Firewall LAN zu Vigor?

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Firewall LAN zu Vigor?

Beitragvon Drusus » So 30.09.2007 - 12:55

Moin,

die Firewall-Regeln klappen prima bei der Filterung zwischen WAN und LAN. Allerdings schaffe ich es irgendwie nicht den Verkehr zwischen LAN und dem Vigor selber zu blocken.

Konkret geht es darum, dass ich den UDP Port 56415 (da laeuft beim Vigor der Setup-Wizzard Service drauf) abschalten muss. Es soll also niemand vom LAN auf den Vigor auf diesem Port zugreifen koennen. Wenn ich nun im Data Filter als Destination IP-Adresse den Vigor selber angebe, so ist ein Zugriff dennoch moeglich.

Wie kann ich den Verkehr zum Router selber filtern (nicht zwischen LAN und WAN)?

Falls es einen Unterschied machen sollte: ich habe einen Vigor 2930 VS.

Tschau,
Drusus.
Drusus
User
 
Beiträge: 29
Registriert: So 13.07.2003 - 19:09

Beitragvon nobody » So 30.09.2007 - 17:42

Du meinst, Du hast das http Administrations-interface auf port 56415 gelegt ?
das wäre aber nicht UDP sondern TCP

Egal wie es ist, ich habe das auch mal ausprobiert und in der Tat, ich bekomme das auch nicht hin.
Ich hatte noch die zweite Idee, einfach in der Liste der Erlaubten IP Adresen im Management setup eben nur eine bestimmte Lan Adresse zu hinterlegen, aber auch das funktioniert nicht.
Also, da hilft nur ein gutes Passwort für das Webinterface.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon Drusus » So 30.09.2007 - 19:11

Moin,

nein - es geht mir nicht um das Admin-Interface. Auf dem Port laeuft ein Draytek eigenes Protokoll, dass unter anderen fuer den Setup Wizard benutzt wird (wenn mir jemand verraet wie man den abschalten kann, so waere mir auch schon geholfen). Dieses Interface kann man sehr wohl per UDP ansprechen (und es antwortet auch per UDP).

Das mit dem "gutem Passwort" ist ja im Prinzip genau mein Problem hier... Alle mir bekannten Draytek Modelle geben eben auf dem besagten Port 56415 jedem der nachfragt das Admin-Passwort des Router (eigentlich schon ein schlechter Scherz bei einem "security router" wenn ich da nicht einmal die Kiste mit einem Passwort absichern kann). Und genau das will ich unterbinden.

Tschau,
Drusus.
Drusus
User
 
Beiträge: 29
Registriert: So 13.07.2003 - 19:09

Beitragvon nobody » So 30.09.2007 - 22:07

Das wäre ja ein "lustige" Sache, wenn dem so wäre,
wie geht das denn ?
Zumindest mein "DrayTek Smart Start Wizard", der verweigert jede Arbeit, so man nicht das richtige Kennwort eingibt.

man kan in der tat auch eine Verbindung aufbauen, aber auf den ersten blick gibt:
Code: Alles auswählen
݀x??1????P?7x?>a?p?䪴>y>??Ӄ?:`[Style=0][ModelName=Vigor2950 series][Version:v3.0.2]

das nicht viel her
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon Drusus » So 30.09.2007 - 22:38

Moin,

in dem "unleserlichen" Teil der Nachricht steckt die IP-Adresse, Subnetz-Maske und das Passwort vom Router. Leider sind in deinem Beispiele viele Zeichen durch ? ersetzt worden, so dass man nicht den kompletten Inhalt hier sieht.

Wenn du einen Hexdump des Paketes hast (z.B. Output von "tcpdump -s0 -x port 56415" oder aehnlichem) dann kann man das in Ruhe dekodieren.

Natuerlich wird der Setup Wizard nach den Passwort fragen und bei falschem Passwort nicht weiter arbeiten wollen. Allerdings hat der Wizard zu dem Zeitpunkt ja eben schon das Passwort vom Router bekommen (und prueft das eingegebene nur gegen eben jenes zuvor empfangene). Krankes Design sowas - die Passwort-Ueberpruefung sollte der Router machen und der Router sollte nicht das Passwort an den Wizard geben damit der das pruefen kann....

Tschau,
Drusus.
Drusus
User
 
Beiträge: 29
Registriert: So 13.07.2003 - 19:09

Beitragvon nobody » So 30.09.2007 - 23:51

hehehe!
Ich denke, da hast du recht.

Es findet ja auch keine weitere kommunikation zwischen wizard und router statt, wenn man sich im kennwort vertippt.

IP und subnetz werden im klartext übermittelt,
dennoch: ganz unverschlüsselt wird das kennwort nicht übermittelt.
aber besonders stark verschlüsselt scheint es nicht zu sein.
immerhin sind es vermutlich 1Byte pro zeichen + längenangabe, max 24Bytes.
ich hätte ja gehofft, dass ähnlich einer unix passwd oder shadow datei, ein verschlüsseltes Kennwort übermittelt wird, aber so sieht es auf den ersten Blick nicht aus.

Es gab ja mal ein Projekt zur ermittlung eines verlorenen Router-Kennworts. Ich habe jedoch nicht verfolgt, was damit geschah, und, wie das Verfahren war.
Ich denke aber, dass sich mit diesem Ansatz so etwas eventuell erfolgreich realisieren lässt.

Da muss ich mich mal damit beschäftigen in meinem nächsten Urlaub.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon Drusus » Mo 01.10.2007 - 10:27

Moin,

das Passwrot ist einfach nur mittels XOR und einer Lookup-Tabelle verschleiert. Das laesst sich problemlos wieder rueckgaengig machen (ich habe mit ein solches Programm geschrieben).

Aber wir entfernen und von dem eigentlichen Thema. Mit geht es hier nicht darum wie ich diese Sicherheitsluecke nutzen kann sondern wie ich sie verhindern kann. Also konkret hier: wie kann ich den Verkehr aus dem LAN zu dem Vigor auf dem UDP Port 56415 verhindern?

Tschau,
Drusus.
Drusus
User
 
Beiträge: 29
Registriert: So 13.07.2003 - 19:09

Beitragvon nobody » Mo 01.10.2007 - 14:51

Blöd, so ein "smart start wizard"
ich habe noch probiert, z.B. den ftp management port auf den vom wizard genutzen port zu verlegen, aber, das geht natürlich auch nicht, weil eben tcp und nicht udp.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron