Internetanschluss und Tarife 23.330 Themen, 98.029 Beiträge

Internetzugangsdaten durch Autokonfiguration von Router abgreifbar?

mawe2 / 50 Antworten / Baumansicht Nickles
Am Kabel, bzw. am Port an dem das angeschlossen ist.

Also kann jeder, der an einem beliebigen Telekom-Anschluss einen (geeigneten) Router dranhängt, die Zugangsdaten des jeweiligen Anschlussinhabers auf diesen Router übertragen und dann anderswo missbrauchen?

Die Telekom veröffentlicht dieses Beispiel für die Zuteilung von Zugangsdaten:

Das ist wohl dann inzwischen überflüssig, wenn der Anschluss (wie früher bei POTS) einfach nur an den zwei Drähten erkannt wird, an denen er "hängt"?

Da ist ja - wie früher bei POTS - dem Missbrauch Tür und Tor geöffnet!

Gut, dass das bei Vodafone noch anders ist!

Dieser Beitrag wurde vom Thread "Am Kabel, bzw. am Port an dem das angeschlossen ist. War früher mit POTS auch nicht anders." wegen Themenabweichung abgespaltet.
bei Antwort benachrichtigen
Anne_21 mawe2 „Internetzugangsdaten durch Autokonfiguration von Router abgreifbar?“
Optionen
bzw. am Port an dem das angeschlossen ist.
Also kann jeder, der an einem beliebigen Telekom-Anschluss einen (geeigneten) Router dranhängt, die Zugangsdaten des jeweiligen Anschlussinhabers auf diesen Router übertragen und dann anderswo missbrauchen?

Mawe2, ist die Frage Ernst gemeint?

Guck mal nach, was im Netzwerk ein Port ist.

Bisschen Grundlagen dazu weiß sogar ich, auch wenn meine Arbeit meist mit for, if-then, go to und Formeln, Tabellen usw. zu tun hat(te).

bei Antwort benachrichtigen
mawe2 Anne_21 „Mawe2, ist die Frage Ernst gemeint? Guck mal nach, was im Netzwerk ein Port ist. Bisschen Grundlagen dazu weiß sogar ich, ...“
Optionen
ist die Frage Ernst gemeint?

Ja.

Wenn die Identifikation eines Anschlusses ausschließlich - wie bei POTS - über die Kabelverbindung stattfindet, kann man solche Anschlüsse viel leichter kapern und missbrauchen als es mit der Authentifizierung über echte individuell übermittelte Zugangsdaten der Fall ist.

Das wäre dann sicherheitstechnisch wirklich der Stand der 80er/90er Jahre!

Und wie schon gesagt: Bei Vodafone gibt es noch echte Zugangsdaten, die man im Router eintragen muss, bevor der Anschluss genutzt werden kann.

bei Antwort benachrichtigen
Anne_21 mawe2 „Ja. Wenn die Identifikation eines Anschlusses ausschließlich - wie bei POTS - über die Kabelverbindung stattfindet, kann ...“
Optionen

Bin der Frage ein wenig nachgegangen, aber ne Prüfung zum Thema würde ich noch nicht bestehen.

Eine einfache Beschreibung zum Thema findet sich hier (bei teltarif.de) und im Link unten.
Richtig Neugierige suchen und lesen weiter zum Thema.

Die Umstellung auf die neue Technik BNG "Broad­band Network Gateway" wurde Ende 2019 bei der Telekom abgeschlossen.

BNG-Umstellung: Das Netz ist jetzt ein anderes

Daraus ein Zitat zu Deiner Frage

Weil das Telekom-Netz mit BNG einen Anschluss automatisch erkennt, müssen Kunden am Router keine komplizierten Daten wie Anschlusskennung und Passwort mehr eingeben.
Viele Router von den Speedport-Modellen der Telekom bis zur Fritzbox unterstützen diese Neuerung namens "Easy Login" bereits.

Da habe ich natürlich nichts von mitgekriegt - da ich keine Telekom-Kundin bin.
Wissen will ich es trotzdem - wie Nachrichten sich durchs Internet verbreiten und am gewünschten Ziel ankommen. 

Bist Du noch misstrauisch, dass jeder einfach einen DSL-Zugang mit fremden Daten einrichten kann?

Gruss,
Anne

bei Antwort benachrichtigen
mawe2 Anne_21 „Bin der Frage ein wenig nachgegangen, aber ne Prüfung zum Thema würde ich noch nicht bestehen. Eine einfache Beschreibung ...“
Optionen

Erstmal danke für Deine Recherche.

Für mich sind diese Informationen völlig neu.

Leider geben auch die von Dir verlinkten Dokumente keine Auskunft darüber, was bei einem BNG-Anschluss technisch tatsächlich passiert.

Offensichtlich kann das hier auch niemand wirklich schlüssig erklären. Entweder ist es den Leuten sowieso völlig egal oder es werden irgendwelche Vermutungen geäußert, die letztendlich auch nicht stichhaltig sind.

Ausgangspunkt dieses Diskussionszweigs war ja die Behauptung, dass es Router gibt, in denen die Zugangsdaten des Anschlussinhabers schon vom Provider (bzw. Hersteller) hinterlegt sind.

Wenn man jetzt aber liest, dass sogar am freien Markt gekaufte Router (in denen naturgemäß noch keine individuellen Zugangsdaten hinterlegt sein können) sich ebenfalls automatisch konfigurieren, kann man diese Behauptung wohl offensichtlich als gegenstandlos bezeichnen.

Insofern ist meine Frage beantwortet.

Was beim BNG-Anschluss technisch tatsächlich stattfindet, bleibt noch zu klären.

Ob hier die Authentifizierung ähnlich unsicher stattfindet, wie seinerzeit bei einem gewöhnlichen Telefonanschluss (POTS), bleibt zu bezweifeln. Wenn selbst Borlander zugibt, sich mit dem Verfahren nicht wirklich auszukennen, dann muss man das erstmal akzeptieren.

Meine persönlichen Erfahrungen sind jedenfalls bisher so, dass ich in der letzten Zeit immer noch Zugangsdaten gebraucht habe, wenn ich irgendwo einen DSL-Zugang eingerichtet habe. Das passiert aber auch immer seltener, da offensichtlich alle Leute, die mich für sowas in Anspruch nehmen, seit einigen Jahren gut versorgt sind und nicht ständig ihre Anbieter wechseln.

bei Antwort benachrichtigen
Borlander mawe2 „Erstmal danke für Deine Recherche. Für mich sind diese Informationen völlig neu. Leider geben auch die von Dir ...“
Optionen
, dass ich in der letzten Zeit immer noch Zugangsdaten gebraucht habe, wenn ich irgendwo einen DSL-Zugang eingerichtet habe.

Ich hatte nun eher den gegenteiligen Eindruck: Router anstecken und läuft.

Es könnte übrigens sogar sein, dass diese Form der Konfiguration unabhängig von TR-069 erfolgt. Bin ich in einem Fall relativ sicher, dass das vorher ausgeschaltet wurde.

bei Antwort benachrichtigen
mawe2 Borlander „Ich hatte nun eher den gegenteiligen Eindruck: Router anstecken und läuft. Es könnte übrigens sogar sein, dass diese ...“
Optionen
Es könnte übrigens sogar sein, dass diese Form der Konfiguration unabhängig von TR-069 erfolgt. Bin ich in einem Fall relativ sicher, dass das vorher ausgeschaltet wurde.

Aha!

Das ist ja nun wieder ein ganz neuer Aspekt.

Dann wäre ja ein Großteil der ganzen Mutmaßungen in diesem Thread schon wieder hinfällig.

Vielleicht meldet sich hier noch jemand, der sich professionell mit der Thematik befasst und der kurz und knapp erklären kann, wie es denn nun wirklich funktioniert...

bei Antwort benachrichtigen
gelöscht_189916 Borlander „Ich hatte nun eher den gegenteiligen Eindruck: Router anstecken und läuft. Es könnte übrigens sogar sein, dass diese ...“
Optionen
Es könnte übrigens sogar sein, dass diese Form der Konfiguration unabhängig von TR-069 erfolgt. Bin ich in einem Fall relativ sicher, dass das vorher ausgeschaltet wurde.


Es gibt ja auch noch andere Fernwartungsprotokolle und ob ACS inzwischen auch ohne TR-069 läuft oder wie im Screenshot in mehreren Ebenen, die unterschiedliche Zugangsrechte ermöglichen, sei jetzt mal dahingestellt.

Tatsache ist doch trotzdem, dass dieses Verfahren schon lange üblich ist, die theoretischen Möglichkeiten zwar vorhanden sind, aber erst wie so oft in Kombination mit anderen Fehlern wirklich bedenklich sind. Sonst hätte man mit Sicherheit schon etwas davon mitbekommen, denn so ein flächendeckender Bug bleibt nicht unerkannt.

Und da muß ich unsere Behörden auch ausnahmsweise einmal in Schutz nehmen, denn das ist ja kein explizit deutsches Problem. Wenn´s da wirklich massive Mißbrauchsszenarien gäbe, dann wäre das längst unterbunden - denn so einen epic fail kann sich kein Anbieter leisten.

bei Antwort benachrichtigen
Borlander gelöscht_189916 „Es gibt ja auch noch andere Fernwartungsprotokolle und ob ACS inzwischen auch ohne TR-069 läuft oder wie im Screenshot in ...“
Optionen
aber erst wie so oft in Kombination mit anderen Fehlern wirklich bedenklich sind […] flächendeckender […] Und da muß ich unsere Behörden auch ausnahmsweise einmal in Schutz nehmen […] Wenn´s da wirklich massive Mißbrauchsszenarien gäbe, dann wäre das längst unterbunden - denn so einen epic fail kann sich kein Anbieter leisten.

Gerade im Hinblick auf Begehrlichkeiten in Richtung Online-Durchsuchungen sind staatliche Institutionen nicht unbedingt die, die uneingeschränktes Vertrauen genießen können. Es wurde ja nun auch schon häufiger deutlich, dass Sicherheitsrisiken bei der breiten Masse zu diesem Zweck in Kauf genommen werden. Und von den Funktionen ist es eigentlich auch genau das was man haben will um in Kooperation mit dem ISP Zugriff zum lokalen Netz zu erlangen.

bei Antwort benachrichtigen
gelöscht_189916 Borlander „Gerade im Hinblick auf Begehrlichkeiten in Richtung Online-Durchsuchungen sind staatliche Institutionen nicht unbedingt ...“
Optionen
Gerade im Hinblick auf Begehrlichenkeiten in Richtung Online-Durchsuchungen sind staatliche Institutionen nicht unbedingt die, die uneingeschränktes Vertrauen genießen können.


Das ist richtig. Aber wenn es da etwas gäbe auch im internationalen Rahmen, dann wäre ein CCC oder andere angesichts der Dauer längst darüber gestolpert, die das bereits im Einsatz ist.

Die FB-Lücke über dieses Protokoll wurde ja auch auf diesem Wege gefunden. Bekannt ist auch, dass Netzwerkhardware einer bestimmten Firmware ebenfalls bewußt Lücken hat(te) und die sind im Laufe der Zeit entdeckt und meist auch geschlossen worden.

Da wird sicher auch immer wieder etwas kommen. Die dabei eingesetzten Möglichkeiten sind aber bereits die hohe Schule des Pentestings usw. und die schlechteste Kombination ist dann so ein Plastikrouter mit Backdoor und ohne Support.

Da zähle ich aber die FB nicht dazu und wenn es etwas gäbe, dann hätte sich das auf Dauer wie die großen Abhöraktionen usw. nicht geheimhalten lassen. Insofern nehme ich an, dass über dieses Protokoll jetzt noch keine großen Angriffe gefahren wurden oder das es da schon ein CVE dazu gibt, weil übel gepatzt wurde.

Und das spielt dann auch in einer anderen Liga als mal eben mit einem Router Zugangsdaten an einem DSL-Port abgreifen;-)

bei Antwort benachrichtigen
Borlander gelöscht_189916 „Das ist richtig. Aber wenn es da etwas gäbe auch im internationalen Rahmen, dann wäre ein CCC oder andere angesichts der ...“
Optionen
Das ist richtig. Aber wenn es da etwas gäbe auch im internationalen Rahmen, dann wäre ein CCC oder andere angesichts der Dauer längst darüber gestolpert, die das bereits im Einsatz ist.

Die Sicherheitsrisiken sind grundsätzlich bekannt: https://de.wikipedia.org/wiki/TR-069#Sicherheit

Zur beschriebenen Nutzung bräuchte man also keine zusätzliche Technik oder eine Lücke. Wenn Du also eine Portweiterleitung nach außen öffnest oder gar eine neue Firmware hoch lädst, dann ist das kein Fehler, sondern genau das was das Protokoll vorsieht. Der ISP bekommt davon u.A. selbst ggf. nichts mit. Letztendlich hängt das auch davon ab wie häufig man solche Möglichkeiten nutzt: Je intensiver und je länger, desto höher ist die Wahrscheinlichkeit eines öffentlichen Bekanntwerdens.

bei Antwort benachrichtigen
gelöscht_189916 Borlander „Die Sicherheitsrisiken sind grundsätzlich bekannt: https://de.wikipedia.org/wiki/TR-069 Sicherheit Zur beschriebenen ...“
Optionen
Wenn Du also eine Portweiterleitung nach außen öffnest oder gar eine neue Firmware hoch lädst, dann ist das kein Fehler, sondern genau das was das Protokoll vorsieht.


