Ungewolltes Portforwarding der InternetBox von TR-069 ins LAN

beat_lu

Hallo miteinander,

durch Zufall habe ich folgenden Sachverhalt entdeckt, der mich an der Sicherheit der InternetBox zweifeln lässt.

Mein Aufbau:

WAN -- IB -- LAN1 -- FW -- LAN2

InternetBox (IB) LAN1-Interface: 192.168.2.1
Statische Route auf IB: 192.168.1.0/24 --> 192.168.2.250
5 Portweiterleitungen auf das LAN1-Interface der FW
Firewall (FW) LAN1-Interface: 192.168.2.250
LAN1: 192.168.2.0/24 (unsichere Geräte wie TV-Box, Gäste-WLAN, etc.)
LAN2: 192.168.1.0/24 (private Geräte wie NAS, PCs etc.)

Ausser den 5 auf der InternetBox konfigurierten Portweiterleitungen blocke ich auf der Firewall jeglichen Verkehr ins LAN2. Jeglicher Verkehr ins LAN2 wird protokolliert!

Bei der Konsultation der Log-Files ist mir folgender, in unregelmässigen Abständen auftauchender Netzwerkverkehr auf den Port 7547 (TR-069) auf den nicht existierenden Host 192.168.1.161 im LAN2 aufgefallen, der an der Firewall geblockt wird:

Source Port Destination Port (DNS name source)
195.186.155.136:47573 192.168.1.161:7547 (vimdzhmp-hmpws1.bluewin.ch)
195.186.155.137:44284 192.168.1.161:7547 (vimdzhmp-hmpws2.bluewin.ch)
195.186.219.136:36342 192.168.1.161:7547 (vimdzhmp-hmpws3.bluewin.ch)
195.186.219.137:46418 192.168.1.161:7547 (vimdzhmp-hmpws4.bluewin.ch)

Um einen Netzwerk-Trace aufzuzeichnen, habe ich an der FW eine Rule angelegt, der diesen Traffic ins LAN2 zulässt. Dazu habe ich im LAN2 einen Host mit der IP-Adresse 192.168.1.161 stationiert, der mit netcat auf dem Port 7547 lauscht. Ein entsprechender, auf der FW aufgezeichneter Trace liegt mir als Beweis vor!

Meine Fragen an die Community:
- Was für eine Funktion haben die oben erwähnten Hosts (vimdzhmp-hmpwsX.bluewin.ch)?
- Weshalb wird der TR-069 Traffic ungefragt und ungewollt durch die InternetBox weitergeleitet?
- An wen kann/muss ich meine Beobachtungen melden?

Ich vermute stark, dass nicht nur meine InternetBox ungefragt irgendwelchen Netzwerktraffic vom Internet ins LAN weiterleitet. Aus meiner Sicht eine besorgniserregende Tatsache, die v.a. nicht kommuniziert ist.

Bin gespannt auf eure Meinungen.

Einen schönen Gruss

Beat

Anonymous1

TR69 - Traffic dient dazu, von uns gemanagte Geräte zu erreichen und mit den notwendigen Befehlen zu versorgen, z.B. ein Firmwareupdate. Dazu zählen z.B. auch WLAN-Connection-Kits oder Powerline-Connection-Kits.

Es gibt da auch keine Sicherheitsprobleme oder Datenspionage. Da brauchst Du Dir keine Sorgen machen. Es werden auch keine Infos für Werbung benutzt. Nur für Supportzwecke werden Daten benötigt.

Guido

beat_lu

Hallo Guido,

danke für die Antwort. TR-069 auf dem Router des Providers, dagegen habe ich prinzipiell nichts einzuwenden. Doch wenn darüber das interne Netzwerk (sogar nicht einmal dasjenige welches direkt an der InternetBox konfiguriert ist) ausgespäht wird, das geht mir zu weit!

Ich habe im direkt an der IB angeschlossenen LAN nur die TV-Box der Swisscom. Ich betreibe weder Smartmeters noch sonst irgendwelche Geräte, die von der Swisscom aus über TR-069 verwaltet werden müssten.

Könntest du mir bitte technisch den Grund erläutern, weshalb die genannten Swisscom-Hosts über die IB versuchen in mein LAN2 zu kommen? Und v.a. weshalb als Ziel die Adresse 192.168.1.161 verwendet wird, obwohl das LAN der IB das Netzwerk 192.168.2.0/24 ist? Wie lautet die (fix einprogrammierte?) Weiterleitungsregel, die diesen Unfug vornimmt?

Gibt es noch irgendwelche anderen Ports, die von der InternetBox ohne Wissen der Benutzer an irgendwelche LAN-Adressen weitergeleitet werden?

