Aus meiner Sicht ist das eine relevante Sicherheitslücke.

Ein offener Port ist nicht direkt eine Sicherheitslücke.
Hättest du die Forumsuche oder das Internet befragt, hättest sicherlich auch schon herausgefunden, was dahinter steckt.

Zauberwort nennt sich TR-069.

Warum muss der Port weltweit aus dem Internet erreichbar sein. Falls er notwendig ist, warum hat man die Zugriffmöglichkeit nicht auf wenige relevante IP-Adressen aus dem Telekom-Netzwerk (über eine Filter-Liste auf dem Speedport) beschränkt?

Dann ist der Port doch immer noch offen.

Bei dem Speedport gab es aber eigentlich eine Funktion um den Easy Support abzuschalten.

Dann ist der Port doch immer noch offen. Bei dem Speedport gab es aber eigentlich eine Funktion um den Easy Support abzuschalten.

Meinem Wissen nach darf ich den EasySupport nicht abschalten, wenn es sich um ein Leihgerät von der Telekom handelt.
Wenn der TCP-Port nur von den Management-Systemen der Telekom erreichbar wäre, dann wäre das schon wesentlich sicherer, da dann nicht die ganze Welt versuchen könnte irgendetwas auf dem Router zu machen. Jemand müsste ja nur das Default-Passwort für das TR-069 herausfinden und dann könnte er auf alle Speedport-Router zugreifen.
Eine Filter-Liste zum Schutz des Speedport-Routers wäre daher zumindest sehr sinnvoll.

Hallo dtzquasa,

ich denke, so einfach wird es nicht sein, über das TR-069 Protokoll auf den Router zuzugreifen und Änderungen vorzunehmen.

Wie das technisch genau von unserer Seite realisiert wird, weiß ich leider nicht im Detail. Ich werde mich erkundigen und mich hier wieder melden, soald ich Infos bekommen habe, Ok?

Bis dahin...
Matthias

Hier ein Beitrag zu diesem Thema:

http://www.heise.de/netze/artikel/DSL-fernkonfiguriert-221789.html

sowie die Protokollbeschreibung:

http://www.broadband-forum.org/technical/download/TR-069.pdf

Gruß Ulrich

Hallo dtzquasa, ich denke, so einfach wird es nicht sein, über das TR-069 Protokoll auf den Router zuzugreifen und Änderungen vorzunehmen. Wie das technisch genau von unserer Seite realisiert wird, weiß ich leider nicht im Detail. Ich werde mich erkundigen und mich hier wieder melden, soald ich Infos bekommen habe, Ok? Bis dahin... Matthias

Ich habe mir die Heise-URL (die UlrichZ netterweise hier gepostet hat) durchgelesen. Dort steht auf Seite 6:
"Die Verbindungsaufforderung, Connection Request, ist keine vollständige TR-069-Verbindung, sondern soll lediglich das CPE veranlassen, eine solche aufzubauen."

Kann ich davon ausgehen, dass über diesen offenen Port nur diese Connection-Requests zum CPE (Speedport-Router) gesendet werden können? Wie werden diese authentifiziert?

Grundsätzlich wäre es dennoch sinnvoll, nur bestimmten IP-Adressen den Zugriff auf diesen Port zu erlauben, um zu verhindern, dass ein Angreifer Software-Bugs auf dem CPE für einen Exploit ausnutzen kann.

Wenn Sie Informationen darüber haben, wie der Zugriff auf diesen Port abgesichert ist, dann können Sie das gerne hier schreiben.

Hallo dtzquasa,

Sie können davon ausgehen, dass "EasySupport" sicher ist.

Wenn Sie Informationen darüber haben, wie der Zugriff auf diesen Port abgesichert ist, dann können Sie das gerne hier schreiben.

Sobald ich eine Antwort auf meine Anfrage bekomme, melde ich mich hier, versprochen.

Bis dahin finden Sie hier ein bisschen was zum schmökern:

http://hilfe.telekom.de/hsp/cms/content/HSP/de/3370/FAQ/theme-45859527/Geraete-und-Zubehoer/theme-145522762/EasySupport/theme-145522766/EasySupport-fuer-Geraete-und-Internetdienste

Gruß Matthias

Hallo in die Runde,

hier mein versprochenes Feedback:

„Die Deutsche Telekom benutzt zur sicheren Fernwartung der Speedport Router das durch das Broadband Forum standardisierte Protokoll TR-069. Hierüber können z.B. Firmware Upgrades installiert, die Einrichtung der Geräte oder auch Fehlerdiagnosen vorgenommen werden, sofern der Kunde dies wünscht.

Um diese Funktionen verwenden zu können, ist eine mit Passwort gesicherte Anklopffunktion in den Speedport Routern erforderlich, die über das Internet -- bei aktuellen Speedport Routern auf Port 7547/tcp -- aktivierbar sein muss. Wird diese Funktion genutzt, dann kontaktiert der Speedport Router ausschließlich das Remote Device Management System der Deutschen Telekom. Ein direkter Zugriff auf Daten oder andere Funktionen des Speedport Routers über die Anklopffunktion ist nicht möglich. Dies ist im TR-069 Standard zudem auch nicht vorgesehen. Aufgrund des Passwort-Schutzes sowie weiterer Maßnahmen ist sicher gestellt, dass die Anklopffunktion nur vom Remote Device Management System der Deutschen Telekom aus aktiviert werden kann.

In der Kundenkommunikation bezeichnet die Deutsche Telekom ihr Remote Device Management als "Easy Support". Alle im Rahmen von Easy Support implementierten Funktionen, sowie die Verarbeitung der dafür notwendigen Daten werden vom Datenschutz und der Produktsicherheit der Deutschen Telekom streng geprüft und unterliegen den deutschen gesetzlichen Vorschriften. Eine Weiterleitung von Informationen an andere Firmen oder Organisationen findet nicht statt.“

Ich hoffe, damit sind alle Fragen geklärt und Sie haben wieder ein gutes, sicheres Gefühl bei der Nutzung Ihres Speedports.

Gruß Matthias

Danke für die Klärung. Das hört sich grundsätzlich relativ durchdacht an.
Dennoch habe ich kein 100% sicheres Gefühl.
Jeder offene Port ist ein unnötiges Risiko.
Durch einen Software-Bug auf dem Speedport-Router könnte es möglich sein (falls ein solcher Bug vorhanden ist), dass ein solcher offener Port für einen Angriff ausgenutzt werden könnte.
Noch sicherer wäre es daher, wenn der TCP-Port über eine Access-Liste geschützt wäre, welche die Verbindung nur von den Management-IP-Adressen der Telekom-Server erlaubt.