[fli4l] fli4l und Erreichbarkeit vom Draytek Vigor130

[Kay Martinen]

Am 06.04.2018 um 07:27 schrieb Peter Schiefer:
> Am Thu, 5 Apr 2018 22:24:48 +0200 schrieb Hans Bachner:
> 
>> du reißt hier ein ganzes Scheunentor auf.
> 
> OK ich könnte das schon etwas mehr einschränken ;)
> 
>>> hierdurch kann das DSL-Modem auf alle Dienste auf dem fli4l zugreifen -
>>> nutze ich damit z.B. das Modem sich die Zeit via NTP vom fli4l holt - im
>>> vigor ist also als NTP-Server die 192.168.1.10 konfiguriert.
>>
>> Dann würde ich auch nur Zugang auf NTP erlauben, z.B. mit 'tmpl:ntp'
> 
>> Netzwerk. Wird der Vigor von außen gehacked, steht dem Angreifer dein 
>> ganzes Netz offen - noch dazu, wo du auf NAT verzichtest.
> 
> ich habe das so gewählt, das z.B. auch das Vigor eine Mail beim SMTP-Server
> abliefern kann und auch die Kommunikation via dsltool von meinen weiteren
> Test-fli4l funktioniert.

Du könntest auch nur den Port 25, oder 587 nur für den Vigor frei
schalten. Und DSLtool kommt ja vom FLI selbst. Wo stehen denn deine
Test-FLI?

> 
> Da das Vigor seine Dienste jedoch nur auf dem IP-Netz und nicht auf PPPOE
> anbietet ist die Möglichkeit das dieses von Aussen gehackt wird eher sehr
> gering.

Nicht unbedingt. Es gab schon Fälle bei denen die WebUI auch aus dem
Internet erreichbar war. Wenn das hier passiert und der Angreifer dein
Modem kapern kann so das er eine kommandozeile bekommt (telnet ist ja
für DSLtool eh vorhanden) dann kann er vom Modem aus dann alles
erreichen was auch das Modem erreicht. Also dein komplettes Netz.

Der Weg ist dann

Internet->WAN-Seite-Modem->(http zu Telnet/shell)->Modem-LanPort->Dein
Netz (Bumm!)

Wenn er deinen FLI auch kapert kann er dort eine Backdoor installieren
die im auf der PPPoE Verbindung dauerhaft zugriff ermöglicht. Wenn du
auch noch DynDNS nutzt braucht er nur den namen und findet deinen Router
sobald er online ist.

Kay

-- 
Sent via SN (Eisfair-1)