Hallo,
wie sicher ist den eigentlich das Webinterface/Telnet? Wenn ich ein 8-stelliges Passwort vergebe und es laaaange dauert bis das jemand durchprobiert hat, kann man sich dann sicher fühlen?
Gibt es eine Meldung, dass über http oder telnet schon mal auf einen Draytek (2200X) eingebrochen wurde?
Danke,
Bern
TwoCom Online-Forum
Erfahrungsaustausch, Konfigurationshilfen rund um DrayTek Vigor Produkte und User unter sich.
Sicherheit bei Webinterface/telnet?
Moderatoren: alf, Petrus, andreastc, DSL-Hexe, nobody
3 Beiträge
• Seite 1 von 1
von bernostern » So 22.12.2002 - 21:22
- bernostern
- User
- Beiträge: 26
- Registriert: Fr 20.12.2002 - 14:48
von deMattin » Mo 23.12.2002 - 00:44
wie sicher ist den eigentlich das Webinterface/Telnet? Wenn ich ein 8-stelliges Passwort vergebe und es laaaange dauert bis das jemand durchprobiert hat, kann man sich dann sicher fühlen?
Nein - jedes mit Passwort geschützte System ist auch relativ leicht (mi gewissem Zeitaufwand) zu knacken. Du solltest daher die Fernwartung nur aktivieren, wenn du sie auch wirklich brauchst.
Die alternative und deutlich sichere Methode ist es, eine VPN-Verbindung in's LAN aufzubauen und dann hierüber den Router (fern) zu konfigurieren.
Diese Webinterface oder telnet-Fernwartung halte ich nur für eine schnelle Möglichkeit, wenn man mal kurzfristig auf einen Router muss und für Supportzwecke das kurz freischaltet.
Gibt es eine Meldung, dass über http oder telnet schon mal auf einen Draytek (2200X) eingebrochen wurde?
Das wird dir keiner erzählen
Meine Meinung dazu: s.o.
Gruss,
Martin
http://www.vigor-users.de - Die Seite für User der Vigor-Router
-
deMattin - Super-User
- Beiträge: 448
- Registriert: Mo 23.07.2001 - 19:40
- Wohnort: Nordpott
von kdd » Fr 07.02.2003 - 20:30
Hi,
@deMattin
und wie bitte kommst du dann auf den Router, wenn die Fernwartung aus ist?
Meines Wissens ist das seit FW1.8 nicht mehr möglich. Die VPN und isdn Dial Ins erhalten eine IP Adresse aus dem Kontingent aber mit /32 Subnetzmaske. Damit schliesst sich dann die Router IP zu diesen IP Adressen ab. Ein Konfiguration ist nicht möglich.
Workaraound Vorschlag für "Fernwarter"
Lösung 1:
Man installiere einen Remote Desktop (Netmeeting oder Terminal Server) und Konfiguriere via isdn oder VPN und Remote Desktop.
Lösung 2:
Man öffne die Fernwartung und hänge zwei Filter an den default Data Filter.
Der eine blockt alle Incoming Packets mit Port Nr. 23 (Telnet);
Der andere blockt alle Incoming Packets mit Port Nr 80 bzw dem eingestellten Web User Interface (WUI) Port.
Zwar bemerken Scanner nun, das der Telnet und WUI Port offen seien, aber die Firewall ist dicht!
Nun können alle Dial Ins/VPN Verbindungen auf den Router sozusagen von hinten durch die Brust ins Auge konfigurieren. Das sind in der Regel Leute, die sich über CHAP, PPTP oder gar L2TP/IPSec authentifiziert haben.
(kleiner) Nachteil:
Alle die sich per Dial In/VPN einwählen haben Zugriff auf den Router, sofern sie das Passwort kennen.
@deMattin
Die alternative und deutlich sichere Methode ist es, eine VPN-Verbindung in's LAN aufzubauen und dann hierüber den Router (fern) zu konfigurieren.
und wie bitte kommst du dann auf den Router, wenn die Fernwartung aus ist?
Meines Wissens ist das seit FW1.8 nicht mehr möglich. Die VPN und isdn Dial Ins erhalten eine IP Adresse aus dem Kontingent aber mit /32 Subnetzmaske. Damit schliesst sich dann die Router IP zu diesen IP Adressen ab. Ein Konfiguration ist nicht möglich.
Workaraound Vorschlag für "Fernwarter"
Lösung 1:
Man installiere einen Remote Desktop (Netmeeting oder Terminal Server) und Konfiguriere via isdn oder VPN und Remote Desktop.
Lösung 2:
Man öffne die Fernwartung und hänge zwei Filter an den default Data Filter.
Der eine blockt alle Incoming Packets mit Port Nr. 23 (Telnet);
Der andere blockt alle Incoming Packets mit Port Nr 80 bzw dem eingestellten Web User Interface (WUI) Port.
Zwar bemerken Scanner nun, das der Telnet und WUI Port offen seien, aber die Firewall ist dicht!
Nun können alle Dial Ins/VPN Verbindungen auf den Router sozusagen von hinten durch die Brust ins Auge konfigurieren. Das sind in der Regel Leute, die sich über CHAP, PPTP oder gar L2TP/IPSec authentifiziert haben.
(kleiner) Nachteil:
Alle die sich per Dial In/VPN einwählen haben Zugriff auf den Router, sofern sie das Passwort kennen.
TelAs: T-ISDN Call Plus
DSLAs: 1&13DSL; dn/up = 3130/406
VoIP HW: leicht modifiz. FBF 7170 mit LCR; FW29.04.29
als DSL Router ohne einen Vigor
Router: FBF only
mfG
kdd
DSLAs: 1&13DSL; dn/up = 3130/406
VoIP HW: leicht modifiz. FBF 7170 mit LCR; FW29.04.29
als DSL Router ohne einen Vigor
Router: FBF only
mfG
kdd
-
kdd - Foren-Ass
- Beiträge: 716
- Registriert: Di 13.11.2001 - 21:21
- Wohnort: Hamburg
3 Beiträge
• Seite 1 von 1
Zurück zu Tools und Fernwartung
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste
News
Site map
SitemapIndex
RSS FeedDieses Forum ist Bestandteil von www.2-com.de
© TwoCom 2001-2012
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO
© TwoCom 2001-2012
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO