Offener TCP-Port 7547 aus dem Internet
vor 11 Jahren
Hallo Telekom-Team,
wie ich selber bei meinem Speedport W723 Type B (Firmware Version: 1.32.000) überprüft habe, ist das Gerät über den TCP-Port 7547 weltweit aus dem Internet erreichbar.
Aus meiner Sicht ist das eine relevante Sicherheitslücke.
Können Sie mir bitte sagen, was dieser offene Port machen soll?
Und falls möglich fixen Sie das Problem durch ein Update der Software des Routers.
wie ich selber bei meinem Speedport W723 Type B (Firmware Version: 1.32.000) überprüft habe, ist das Gerät über den TCP-Port 7547 weltweit aus dem Internet erreichbar.
Aus meiner Sicht ist das eine relevante Sicherheitslücke.
Können Sie mir bitte sagen, was dieser offene Port machen soll?
Und falls möglich fixen Sie das Problem durch ein Update der Software des Routers.
22894
21
Das könnte Ihnen auch weiterhelfen
Gelöst
436
0
2
vor 4 Jahren
in
300
2
2
vor 5 Jahren
333
0
2
vor 11 Jahren
Ein offener Port ist nicht direkt eine Sicherheitslücke.
Hättest du die Forumsuche oder das Internet befragt, hättest sicherlich auch schon herausgefunden, was dahinter steckt.
Zauberwort nennt sich TR-069.
0
vor 11 Jahren
0
vor 11 Jahren
Bei dem Speedport gab es aber eigentlich eine Funktion um den Easy Support abzuschalten.
0
vor 11 Jahren
Dann ist der Port doch immer noch offen. Bei dem Speedport gab es aber eigentlich eine Funktion um den Easy Support abzuschalten.
Dann ist der Port doch immer noch offen.
Bei dem Speedport gab es aber eigentlich eine Funktion um den Easy Support abzuschalten.
Meinem Wissen nach darf ich den EasySupport nicht abschalten, wenn es sich um ein Leihgerät von der Telekom handelt.
Wenn der TCP-Port nur von den Management-Systemen der Telekom erreichbar wäre, dann wäre das schon wesentlich sicherer, da dann nicht die ganze Welt versuchen könnte irgendetwas auf dem Router zu machen. Jemand müsste ja nur das Default-Passwort für das TR-069 herausfinden und dann könnte er auf alle Speedport-Router zugreifen.
Eine Filter-Liste zum Schutz des Speedport-Routers wäre daher zumindest sehr sinnvoll.
0
vor 11 Jahren
ich denke, so einfach wird es nicht sein, über das TR-069 Protokoll auf den Router zuzugreifen und Änderungen vorzunehmen.
Wie das technisch genau von unserer Seite realisiert wird, weiß ich leider nicht im Detail. Ich werde mich erkundigen und mich hier wieder melden, soald ich Infos bekommen habe, Ok?
Bis dahin...
Matthias
0
vor 11 Jahren
http://www.heise.de/netze/artikel/DSL-fernkonfiguriert-221789.html
sowie die Protokollbeschreibung:
http://www.broadband-forum.org/technical/download/TR-069.pdf
Gruß Ulrich
0
vor 11 Jahren
Hallo dtzquasa, ich denke, so einfach wird es nicht sein, über das TR-069 Protokoll auf den Router zuzugreifen und Änderungen vorzunehmen. Wie das technisch genau von unserer Seite realisiert wird, weiß ich leider nicht im Detail. Ich werde mich erkundigen und mich hier wieder melden, soald ich Infos bekommen habe, Ok? Bis dahin... Matthias
Hallo dtzquasa,
ich denke, so einfach wird es nicht sein, über das TR-069 Protokoll auf den Router zuzugreifen und Änderungen vorzunehmen.
Wie das technisch genau von unserer Seite realisiert wird, weiß ich leider nicht im Detail. Ich werde mich erkundigen und mich hier wieder melden, soald ich Infos bekommen habe, Ok?
Bis dahin...
Matthias
Ich habe mir die Heise-URL (die UlrichZ netterweise hier gepostet hat) durchgelesen. Dort steht auf Seite 6:
"Die Verbindungsaufforderung, Connection Request, ist keine vollständige TR-069-Verbindung, sondern soll lediglich das CPE veranlassen, eine solche aufzubauen."