Steht ja auch so im Elektronik-Kompendium, dass jeder offene Port ein potentielles Risiko ist. Alle Ports dicht ist aber auch blöd für digitales Kommunizieren;-)

Selbst dann ist die Lücke noch nicht das Problem, sondern erst wenn wie von Dir erwähnt, weiterer "Unsinn" dazu kommt. So gesehen ist jedes Durchleiten von Ports in das Internet riskant, wenn sich jemand per Portscan aufschaltet und dann über die Barriere Router in Dein Netz kommt. Das ist aber bei TR-069 nun wieder nicht vorgesehen.

Da wird vom Router der Server angeklingelt und nicht umgekehrt, dass der Server ständig nach Geräten auf Port 7547 sucht. Soweit ich das verstanden habe, hat dann der jeweilige Router Zertifikate, mit denen er sich beim Server "ausweist" und dann wird erst die eigentliche Datenverbindung ausgehandelt, die imho inzwischen über SSL läuft und damit nicht abgegriffen werden kann. Bei MITM dürfte die Prüfsumme nicht mehr stimmen und der Traffic bricht ab. Wird nichts mehr gesendet und empfangen, schaltet sich die Verbindung ebenfalls ab.

Die bisher bekannten Angriffe auf TR-069 liefen in aller Regel über die Fernwartungsports mit Ziel LAN, über selbstausgefüllte Zertifikate, auf aus dem Internet erreichbare Server der Provider oder ohne SSL.

https://www.qacafe.com/resources/acs-discovery/

https://www.heise.de/newsticker/meldung/Def-Con-22-Millionen-DSL-Router-durch-TR-069-Fernwartung-kompromittierbar-2292576.html?wt_mc=nl.heisec-summary

https://netzpolitik.org/2016/tr-069-die-telekom-und-das-was-wirklich-geschah/

https://www.heise.de/newsticker/meldung/TR-069-Fernwartungsluecke-bei-DSL-Routern-Deutsche-Internetanbieter-bezeichnen-ihre-Netze-als-sicher-2299863.html

Ganz so simpel mit einfach Router dran und dann mal eben neben den Zugangsdaten gleich noch sonstwas mit abgezogen ist es dann doch nicht...

bei Antwort benachrichtigen
Borlander gelöscht_189916 „Steht ja auch so im Elektronik-Kompendium, dass jeder offene Port ein potentielles Risiko ist. Alle Ports dicht ist aber ...“
Optionen

Das Risiko bei TR-069 besteht weniger von außen oder durch neue Sicherheitslücken, sondern darin, dass überhaupt eine Dritte Partei (in Form des ISPs) diese Möglichkeiten ganz regulär hat.

bei Antwort benachrichtigen
Borlander mawe2 „Internetzugangsdaten durch Autokonfiguration von Router abgreifbar?“
Optionen
Also kann jeder, der an einem beliebigen Telekom-Anschluss einen (geeigneten) Router dranhängt, die Zugangsdaten des jeweiligen Anschlussinhabers auf diesen Router übertragen und dann anderswo missbrauchen?

Nicht zwangsläufig. Die automatische Konfiguration bedeutet nicht automatisch, dass man mit die Zugangsdaten dann an anderen Ports ebenfalls nutzen kann. Und man muss auf diesen Weg auch nicht zwingend den selben Zugang erteilen wie bei manueller Konfiguration. Habe mich nicht näher mit den Verfahren beschäftigt, aber es gibt durchaus konzeptionelle Möglichkeiten um die Mitnahme des Zugangs zu verhindern.

bei Antwort benachrichtigen
gelöscht_35042 Borlander „Nicht zwangsläufig. Die automatische Konfiguration bedeutet nicht automatisch, dass man mit die Zugangsdaten dann an ...“
Optionen

Den will ich sehen, der an meinem Anschluss einen fremden Router anhängt..

Da gibt es nicht einzigen Hinweis im Netz, dass sowas schon mal vorgekommen ist!

Na gut, jedem seine Paranoia...Zwinkernd

bei Antwort benachrichtigen
Borlander gelöscht_35042 „Den will ich sehen, der an meinem Anschluss einen fremden Router anhängt.. Da gibt es nicht einzigen Hinweis im Netz, dass ...“
Optionen

Bei von außen zugänglichen Telefonanschlüssen (Kabel an der Außenwand sichtbar) wäre das nun nicht so abwegig.

bei Antwort benachrichtigen
mawe2 Borlander „Bei von außen zugänglichen Telefonanschlüssen Kabel an der Außenwand sichtbar wäre das nun nicht so abwegig.“
Optionen
Bei von außen zugänglichen Telefonanschlüssen (Kabel an der Außenwand sichtbar) wäre das nun nicht so abwegig.

Deswegen war ich ja so skeptisch, ob die Authentifizierung wirklich wie bei POTS abläuft.

Selbst wenn der Anschluss im Inneren des Hauses liegt, ist er sehr oft leicht zu manipulieren.

Wie der Missbrauch bei einem POTS-Anschluss ablaufen kann, ist mir seit den 90er Jahren bekannt.

Wobei es wahrscheinlich immer noch einen Unterschied gibt, zwischen einem analogen Telefonat und einem digitalen Verfahren zur Datenübertragung.

bei Antwort benachrichtigen
gelöscht_35042 Borlander „Bei von außen zugänglichen Telefonanschlüssen Kabel an der Außenwand sichtbar wäre das nun nicht so abwegig.“
Optionen

Aha,

dann fummelt der böse Bube an dem Verteiler genau meinen Anschluss von der Telekom raus und dann hätte er die Daten!

Ich glaube aber, dass dann bei einem fremden Einwahlknoten Ende im Gelände ist mit seinem Router!

Jetzt iss aber gut..

bei Antwort benachrichtigen
gelöscht_35042 Nachtrag zu: „Aha, dann fummelt der böse Bube an dem Verteiler genau meinen Anschluss von der Telekom raus und dann hätte er die Daten! ...“
Optionen

Wenn nur ein Fall von solcher Manipulation bei Millionen von Telekomkunden bekannt wäre, wüsste das die Bildzeitung!

