[gelöst] Internet-Box plus per IPv6 (INet) erreichbar & FW Verhalten

w0rker

Guten Tag Community

Wir haben die Internet-Box plus (leider gibt es da wohl keine Versionen, deshalb kann ich nicht mehr Angaben zu dieser Box machen). Die installierte Firmware-Version ist: 11.04.22/11.04.20/01646

Ich habe zu diesem Router zwei Fragen:

1. Warum kann ich die Login-Maske (mit dem Browser) über die 'scope global IPv6' (also aus dem Internet) erreichen und mich auch einloggen? Dies ist doch eine unnötige Einladung zum "Bruteforcen", etc....??...insbesondere gefährlich ist das, da standardmässig kein 'httpS', sondern 'http' verwendet wird. Gibt es eine Möglichkeit/Option den Login "von Aussen" abzuschalten?

_{2. Die IPv6-Firewall ist auf "Eingehend blockieren / Ausgehend erlauben" eingestellt. Trotzdem kann ich die laufenden Dienste (z.B. testweise mittels Telnet) auf meinem RasPi (hinter dem Router/der FW) über dessen 'scope global IPv6' erreichen. Ich bin kein Spezialist in FW-Rules (insbes. IPv6 sorgt bei mir immer wieder für Kopfschmerzen), aber sollte die FW des Routers den Zugriff (hier über IPv6 auf allen Geräten hinter der FW) bei dieser Einstellung nicht unterbinden?~

... sorry, der zweite Punkt geht auf meinen Mist - hatte vergessen, dass ich testweise Ports auch für IPv6 freigegeben hatte... 😄

Für Aufklärung(en) wäre ich sehr dankbar.

w0rker}

Roger G

Keine direkte Antwort auf Deine Frage, aber nur der Hinweis darauf, dass die Internet-Box plus und Standard end-of-life sind und Du Dir eine neuere IB2,3 oder 4 (nur Glasfaser) beschaffen solltest.

Viele Grüsse

hed

... IB2 aber auch nur, wenn man diese sehr günstig beschaffen kann, denn die IB2 dürfte die nächste Box sein, die bald End of Life geht.

Werner

@w0rker

Das Router-GUI der Internetboxen darf aus Sicherheitsgründen alleine über die öffentliche IP nicht erreichbar sein, und dies natürlich weder über IPv4 noch über IPv6, deshalb funktioniert dieser Zugriff gemäss Konzept auch nur über eine vorgängig hergestellte VPN-Verbindung.

Falls dies nun auf Deiner Internetbox tatsächlich via IPv6 möglich ist, muss es sich eigentlich um einen Fehler in der Firmware handeln.

@MichelB:

Irgendetwas intern bereits bekannt zu diesem Thema?

w0rker

@Roger G und @hed

Vielen Dank für Eure Hinweise.

@Werner

Ich habe kein - von der Swisscom bereitgestelltes - VPN, daher nehme ich an, dass die Firmware der IB hier tatsächlich geändert werden sollte.

Werner

@w0rker

Habe gerade versucht es mit einer IB3 zu reproduzieren.

Versucht habe ich es aus einem fremden Netz mit einem direkten Browser-Aufruf von [http://[vollständige-IPv6-Adresse-des-Heimrouters]/](http://[vollständige-IPv6-Adresse]/)

Auf diese Weise bin ich mal nicht auf das Router-GUI der IB3 gekommen.

Hast Du es auf die selbe Weise versucht, oder vielleicht noch den Port 80 mitgegeben, oder sonst was anderes?

w0rker

@Werner

Habe es im Grunde so, wie Du hier gemacht - nur ohne das "http://". Einfach -> [2a02:1210:......]

Und es hat mich auf -> http://[2a02:1210:.......]/#login

"geleitet". Eben auf die Login-GUI des Routers.

PowerMac

Ich habe das von dir beschriebene Verhalten auch nachzustellen versucht, aber ohne Erfolg.

Von extern schaffe ich es (ohne VPN) unter keinen Umständen aufs Web-GUI. Auch nicht mit deaktivierter Firewall und auch nicht mit einer expliziten Firewallrule auf Port 80.

