest Du ihn als System betrachten. So wie ein Betriebssystem. _Normalerweise_ sollte dann ein System ohne Firewall die entsprechenden Ports als "closed" anzeigen.
Das Vorhandensein von NAT ist für mich aber immer ein Hinweis auf eine Firewallapplikation. Frage ist hier allerdings wie genau die läuft. Ich denke mal, die fahren im NAT-Modus eine Standard-FW hoch die einfach alles was ankommt, verwirft. Dann sind wir wieder bei den evtl. laufenden Diensten.
Warum nun gerade diese? Die meisten dieser Portscan-Websites testen eigentlich bis 1024, darüber nur noch ein paar "Well known" Ports. Evtl. ist auch einfach das Antwortverhalten des Speedport genau wie das Verhalten der angezeigten Dienste wenn sie "Offen" sind. Das ist ohne eine wirklich gute Doku für den Speedport schwer zu sagen.

Ich gehe nicht von einer Überlastung des Speedport bei den ICMP-Antworten aus, sondern wirklich eher von einem vom Anbieter so eingestellten Verhalten.

Solltest Du die Möglichkeit haben Deinen Rechner mal selbst von außerhalb mit nmap oder so zu scannen, tue es, versuche mal so viel wie möglich herauszufinden. Ich kann es ja nicht sicher sagen, aber ich denke, hier handelt es sich um ein Feature, nicht um einen Käfer.

Grüße, Oliver
sysad
sysad 14.07.2006 um 13:06:02 Uhr
Goto Top
@sysad: Zumindestens beruhigt mich Deine
Aussage etwas, daß bei dir die
gleichen UDP-Ports beim Speedport W501V
offen sind. PS: Die grc-Testseite von Steve
Gibson testet allerdings nur TCP-Ports
(keine UDP-Ports), und die sind auch bei mir
alle dicht und grün.

Auch bei den anderen Testseiten kommt nichts schlechtes über den W501V.
Mal ehrlich, ein Router wird doch praktisch immer mit NAT betrieben, also ohne PPPOE-Passthrough, und da ist es schon mal ganz schön schwer, auf die Rechner dahinter zukommen, Konfigurationsfehler mal ausgenommen.

Wenn ich mich wo reinhacken müsste, würde ich mir was einfacheres als Router und NAT aussuchen face-wink
Nobody073
Nobody073 14.07.2006 um 20:40:35 Uhr
Goto Top
> @sysad:
Mal ehrlich, ein Router wird doch praktisch
immer mit NAT betrieben, also ohne
PPPOE-Passthrough, und da ist es schon mal
ganz schön schwer, auf die Rechner
dahinter zukommen, Konfigurationsfehler mal
ausgenommen.

Der NAT-Einsatz ist ja Routertypisch und damit unstreitig. Das andere ist ja eben die eigentliche Frage, ist es ein Konfigurationsfehler/Firmwarefehler des Systems wenn 10 UDP-Ports "offen" sind bzw. "offen angezeigt" werden oder ein Feature (welches??).
Rechner hinter dem Router sind erst das Folgeproblem, wenn es ein Bug sein sollte und wenn meine Kids mal eben zum Zoggen oder Chatten die Softwarefirewall ausschalten...
Da wüßte ich eben gerne die Auswirkungen.

Und als Security-Feature wäre dies im Sicherheitsbereich miserabel beschriebenen Handbuch mehr als schlecht -nämlich überhaupt nicht- dokumentiert, zumal auch auf T-Com und T-Online-Seiten hierzu keinerlei Aussagen zu finden sind. Dort sind außer 50 Seiten VoiceIP und 20 Seiten WLAN keine wesentlichen brauchbaren Angaben drin. Nachdem Routerhersteller doch eigentlich mit intelligenten Abwehr-Features wie DDOS-Abwehr oder Stateful Inspection und Intrusion Detection gerne "hausieren" gehen, würde dies doch auch hier dem üblichen Marketing-Verhalten widersprechen....

cu Nobody
sysad
sysad 15.07.2006 um 12:20:25 Uhr
Goto Top
Die Kids (wenigstens machen meine das schon immer so...) sind clevere Portforwarder, die werden also eine PC-Firewall entweder ausmachen (was ja bei NAT hinter Router eigentlich ok sein sollte) oder die Ports die sie brauchen sowohl am Router als auch am PC durchlassen. Da liegt dann das PRoblem, wenn über diese Ports was reinkäme. Aber das ist kein PRoblem des Routers selber.

Bei der miesen Doku muss ich Dir recht geben, ich lese die meisten schon gar nicht mehr, weil das wichtige nicht oder falsch dargestellt wird. Die Speedports haben auch noch das Problem, dass sie mit der heissen Nadel gestrickt werden mussten, damit die TCOm nicht weitere Kunden an 1&1 verliert, die eine Fritz 7050 bzw. 7170 an die Kunden abgeben. Dann kam raus was der W500V von Hitachi für eine Gurke ist und dann haben sie auf die Schnelle den W501V bei AVM zusammenschustern lassen.

So richtig gut ausgereift sind beide nicht, ich nehme mal an, es wird einen SW-Update geben so dass man wenigstens bei VOIP nicht bei jeder Nummer die Ortsvorwahl mit eingeben muss (der 500er kann das mittlerweile).