Panikmache von Leuten wieder mal, denen der Durchblick fehlt..

bei Antwort benachrichtigen
mawe2 gelöscht_35042 „Wenn nur ein Fall von solcher Manipulation bei Millionen von Telekomkunden bekannt wäre, wüsste das die Bildzeitung! ...“
Optionen
Panikmache von Leuten wieder mal, denen der Durchblick fehlt..

Wenn ich den Durchblick hätte, wäre dieses Forum das Letzte, wo ich nach diesen Dingen fragen würde...

Wenn Du den Durchblick hast, wieso schriebst Du dann oben

Mir auch vollkommen egal! Funzt perfekt, ferddich..

Ich habe keine Panik gemacht, ich habe nur nachgefragt, wie das Verfahren denn nun heute konkret funktioniert, wenn es nicht mehr mit der Eingabe individueller Zugangsdaten abgewickelt wird.

Offensichtlich weiß das hier momentan niemand.

bei Antwort benachrichtigen
gelöscht_189916 mawe2 „Wenn ich den Durchblick hätte, wäre dieses Forum das Letzte, wo ich nach diesen Dingen fragen würde... Wenn Du den ...“
Optionen
Offensichtlich weiß das hier momentan niemand.


Wurde zwar von mir weiter unten schon beschrieben, aber das läuft über besagtes TR-069. Insofern liegt Anne_21 m.E. auch nicht ganz richtig damit, dass die Daten im Router eingetragen sind bei 1&1. Da bezieht sich das Branding m.E. nur auf die Möglichkeit, deren FB aka Homeserver mit anderen Anbietern zu nutzen.

In der FB findest Du die Information zu TR-069 und ACS unter Diagnose-->Sicherheit.



Wenn Du das vor dem erstmaligen Verbinden deaktivierst, kannst Du jeden Router bei jedem Provider an die Strippe hängen, bis Du schwarz wirst und es passiert gar nichts. Das hat aber Borlander m.E. bereits so beschrieben.

Und in der Theorie ist es sicher richtig, dass auf diese Art jemand die Zugangsdaten erlangen kann. Der kann aber genauso den von Dir gezeigten Wisch mit den Daten kopieren oder klauen, wenn er schon einmal in Deiner Bude ist. Mich würde das jedenfalls etwas befremdlich stimmen, wenn da ein Besucher anfinge, in meiner Wohnung mit einem Router am DSL-Anschluß herumzufingern;-)

So btw. kann er mit den Zugangsdaten auch nur an diesem Anschluß etwas anfangen und sonst nirgends.

Ob dann das Verfahren von Vodafone tatsächlich das bessere ist oder war, dass Kunden ihre Zugangsdaten überhaupt nicht bekommen oder erst explizit anfordern müssen und damit der Einsatz eines anderen Routers für Normalsterbliche relativ sicher verhindert wird, lasse ich mal im Raum stehen. Speziell mit LTE-Büchsen und den Homeboxen hatte ich da schon viel Freude deshalb. Stundenlange Telefonate mit dem Service wegen nicht funktionierender Internetverbindung - über die ja dank VoIP auch die Telefonie läuft - sind auch nicht das Wahre.

Kurz gesagt: TR-069 mit ACS ist das ganze "Geheimnis" dieser Sache.

bei Antwort benachrichtigen
mawe2 gelöscht_189916 „Wurde zwar von mir weiter unten schon beschrieben, aber das läuft über besagtes TR-069. Insofern liegt Anne_21 m.E. auch ...“
Optionen
Und in der Theorie ist es sicher richtig, dass auf diese Art jemand die Zugangsdaten erlangen kann.

Danke.

Der kann aber genauso den von Dir gezeigten Wisch mit den Daten kopieren oder klauen, wenn er schon einmal in Deiner Bude ist.

Für das Erlangen der Zugangsdaten per TR-069 muss er aber gar nicht "in die Bude", um den Wisch zu kopieren allerdings schon. Das ist also nochmal ein kleiner Unterschied.

Mich würde das jedenfalls etwas befremdlich stimmen, wenn da ein Besucher anfinge, in meiner Wohnung mit einem Router am DSL-Anschluß herumzufingern;-)

Es gibt viele Leute (mit solchen habe ich auch gelegentlich zu tun), die würden sich dabei gar nichts denken und würden davon ausgehen, dass das schon alles seine Richtigkeit haben wird.

Aber wie gesagt: Das Kabel kommt im Keller an, in die Wohnung muss man ja gar nicht.

Ob dann das Verfahren von Vodafone tatsächlich das bessere ist oder war, dass Kunden ihre Zugangsdaten überhaupt nicht bekommen

Bei Vodafone habe ich sie vor einem halben Jahr ganz normal mit einem Schreiben übermittelt bekommen und kann sie auch an anderen (Vodafone-)Anschlüssen nutzen. Und natürlich mit beliebigen Routern. (Das wird doch schon seit Längerem per Gesetz zugesichert. Das Gesetz gilt auch für Vodafone.)

Ob der automatisch konfigurierte Telekom-Router eine Verwendung an einem anderen Anschluss verwehren würde, müsste noch überprüft werden. Für Leute, die gern (legal) an dem einem (Telekom-)Anschluss (z.B.) die SIP-Telefonie eines anderen Telekom-Anschlusses nutzen wollen, wäre es zumindest von Nachteil, wenn das verhindert wird.

Damit hat man dann alle Nachteile der SIP-Telefonie, ohne ihre Vorteile gleichzeitig auch zu bekommen.

TR-069 mit ACS ist das ganze "Geheimnis" dieser Sache.

Ja. Solange man die Zugangsdaten vom Provider noch bekommt, um sie auch ohne TR-069 nutzen zu können, ist das ja auch OK.

bei Antwort benachrichtigen
gelöscht_189916 mawe2 „Danke. Für das Erlangen der Zugangsdaten per TR-069 muss er aber gar nicht in die Bude , um den Wisch zu kopieren ...“
Optionen
Aber wie gesagt: Das Kabel kommt im Keller an, in die Wohnung muss man ja gar nicht.


Dann macht das aber auch kein Unbeleckter und bei einem Mehrfamilienhaus oder Wohnblock wünsche ich dann viel Spaß beim Abgrasen der Klingeldrähte. Vermutlich sind die dann in einem verschlossenen Schrank uswusf. Das ist also sehr hypothetisch.

In einem Ein- bis Vierfamilienhaus wird selbst das als in sich geschlossene Wohneinheit mit einer verschlossenen Haustür verbunden sein und da ist der "Besucherandrang" m.E. so übersichtlich, dass da nicht jeder "Wildfremde" mit Laptop und Router unter dem Arm mal einfach in den Keller geht.

Alles in allem nehme ich an, dass ohne eine übertriebene Paranoia für das organisierte Verbrechen geklaute DSL-Zugangsdaten nicht lukrativ genug sind, sonst hätte man da schon mehr davon gehört.

