Magenta Fiberbox nur per App konfigurierbar? Kein LAN-Zugriff auf Webinterface!

[Thorsten Artner]

Habe gerade heute meine neue Magenta Home Box Fiber bekommen, dachte eigentlich ich bekomme nur ein Modem.
Ich bin mit meinem Computer per LAN verbunden.

Die Fiberbox ist auf 192.168.0.1

Ein portscan mit netcat  -> for ((i=1; i<2000; i++)) do netcat -w 8 -v 192.168.0.1 $i; done
zeigt
netcat: connect to 192.168.0.1 port 1 -> 21 (tcp) failed: Connection refused
netcat: connect to 192.168.0.1 port 22 (tcp) timed out: Operation now in progress
netcat: connect to 192.168.0.1 port 23 (tcp) timed out: Operation now in progress
netcat: connect to 192.168.0.1 port 24 ->52 (tcp) failed: Connection refused
Connection to 192.168.0.1 53 port [tcp/domain] succeeded!
netcat: connect to 192.168.0.1 port 54 ->79 (tcp) failed: Connection refused
netcat: connect to 192.168.0.1 port 80 (tcp) timed out: Operation now in progress
netcat: connect to 192.168.0.1 port 81 ->110 (tcp) failed: Connection refused
netcat: connect to 192.168.0.1 port 111 (tcp) timed out: Operation now in progress
netcat: connect to 192.168.0.1 port 112 ->443 (tcp) failed: Connection refused
netcat: connect to 192.168.0.1 port 443 (tcp) timed out: Operation now in progress

 

Das einzige Port das erfolgreich war ist port 53 DNS resolve port.

Bei http port 80 und https port 443 sehe ich, das was laufen muß aber die Fiberbox blockt, Das ganze lief mit einem 8sec timeout.

Ich komme über LAN nicht in die Fiberbox. Jetzt lese ich, ich brauche eine Magenta App.
Stimmt das, ich muß übers Smartphone oder zu mindest über ein Android Gerät
um meine eigene Fiber Box zuhause zu managen, obwohl ich mit LAN verbunden bin?
Das kann doch nicht stimmen, wer lässt sich sowas einfallen. Bzw jeder vom Web kann meine Fiberbox managen, wenn er das Passwort kennt,
oder sind eh nur WLAN Zugriffe erlaubt?

Was ich eigentlich will. Ich will meine Fiberbox in den Bridge Modus schalten, und mein Netgear Router managed mein LAN.

Ich brauche die Fiberbox nur als Modem. Ich brauche auch keine Magenta APP, wo ist, wie bei jeden normalen Router,das https web management auf port 443.
MFG Thorsten Artner

[NTM]

Hi @Thorsten Artner

Ja die Home Box Fiber hat keine Web-Oberfläche und es gibt nur ein paar wenige Einstellungen in der Mein Magenta App mit einem Magenta Account.

 

Für die Umstellung der Home Box Fiber auf Bridge Mode musst du den Support von Magenta kontaktieren.

LG NTM

[NTM]

Ich selber habe die Box nicht, kann also nicht alles beantworten.

Aber sobald die Box im Bridge Modus ist, gibt es sowieso nichts mehr zum Einstellen.

 

Mit der Mein Magenta App können eben nur sehr wenige Einstellungen getroffen werden:

W-Lan Name und Passwort ändern

DHCP-Server IP-Range und Lease-Time konfigurieren

IPs für Geräte reservieren

Portweiterleitungen eintragen, falls der Anschluss über den Kundenservice auf IPv4 umgestellt wurde, was nur wenige machen werden

https://www.magenta.at/content/dam/magenta_at/pdfs/consumer/faq/Anleitung_Magenta_Home_Box_Fiber_WEB.pdf

 

Der mögliche Schaden dürfte sich also in Grenzen halten.

 

Im Festnetz-Bereich können die Anbieter ihre Geräte sowieso jederzeit fernwarten.

Also wäre ein interner Account mit mehr Rechten für einen Angreifer eher von Interesse. 

 

Es gibt Marken welche die Konfiguration von Consumer-Netzwerkhardware über einen Could Account anbieten, aber oft gibt es dennoch die Option die klassische Web-Oberfläche zu verwenden.