Kann ich davon ausgehen, dass über diesen offenen Port nur diese Connection-Requests zum CPE (Speedport-Router) gesendet werden können? Wie werden diese authentifiziert?
Grundsätzlich wäre es dennoch sinnvoll, nur bestimmten IP-Adressen den Zugriff auf diesen Port zu erlauben, um zu verhindern, dass ein Angreifer Software-Bugs auf dem CPE für einen Exploit ausnutzen kann.
Wenn Sie Informationen darüber haben, wie der Zugriff auf diesen Port abgesichert ist, dann können Sie das gerne hier schreiben.
0
vor 11 Jahren
Sie können davon ausgehen, dass "EasySupport" sicher ist.
Wenn Sie Informationen darüber haben, wie der Zugriff auf diesen Port abgesichert ist, dann können Sie das gerne hier schreiben.
Sobald ich eine Antwort auf meine Anfrage bekomme, melde ich mich hier, versprochen.
Bis dahin finden Sie hier ein bisschen was zum schmökern:
http://hilfe.telekom.de/hsp/cms/content/HSP/de/3370/FAQ/theme-45859527/Geraete-und-Zubehoer/theme-145522762/EasySupport/theme-145522766/EasySupport-fuer-Geraete-und-Internetdienste
Gruß Matthias
0
vor 11 Jahren
hier mein versprochenes Feedback:
„Die Deutsche Telekom benutzt zur sicheren Fernwartung der Speedport Router das durch das Broadband Forum standardisierte Protokoll TR-069. Hierüber können z.B. Firmware Upgrades installiert, die Einrichtung der Geräte oder auch Fehlerdiagnosen vorgenommen werden, sofern der Kunde dies wünscht.
Um diese Funktionen verwenden zu können, ist eine mit Passwort gesicherte Anklopffunktion in den Speedport Routern erforderlich, die über das Internet -- bei aktuellen Speedport Routern auf Port 7547/tcp -- aktivierbar sein muss. Wird diese Funktion genutzt, dann kontaktiert der Speedport Router ausschließlich das Remote Device Management System der Deutschen Telekom. Ein direkter Zugriff auf Daten oder andere Funktionen des Speedport Routers über die Anklopffunktion ist nicht möglich. Dies ist im TR-069 Standard zudem auch nicht vorgesehen. Aufgrund des Passwort-Schutzes sowie weiterer Maßnahmen ist sicher gestellt, dass die Anklopffunktion nur vom Remote Device Management System der Deutschen Telekom aus aktiviert werden kann.
In der Kundenkommunikation bezeichnet die Deutsche Telekom ihr Remote Device Management als "Easy Support". Alle im Rahmen von Easy Support implementierten Funktionen, sowie die Verarbeitung der dafür notwendigen Daten werden vom Datenschutz und der Produktsicherheit der Deutschen Telekom streng geprüft und unterliegen den deutschen gesetzlichen Vorschriften. Eine Weiterleitung von Informationen an andere Firmen oder Organisationen findet nicht statt.“
Ich hoffe, damit sind alle Fragen geklärt und Sie haben wieder ein gutes, sicheres Gefühl bei der Nutzung Ihres Speedports.
Gruß Matthias
7
Antwort
von
vor 8 Jahren
Weil die oben genannte Telekom.com-Seite offenbar überlastet ist, schreibe ich mal hier meine Erfahrung mit dem angeblich "automatischen" Firmware-Update für meinen Router W921V:
Heute habe ich festgestellt, dass trotz wieder funktionierendem Telefon- und Internet-Zugang der Telekom-Router noch die alte Firmware 1.39 enthielt. Ich musste im Router-Menue das Update anstoßen, jetzt hat er Firmware 1.41 wie empfohlen.
Um das zu prüfen, muss man aber die vorher hilfsweise gemachte DNS-Umstellung im PC-Netzadapter rückgängig machen, sonst kommt eine Fehlermeldung beim Aufrufen des Router-Menues im Browser mit "speedport.ip". Also: zuerst wieder den Punkt bei "DNS-Serveradresse automatisch beziehen" aktivieren (8.8.4.4 verschwindet).
