Re: [OT] DSL-Zugangsdaten geklaut was tun?

To: debian-user-german@lists.debian.org
Subject: Re: [OT] DSL-Zugangsdaten geklaut was tun?
From: Frank Dietrich <bits_n_bytes@gmx.de>
Date: Sat, 1 Jul 2006 19:54:59 +0200
Message-id: <[🔎] 20060701195459.46410b80@morgul.earth>
In-reply-to: <[🔎] 44A64823.4000302@linuxrocks.dyndns.org>
References: <44A4E7F7.2090104@linuxrocks.dyndns.org> <4gknapF1m879gU1@individual.net> <20060630200342.4f57eb28@morgul.earth> <[🔎] 44A64823.4000302@linuxrocks.dyndns.org>

Hi Matthias,

Matthias Haegele <mhaegele@linuxrocks.dyndns.org> wrote:
>Frank Dietrich schrieb:
>> Ich würde mal drauf tippen das es am nicht deaktiverten
>> Fernwartungsmodus (oder wie immer das die Marketingabteilung bei
>> den Routern auch benannt hat) lag.
>Die ursprüngliche Konfiguration wurde mit dem Wizard gemacht, kein 
>Fernwartungsmodus per ISDN o. ä. aktiviert. 

Hast Du nach der Konfiguration mal von außen (sprich übers Internet)
geschaut welche Ports offen sind?

>Allerdings war das Kennwort schwach, vmtl. mittels JohntheRipper o.
>ä. in absehbarer Zeit geknackt. SIF war ist nicht aktiviert. 

In dem Fall eigentlich erstmal egal. Der erste Schritt wäre immer, an
das Passwort herankommen.

>> Full ACK. Man sollte in so einem Fall immer die Ursache und nicht
>> nur die Wirkung bekämpfen. ;-)
>Das Problem ist das ich genau das nicht weiss, einige Vermutungen:
>
>1. unwahrscheinlich:
>Ein (ehemaliger) Mitarbeiter ist an die (gut verwahrten) Kennwörter 
>rangekommen und surft damit zuhause rum. (Vermutung seitens
>T-Com/T-Online).

Zumindest theoretisch möglich.

>2. mitsniffen beim Verbindungsaufbau da bei PAP ja im Klartext 
>(username/pass) übertragen wird?
>Inwieweit das möglich ist, k. A.
>und vor allem *wo* dazu der Angreifer sitzen müsste.

Eher unwahrscheinlich. Der Angreifer müsste dazu irgendwo den
Verbindungsaufbau zwischen Router und ISP abfangen können. Möglich
wäre das z.B. zwischen Router und Telefonbuchse oder zwischen
Telefonbuchse und ISP. 

>3. a)
>Ausnutzen einer Lücke auf dem Router zum Auslesen des Kennwortes
>z.B. der Speichertabelle oder eines Dumps mittels TFTP auf einen
>Rechner des Angreifers. Wie es mit SSH aussieht muss ich mir in der
>gesicherten Konfig anschauen.

Fehler in der Firmware, prinzipiell möglich. Einfach bei Bintec mal
anfragen.
TFTP aus Richtung Internet? Ich denk es war kein Zugang aus dieser
Richtung möglich?

>3 b) jemand fängt sich auf einer Windows-Kiste einen (unbekannten) 
>speziell gestricken Trojaner o. ä. ein, der Angriff käme von innen, 
>somit hätte der Angreifer natürlich alle Zeit der Welt um das
>Passwort auszuprobieren ...

Eher unwahrscheinlich. Denn es bedingt das der Autor des Trojaners
wissen muss wer solch einen Router einsetzt um dann noch gezielt
den Trojaner dort hin zu bekommen.

>4. Ursachenforschung, schwierig denke ich da:
>Router resettet nachdem kein Zugang mehr möglich war,

War er vielleicht nur einfach abgestürzt und niemand hat die
Zugangsdaten erspäht?

>Zukunft wird das Teil auf einen Syslog-Server im internen Netz
>loggen ...

Dann richte es gleich so ein, das ein Zugriff auf den Router nur aus
dem internen Netz möglich ist. Zuerst per ssh (mit Keys) auf einem
Rechner im internen Netz anmelden und dann von dem aus auf den Router
zugreifen.

Frank
-- 
                          Generated by Signify v1.14.
                For this and more, visit http://www.debian.org/

Reply to:

References:
- Re: [OT] DSL-Zugangsdaten geklaut was tun?
  - From: Matthias Haegele <mhaegele@linuxrocks.dyndns.org>

Prev by Date: Re: WLAN Karte für Thinkpad T23 unter Debian
Next by Date: CaerdReader O2 Micro
Previous by thread: Re: [OT] DSL-Zugangsdaten geklaut was tun?
Next by thread: Re: [OT] DSL-Zugangsdaten geklaut was tun?
Index(es):
- Date
- Thread