Von was für einem Anschluss (Provider) aus bekommst du denn eine Verbindung aufs Web-GUI? Klingt ja nach einem wirklich interessanten Verhalten...

hed

@w0rker

Sind in der IB irgendwelche Portweiterleitungen aktiviert?

w0rker

@PowerMac

Mein Provider ist die Swisscom.

w0rker

@hed

Ja, es sind Portweiterleitungen (nebst UPnP IGD) aktiviert und zwar zu meinem RasPi: 25,80,110,143,443,465,993,995,5000,5222, 5280-5281,6667,6697,61800

PowerMac

Deine ursprüngliche Frage lautete ja: "Warum kann ich die Login-Maske (mit dem Browser) über die 'scope global IPv6' (also aus dem Internet) erreichen und mich auch einloggen?".

Da steckt ein kleiner Widerspruch drin; dass auf der scope global IPv6 ein Webservice läuft impliziert noch nicht, dass dieser Service auch aus dem Internet erreichbar ist. Im lokalen Netz sind Zugriffe aufs Web-GUI per IPv6 selbstverständlich möglich, aber von extern darf dies nicht der Fall sein. Nur um das Offensichtliche auszuschliessen: du kommst schon von einem anderen, externen Swisscom-Anschluss aus aufs IPv6-Web-GUI der Internetbox?

w0rker

@PowerMac

Zitat: "Im lokalen Netz sind Zugriffe aufs Web-GUI per IPv6 selbstverständlich möglich, aber von extern darf dies nicht der Fall sein." - das stimmt natürlich, da hast Du recht(!). Dir Box wird ja nicht ihre eigene IP(v6) über das halbe Netz routen, wenn sie das Ziel bereits kennt...

Ich habe jetzt versucht über meinen externen Server (Frankreich) die GUI der Box per IPv6 zu erreichen und tatsächlich, es kam keine Verbindung zu stande.

Wahrscheinlich hat mich die Tatsache verwirrt, dass dies möglich wäre, weil der Aufbau der Login-Seite so langsam ging - eben suggeriert, die Pakete würden übers INet laufen...

Sorry, hätte das wohl genauer prüfen sollen. 🙄

Danke für Eure Hilfe!

w0rker

MichelB

@w0rker: Ich kann das Problem nicht nachvollziehen. Mit was für einem Gerät aus welchen Netzwerk erreichst du das Webportal von ausserhalb? z.B. Mobilephone aus dem Mobilenetz?

Danke und Gruss,

MichelB

w0rker

@MichelB

Das Problem hat sich erledigt (siehe auch meine letzte Antwort an PowerMac).

Um Deine Frage dennoch zu beantworten: Ich konnte die GUI der Box per IPv6 deshalb erreichen, da die Box ja ihre eigene IP(v6) nicht übers netz routet, sondern das Ziel ja bereits kennt und somit der Login "von innen" und nicht "von aussen (aus dem INet)" erreichbar ist.

(Edit: Den Login "von aussen" habe ich über meinen ganz normalen Desktop PC (LAN) per IPv6 aufgerufen.)

Was mich dennoch wundert ist, dass die User, die mein "Problem" hier versucht haben nachzuvollziehen, überhaupt nicht auf die Login-Seite geleitet wurden (über die scope global IPv6). Aber okay, das mag event. auf der etwas anders aufgebauten Firmware der anderen Boxen liegen...

w0rker

PowerMac

@w0rker schrieb:

[...]

Was mich dennoch wundert ist, dass die User, die mein "Problem" hier versucht haben nachzuvollziehen, überhaupt nicht auf die Login-Seite geleitet wurden (über die scope global IPv6). Aber okay, das mag event. auf der etwas anders aufgebauten Firmware der anderen Boxen liegen...

Beim Zugriff aus dem internen Netz verhalten sich soweit mir bekannt ist alle Hard- und Firmwarevarianten der Internetboxen gleich, dh. man kann immer [2a02:1210:......] in die Adresszeile des Browsers eingeben und wird dann auf http://[2a02:1210:......]#login weitergeleitet. Wenn man es sich einfacher machen will gehts auch mit http://internetbox.home. Dass ich, @Werner und @MichelB geschrieben haben dass wir das Problem nicht reproduzieren können liegt daran, dass wir wie selbstverständlich davon ausgegangen sind dass sich deine Problembeschreibung auf den Zugriff von aussen bezog und wir deshalb von externen Anschlüssen aus getestet haben.

Werner

Zwar basierte dieser ganze Thread auf einem Irrtum, aber zumindest habe ich jetzt zum ersten Mal mit einem eigenen Test selbst überprüft, dass das Router-GUI der Internetboxen aus dem Internet auch über IPv6 tatsächlich nicht angreifbar ist.

Also alles immer noch im grünen Bereich mit der Sicherheit der Internetboxen 🙂