Bearbeitet vor 18 Stunden von NTM

[Thorsten Artner]

Hallo @Jonathan Dorian.   Ich habe zum Beispiel selbst 2 Desktop Computer wobei einer ein Mini PC ist, aber nur einen Monitor, 1 Maus, 1 Keyboard.  Die Eingabegeräte sind am Hauptcomputer angeschlossen. Am Mini PC, ist ein TigerVNC server installiert, damit kann ich vom Hauptcomputer den gesamten Mini PC steuern, natürlich unverschlüsselt und ohne Passwort. Es ist ja in meinem eigenen LAN!!!
Nebenbei habe ich einen Netzwerk Drucker.
Ein Angreifer der mein Magenta Konto kompromitiert. Sieht genau welche Geräte ich habe und kann eine Portweiterleitung über NAT von aussen an meinen TigerVnc veranlassen, damit hat er sämtliche Kontrolle über meinen Mini PC, sogar mit Linux GUI Cinnamon.
Das selbe gilt für meinen Netzwerkdrucker.
Weiters kann er mein ganzes Netz lahmlegen!!
Generell:

- Deaktivierung von Sicherheitsfunktionen (z.B. WPA2 auf dem WLAN, Portweiterleitungen einrichten, etc.).

- Überwachung oder Mitlesen des Internetverkehrs.

- Zugang zu den verbundenen Geräten über Portweiterleitungen.

- Manipulation der IP-Adresszuweisung und der DHCP-Einstellungen, was zu Netzwerkausfällen oder Konflikten führen könnte.

Schlechter Scherz, das mit der Magenta App oder? Hast du keine Bedenken oder hast du diesen Router gar nicht.?

Außerdem netcat zeigt, das auf port 80 und port 443 ein timeout passiert. Ich habs auf 8 Sekunden gestellt und es steht
operation now in progress und nicht connection refused.
Das hat den Eindruck, dass auf dieser Box zwar ein Webinterface läuft, aber es absichtlich vom LAN geblockt wird.
Ich will da nichts unterstellen. Aber es sieht nach Firewall Block aus. Muß aber nicht sein.
Vielleicht läuft auch gar nichts auf diesen Port und die Box reagiert nicht mit einem connection refused mit einem aktiven Ablehnen.
Sie reagiert einfach auf diesen Port nicht, dass zeig operation now in progress.

MFG Thorsten Artner
 

Bearbeitet vor 7 Stunden von Thorsten Artner

[Thorsten Artner]

hallo @NTM.. Ich hoffe man kann den Zugriff durch Magenta APP blockieren. Macht das auch der Support. Ist das nicht ein Sicherheitsrisiko für das ganze LAN. Wer lässt sich sowas einfallen??????????????

Bearbeitet vor 20 Stunden von Thorsten Artner

[Jonathan Dorian]

@Thorsten Artner, 

 

Hi, 👋

welche Bedenken hast du bezüglich Sicherheitsrisiko genau? Teile uns dein Feedback und Verbesserungsvorschläge gerne hier mit. Ich leite diese direkt an unsere zuständigen Techniker:innen weiter. 

 

Liebe Grüße, JD. 🌻

[Jonathan Dorian]

@Thorsten Artner,

 

Das ist wirklich ein beachtliches Netzwerk, das du da aufgebaut hast – alle Achtung! 🙂 Mein eigenes Setup mit PC, Mobilgeräten, Fernsehern, Tablets und Drucker ist da etwas einfacher gehalten. Ich nutze auch schon seit rund zehn Jahren meine treue Internet Fiber Box (Compal Modem).

 

Die Sicherheit eines so umfangreichen Netzwerks ist natürlich ein wichtiges Thema, und es ist verständlich, dass du dir Gedanken über den Schutz vor externen Zugriffen oder Störungen machst. Ich wünsche dir, dass dein System immer sicher und zuverlässig läuft. 🙂

Deine Bedenken hierzu gebe ich selbstverständlich gerne an die zuständigen Stellen weiter.

