Deutsche Glasfaser: Kundeneigener Router

Du musst die Pakete auseinanderpflücken. Wenn sie unverschlüsselt sind, wirst du die Zugangsdaten entnehmen können. Das Anstoßen eines Telefonates könnte ebenfalls dazu führen, dass die Daten noch mal übertragen werden.

Zitat von frank_m

Wenn sie unverschlüsselt sind, wirst du die Zugangsdaten entnehmen können.

SIP überträgt schon seit 2002 keine unverschlüsselten Zugangsdaten mehr, sondern nutzt Digest Access Authentication.

Was ja nicht bedeuten muss, dass es jeder so umsetzt. Ich meine mich erinnern zu können, ich hätte meine Zugangsdaten auch schon mal in einem Trace gesehen. Aber ich schau es jetzt auch nicht extra nach.

Zitat von frank_m

Was ja nicht bedeuten muss, dass es jeder so umsetzt.

Aber nur wenn der SIP-Proxy seit 22 Jahren geltende Standards ignoriert:

   Note that due to its weak security, the usage of "Basic"
   authentication has been deprecated.  Servers MUST NOT accept
   credentials using the "Basic" authorization scheme, and servers also
   MUST NOT challenge with "Basic".  This is a change from RFC 2543.

Unverschlüsselte Zugangsdaten DÜRFEN NICHT akzeptiert werden, selbst wenn sie übertragen würden. Würden sie akzeptiert, würde ich da kein Endgerät anmelden, sondern den Fall an die Bundesnetzagentur melden, weil da eine gigantische Sicherheitslücke mit Kostenrisiko klafft.

Zitat von wandler

Unverschlüsselte Zugangsdaten DÜRFEN NICHT akzeptiert werden, selbst wenn sie übertragen würden. Würden sie akzeptiert,

Papier ist geduldig... nicht alles was in Standards steht wird auch genau so in der Realitaet umgesetzt....

Zitat von pufferueberlauf

Papier ist geduldig... nicht alles was in Standards steht wird auch genau so in der Realitaet umgesetzt....

Gewisse regulatorische Vorgaben gibt es auch noch zu beachten.

Also das SIP selber keine zugangsdaten mehr sendet kann ja gut sein, das begrüße ich sogar, sicherheit sollte ja schon sein.

In meinem Fall geht es aber eher um ACS / TR.069 sprich die Auto Config die mein Router bekommt mit den SIP Daten, und die sollen laut Waishon dort ja unverschlüsselt übertragen werden. Das kann ich bis jetzt nur zur hälfte bestätigen, da mein DG Router gestern nicht mehr so wollte wie ich es wollte. Ich denke ich hätte ihn länger am Netz lassen müssen damit er sich die komplette Config ziehen kann, wollte aber nicht in die 60 Minuten MAC Sperre laufen. Meine Telefonnummer hatte ich in einem Trace aber gesehen und das war ein ACS / TR.069 ding.
Mal schauen ob ich es heute zeitlich schaffe das ganze nochmal zu testen, interessieren würde es mich ja schon. Bin aber nebenher auch schon mit der DG am schreiben zwecks umstellung auf eigenen Router. Die sollen mir nur per Mail / Schriftlich bestätigen das sich an meinem Vertrag nichts ändert, keine neue Vertragslaufzeit oder Tarifänderung, wenn sie das bestätigen dann lasse ich mich umstellen. Ist für die Zukunft auch besser denke ich, möchte später Opnsense auf einem Futro S940 mit i350T Karte und IP Telefon umsteigen, die Fritze ist nur eine übergangslösung.

Kleiner zusatz für Leute die spaß am basteln und probieren haben und jetzt keine Netzwerk Profis sind, den die wissen das hier eigentlich würde ich behaupten

Zitat von DooM

In meinem Fall geht es aber eher um ACS / TR.069 sprich die Auto Config die mein Router bekommt mit den SIP Daten, und die sollen laut Waishon dort ja unverschlüsselt übertragen werden.

Nein, das hat er so nicht geschrieben:

Zitat von Waishon

VLAN 330: Telefonie (ohne Internetzugriff). SIP Zugangsdaten erhält man über TR-069. Kommunikation ist unverschlüsselt :).