Bei Vodafone habe ich sie vor einem halben Jahr ganz normal mit einem Schreiben übermittelt bekommen und kann sie auch an anderen (Vodafone-)Anschlüssen nutzen. Und natürlich mit beliebigen Routern. (Das wird doch schon seit Längerem per Gesetz zugesichert. Das Gesetz gilt auch für Vodafone.)


Zum Glück ist das inzwischen so. Davor haben die sich neben ein paar anderen Anbietern sehr bedeckt gehalten damit - Gründe sehr wahrscheinlich siehe oben und so prall waren deren Geräte ähnlich wie das Geraffel der T-Kom im Vergleich zur FB auch nicht unbedingt.

bei Antwort benachrichtigen
gelöscht_35042 gelöscht_189916 „Dann macht das aber auch kein Unbeleckter und bei einem Mehrfamilienhaus oder Wohnblock wünsche ich dann viel Spaß beim ...“
Optionen
Alles in allem nehme ich an, dass ohne eine übertriebene Paranoia für das organisierte Verbrechen geklaute DSL-Zugangsdaten nicht lukrativ genug sind, sonst hätte man da schon mehr davon gehört.

Aber nicht für mave2!

Da kommt sofort wegen "Nichtwissens" aber Misstrauen auf, aber Hallo...

Am Verteiler rumfummeln, Schwachsinn...

Ich habe noch Telefonbau gelernt und die Zeiten wo wir mit schwarzen Gummiknochen mit Wählscheibe am Verteiler die Anschlüsse geprüft haben, die außen an den Häusern montiert waren, sind lange vorbei!!

bei Antwort benachrichtigen
mawe2 gelöscht_189916 „Dann macht das aber auch kein Unbeleckter und bei einem Mehrfamilienhaus oder Wohnblock wünsche ich dann viel Spaß beim ...“
Optionen
Alles in allem nehme ich an, dass ohne eine übertriebene Paranoia für das organisierte Verbrechen geklaute DSL-Zugangsdaten nicht lukrativ genug sind, sonst hätte man da schon mehr davon gehört.

Darum geht es doch gar nicht.

Es ist nur die Frage, ob bei etwas so Wichtigem wie der Authentifizierung zur Nutzung eines DSL-Zugangs neuerdings wirklich deutlich unsicherere Verfahren eingesetzt werden als noch vor wenigen Jahren. Und das kann ich mir nicht so recht vorstellen.

bei Antwort benachrichtigen
gelöscht_189916 mawe2 „Darum geht es doch gar nicht. Es ist nur die Frage, ob bei etwas so Wichtigem wie der Authentifizierung zur Nutzung eines ...“
Optionen
Es ist nur die Frage, ob bei etwas so Wichtigem wie der Authentifizierung zur Nutzung eines DSL-Zugangs neuerdings wirklich deutlich unsicherere Verfahren eingesetzt werden als noch vor wenigen Jahren.


Neuerdings? Das ist schon länger Usus. Bei Heise wird das z.B. schon 2007 erwähnt und da gab es auch einmal die Zeit der FB-Lücke, wo über den Fernwartungsport Privilegien durchgereicht wurden und damit Zugriff auf den Router möglich war.

Und das kann ich mir nicht so recht vorstellen.


Ist aber Realität.

Scheint aber so unsicher auch nicht zu sein und imho halte ich meinereiner durchaus für sicherheitsaffin;-)

Die Kritikpunkte am Protokoll selber stehen im Wikipedia drin und die Signale bzw. Informationen über den jeweiligen Anschluß liegen immer auf der Leitung, denn darüber hat bereits vorher der ISP mit dem Provider den Zugang ausgehandelt. Sage mir keiner, dass man da diese nicht auch hätte abgreifen können und es ist nicht geschehen in großem Stil. Worin dann da das Unsicherere bestehen soll, ist ergo fraglich.

Viel riskanter als der einzelne Anschluß sind dann Lücken bei den Providern, wo über deren Server massenhaft Endgeräte kompromittierbar waren und sicher irgendwann auch wieder sind.

Wie´s läuft, ist hier recht knapp und verständlich beschrieben und da steht auch etwas zum Sicherheitsproblem.

Bezugnehmend auf Hersteller und Server hätte ich bei Routern über DSL relativ wenig Bedenken, wenn die solide konfiguriert sind und die Firmware aktuell ist. Ob man ACS nutzt, hat ja jeder selber in der Hand. Wer ganz sicher gehen will, macht halt den Port 7547 dicht.

Bedenklicher ist da für mich der ganze Krempel des Internet-of-Shit, dessen Nach-Hause-Telefonie genauso funktioniert, sich in aller Regel nicht abschalten lässt und das andere Ende der Strippe viel weniger verifizierbar ist.

bei Antwort benachrichtigen
mawe2 gelöscht_189916 „Neuerdings? Das ist schon länger Usus. Bei Heise wird das z.B. schon 2007 erwähnt und da gab es auch einmal die Zeit der ...“
Optionen
Bei Heise wird das z.B. schon 2007 erwähnt

Hast Du den Artikel mal gelesen?

Dort steht ausdrücklich (Zitat): "Beispielsweise sind Router am Markt, bei denen der Kunde lediglich einen Startcode (PIN) über die Oberfläche des Geräts eingeben muss, um so die Fernkonfiguration in Gang zu setzen – ein Server des Providers erledigt dann den Rest und stellt im Teilnehmer-Router die Zugangs- und Anmeldedaten automatisch aus der Ferne ein."

Hier aber reden wir über ein Verfahren, wo genau dies (angeblich) nicht stattfindet!

Weiter heißt es in dem Heise-Artikel (Zitat): "Damit die Kundendaten nicht Unbefugten in die Hände fallen, die damit zum Beispiel Telefonate zu Lasten des legitimen Nutzers führen könnten, setzen viele Provider auf separate Zusendung dieser Daten per Post."

Heise schreibt also selbst, dass die separate Zusendung von Authentifizierungsinformationen dem Missbrauch entgegenwirken sollen.

Wie diesem Missbrauch entgegengewirkt werden soll, wenn die Daten automatisch übermittelt werden, wird nicht erklärt.

Es geht bei meiner Frage ausdrücklich nicht darum, ob mit TR-069 der Router des Endkunden leichter angreifbar ist als mit anderen Mitteln. Will der Anschlussinhaber dies vermeiden, muss er TR-069 deaktivieren (bzw. dessen Port).

Es geht darum, dass man mit dem bloßen Anschließen eines geeigneten Routers an einen solchen Anschluss an die Zugangsdaten (z.B. für SIP-Telefonie) gelangt, die man dann anschließend leicht an anderer Stelle missbrauchen kann.

Den Zugang zu einem solchen Anschluss kann man an verschiedenen Stellen bekommen. Das geht auch, ohne dass der eigentliche Anschlussinhaber das überhaupt merkt.

Fällt das wirklich nur mir auf, dass das eigentlich ein NoGo ist???

bei Antwort benachrichtigen
gelöscht_189916 mawe2 „Hast Du den Artikel mal gelesen? Dort steht ausdrücklich Zitat : Beispielsweise sind Router am Markt, bei denen der Kunde ...“
Optionen
Dort steht ausdrücklich (Zitat): "Beispielsweise sind Router am Markt, bei denen der Kunde lediglich einen Startcode (PIN) über die Oberfläche des Geräts eingeben muss, um so die Fernkonfiguration in Gang zu setzen – ein Server des Providers erledigt dann den Rest und stellt im Teilnehmer-Router die Zugangs- und Anmeldedaten automatisch aus der Ferne ein." Hier aber reden wir über ein Verfahren, wo genau dies (angeblich) nicht stattfindet!


Und was steht direkt darunter?

"Manche Betreiber gehen bei ihrem DSL-Angebot noch einen Schritt weiter: Die Inbetriebnahme von Internet und Telefonie ist mit dem Anschluss des Gerätes bereits abgeschlossen; ein Startcode ist nicht erforderlich und der PC kann ausgeschaltet bleiben. So bietet die Deutsche Telekom seit letztem Jahr einen Internet-Zugang mit automatischer Einrichtung an. VDSL-Teilnehmeranschlüsse funktionieren ohne manuelle Eingabe von Internet-Zugangsdaten direkt nach dem Verbinden mit dem DSL-Anschluss. Weitere Provider wollen bald schon nachziehen."

Und das war 2007!

Fällt das wirklich nur mir auf, dass das eigentlich ein NoGo ist???


Dazu noch einmal das Elektronik-Kompendium:

Teil der Kommunikation des Routers mit dem Fernwartungsserver ist der TCP-Port 7547, über den der DSL-Router vom Netzbetreiber eingerichtet und konfiguriert wird. Funktional klopft der Fernwartungsserver des Netzbetreibers beim Router auf diesem Port an. Sofern die Kommunikation authentifiziert und verschlüsselt ist, ist ein Angreifer nicht in der Lage von außen in die Verbindung einzudringen.


Ob ich das also per Startcode initialisiere oder über die Automatik, spielt für den Vorgang des Aushandelns keine Rolle.

Es geht darum, dass man mit dem bloßen Anschließen eines geeigneten Routers an einen solchen Anschluss an die Zugangsdaten (z.B. für SIP-Telefonie) gelangt, die man dann anschließend leicht an anderer Stelle missbrauchen kann.

SIP ist grundsätzlich dafür gedacht, überall zu funktionieren.

SIP-Telefonie ist für eine weltweite Verwendung ausgelegt und benutzt deswegen in der Regel auch im nationalen Gebrauch internationale Adressformate. Beispielsweise könnte der Anschluss beliebig auf der Welt immer unter der gleichen Telefonnummer erreicht werden. So kann für ein SIP-Telefon eine geographische Telefonnummer für London zugeteilt sein, das SIP-Telefon registriert sich jedoch zum Beispiel in Stuttgart. Wird die Londoner Nummer angerufen, so meldet sich das SIP-Telefon in Stuttgart. Diese Funktionalität einer Mobilität wird gerade in IMS basierten Multimedianetzen der nächsten Generation verwendet.


Und dann mußt Du dennoch direkt in die Routerkonfiguration rein, um Deine SIP dort einzutragen:

Zitat be Heise:

Außerdem stellt die Spezifikation sicher, dass ein ACS private Daten wie Passwörter des CPE allenfalls schreiben, nicht aber lesen kann – dafür räumt ihm das CPE keine Rechte ein. Deshalb kann ein DSL-Anbieter über ACS beispielsweise eigene VoIP-Konten für den sofortigen Gebrauch anlegen, nicht aber manuell angelegte Parameter fremder VoIP-Anbieter auslesen. Das heißt auch, dass WLAN-Keys zur Verschlüsselung des Funknetzwerks ebenso geheim bleiben wie Passwörter von VoIP-Konten, die der Nutzer manuell hinzugefügt hat.
Doch TR-069 ist nicht unumstritten. Manche Datenschützer befürchten Übergriffe von Strafverfolgungsbehörden auf die Privatsphäre. Bei Einsicht in die Spezifikation erscheinen solche Befürchtungen freilich gegenstandslos, denn die rein über TR-069-Funktionen zugänglichen Benutzerdaten sind nicht brisant; überdies liegt ein Großteil der Verkehrsdaten auf Backbone-Routern der Provider ohnehin unverschlüsselt vor.


Wie das heute aussieht, wäre zu ergründen, und wenn ein SIP-Telefon sowieso an jedem netzwerk- und internetfähigen Zugang funktioniert, kann man sich das Gekrampfe mit deswegen abgezogenen Daten auch sparen und wenn, blockt das der Provider.

Da sehe ich jetzt nicht wirklich den Panikpunkt bei dieser Geschichte, wenn der potentielle Zugriff sowieso sehr hypothetisch ist.

bei Antwort benachrichtigen
gelöscht_35042 gelöscht_189916 „Und was steht direkt darunter? Manche Betreiber gehen bei ihrem DSL-Angebot noch einen Schritt weiter: Die Inbetriebnahme ...“
Optionen

Wer hat heute eigentlich noch SIP-Telefone?

Vielleicht eher für Firmen interessant oder so...

SIP-Telefone hatte ich zu ISDN-Zeiten, wo telefonieren noch richtig Geld kostete.

Heute habe ich eine FB mit 6 Fritzfones  und eine Flat für alle deutsche Handynetze über die Telekom, da war es und wenn es sein muss, kann ich mein Handy noch dazu schalten!

https://www.placetel.de/ratgeber/sip-telefon

bei Antwort benachrichtigen
Borlander mawe2 „Darum geht es doch gar nicht. Es ist nur die Frage, ob bei etwas so Wichtigem wie der Authentifizierung zur Nutzung eines ...“
Optionen
ob bei etwas so Wichtigem wie der Authentifizierung zur Nutzung eines DSL-Zugangs neuerdings wirklich deutlich unsicherere Verfahren eingesetzt werden als noch vor wenigen Jahren. Und das kann ich mir nicht so recht vorstellen.

Was ist daran so schwer? Es wurde auch möglich gemacht Bankkonten rein online zu eröffnen mit fragwürdigen Video-Ident-Verfahren (oder sogar nur mit Bild) und Online-Banking mit 2FA auf dem selben Gerät eingeführt. Sicherheit wird immer häufiger zu Gunsten von Einfachheit geopfert und das ganze wird dann gerne noch als Innovation dargestellt.

bei Antwort benachrichtigen
mawe2 Borlander „Was ist daran so schwer? Es wurde auch möglich gemacht Bankkonten rein online zu eröffnen mit fragwürdigen ...“
Optionen

Das liest sich ein wenig so, dass Du meinen Eindruck, dass es sich hierbei um eine verringerte Sicherheit handelt, teilst, dies aber als einem allgemeinen Trend folgend tolerierst?

bei Antwort benachrichtigen
Borlander mawe2 „Das liest sich ein wenig so, dass Du meinen Eindruck, dass es sich hierbei um eine verringerte Sicherheit handelt, teilst, ...“
Optionen
Das liest sich ein wenig so, dass Du meinen Eindruck, dass es sich hierbei um eine verringerte Sicherheit handelt, teilst,

Ja. Ich sehe da ein Risiko.

dies aber als einem allgemeinen Trend folgend tolerierst?

Nein. Ich schalte z.B. TR-069 schon immer bewusst ab. Die Mehrheit wird das aber eher nicht tun :-\

bei Antwort benachrichtigen
mawe2 Borlander „Ja. Ich sehe da ein Risiko. Nein. Ich schalte z.B. TR-069 schon immer bewusst ab. Die Mehrheit wird das aber eher nicht ...“
Optionen
Ich sehe da ein Risiko.

Dann sind wir ja schon zwei.

bei Antwort benachrichtigen
Borlander mawe2 „Danke. Für das Erlangen der Zugangsdaten per TR-069 muss er aber gar nicht in die Bude , um den Wisch zu kopieren ...“
Optionen
bei Antwort benachrichtigen
gelöscht_35042 mawe2 „Wenn ich den Durchblick hätte, wäre dieses Forum das Letzte, wo ich nach diesen Dingen fragen würde... Wenn Du den ...“
Optionen

Bleib einfach bei Vodafone und ferddich..

Deine ellenlange Monologe mit Null Wissen über solche Anschlüsse nerven wieder einmal!!

Ich habe schon bestimmt 10 solcher Anschlüsse bei meinen Kunden gemacht und weiß einfach Bescheid.

Ich hinterfrage auch nicht, wie das Automatik-Getriebe bei meinem Auto funktioniert!

Es funzt einfach ein ferddich...

bei Antwort benachrichtigen
mawe2 gelöscht_35042 „Bleib einfach bei Vodafone und ferddich.. Deine ellenlange Monologe mit Null Wissen über solche Anschlüsse nerven wieder ...“
Optionen

Nur weil bestimmte Zusammenhänge Deine geistigen Möglichkeiten überfordern, heißt das ja nicht, dass es bei anderen Leute auch so sein muss!

bei Antwort benachrichtigen
gelöscht_35042 mawe2 „Nur weil bestimmte Zusammenhänge Deine geistigen Möglichkeiten überfordern, heißt das ja nicht, dass es bei anderen ...“
Optionen

Ich weiß, du bist schlauer als ich..Zunge raus.

Musst aber noch ein paar Butterbrote essen um wirklich mitzuhalten...

EOD

bei Antwort benachrichtigen
Borlander gelöscht_35042 „Bleib einfach bei Vodafone und ferddich.. Deine ellenlange Monologe mit Null Wissen über solche Anschlüsse nerven wieder ...“
Optionen
Ich […] weiß einfach Bescheid. […] Ich hinterfrage […] nicht, […] Es funzt einfach ein

"Bescheid wissen" ohne zu verstehen wie etwas funktioniert. Das ist ist definitiv ein "interessantes" Konzept.

bei Antwort benachrichtigen
mawe2 Borlander „Bescheid wissen ohne zu verstehen wie etwas funktioniert. Das ist ist definitiv ein interessantes Konzept.“
Optionen
"Bescheid wissen" ohne zu verstehen wie etwas funktioniert. Das ist ist definitiv ein "interessantes" Konzept.

Und dann noch diejenigen, die zumindest versuchen, die Zusammenhänge zu verstehen, mit

Panikmache von Leuten wieder mal, denen der Durchblick fehlt..

oder

Da kommt sofort wegen "Nichtwissens" aber Misstrauen auf, aber Hallo...

oder

Schwachsinn

oder

ellenlange Monologe mit Null Wissen über solche Anschlüsse

zu verunglimpfen, macht dieses Konzept noch "interessanter".

Die Krönung des Ganzen ist dann noch das Durcheinanderwerfen von ISDN und SIP ohne dabei zu merken, wie stark er damit seine kapitalen Defizite dokumentiert.

bei Antwort benachrichtigen
gelöscht_35042 mawe2 „Und dann noch diejenigen, die zumindest versuchen, die Zusammenhänge zu verstehen, mit oder oder oder zu verunglimpfen, ...“
Optionen
Die Krönung des Ganzen ist dann noch das Durcheinanderwerfen von ISDN und SIP ohne dabei zu merken, wie stark er damit seine kapitalen Defizite dokumentiert.

Du bist einfach ein Nichtwissender, wie der ganze Thread hier zeigt!

Zu ISDN-Zeiten hatte ich 2 SIP-Telefone die ich so konfigurieren konnte (hing ein Anbieter dazwischen, wer weiß ich nicht mehr, ist zu lange her)), dass ich das zweite Telefon irgendwo (Europa) einstecken konnte, sofern ein passender Anschluss vorhanden war, und ich dann zwischen diesen 2 Telefonen kostenlos telefonieren konnte.

Mit meiner Wohnung in Paris hat das einwandfrei funktioniert!

Aber einfach unpraktisch, die Telefone waren einfach zu groß um sie mitzuschleppen oder mit Adaptern für den Anschluss zu fummeln!

Was ist daran verkehrt?

bei Antwort benachrichtigen
mawe2 gelöscht_35042 „Du bist einfach ein Nichtwissender, wie der ganze Thread hier zeigt! Zu ISDN-Zeiten hatte ich 2 SIP-Telefone die ich so ...“
Optionen
Zu ISDN-Zeiten

SIP wurde überhaupt erst etabliert, als ISDN schon seine besten Zeiten hinter sich hatte.

Da gab's aber schon lange Telefonieflatrates und die Behauptung,

wo telefonieren noch richtig Geld kostete

traf in diesem Zeitraum schon längst nicht mehr zu.

