Netzwerktechnik
Von: Mezgrman, 26.6.2010 07:55 Uhr
Hallo,

ich habe mir bei DynDNS eine Adresse eingerichtet und meinen Router (Vodafone DSL EasyBox 802) entsprechend konfiguriert, um einen kleinen FTP-Server zu haben. Nun ist mir jedoch eine Riesen-Sicherheitslücke aufgefallen: Wenn man in der Adresszeile die URL des Konfigurationsmenüs eingibt, kommt man von jedem beliebigen PC in dieses Menü, ohne sich einzuloggen! Selbst wenn man auf "Abmelden" klickt, kommt man wieder rein, wenn man die Einstellungsseiten aufruft!
Kann mir jemand sagen, ob man das irgendwie ändern kann?

Grüße, Julian



  1. Antwort von Peter Ludwig 0
    Re: EasyBox-Konfiguration ohne Login?
    Hallo,

    ich habe mir bei DynDNS eine Adresse eingerichtet und meinen
    Router (Vodafone DSL EasyBox 802) entsprechend konfiguriert,
    Tut mir leid, ich habe gar keine Erfahrungen über EasyBox.
    Ich wurde überfragt.

    Gruß
    peter um einen kleinen FTP-Server zu haben. Nun ist mir jedoch eine
    Riesen-Sicherheitslücke aufgefallen: Wenn man in der
    Adresszeile die URL des Konfigurationsmenüs eingibt, kommt man
    von jedem beliebigen PC in dieses Menü, ohne sich einzuloggen!
    Selbst wenn man auf "Abmelden" klickt, kommt man wieder rein,
    wenn man die Einstellungsseiten aufruft!
    Kann mir jemand sagen, ob man das irgendwie ändern kann?

    Grüße, Julian
    • Antwort von it-opa 0
      Re: EasyBox-Konfiguration ohne Login?
      Hallo Julian,

      viele router haben die voreinstellung, daß sie von außen, also vom provider (wie z.b. vodafone oder dt.telekom) konfiguriert werden können. das ist zum bsp. hilfreich wenn die nutzer leihen sind und ihren router nicht selbst konfigurieren können.
      dies sollte sich jedoch abschalten lassen, da es ein nicht unerhebliches sicherheitsrisiko birgt.
      es sollte also im konfigurationsmenü abschaltbar sein, so daß nur rechner vom internen netzwerk, also mit ip-adressen die mit 192.168.xxx.xxx beginnen, zugriff haben.
      • Antwort von B. Martin 0
        Re: EasyBox-Konfiguration ohne Login?
        Hallo Julian,

        ich kenne mich zwar nicht mit der EasyBox aus, jedoch kann ich mir kaum vorstellen, dass das Gerät werkseitig mit einer solchen Lücke ausgeliefert wird.

        Als ersten Schritt würde ich einen Freund fragen, ob er mal die Adresse von dem Konfigurationsmenü mit seinem Browser (also von seinem Internetzugang aus) ansurfen kann und nachfragen, ob er genauso die Möglichkeiten hat.

        Falls ja, würde ich als nächstes in der Konfiguration der EasyBox suchen, ob vielleicht die sogenannte "Remote-Verwaltung" angeschaltet ist. Einige Router können "Fernwartung" - jedoch ist mir selbst dabei noch nie ein Router aufgefallen, der dann einfach die PCs in seinem Netzwerk zugänglich macht.

        Ich hoffe, ich konnte Dir etwas helfen.

        Grüße,
        Bastian
        • Antwort von CPU-Power 0
          Re: EasyBox-Konfiguration ohne Login?
          Ich persönlich benutze einen anderen Router und kann deswegen auch leider schlecht weiterhelfen. Sollte es sich um einen Firmwarebug/-sicherheitslücke handeln, kann man eventuell den Router auf eine neuere Firmware aktualisieren. --> http://dsl.vodafone.de/hilfe/index.php?aktion=anzeig...

          Unter Downloads kann man dort eine akuelle Firmware herunterladen.