VLAN 342: TR-069 Kommunikation mit dem Konfiguationsserver der Deutschen Glasfaser. Ermöglicht Monitoring und Fernkonfiguration.

Da steht, dass die SIP Zugangsdaten über TR-069 übertragen werden und dass die Kommunikation auf VLAN 330 unverschlüsselt ist. Da steht nicht, dass die Kommunikation auf VLAN 342 unverschlüsselt ist (obwohl es natürlich sein kann).

Zitat von DooM

Ich denke ich hätte ihn länger am Netz lassen müssen damit er sich die komplette Config ziehen kann, wollte aber nicht in die 60 Minuten MAC Sperre laufen.

Das hab ich nicht verstanden. Wenn dein Router am Netz hängt und kommunizieren kann, warum ist dann die 60 Minuten DHCP Sperre ein Problem? Die 60 Minuten sind doch dann schon vorbei. Übrigens zieht er sich die Config auch nur, wenn er in Werkseinstellungen ist.

Zitat von DooM

Wenn euer Switch VLANs unterstützt, könntet ihr z.b an Port 1 den NT hängen, an Port 2 die neue Fritzbox und an Port 3 den DG Router.

Wenn du einen solchen Switch hast, warum machst du dir dann den Aufwand mit der Bridge fürs Sniffen? Der kann doch bestimmt auch Port Mirroring.

Zitat von wandler

Gewisse regulatorische Vorgaben gibt es auch noch zu beachten.

Beim Proidver-SIP? Welche regulatorischen Auflagen siehst Du durch plain-text Authentikation verletzt?

Zitat von frank_m

Nein, das hat er so nicht geschrieben:

Da steht, dass die SIP Zugangsdaten über TR-069 übertragen werden und dass die Kommunikation auf VLAN 330 unverschlüsselt ist. Da steht nicht, dass die Kommunikation auf VLAN 342 unverschlüsselt ist (obwohl es natürlich sein kann).

Das hab ich nicht verstanden. Wenn dein Router am Netz hängt und kommunizieren kann, warum ist dann die 60 Minuten DHCP Sperre ein Problem? Die 60 Minuten sind doch dann schon vorbei. Übrigens zieht er sich die Config auch nur, wenn er in Werkseinstellungen ist.

Wenn du einen solchen Switch hast, warum machst du dir dann den Aufwand mit der Bridge fürs Sniffen? Der kann doch bestimmt auch Port Mirroring.

Hmm also würdest du das jetzt so lesen das ich dort nicht an meine Daten komme?
Das wäre jetzt halt die Frage, weil dann habe ich das falsch gelesen bzw falsch interpretiert.

Beim ersten test den ich gemacht habe, hat sich der DG Router noch verbunden (Telefon) und ich konnte telefonieren, aber ich habe nichts sehen können an ACS / TR-069 Paketen.
Ich habe dann den Router auf Werkseinstellungen gesetzt, damit er sich nochmal die Config und alles komplett neu zieht. Das hat aber nicht so schnell funktioniert wie ich gehofft hatte, auch nicht direkt am NT angeschlossen so wie es sein muss. Ich wollte jetzt aber nicht so lange warten bis die 60 Minuten um sind, und der NT die Fritz MAC löscht und die DG Router MAC nimmt, weil dann hätte ich wieder warten müssen bis die MAC gelöscht wird.
Aber ich habe diesmal gesehen wie der DG Router und der NT eine ACS / TR-069 verbindung aufgebaut haben und daten ausgetauscht haben, leider nicht alle wie mir scheint, das hatte ich vorher nie gesehen. Ich hätte jetzt also einfach warten müssen, vielleicht 60 Minuten, bis er sich wieder komplett alles gezogen hat damit das Telefon wieder geht. Das wollte ich aber nicht, und somit war der Router wohl nicht fertig konfiguriert.