Dann in einem neuen Browser-Fenster die Adresse "speedport.ip" eintragen und aufrufen. Im aufgehenden Fenster des Routers links die zweite Zeile "Status-Informationen'" anklicken. Im neuen Fenster sollte oben bei Firmware-Version 1.41.000 erscheinen. Wenn nicht, muss man links die erste Zeile "Speedport-Login" anklicken und im neuen Fenster das Gerätepasswort eintragen. Unten "Login" anklicken, im neuen Fenster rechts oben "Einstellungen" anklicken, im neuen Fenster links "Firmware-Update" anklicken und dort "Auf Update prüfen" - und ggfs. 1.41 "installieren".
Antwort
von
vor 8 Jahren
Vielleicht solltet Ihr Euch auch mal Gedanken machen, die Easy Support Funktion a) entweder endlich vernünftig zu machen oder b) komplett rauszuwerfen.
a) Easy Support hättet Ihr richtig gut machen können: Durch mehrfache Absicherung beim Verbindungsaufbau und bei der Authentifizierung, u.a. mit Access Rules (für das Quell-Netz der Telekom-Supportmitarbeiter) oder einem separaten Support-VLAN, zusätzlich einem Taster am Router, den der Kunde auf Anforderung drücken muss. Anstelle dessen habt Ihr Euch entschieden, es richtig schlecht zu machen, und tcp 7547 für das gesamte Internet freizugeben - als ob die Telekom Supportmitarbeiter weltweit verteilt in Call Centern sitzen und von dort direkt den TR-069 Verbindungsaufbau initiieren müssten. Und das habt Ihr leider auch nicht in Frage gestellt, als Ihr mehrfach auf diese Problematik hingewiesen worden seid. Eine aktuell wohl vorgenommene Filterung von tcp 7547 setzt an der falschen Stelle an und geht tendenziell in einer Richtung, die keiner haben will. Oder wird irgendwann auch http/https in Richtung der Kunden-IPs ausgefiltert, weil es Sicherheitslücken in Webcams gibt?
b) Der durch die Ausfälle entstandene Imageschaden dürfte für Euch ein Vielfaches dessen betragen, was Ihr durch Easy Support gespart habt. In Eurem Interesse und im Interesse Eurer Kunden solltet Ihr wenigstens jetzt Nägel mit Köpfen machen und die Funktion komplett rauswerfen. Ein automatisiertes Firmwareupdate geht auch ohne, wie z.B. AVM zeigt. Allen Mit-Kunden kann ich bis dahin nur empfehlen, Easy Support für den eigenen Account selbst abzuschalten. Und sich vielleicht auch zu überlegen, ob es denn das nächste Mal wirklich ein Speedport sein muss... Im Bereich der Anschlüsse seid Ihr Super, aber Router können die Hersteller selbst einfach besser.
Antwort
von
vor 8 Jahren
Ich bin davon schlicht ausgegangen, dass das Support-Netz in irgendeiner Weise separiert ist und habe es leider jedoch auch selbst nicht kritisch hinerfragt, es gibt dort sicherlich mehrere Wege die schon gennant sind. Ich bin schließlich einfach entäuscht und erschrocken über die Verkettung von Dingen die dazu führte.
Falls noch nicht verlinkt, der folgende Vortrag ist zum TR-069 ganz allgemein relativ interessant: https://www.youtube.com/watch?v=gFP5YcvQsKM
Uneingeloggter Nutzer
Antwort
von
vor 11 Jahren
Dennoch habe ich kein 100% sicheres Gefühl.
Jeder offene Port ist ein unnötiges Risiko.
Durch einen Software-Bug auf dem Speedport-Router könnte es möglich sein (falls ein solcher Bug vorhanden ist), dass ein solcher offener Port für einen Angriff ausgenutzt werden könnte.
Noch sicherer wäre es daher, wenn der TCP-Port über eine Access-Liste geschützt wäre, welche die Verbindung nur von den Management-IP-Adressen der Telekom-Server erlaubt.
0
Uneingeloggter Nutzer
Frage
von