Wegen den 10 offenen UDP-Ports kam auch beim Googeln nichts gefährliches raus. WEiß jemand mehr?
Nobody073
Nobody073 21.07.2006 um 17:44:27 Uhr
Goto Top
Zwischenzeitlich wollte ich mich mal beim Hersteller des Speedport W501V, der Firma AVM über das "buggige Feature" erkundigen.
Antwort:

"vielen Dank für Ihre Anfrage.
Das von Ihnen verwendete Produkt stellt kein Produkt von AVM, sondern der
Deutschen Telekom AG dar.
Bitte wenden Sie sich im Supportfall daher direkt an die zuständige
technische Hotline der Deutschen Telekom AG.
Mit freundlichen Grüßen aus Berlin
Frank Spindler (AVM Support)"


Fazit: Die drücken sich erst mal raus oder haben auch keine Ahnung.
Dabei wäre es bei einem Feature doch für den Fritz-Box und Speedport--Hersteller AVM wohl ein leichtes, ein Negativimage in der Öffentlichkeit zu vermeiden...

Na dann bleibt ja nix anderes, als unsere T-Com mal zu interviewen...

cu Nobody
Nobody073
Nobody073 29.07.2006 um 10:46:50 Uhr
Goto Top
Hallo Sysad, okies und Co.

Zwischenbericht zum UDP-Portscanproblem:

Von Mama T-Com ging folgende Mail bei mir ein:
info@t-com.net Thu, 27. Jul 2006

Re: Anfrage aus: T-Com, Internet, Sicherheit im Internet

Sehr geehrter Herr xxx ,

vielen Dank für Ihre E-Mail.

Die von Ihnen genannten Ports sind für Managementprogramme
oder Routerbetrieb.
Das für den Routerbetrieb notwendige RIP (UDP 520) z.B.
läuft um die Routingtabelle aktuell zu halten.
Die Managementports sind zwar offen, werden jedoch
zusätzlich durch die Remotezugriffsregelung (in der
Konfiguration) überwacht.

Um also Ihre Frage zu beantworten. Es handelt sich hierbei
um ein Standardfeature.

Mit freundlichen Grüßen

Ihre T-Com

Im Auftrag

Lars Petzholdt

Meine Vermutung offener UDP-Ports beim Speedport W501V wurde von der T-COM bestätigt.

++Liegt also nicht an irgendwelchen "untauglichen" Portscannern wie AVM zur FritzBox ausführte.
++auch liegt es dann wohl nicht an irgendeinem "falschem" Antwortverhalten des UDP/ICMP-Protocols oder einem Verwerfen durch Port-Limiters.
++keine Antwort beim UDP-Protocol dürfte RFC-konform richtigerweise heißen: Port offen (würde zur T-Com-Aussage passen).
++Offenbar sind diese UDP-Ports zwar nicht geblockt, aber dennoch irgendwie überwacht (ist das eine Art von Stateful Inspection oder was?)..

Andererseits hab ich eigentlich noch nie davon gehört, daß ein Router rund 10 Ports für Managementprogramme und Routerbetrieb braucht oder offenhält.

Laufen da auf dem Router dann trotzdem irgendwelche "unbestellten" Dienste oder Remotezugriffe auf den aufgezeigten Ports (z.B. PhoneHome, Spyware)?

Gibt es da irgendwelche "Konfigurationsmöglichkeiten" (schließen von Ports geht doch wohl nur dann, wenn man den Dienst eliminiert, und bei dem verbindungslosen UDP?)?

Sagt Euch die Formulierung "..sind zwar offen, werden jedoch durch die Remotezugriffsregelung "in der Konfiguration" überwacht" etwas ?

Und noch was: Die ComputerBild hat in der Ausgabe Nr. 14/2006 vom 26.06.2006 Seite 60 den Schutz der Firewall des Speedport W501V als „schlecht“ bezeichnet mit der Bemerkung „Die Firewall schützte nicht ausreichend vor Angriffen aus dem Internet“. Leider sind konkretere Ausführungen dort nicht vorhanden, sodaß die Aussage der CB erst mal so stehen bleiben muß (wäre dies aber grundsätzlich nicht zutreffend, hätte T-Com oder AVM eine presserechtliche Widerrufserklärung oder Gegendarstellung in der nächsten Ausgabe wohl durchgesetzt).
Hängt dies mit o.g. Aussagen der offenen Ports zusammen oder ist da noch mehr?

Für mich ergibt sich immer noch kein klares Bild.
Kann ein Fachmann hier mal die T-Com-Aussage (evtl. i.V.m. ComputerBild-Aussage) etwas näher fachlich fundiert und allgemeinverständlich konkretisieren/beleuchten?

Das wäre doch eine „Kampfaufgabe“ für T-Com`ler, von ihrem Arbeitgeber T-Com solch fundierte Unterlagen zu besorgen und ins Forum zu stellen, dass die Aussage der ComputerBild widerlegt werden kann und der „NormalUser“ sich beim Speedport gut aufgehoben fühlen könnte..

Ansonsten müssten wir mal die Fragen sammeln, die wir dann nochmals der T-Com stellen können.

Was haltet Ihr alle davon?

cu Nobody