Den aufwand mit der Bridge hatte ich mir davor gemacht, bevor ich wusste das Windows das so nicht kann mit den VLANs. Dann habe ich mich bissl schlau gemacht und mir ist eingefallen das mein Switch das ja auch kann und habe das dann damit getestet. Trunked/Untrunked und Port Mirroring kann er und damit läuft das wunderbar. Wie gesagt, habe vorher nie mit VLANs gearbeitet und wusste daher nicht wie das genau läuft. Dank der DG also wieder was dazu gelernt haha

Zitat von DooM

Hmm also würdest du das jetzt so lesen das ich dort nicht an meine Daten komme?

Das weiß ich nicht. Es gibt 2 Möglichkeiten: Sie werden doch bei der SIP Anmeldung übertragen, entgegen der aktuellen Standards, oder die ACS Kommunikation ist unverschlüsselt. Beides ist denkbar, und ich würde es zumindest probieren.

Zitat von DooM

Ich wollte jetzt aber nicht so lange warten bis die 60 Minuten um sind, und der NT die Fritz MAC löscht und die DG Router MAC nimmt, weil dann hätte ich wieder warten müssen bis die MAC gelöscht wird.

Das hast du völlig falsch verstanden. Der NT hat gar nichts damit zu tun. Der DHCP Server der DG verteilt IP Adressen auf Anfrage, aber nur eine pro Anschluss. Die Lease Time beträgt 60 Minuten. Bevor ein Lease nicht abgelaufen ist, bekommt man kein neues. Ein Lease kann ablaufen, weil der Router es aktiv freigibt, oder weil die Zeit abläuft.

Heißt: Wenn du einen Router hart abschaltest, dann musst du die verbliebene Zeit warten, bis die 60 Minuten seit dem letzten Lease abgelaufen sind. Das können 1 Sekunde oder auch 59 Minuten sein. Wenn ein Gerät aber erst mal läuft und kommunizieren kann, dann ist das letzte Lease garantiert weg, und man muss neu warten.

Oder man muss die Router herunterfahren. Eine Fritzbox gibt ein Lease frei, wenn man auf "Neustart" drückt. Neustart ausführen und im Reboot Moment den Strom ziehen, dann kann man sofort einen anderen Router benutzen. Das können andere Router vielleicht auch.

Zitat von frank_m

Das weiß ich nicht. Es gibt 2 Möglichkeiten: Sie werden doch bei der SIP Anmeldung übertragen, entgegen der aktuellen Standards, oder die ACS Kommunikation ist unverschlüsselt. Beides ist denkbar, und ich würde es zumindest probieren.

Ja ich schau mal ob ich das noch testen kann, interessieren würde es mich ja schon.

Zitat

Das hast du völlig falsch verstanden. Der NT hat gar nichts damit zu tun. Der DHCP Server der DG verteilt IP Adressen auf Anfrage, aber nur eine pro Anschluss. Die Lease Time beträgt 60 Minuten. Bevor ein Lease nicht abgelaufen ist, bekommt man kein neues. Ein Lease kann ablaufen, weil der Router es aktiv freigibt, oder weil die Zeit abläuft.

Heißt: Wenn du einen Router hart abschaltest, dann musst du die verbliebene Zeit warten, bis die 60 Minuten seit dem letzten Lease abgelaufen sind. Das können 1 Sekunde oder auch 59 Minuten sein. Wenn ein Gerät aber erst mal läuft und kommunizieren kann, dann ist das letzte Lease garantiert weg, und man muss neu warten.

Oder man muss die Router herunterfahren. Eine Fritzbox gibt ein Lease frei, wenn man auf "Neustart" drückt. Neustart ausführen und im Reboot Moment den Strom ziehen, dann kann man sofort einen anderen Router benutzen. Das können andere Router vielleicht auch.

Aaahhh okay das war mir so nicht bewusst, interessant. Also das mit dem Neustarten für Lease freigabe werde ich mir mal merken. Ob ich das hier jetzt testen möchte weiß ich nicht, nachher macht der DG Router das nicht und ich muss warten, das wäre blöd.

Soooo, Waishon hatte recht !!

Die Zugangsdaten werden unverschlüsselt übertragen.

