Sicherheit bei Webinterface/telnet?

SNMP, Telnet, Syslog, Statustools, RTools, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Beitragvon bernostern » So 22.12.2002 - 21:22

Hallo,

wie sicher ist den eigentlich das Webinterface/Telnet? Wenn ich ein 8-stelliges Passwort vergebe und es laaaange dauert bis das jemand durchprobiert hat, kann man sich dann sicher fühlen?

Gibt es eine Meldung, dass über http oder telnet schon mal auf einen Draytek (2200X) eingebrochen wurde?

Danke,
Bern
bernostern
User
 
Beiträge: 26
Registriert: Fr 20.12.2002 - 14:48

Beitragvon deMattin » Mo 23.12.2002 - 00:44

wie sicher ist den eigentlich das Webinterface/Telnet? Wenn ich ein 8-stelliges Passwort vergebe und es laaaange dauert bis das jemand durchprobiert hat, kann man sich dann sicher fühlen?

Nein - jedes mit Passwort geschützte System ist auch relativ leicht (mi gewissem Zeitaufwand) zu knacken. Du solltest daher die Fernwartung nur aktivieren, wenn du sie auch wirklich brauchst.
Die alternative und deutlich sichere Methode ist es, eine VPN-Verbindung in's LAN aufzubauen und dann hierüber den Router (fern) zu konfigurieren.
Diese Webinterface oder telnet-Fernwartung halte ich nur für eine schnelle Möglichkeit, wenn man mal kurzfristig auf einen Router muss und für Supportzwecke das kurz freischaltet.

Gibt es eine Meldung, dass über http oder telnet schon mal auf einen Draytek (2200X) eingebrochen wurde?

Das wird dir keiner erzählen ;)
Meine Meinung dazu: s.o.

Gruss,
Martin
http://www.vigor-users.de - Die Seite für User der Vigor-Router
Benutzeravatar
deMattin
Super-User
 
Beiträge: 448
Registriert: Mo 23.07.2001 - 19:40
Wohnort: Nordpott

Beitragvon kdd » Fr 07.02.2003 - 20:30

Hi,
@deMattin
Die alternative und deutlich sichere Methode ist es, eine VPN-Verbindung in's LAN aufzubauen und dann hierüber den Router (fern) zu konfigurieren.

und wie bitte kommst du dann auf den Router, wenn die Fernwartung aus ist?
Meines Wissens ist das seit FW1.8 nicht mehr möglich. Die VPN und isdn Dial Ins erhalten eine IP Adresse aus dem Kontingent aber mit /32 Subnetzmaske. Damit schliesst sich dann die Router IP zu diesen IP Adressen ab. Ein Konfiguration ist nicht möglich.

Workaraound Vorschlag für "Fernwarter"
Lösung 1:
Man installiere einen Remote Desktop (Netmeeting oder Terminal Server) und Konfiguriere via isdn oder VPN und Remote Desktop.

Lösung 2:
Man öffne die Fernwartung und hänge zwei Filter an den default Data Filter.
Der eine blockt alle Incoming Packets mit Port Nr. 23 (Telnet);
Der andere blockt alle Incoming Packets mit Port Nr 80 bzw dem eingestellten Web User Interface (WUI) Port.
Zwar bemerken Scanner nun, das der Telnet und WUI Port offen seien, aber die Firewall ist dicht!
Nun können alle Dial Ins/VPN Verbindungen auf den Router sozusagen von hinten durch die Brust ins Auge konfigurieren. Das sind in der Regel Leute, die sich über CHAP, PPTP oder gar L2TP/IPSec authentifiziert haben.

(kleiner) Nachteil:
Alle die sich per Dial In/VPN einwählen haben Zugriff auf den Router, sofern sie das Passwort kennen.
TelAs: T-ISDN Call & Surf
DSLAs: TDSL Call & Surfl; dn/up = 11300/1000
HW: FBF 7390 mit LCR; FW FRITZ!OS 05.21
als DSL Router mit sipgate VoIP Account

mfG
kdd
Benutzeravatar
kdd
Foren-Ass
 
Beiträge: 716
Registriert: Di 13.11.2001 - 21:21
Wohnort: Hamburg


Zurück zu Tools und Fernwartung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron