Solved

Digitalisierungsbox Premium - "Splash" Page ein extremes Sicherheitsrisiko

9 years ago

Hallo zusammen,

 

seit der neuesten Version hat die DigiBox eine Art "Splash-Page" auf der die Anzahl der Clients, die aktuelle Firmwareversion sowie die Leitungswerte dargestellt werden.

 

Wo kann man das abschalten und noch viel wichtiger wessen Idee war das bitte? Ich bin Security-Officer und meine Haare fallen grade aus...

 

Solche Infos können einem potenziellen Angreifer indizien preisgeben, die zu einem erfolgreichen Angriff führen können - grade im GK-Bereich darf sowas niemals "frei zugänglich" angezeigt werden...

 

Ja - nur "intern" - spielt aber keine Rolle - keine Info darf ohne Login preisgegeben werden - schon gar nicht eine FW -Version o.ä.

 

MfG

Chris

801

0

10

    • Accepted Solution

      accepted by

      9 years ago

      Hallo Chris,  ich werde mich am Montag danach erkundigen, ob und wenn ja,  wie es deaktivierbar ist.

      Denn eigentlich ist es ein feature, damit bei einer Störung der technisch nicht so bewanderte Kunde sich einen ersten Überblick verschaffen kann. 

      Z.B. ob die Leitung oder die Rufnummern aktiv sind. 

       

      Grüße und sonniges Wochenende Trulla

      6

      Answer

      from

      9 years ago

      Hallo Trulla,

       

      vielen Dank für deine Hilfe.

      Ich musste die Digitalisierungsbox leider gegen ein Cisco-Gerät tauschen, da die neue Firmware nicht in der Lage war zu Routen, NAT'ten und Firewallen...

       

      Gruß

      Chris

      0

      Answer

      from

      8 years ago

      gartentrulla

      Hallo Chris, die Pre Login Seite ist lt. Hersteller leider nicht abschaltbar. Grüße Trulla

      Hallo Chris, die Pre Login Seite ist lt. Hersteller leider nicht abschaltbar.

       

      Grüße Trulla

      gartentrulla

      Hallo Chris, die Pre Login Seite ist lt. Hersteller leider nicht abschaltbar.

       

      Grüße Trulla


      Hallo @gartentrulla,

       

      inzwischen haben wir 2017 und sind ein paar Firmwarestände weiter.

       

      Ich durfte gestern auch eine DigiBox in Betrieb nehmen, und für Fernkonfiguration wollte der Kunde einen externen Zugriff auf die Box.

       

      Da ist mir schlecht geworden: Es kann doch nicht sein, dass ein Business-Produkt für alle Welt so sensible Daten preis gibt, und das bevor ich die Admin-Daten eingebe:

      - Aktuell aktive Clients

      - WLAN-Name

      - aktive Rufnummern !!! - geht's noch

       

      Wenn ich das vorher gewusst hätte, hätte ich dem Kunden niemals geraten dieses Produkt zu nutzen!

      0

      Answer

      from

      8 years ago

      Hallo Klaus Rörig, eine Umgehung der Landing Page ist auch in den folgenden FW -Ständen nicht implementiert.

      Ein Fernzugriff über http/https ohne VPN widerspricht absolut den Empfehlungen des Herstellers.

       

      Aber könnte man nicht die Box händisch einrichten, also ohne Schnellstart-Assistenten? Dann erscheint meines Wissens keine Pre Login Seite.

       

      Grüße Trulla

      Unlogged in user

      Answer

      from

    • 9 years ago

      Wenn es für dich ein extremes Sicherheitsrisko ist , dass Nutzer erfahren das du eine digibox hast und welche Firmware darauf ist, solltest du dir eher Gedanken über deine Netzstruktur machen.

       

      Lege eine extra Subnet an für Leute die nicht an diese Daten kommrn dürfen.

       

      Selbst wenn man dies abschalten kann, bleibt ein viel größeres Risiko bestehen  

      0

      1

      Answer

      from

      9 years ago

      Hallo,

       

      diese Statusseite als Vorschaltseite haben alle Speedports neueren Datums, sogar schon der W 504V. Und das sind auch Telekom-Produkte, welche von der internen Sicherheitsabteilung der Telekom in Darmstadt abgenommen worden sind, wie übrigens auch die Digitalisierungsbox.

       

      Also, ganz ruhig bleiben und Blutdruck senken.

       

      VG,

      NPS011172

      0

      Unlogged in user

      Answer

      from

    • Accepted Solution

      accepted by

      9 years ago

      Hallo Chris, die Pre Login Seite ist lt. Hersteller leider nicht abschaltbar.

       

      Grüße Trulla

      0

    Unlogged in user

    Ask

    from