Nachdem ich jetzt seit dem 7.4 auf die Antwort zu meinem Ticket warte und einfach nichts gekommen ist, habe ich jetzt das mit dem DHCP Lease getestet.
Mit der Fritzbox ist es einfach ein Lease zu senden, leider geht es mit dem DG Router mit neustart oder Werkseinstellung nicht, also muss man so auf jeden fall 60 Minuten warten, aber darum soll es jetzt nicht gehen.

Ich habe den Lease gemacht mit der Fritzbox und dann den DG Router angeschlossen und da ich ja wieder frei war (lease) hat sich der Router jetzt alles gezogen was er braucht und Internet und Telefon waren sofort Connectet.

Hat eine weile gedauert bis ich gecheckt habe wo die Zugangsdaten drin stehen, aber ich habe sie gefunden, unverschlüsselt Und nein, nicht per SIP, da wird zwar der Username unverschlüsselt übertragen aber das Password nicht, da sieht man nur ein Digest bla bla...

Somit hab ich alles was ich brauche, kann raus und rein Telefonieren und muss mich nicht mehr mit dem Support herumärgern.

Danke! an alle in diesem Thread für die ganzen Infos, Tipps und Tricks !

Das war also die Kommunikation mit dem ACS, aus dem du sie entnehmen konntest? Die Info ist wichtig, falls noch mal jemand in der Situation ist, dann wissen wir sofort, wo wir suchen müssen.

Ja richtig.
Hier mal die Filter um es einfacher zu machen.
Erst den Filter oben nutzen, dann filtert er danach, und dann die Suche nach AuthPassword, dann sollte nur ein ergebniss kommen das er euch unten links anzeigt. Dort steht dann eure Telefonnummer, SIP Username und SIP Password. Einfacher habe ich es jetzt auf die schnelle nicht hinbekommen mit dem Filter, denke aber dass jeder es damit einfach findet.

Und nochmal kurz zusammengefasst im ganzen.
Ihr braucht ein VLAN fahiges Gerät. Ich habe ein Switch benutzt und Port 1-2 auf Trunked und VLANs 330, 342, 360, 362 eingestellt.
Port 1: NT (Fibertwist AON)
Port 2: DG Router
Port 3: mit Port Mirroring von Port 1-2.
An Port 3 habe ich einen Windows PC mit Wireshark laufen der alles aufnimmt.
Damit sollte euer DG Router per ACS alle Configs bekommen und sich mit dem Internet und Telefon verbinden. Am besten vorher Werkseinstellungen machen am Router, damit er clean ist.

Perfekt. Das Ergebnis ist wirklich großartig.

Grossartig? Eher offenbart das eklatante Luecken im Sicherheitskonzept der DG... Klartextuebermittlung von sensitiven Nutzernamen und Passwoertern (die man vor dem eigenen Endnutzer verstecken will) ist IMHO "amateur hour".

DooM fuer Dich ist das gut, und gute Arbeit, aber ist kein Zeichen fuer Kompetenz bei der DG.

Dies ist eine Lücke, die so groß ist, wie die Übermittlung eines Logins einer Website via HTTPS, sofern eine GPON-Topologie verwendet wird.

Jain, das Threadmodell enthaelt hier IMHO den Endnutzer und da ist, wie von DooM demonstriert die Verschluesselung auf dem GPON Segment kein echtes Hindernis.

Die Verschlüsselung ist bis zum Endgerät (ONT, Glasfaserrouter) existent und voll funktional. Ich kann da keinen Mehrwert einer End-zu-End Verschlüsselung erkennen.

Akademisch und aus paranoider Sicht betrachtet ist natürlich eine End-zu-End Verschlüsselung jedes Kommunikationskanales durch einen VPN-Tunnel vorteilhaft, dann aber bitte zertifikatsbasiert und mit kurzen Laufzeiten von 30 bis maximal 90 Tagen. Freilich erhöht dieses die Störanfälligkeit und schafft weitere Abhängigkeiten von weiteren Diensten. Damit erzeugt man wunderbar multiple points of failures (MPOF) und erhält in letzter Konsequenz instabile bzw. keine robusten Systeme und Dienste. In anderen, nicht-technischen Worten: Viele Köche verderben den Brei.

Gerade Dienstestabilität und Robustheit ist jedoch das Ziel, welches unbedingt im TK-Umfeld erreicht werden muss.