 

Wenn du weitere Fragen oder andere Anliegen hast, freuen wir uns immer über weiter Beiträge von dir hier in der Community. 🙂

 

Liebe Grüße, JD. 🌻

[Thorsten Artner]

So umfangreich ist es nicht . Ich habe auch tablets, paar Smartphones (Lebensgefährtin und meines), Drucker, Fernseher, Onkyo Verstärker bzw Heimkino, wo man über pulseaudio durchs Netzwerk seine Audio files abspielen kann und an dem Verstärker ist eine Sound Anlage angeschlossen (natrülcih auch der Fernseher), die TVBox von Magenta, Netzwerkdrucker, und natürlich den ferngesteuerten Mini PC, der als webserver dient, und als lokaler medien server. Den meisten Schaden hätte ich am Mini PC. Wenn der Angreifer über meine Sound Anlage sound files abspielt. oder meinen Netzwerkdrucker mit Druckaufträgen spooft, dann wären das maximal Kosten von Tintenpatronen,, oder Kosten von Lautsprecher Boxen ersetzen, wenn er die Verstärkung auf maximal stellt und meine Boxen abschießt. Natürlich hätte das auch ein Gespräch mit meinen Nachbarn zur Folge (Lärmbelästigung).

Aber laut ntm ist für eine Portweiterleitung NAT, überhaupt eine IP4 Umstellung beim Support notwendig.

Bei IP6 gibt es keine Portweiterleitung mehr, weil IP6 genug Adressspielraum hat um jedem Kundengerät (Fernseher, tablet, smartphone) eine eigenständig globale IP im Netz zuzuordnen. Dabei gibt es einen Provider Präfix der normal  32bit ist in der IP6-IP.
Der Provider müsste 2^(128-32) mögliche globale IP Adressen in seinen subnetz vergeben können. Das ist eine unvorstellbare Große Zahl.
Also der Provider hat eine /32bit subnetz maske.
Meistens wird die MAC Adresse der Geräte noch zusätzlich in die IP integriert. Also die globale IP6 Adresse, wäre die ersten 32bit Provider präfix. dann noch ein paar bits für kundenerkennung. und dann die 64 bit mac adresse. ergibt eine globale IP für ein Gerät im lokalen Netzwerk.

Keine Ahnung ob man auch globale IP6 Adressen für Geräte über die Box einstellen kann, bzw magenta schon globale Ip6 zulässt.
MFG Thorsten Artner

 

Bearbeitet vor 5 Stunden von Thorsten Artner

[Jonathan Dorian]

@Thorsten Artner,

 

auch wenn dein Netzwerk vielleicht nicht so riesig ist, so ist es doch durchdacht und auf deine Bedürfnisse zugeschnitten, besonders mit dem Mini-PC als Web- und Medienserver und der netzwerkgesteuerten Audioanlage. 🙂 Die von dir genannten potenziellen Risiken, wie unerwünschte Soundwiedergabe oder Druckaufträge, sind nachvollziehbar, ebenso wie die möglichen Folgen.

 

Zu deinen technischen Anmerkungen und Fragen bezüglich Portweiterleitung und IP-Adressen bei Magenta:

 

Portweiterleitung mit IPv4:
Deine Information, dass für eine klassische Portweiterleitung (NAT) bei IPv4 eine Umstellung auf eine öffentliche IPv4-Adresse durch den Support notwendig ist, ist korrekt. Standardmäßig wird bei Kabelanschlüssen eine öffentliche IPv6-Adresse bereitgestellt. Die Option zur Portweiterleitung bei der Home Box Fiber wird in der Regel erst nach der Zuweisung einer öffentlichen IPv4-Adresse durch den Support freigeschaltet. Nach einer solchen Umstellung ist es oft auch notwendig, das Modem auf Werkseinstellungen zurückzusetzen.

 

Gleichzeitige Nutzung von öffentlicher IPv4 und IPv6
Du hast dich auch gefragt, ob man beides gleichzeitig nutzen kann – also eine öffentliche IPv4-Adresse für Portweiterleitung und gleichzeitig die volle IPv6-Funktionalität. Hier gibt es tatsächlich Einschränkungen, oft bedingt durch die Hardware. Wenn du eine öffentliche IPv4-Adresse für Port Forwarding anforderst, kann es sein, dass du dadurch deine öffentliche IPv6-Adresse verlierst oder die Konstellation nicht mehr so ist wie im Standard-Dual-Stack-Lite-Betrieb. Du musst dich zwischen einer öffentlichen IPv4-Adresse oder der Standardkonfiguration mit öffentlicher IPv6 entscheiden - das ist mein Wissensstand.

 

Ich hoffe, diese Infos helfen dir weiter! Wenn du weitere Fragen hast, melde dich gerne wieder. 🙂

 

LG, JD. 🌻