Du bist einfach ein Nichtwissender, wie

dieser und alle anderen Threads von Dir zeigen.

Aber ich kann Dich beruhigen: Nichtwissen ist nicht schlimm.

Charakterlich verdorben zu sein dagegen schon...

bei Antwort benachrichtigen
gelöscht_35042 mawe2 „SIP wurde überhaupt erst etabliert, als ISDN schon seine besten Zeiten hinter sich hatte. Da gab s aber schon lange ...“
Optionen

Deine Antworten sind mir einfach zu dumm!

Du windest dich wie ein Wurm in diesem Thread, weil du es nicht wusstest mit der Telekom und über Telefonkosten ins Ausland über ISDN bist du bestimmt nicht der "Wissende".

Und nur deswegen habe ich damals SIP-Telefone eingesetzt.

Wer lesen kann, ist klar im Vorteil...

Und jetzt hast du nichts mehr drauf und kommst der Charakter-Masche!

Typisch für dich..

EOD

bei Antwort benachrichtigen
mawe2 gelöscht_35042 „Deine Antworten sind mir einfach zu dumm! Du windest dich wie ein Wurm in diesem Thread, weil du es nicht wusstest mit der ...“
Optionen
Du windest dich wie ein Wurm in diesem Thread, weil du es nicht wusstest

Keineswegs.

Falls es Dir noch nicht aufgefallen ist: Genau, weil jemand etwas nicht weiß, fragt er in einem Forum nach. Falls Du das für verwerflich hältst, bestätigt das nur mein jahrelanges Bild von Dir.

Ich kann Dir versichern: Zu Themen, wo ich selbst schon Bescheid weiß, werde ich hier ganz sicher nichts fragen. Wozu auch?

Für Leute, wie Dich, die das Forum eher als Bühne zur (immer wieder misslingenden) Selbstdarstellung brauchen, ist sowas natürlich unvorstellbar!

Ich habe zu der Zeit, als Du (angeblich) unhandliche SIP-Telefone durch Europa geschleppt hast, das Selbe mit ganz handlichen Geräten gemacht. Also halt den Ball einfach ein wenig flacher...

bei Antwort benachrichtigen
mawe2 gelöscht_35042 „Deine Antworten sind mir einfach zu dumm! Du windest dich wie ein Wurm in diesem Thread, weil du es nicht wusstest mit der ...“
Optionen
Und jetzt hast du nichts mehr drauf und kommst der Charakter-Masche!

Du hast doch nicht etwa die Charakter-Bemerkung auf Dich bezogen?

bei Antwort benachrichtigen
gelöscht_35042 Borlander „Bescheid wissen ohne zu verstehen wie etwas funktioniert. Das ist ist definitiv ein interessantes Konzept.“
Optionen

Ich weiß Bescheid sollte nur darauf hinweisen, dass ich Bescheid weiß, dass die Anschlüsse genau so funktionieren.

Box anschließen und das war es..

Mein Gott was für ein Aufriss weil mave2  das nicht wusste und er mit allen Mitteln versucht, sein Unwissen darüber das "Ganze" erst madig zu machen und dann seine Mutmaßungen langsam zu relativieren!

Dein geballtes Fachwissen ist ja in Ordnung, dürfte aber in Wirklichkeit die wenigsten hier interessieren!

Hast du es jetzt bald, du schlaues Kerlchen..Unentschlossen

bei Antwort benachrichtigen
gelöscht_35042 Nachtrag zu: „Ich weiß Bescheid sollte nur darauf hinweisen, dass ich Bescheid weiß, dass die Anschlüsse genau so funktionieren. Box ...“
Optionen

Das ganze Gedöns über die Technik die da dahinter steckt, ist besonders für den TS wahnsinnig wichtig und interessant.

Eigentlich müsstest du dich selbst abspalten mit einem Thread über die techn. Ausführungen, diesen Thread versteht jedenfalls niemand mehr..

bei Antwort benachrichtigen
Borlander gelöscht_35042 „Aha, dann fummelt der böse Bube an dem Verteiler genau meinen Anschluss von der Telekom raus und dann hätte er die Daten! ...“
Optionen
dann fummelt der böse Bube an dem Verteiler genau meinen Anschluss von der Telekom raus und dann hätte er die Daten!

Ich hatte explizit außen liegende Telefonanschlüsse genannt; die heute nicht mehr üblich sind. Siehe z.B.: https://de.wikipedia.org/w/index.php?title=Abschlusspunkt_Linientechnik&oldid=221649954

Wenn Dir jemand bewusst und gezielt schaden will, dann wäre das in der Konstellation mit relativ geringem Aufwand möglich…

("Wird schon keiner machen" ist kein seriöses Konzept für IT-Sicherheit)

Ich glaube aber, dass dann bei einem fremden Einwahlknoten Ende im Gelände ist mit seinem Router!

Nein. Durch automatische Konfiguration bekommst Du eben Zugang mit jedem Gerät, ohne weitere Maßnahmen.

bei Antwort benachrichtigen
lexlegis Borlander „Ich hatte explizit außen liegende Telefonanschlüsse genannt die heute nicht mehr üblich sind. Siehe z.B.: ...“
Optionen

Bei der Telekom ist Easy Connect defaultmäßig an, kann aber im Kundencenter deaktiviert werden (hab ich bei mir auch gemacht).

TR-069 hab ich in der FritzBox zusätzlich abgeschaltet.

Work it harder, make it better, do it faster, makes us stronger
bei Antwort benachrichtigen
gelöscht_35042 lexlegis „Bei der Telekom ist Easy Connect defaultmäßig an, kann aber im Kundencenter deaktiviert werden hab ich bei mir auch ...“
Optionen

Für mich sehe ich da keinen Grund, in der FB TR-069 abzuschalten!

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/1472_Unterstutzt-die-FRITZ-Box-TR-069/

Gruß

bei Antwort benachrichtigen
lexlegis gelöscht_35042 „Für mich sehe ich da keinen Grund, in der FB TR-069 abzuschalten! ...“
Optionen

Ich schalte es immer ab. Möchte nicht fernkonfiguriert werden.

Work it harder, make it better, do it faster, makes us stronger
bei Antwort benachrichtigen
mawe2 lexlegis „Bei der Telekom ist Easy Connect defaultmäßig an, kann aber im Kundencenter deaktiviert werden hab ich bei mir auch ...“
Optionen

Danke für die Info.

Das macht irgendwie auch Sinn: Bei der Ersteinrichtung kann man es nutzen, danach schaltet man es ab, um die von mir genannten Sicherheitsprobleme zu vermeiden.

TR-069 sollte man natürlich im Router ebenfalls sperren.

bei Antwort benachrichtigen