Dieser Zufallsfund meinerseits ist nicht gerade vertrauenserweckend!

Gruss

Beat

ToDoTo

Ich bin jetzt nicht ganz sicher... aber ich glaube mich zu erinnern, dass wenn die Internetbox auf Werkseinstellung eingestellt ist, der Applikationsteil der Internetbox eben genau diese IP Adresse hat

Der Applikationsteil ist ein eigenständiges Netzwerkgerät innerhalb der Internet-Box und wird verwendet für Funktionen wie den zentralen Speicher, den Speedtest oder auch den VPN Server. Der Applikationsteil hat wie alle Netzwerkgeräte eine eigene IP-Adresse.

Aber komisch finde ich es schon, denn wenn du die IP Adressierung auf der Internetbox geändert hast, müsste auch die Applikationsteil IP ändern...

Und genau solche Sachen stören mich auch. Aus diesem Grund, Draytek Modem dran, DHCP Option 61 aktivieren, Firewall dran, Proxy-IGMP konfigurieren und los gehts... nix mehr mit Spionage.

Und da die Swisscom (Danke) nun die Voip Daten rausrückt, hat man eben die Möglichkeit alles selber zu machen.

Ich habe nichts dagegen das die Swisscom und auch andere Provider das machen. Ich meine, ein 0800 Kunde kann nicht anders und dort passt das auch.

Aber jeder der kann, möchte und will soll dann halt eben alles selber machen.

Alles andere mit Internetbox und DMZ auf Firewall etc. ist für mich einfach gebastel und nicht sauber.

Gruss

Herby

@ToDoTo schrieb:

Und genau solche Sachen stören mich auch. Aus diesem Grund, Draytek Modem dran, DHCP Option 61 aktivieren, Firewall dran, Proxy-IGMP konfigurieren und los gehts... nix mehr mit Spionage.

Und da die Swisscom (Danke) nun die Voip Daten rausrückt, hat man eben die Möglichkeit alles selber zu machen.

Wenn Glas vorhanden sogar ohne eventuell Mal vorhanden oder kommende Kompatibilität Probleme wegen der DSL Übertragungstechnik.

Medienkonverter MC220L und dahinter was Dein Herz begehrt...

Anonymous1

Spionage? Sorry, aber wir sind weder die NSA noch der KGB. Es wird nichts spioniert. Manchmal muss ich schon etwas lachen.

WalterB

@beat_lu

Was hast Du den für ein Betriebsystem ohne das dort von extern überprüft werden kann ob Update nötig

sind?

beat_lu

Hallo Guido,

solange mir keine plausible Antwort vorliegt, weshalb die InternetBox Traffic an eine IP-Adresse weiterleitet mit der sie gar nichts zu tun hat, bleibt der Fall rätselhaft und nicht vertrauenswürdig!

Es gibt nicht nur Swisscom-Server, die über diese Weiterleitung ins interne Netzwerk kommen! Ich habe auch Aufzeichnungen von Servern in Russland, die über diese nicht dokumentierte Weiterleitung erst an meiner Firewall gestoppt worden sind!

Dank für eine plausible ANtwort, allenfalls Nachbesserung, damit die Weiterleitung an die richtige IP-Adresse vorgenommen wird.

Gruss

Beat

WalterB

Was zeigt Dir der PORT-SCAN unten beim Link an, auch grün?

https://www.heise.de/security/dienste/portscan/test/do.shtml?scanart=9&ports=7547

Tux0ne

Die Antwort von @ToDoTo halte ich für die plausibelste.

Tatsächlich müsste dies die IP des Applikationsteiles sein. Letze IP aus dem DHCP Range der Internet Box sofern der App Teil auf automatisch steht.

Denn statt man dies jetzt einfach wieder mal ins lächerliche zieht, würden sich sicher mal mind. 2 Fragen / Feststellungen ergeben.

Wieso hat sich die automatische Portweiterleitung der Internet Box beim Subnet Wechsel der Internet Box nicht geändert? Hinweis, wäre dann ein Bug...
Wieso braucht jetzt sogar der Applikationsteil ein CWMP Zugang?

Nach Ansicht der bisherigen Antworten ist da aber nicht mit erhellenden Antworten zu rechnen.

Des weiteren sollte für CWMP eine ACL konfiguriert sein. Was im Falle von geloggten Russischen IP's theoretisch auch weitere Fragen des warum und wieso aufwerfen könnte.

https://supportcommunity.swisscom.ch/t5/Diskussionen-%C3%BCber-Ger%C3%A4te-und/Hinweise-dass-der-aktuelle-Angriff-auf-deutsche-DNS-Server/td-p/470729

@WalterB Wenn du Fragen hast warum Betriebssystem Updates keine automatische Portweiterleitung brauchen oder warum und wie man externe Portscaner interpretierten könnte, kannst du gerne eigene Threads dazu eröffnen.

