[Stutenkerl]

Wenn Genexis Ihre Router automatisch mit Firmware versorgt, dann haben die doch Zugriff auf Ihre Router. Somit wäre es doch auch möglich, hinter dem Router ins Hausnetz zu schauen?!?!
Ist sowas überhaupt rechtens??

[Arndt]

Hallo,

die CPE hat eine gesonderte Konfigurationsschnittstelle. Die CPE meldet sich SELBSTSTÄNDIG in regelmäßigen Abständen am Konfigurationsserver und holt sich dort Konfigurationen + Updates. Zusätzlich gibt es auch einen direkten Zugriff, der für die Fehlerdiagnose / Neustart etc. genutzt werden kann.

Man könnte jetzt natürlich ein Scenario aufbauen: Per Konfig wird die Firewall aufgemacht und dann wäre ein tiefer Blick in des Kunden Netzwerk möglich. Jedoch verhindert die Rechteeinstellung im Konfigsystem ein solches Vorgehen. Lediglich einige wenige Leute in der NOC hätte die nötigen Berechtigungen.

Davon abgesehen heißt der Zugriff auf ein Netzwerk noch nicht, dass nun alle Festplatteninhalte offen liegen. Per Standard sind heute eigentlich alle Geräte vor unerwünschtem Zugriff gesichert. Wer eine Webcam über Bett hängen hat, tut immer gut daran, die Firmware und das Kennwort auf aktuellem Stand zu halten, sonst braucht er nicht jammern *G*

Aber ernsthaft: Aus Fehlersuchen in Kundennetzen weiß ich, wie eingeschränkt der Zugriff ist. So hatte die NOC zum Beispiel nicht erkennen können, das ein zweiter DHCP-Server im Netzwerk des Kunden Störungen hervorgerufen hat.

Sich über ein "Ausspähen" auf diesem Wege zu sorgen, ist kaum angebracht. Würde man an Daten wollen, würde man anders vorgehen. Trotzdem verstehe ich das Unbehagen und die Erklärung, dass die CPE strikt in "Kundenseite" und "Supportseite" unterteilt ist, hilft da wenig.

cu - Arndt

[rubber]

Ich widerspreche Dir hier auch nur ungern, aber gerade die TR-069-Schwachstelle diesen August hat die Schwäche "von zentral" konfigurierbaren und administriebaren Abschlusspunkten gezeigt.
Das DG seinen Abschlusspunkt behalten möchte ist verständlich, aber dann schon ein bisschen ausgereifter oder zu mindestens in soweit, das ein eigener Router hinter dem Genexis ein eigenes IPv6 Prefix zugeteilt und geroutet bekommt!

[Arndt]

Naja, komm, "grade die xyz - schwachstelle" - die Fritzboxen hat ja auch keiner weggeworfen neulich ^^

Aber ja - schön wäre eine benutzerschaltbare Bridge-Funktion. Aber dazu sag ich in Kürze noch was

cu - Arndt

[rubber]

Ich stimme Dir zu; irgendwo ist alles irgendwie zu hacken.

Mich nervt an der Genexis-Box am meisten, das sie keine IPv6-Router-Advertisments vergibt. Das ist reichlich unschön und gehört repariert. Wenn sie das kann, dann würde ich meine Firewall direkt über IPv6 nach draussen legen und wäre beinahe da wo ich hin wollte. Jetzt muss ich meine internen Geräte alle mit einem Tunnel von innen nach aussen zu einer festen Gegenstelle bekannt machen; das sollte so nicht sein müssen.

Ob der Genexis nur als Bridge läuft und ich dann mit einem eigenen Router eine IPv4-CGNAT Verbindung aufbauen kann oder nicht, interessiert meines Erachtens im Zweifel bezogen auf IPv4 kaum noch, denn: ob jetzt der eigene Router von innen nach außen einen VPN-Tunnel aufbaut, oder der eigene Router noch einmal über den Genexis-Router zusätzlich genatted wird, das spielt wohl am Ende auch keine Rolle mehr. Es bleibt in beiden Fällen NAT von innen nach aussen mit CGNAT in jedem Fall.

Für IPv6 sieht das ganze schon anders aus. Wenn es dort möglich wäre, die zugeteilten Prefixe vernünftig an interne Router zu delegieren, könnte man damit ordentlich von aussen nach innen gelangen. Reine IPv6 Verbindungen wären damit sauber möglich, denn "draussen" ist es ja mittlerweile ziemlich einfach eine IPv6 Verbindung zu bekommen (mal MobileDevices außen vor gelassen).