Solved
Digitalisierungsbox Premium - "Splash" Page ein extremes Sicherheitsrisiko
9 years ago
Hallo zusammen,
seit der neuesten Version hat die DigiBox eine Art "Splash-Page" auf der die Anzahl der Clients, die aktuelle Firmwareversion sowie die Leitungswerte dargestellt werden.
Wo kann man das abschalten und noch viel wichtiger wessen Idee war das bitte? Ich bin Security-Officer und meine Haare fallen grade aus...
Solche Infos können einem potenziellen Angreifer indizien preisgeben, die zu einem erfolgreichen Angriff führen können - grade im GK-Bereich darf sowas niemals "frei zugänglich" angezeigt werden...
Ja - nur "intern" - spielt aber keine Rolle - keine Info darf ohne Login preisgegeben werden - schon gar nicht eine FW -Version o.ä.
MfG
Chris
801
0
10
This could help you too
362
0
1
625
0
2
1043
0
3
You might also be interested in
Buying advice
Do you need personal purchasing advice? Telekom's business customer team will be happy to advise you.
View offers
Informieren Sie sich über unsere aktuellen Internet-Angebote.
Accepted Solution
accepted by
9 years ago
Hallo Chris, ich werde mich am Montag danach erkundigen, ob und wenn ja, wie es deaktivierbar ist.
Denn eigentlich ist es ein feature, damit bei einer Störung der technisch nicht so bewanderte Kunde sich einen ersten Überblick verschaffen kann.
Z.B. ob die Leitung oder die Rufnummern aktiv sind.
Grüße und sonniges Wochenende Trulla
6
Answer
from
9 years ago
Hallo Trulla,
vielen Dank für deine Hilfe.
Ich musste die Digitalisierungsbox leider gegen ein Cisco-Gerät tauschen, da die neue Firmware nicht in der Lage war zu Routen, NAT'ten und Firewallen...
Gruß
Chris
0
Answer
from
8 years ago
Hallo Chris, die Pre Login Seite ist lt. Hersteller leider nicht abschaltbar. Grüße Trulla
Hallo Chris, die Pre Login Seite ist lt. Hersteller leider nicht abschaltbar.
Grüße Trulla
Hallo @gartentrulla,
inzwischen haben wir 2017 und sind ein paar Firmwarestände weiter.
Ich durfte gestern auch eine DigiBox in Betrieb nehmen, und für Fernkonfiguration wollte der Kunde einen externen Zugriff auf die Box.
Da ist mir schlecht geworden: Es kann doch nicht sein, dass ein Business-Produkt für alle Welt so sensible Daten preis gibt, und das bevor ich die Admin-Daten eingebe:
- Aktuell aktive Clients
- WLAN-Name
- aktive Rufnummern !!! - geht's noch
Wenn ich das vorher gewusst hätte, hätte ich dem Kunden niemals geraten dieses Produkt zu nutzen!
0
Answer
from
8 years ago
Hallo Klaus Rörig, eine Umgehung der Landing Page ist auch in den folgenden FW -Ständen nicht implementiert.
Ein Fernzugriff über http/https ohne VPN widerspricht absolut den Empfehlungen des Herstellers.
Aber könnte man nicht die Box händisch einrichten, also ohne Schnellstart-Assistenten? Dann erscheint meines Wissens keine Pre Login Seite.
Grüße Trulla
Unlogged in user
Answer
from
9 years ago
Wenn es für dich ein extremes Sicherheitsrisko ist , dass Nutzer erfahren das du eine digibox hast und welche Firmware darauf ist, solltest du dir eher Gedanken über deine Netzstruktur machen.
Lege eine extra Subnet an für Leute die nicht an diese Daten kommrn dürfen.
Selbst wenn man dies abschalten kann, bleibt ein viel größeres Risiko bestehen
0
1
Answer
from
9 years ago
Hallo,
diese Statusseite als Vorschaltseite haben alle Speedports neueren Datums, sogar schon der W 504V. Und das sind auch Telekom-Produkte, welche von der internen Sicherheitsabteilung der Telekom in Darmstadt abgenommen worden sind, wie übrigens auch die Digitalisierungsbox.
Also, ganz ruhig bleiben und Blutdruck senken.
VG,
NPS011172
0
Unlogged in user
Answer
from
Accepted Solution
accepted by
9 years ago
Hallo Chris, die Pre Login Seite ist lt. Hersteller leider nicht abschaltbar.
Grüße Trulla
0
Unlogged in user
Ask
from