joachim57
Goto Top

Telekom blockiert immer noch den Port 7547 in ihrem Netz

Hallo zusammen,

seit der grossen Störung am 26.11. blockiert die Telekom in ihrem DSL/VDSL Netz jeglichen Traffic auf Port 7547. Als adhoc Notlösung, um die Router wieder ans laufen zu bekommen, war das ja Ok. Aber irgendwann sollte der Port auch wieder freigegeben werden. Mir war auch gar nicht so richtig bewusst, das die ISP's quasi auf Knopfdruck ganze Ports blockieren können.

Bin ich der einzige, der da Bauchschmerzen mit hat?
portscan_7547_20161208

Content-ID: 323235

Url: https://administrator.de/knowledge/telekom-blockiert-immer-noch-den-port-7547-in-ihrem-netz-323235.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

119944
119944 08.12.2016 um 12:13:30 Uhr
Goto Top
Mir war auch gar nicht so richtig bewusst, das die ISP's quasi auf Knopfdruck ganze Ports blockieren können.
Dein Ernst? Bei ISPs stehen Router und Switche bei denen du problemlos über ACLs bestimmte Ports sperren kannst.

Das Protokoll TR-069 dient dazu den Router welcher dir vom Provider gestellt wird zu konfigurieren.
Das dieser Port von außen nicht erreichbar sein sollte sondern nur vom Netz der Telekom erklärt sich von selbst.
Wo siehst du jetzt Nachteile für dich? Verwenden tust du den Port mit deiner PfSense sowieso nicht...

Bin ich der einzige, der da Bauchschmerzen mit hat?
Ja.

VG
Val
Lochkartenstanzer
Lochkartenstanzer 08.12.2016 aktualisiert um 12:14:54 Uhr
Goto Top
Zitat von @joachim57:

Mir war auch gar nicht so richtig bewusst, das die ISP's quasi auf Knopfdruck ganze Ports blockieren können.

Die können Dir auch auf Knopfdruck den Anschluß lahmlegen, oder auf 384kbps runterschalten (natürlich während Dein Router noch sagt, daß Du 100Mbps hast) oder smtp umleiten oder dns mit Stoppschuildern versehen, oder POP/IMAp nur auf Ihre eigenen Serve rzulassen, etc.

Das einzige was Du machen kannst, ist denen mit einen Rechtsverdreher zu winken, daß Du alle Deine Ports haben willst und nicht nur eine Auswahl, die dem ISP gefällt.

lks
Lochkartenstanzer
Lochkartenstanzer 08.12.2016 aktualisiert um 12:22:14 Uhr
Goto Top
Zitat von @119944:

Das dieser Port von außen nicht erreichbar sein sollte sondern nur vom Netz der Telekom erklärt sich von selbst.
Wo siehst du jetzt Nachteile für dich? Verwenden tust du den Port mit deiner PfSense sowieso nicht...

Nur dann, wenn der Provider sich um den Router kümmert. Wenn ich mich um den Router kümmere, will ich ggf. auch TR-069 nutzen, allerdings ggf. sogar von anderes As aus.

Und selbst wenn das der Router normalerweise nicht nutzt, so steht es mri doch freoi an diesem Port einen Honigtopf hinzustellen.

Also:

Der ISP hat prinzipiell den Verkehr zu meinem Router nichtzu reglementieren, egal ob das sinnvoll ist oder nciht. Nur wenn er selbst die Kisten managed darvf er das.

lks

PS: Um es mit einem unpassenden Mopped-Vergleich zu sagen: Das wäre so, als ob Suzuki Ihre Hayabusa nur mit eingebauter Drossel verkauft, damit die Leute nicht schneller als 130km/h fahren können, um sich nicht wehzutun. face-smile
joachim57
joachim57 08.12.2016 um 20:12:12 Uhr
Goto Top
Zitat von Valexus

Das dieser Port von außen nicht erreichbar sein sollte sondern nur vom Netz der Telekom erklärt sich von selbst.
Natürlich muss auch dieser Port erreichbar sein. z.B. wenn ich meinen eigenen Router betreibe.

Zitat von Lochkartenstanzer

Die können Dir auch auf Knopfdruck den Anschluß lahmlegen, oder auf 384kbps runterschalten (natürlich während Dein Router noch sagt, daß Du 100Mbps hast) oder smtp umleiten oder dns mit Stoppschuildern versehen, oder POP/IMAp nur auf Ihre eigenen Serve rzulassen, etc.

Der ISP hat prinzipiell den Verkehr zu meinem Router nichtzu reglementieren, egal ob das sinnvoll ist oder nciht. Nur wenn er selbst die Kisten managed darvf er das.
Genau deshalb hab ich Bauchschmerzen
the-buccaneer
the-buccaneer 09.12.2016 um 23:27:00 Uhr
Goto Top
Da bräuchte es eine Stellungnahme der Telekom. Die erreichbaren Router haben das Firmwareupdate bekommen. Die von aussen nicht erreichbaren Router (TR-069 abgeschaltet) sind nicht verwundbar.
Die Angriffsversuche sind halt noch häufig.
Hoffentlich kommt da jetzt keiner auf die Idee, Port 23 zuzumachen. Bei dem bösen Traffic auf den Geräten könnte man das fast begründen. face-wink

Frag doch mal bei der Telekom. Sage du benötigst den Port. Lasse dir erklären auf Basis welcher Vertragsbedingungen sie dir den Port sperren. face-wink

Buc
Lochkartenstanzer
Lochkartenstanzer 09.12.2016 um 23:44:05 Uhr
Goto Top
Zitat von @the-buccaneer:
.
Hoffentlich kommt da jetzt keiner auf die Idee, Port 23 zuzumachen.

Aber Port 22 könnte die Telekom blockieren. Da kommen alle paar Sekunden Hacker und wollen die Systeme aufhacken.

lks
the-buccaneer
the-buccaneer 10.12.2016 um 03:11:32 Uhr
Goto Top
mir rennen die auf port 23 die tür ein. port 22 kommt dann auch mal... und 5900 etc.
gibt ja nix, fernwartung läuft auf eigenem (meinem) port.
da gab es noch nie was. es ist so leicht, diese schrotschüsse abzuwehren...

o2 blockiert den 7547 jedenfalls nicht.
mir wärs fast recht das auch noch doppelt gemoppelt auf providerseite blocken zu können...

under attack...
buc
Lochkartenstanzer
Lochkartenstanzer 10.12.2016 aktualisiert um 06:51:02 Uhr
Goto Top
Zitat von @the-buccaneer:

mir wärs fast recht das auch noch doppelt gemoppelt auf providerseite blocken zu können...


Muß ich denn immer sichtvare İronietags dazumalen?

Der Provider hat keine Ports zu blockieren. Er kann zu Kisten, die er selbst verwaltet, den Traffic einschränken, aber den Kunden hat er volle Leistung zu bieten!

İch will keine Hayabusa haben, die jur 130 fahren darf. Da kann ich gleich eine Zündapp K50 nehmen.

lks
the-buccaneer
the-buccaneer 11.12.2016 um 01:04:47 Uhr
Goto Top
äh, der ironietag hätte doch zu meiner äusserung gemusst...
bin doch eigentlich völlig d'accord mit dir. face-wink

btw: ich hätte mir vor einiger zeit beinahe eine honda cb-50 geleistet. face-wink
buc
kaiand1
kaiand1 12.12.2016 um 13:55:28 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Aber Port 22 könnte die Telekom blockieren. Da kommen alle paar Sekunden Hacker und wollen die Systeme aufhacken.

lks

Den Port 80/443 aber auch da dort viele Versuche laufen einzudringen face-smile
117471
117471 12.12.2016 um 17:27:02 Uhr
Goto Top
Zitat von @joachim57:

Mir war auch gar nicht so richtig bewusst, das die ISP's quasi auf Knopfdruck ganze Ports blockieren können.

Wenn Du wüßtest, wie viele Internetanbieter z.B. Zugriff auf Port 25 blockieren. Und wenn ich mir mal angucke, was für einen Müll einige so ins Internet stellen, ist das auch ganz gut so.

Gruß,
Jörg
EynMarc
EynMarc 13.12.2016 um 09:56:27 Uhr
Goto Top
Port 25?
Also hast den kein SMTP?
Laut wiki ist Port 25 "Simple Mail Transfer Protocol (SMTP) wird für die E-Mail-Übermittlung zwischen E-Mail-Servern genutzt und findet sehr breite Unterstützung."
117471
117471 13.12.2016 um 21:52:55 Uhr
Goto Top
Zitat von @EynMarc:

Laut wiki ist Port 25 "Simple Mail Transfer Protocol (SMTP) wird für die E-Mail-Übermittlung zwischen E-Mail-Servern genutzt und findet sehr breite Unterstützung."

Jap. Und die Anbieter berufen sich im Zweifelsfall darauf, dass das von Dir gewählte Privatkundenprodukt nicht für die Anbindung von Servern gedacht ist.

In dem Fall gibt es meistens ein passendes Geschäftskundenprodukt; z.B. auch mit statischer IP-Adresse usw.

Gruß,
Jörg
mrtux
mrtux 13.12.2016, aktualisiert am 15.12.2016 um 18:46:07 Uhr
Goto Top
Hi!

Zitat von @joachim57:
Natürlich muss auch dieser Port erreichbar sein. z.B. wenn ich meinen eigenen Router betreibe.
Wieso? Was willst Du denn genau über diesen Port machen? Emule, BitTorrent? face-wink Für den Ottonormaluser ist es sowieso besser, wenn das TR069 gefiltert wird, auf dem Router sowieso und zumindest noch eine Weile, auch von den Providern. Wie oben von den Kollegen schon erwähnt, ist für Firmennetzwerke der jeweilige Admin verantwortlich und dort sollte man dann auch keine Homegeräte, wie die betroffenen Speedports, einsetzen.

mrtux
aqui
aqui 14.12.2016 um 16:12:23 Uhr
Goto Top
Am fehlenden Feedback des TO siehst du ja das er vermutlich selber nicht wirklich weiss was er will. Er sollte froh sein das der unsägliche TR-69er Port gefiltert ist und auch bleibt. Normal hätte ER das als Netzwerker so oder so machen sollen. Kein normaler Mensch der Wert auf seine Privatsphäre legt braucht TR-096.
Ein etwas sinnfreier Post....
Lochkartenstanzer
Lochkartenstanzer 14.12.2016 um 16:21:56 Uhr
Goto Top
Zitat von @aqui:

Er sollte froh sein das der unsägliche TR-69er Port gefiltert ist und auch bleibt. Normal hätte ER das als Netzwerker so oder so machen sollen. Kein normaler Mensch der Wert auf seine Privatsphäre legt braucht TR-096.

Es ist ein Unterschied, ob TR-069 oder nur der Port gefiltert wird. Ich sehe Filterung durch den Provider, sofern das nicht vertraglich vereinbart wurde, sehr skeptisch. Insbesondere führt das, wen der Provider das nicht deutlich dokumentiert zu großem Aufwand beim debugging. Denn mit dem gleichen Argument könnten die telnet, http, smtp, ssl, openVPN, etc filtern.

Von daher: Konkrete Filterung nur in akuten Gefahrensituationen oder in vertraglich vereinbarten Fällen, Ich persönlich möchte selbst an meiner Firewall entscheiden was durchkommt oder nicht und nicht den Provider schon mehrere hops vorher entscheiden lassen.

lks
kaiand1
kaiand1 14.12.2016 um 16:41:40 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @aqui:

Er sollte froh sein das der unsägliche TR-69er Port gefiltert ist und auch bleibt. Normal hätte ER das als Netzwerker so oder so machen sollen. Kein normaler Mensch der Wert auf seine Privatsphäre legt braucht TR-096.

Es ist ein Unterschied, ob TR-069 oder nur der Port gefiltert wird. Ich sehe Filterung durch den Provider, sofern das nicht vertraglich vereinbart wurde, sehr skeptisch. Insbesondere führt das, wen der Provider das nicht deutlich dokumentiert zu großem Aufwand beim debugging. Denn mit dem gleichen Argument könnten die telnet, http, smtp, ssl, openVPN, etc filtern.

Von daher: Konkrete Filterung nur in akuten Gefahrensituationen oder in vertraglich vereinbarten Fällen, Ich persönlich möchte selbst an meiner Firewall entscheiden was durchkommt oder nicht und nicht den Provider schon mehrere hops vorher entscheiden lassen.

lks

Da gabs doch mal vor einiger Zeit das beim Kabelanbieter wo dieser Ports gesperrt hat die angeblich für Bittorrent genutzt werden geblockt wurden.
Zahlreiche Kunden hatten sich beschwert da vorher auch keine Infos diesbezüglich vorlag.
Das Problem dabei war nur das ein große Spieleanbieter diese Ports fürs Onlinespielen verwendet hatte und etliche Kunden dank der Sperrung dies nicht mehr nutzten konnten.

Zumal wenn ein großer Angriff läuft (DDoS ect) ist es OK vom Provider gegenmaßnahmen dazu zu Unternehmen und kurzzeitig die Ports et zu Blocken aber auch nach X Zeit/wenn der ANgriff vorbei ist dies wider zu Entblocken.
Zumal wenn es Probleme gibt und du die Hotline anrufst die meist gar nicht wissen was man meint und die eh kaum eine Aktuelle Information vorliegen haben .