Ich löse sie dir dann 😄

beat_lu

Hallo @Tux0ne

auch für mich tönt die Antwort von @ToDoTo am einleuchtendsten.

Jetzt stellt sich für mich die Frage: An wen soll ich mich mit dieser Erkenntnis wenden? Werden diese Beiträge von den entsprechenden Stellen der Swisscom gelesen, um eine Überprüfung und allfällige Aktualisierung der Firmware der InternetBox einzuleiten?

Danke für einen Hinweis und einen sonnigen Gruss

Beat

N.B. Dies ist der aufgezeichnete, vermutlich aus Russland stammende Zugriffsversuch:

21.05.201715:00:275.188.211.68:58616192.168.1.161:7547

Tux0ne

Ja mit den zusätzlichen Hinweisen zum allgemeinen Verständnis ist es in diesem Thread quasi schon als gegeben zu betrachten 😉

WalterB

@Tux0ne

Als " normaler " Anwender ist für mich TR-069 ein normales Protokoll zum Datenaustausch welches bei Breitbandrouter verwendet wird, einzig was mich erstaunt dass das Netz hinter dem Router angeblich von *Russen* gescannt wird.

https://de.wikipedia.org/wiki/TR-069

Anonymous1

@beat_lu Ich gebe solche Fälle an mein Team weiter, damit sie es anschauen können. Wenn da wirklich ein Bug ist, dann wird er auch bearbeitet. Ich kann Dir nur zwei Dinge sagen:

a.: Wir lassen das Thema Sicherheit in sehr regelmässigen Abständen intern und von externen Sicherheitsfirmen anschauen. Und bislang haben wir jeden Test bestanden. Kleinere Dinge werden immer kurzfristig behoben. Sicherheit ist sehr wichtig für mich. Daher wird dort viel investiert (Personen und Geld).

b.: Beseitigung nicht sicherheitsrelevanter Bugs steht bei uns auf gleicher Stufe wie neue Funktionen. Daher ist der uns bekannte Bugbacklog relativ klein. Wir tauschen uns dazu regelmässig mit anderen FIrmen aus und so wenig Bugs wie wir hat keiner gehabt. Nicht mal annähernd. Stabilität ist uns auch sehr wichtig. Der nächste Release 8.8 im Sommer wird dazu noch einmal den Fokus auf die weitere Reduzierung der offenen Bugs haben. Wobei die meisten Bugs nur wirkliche Cornercases sind, die so selten auftreten, dass es schon fast keinen Sinn macht, da Arbeit reinzustecken.

Wir sind froh um jeden Hinweis, wo wir etwas verbessern können. Konstruktives Feedback ist auch immer willkommen.

beat_lu

@Anonym, besten Dank für das Feedback.

Ev. hat hier (aufgrund der Dringlichkeit?) bereits jemand an irgendetwas rumgeschraubt: Seit dem 24. Mai 2017, 17:08 Uhr, muss ich keine solchen Pakete mehr an meiner Firewall zur Kenntnis nehmen! Dieser Zeitpunkt entspricht ungefähr meinem ersten Posting in diesem Forum!

Halte diese Thematik weiter im Auge und bin gespannt, ob ich da einmal eine erklärende Rückmeldung erhalte.

Schöner Gruss

Beat

beat_lu

@Anonym

ich habe mich zu früh gefreut!

Die "Angriffe" auf den Port 7547 auf eine nicht existierende Maschine in einem Netzwerk das mit der IB nichts zu tun hat gehen weiter!

Die Pakete werden von x-beliebigen Quellen (letztens wiederum eine aus Japan) weitergeleitet und diese Weiterleitung ist in der Admin-Weboberfläche der IB weder zu sehen noch zu deaktivieren.

Das darf doch nicht sein!! Ich erwarte eine Stellungnahme, was es mit diesen Paketen auf sich hat!

Anonymous1

Ich lasse es anschauen.

beat_lu

@Anonym

Mir ist aufgefallen, dass z.B. der WLAN-Status in meinem SC-Kundencenter nicht mehr demjenigen der InternetBox entspricht! Daher nehme ich stark an, dass SC nicht mehr in der Lage ist, meine InternetBox über TR-069 zu administrieren, geschweige eine Firmware mit entsprechenden Bugfixes zu installieren!

Wie komme ich zu einer neue Firmware, die diese Problematik allenfalls behebt, wenn eine solche verfügbar sein sollte?

Danke für einen Lösungsvorschlag und einen schönen Gruss

Beat