Telekom & Shared Buseiness Root-Zertifikate laufen bald ab

[fildercom]

Hallo zusammen,

im Syslog sehe ich seit wenigen Tagen auf mehreren Geräten folgende Meldungen:

Code: Alles auswählen

92	2019-06-28 16:27:34	LOCAL2	Info	Truststore certificate expires on 7/9/2019 23:59:00 with CN=Shared Business CA 4 Fingerprint (SHA1): 30 8c 3a d9 81 44 19 a0 d1 15 be 6a 73 50 
93	2019-06-28 16:27:34	LOCAL2	Info	Truststore certificate expires on 7/9/2019 23:59:00 with CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd 

Das sind wohl beides Root-Zertifikate, welche für bestimmte Dienste erforderlich sind. Muss ich nun selbst tätig werden um diese zu erneuern? Oder passiert das automatisch? Und welche Dienste hängen davon ab? Müssen eventuell ebenfalls neue Zertifikate für Geräte, VPN, SCEP etc. erzeugt werden?

Gruß und danke
fildercom.

[plumpsack]

Scheint wohl nur die Telekom-gebrandeten-Router zu betreffen, alle anderen Router haben dieses Problem nicht.

https://www.telesec.de/de/24-news/664-z ... -root-ca-2

Gibt es eigentlich eine Möglichkeit, wie bei den Boxen aus Berlin, die Geräte zu de-branden?

Der Support von den Telekom-Geräten ist nicht gerade schön.

[fildercom]

Das ist nicht korrekt. Keines der von mir eingesetzten Geräte wurde über die Telekom bezogen und hat irgend ein Telekom-Branding.

Außerdem sind davon auch andere Dienste bzw. Infrastrukturen betroffen:
https://blogs.uni-due.de/zim/2018/10/31 ... icht-mehr/

Die Frage ist und bleibt: Was muss man beim Einsatz von LANCOMs jetzt machen?

[plumpsack]

Sorry, du hast recht, habe mir gerade noch einmal die LOG-Files angeguckt:

LC-R88VAW 10.20.0302 / 17.04.2019
194 2019-06-29 08:10:56 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Shared Business CA 4 Fingerprint (SHA1): 30 8c 3a d9 81 44 19 a0 d1 15 be 6a 73 50
195 2019-06-29 08:10:56 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd

245 2019-06-28 08:11:01 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Shared Business CA 4 Fingerprint (SHA1): 30 8c 3a d9 81 44 19 a0 d1 15 be 6a 73 50
246 2019-06-28 08:11:01 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd

491 2019-06-27 08:11:06 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Shared Business CA 4 Fingerprint (SHA1): 30 8c 3a d9 81 44 19 a0 d1 15 be 6a 73 50
492 2019-06-27 08:11:06 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd

LC-883VoIP 10.30.0151 / 14.06.2019:

86 2019-06-28 20:41:16 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Shared Business CA 4 Fingerprint (SHA1): 30 8c 3a d9 81 44 19 a0 d1 15 be 6a 73 50
87 2019-06-28 20:41:16 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd

112 2019-06-27 20:41:19 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Shared Business CA 4 Fingerprint (SHA1): 30 8c 3a d9 81 44 19 a0 d1 15 be 6a 73 50
113 2019-06-27 20:41:19 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd

209 2019-06-26 20:41:23 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Shared Business CA 4 Fingerprint (SHA1): 30 8c 3a d9 81 44 19 a0 d1 15 be 6a 73 50
210 2019-06-26 20:41:23 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd

LC-R800A 10.30.0151 / 14.06.2019:

14 2019-06-28 20:36:30 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Shared Business CA 4 Fingerprint (SHA1): 30 8c 3a d9 81 44 19 a0 d1 15 be 6a 73 50
15 2019-06-28 20:36:30 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd

18 2019-06-27 20:36:29 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Shared Business CA 4 Fingerprint (SHA1): 30 8c 3a d9 81 44 19 a0 d1 15 be 6a 73 50
19 2019-06-27 20:36:29 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd

24 2019-06-26 20:36:27 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Shared Business CA 4 Fingerprint (SHA1): 30 8c 3a d9 81 44 19 a0 d1 15 be 6a 73 50
25 2019-06-26 20:36:27 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd

[hyperjojo]

hallo zusammen,

soweit ich weiß, wurden mit LCOS 10.12.0442 und höher die Zertifikate ausgetauscht, damit sie mit dem neuen Server-Zertifikat der Telekom weiter funktionieren.

Siehe auch https://geschaeftskunden.telekom.de/sta ... lagen.html

Gruß hyperjojo

[plumpsack]

Code: Alles auswählen

CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd

https://www.telesec.de/de/public-key-in ... -root-ca-2

Code: Alles auswählen

gültig von 	09. Juli 1999, 12:11 Uhr GMT
gültig bis 	09. Juli 2019, 23:59 Uhr GMT

Code: Alles auswählen

CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd

https://www.telesec.de/de/sbca/support/ ... iness-ca-4

Code: Alles auswählen

gültig von 	11. Februar 2014 13:29:02 (GMT)
gültig bis 	09. Juli 2019 23:59:00 (GMT)

https://www.lancom-systems.de/docs/LCOS ... 69934.html

Telekom-Shared-Business-CA4 Mit dieser Einstellung akzeptiert das Gerät nur Serverzertifikate, die von der Telekom Shared Business CA4 CA unterzeichnet wurden.

https://www.lancom-systems.de/docs/LCOS ... _1_32.html

Kann es sein, das es sich hier um das unbeliebte Kind "SIPS" in Deutschland handelt?

Die Zertifikate werden doch eigentlich nur für SIPS benötigt.

Außer Easybell und ein paar anderen Exoten unterstützt in Deuschland doch niemand SIPS.

"Warum auch, ich habe doch nichts zu verbergen ..."

[GrandDixence]

Und weshalb klopft dann stetig irgendjemand dubioses aus der grossen weiten Welt bei meiner Firewall auf Port UDP 5060 (SIP) an?

Vor zig Jahren wurden die E-Mails auch unverschlüsselt an den Mailserver übertragen, ein Man-in-the-Middle konnte die Benutzerkennung und Passwort leicht aushorchen, und deshalb kommuniziert aus Sicherheitsgründen heute niemand mehr unverschlüsselt mit dem Mailserver...
https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff

Das gleiche wird sich auch bei der VoIP-Telefonie wiederholen... (SIP/RTP => SIPS/SRTP oder SIPS/zRTP)...

[plumpsack]

Und weshalb klopft dann stetig irgendjemand dubioses aus der grossen weiten Welt bei meiner Firewall auf Port UDP 5060 (SIP) an?

Weil sie es "versuchen":

U.A.: ->SIPVicious<-

Viel interessanter ist doch, warum protokolieren die LANCOM-Router solche Angriffe nicht vollständig (UDP und TCP?

Gerade bei TCP geht doch bei SIP der Punk ab.

So etwas bekommt man aber nur mit, wenn man einen WAN-Mittschnitt anfertigt, z.B. 600 Sekunden, und ihn dann per Wireshark auswertet.

Leider habe ich das noch nicht in Echtzeit hin bekommen ...

[GrandDixence]

Leider habe ich das noch nicht in Echtzeit hin bekommen ...

Sollte mit einem "Port Mirroring"-fähigen Switch und den Aufzeichnungsfiltern (CaptureFilters) problemlos machbar sein:
viewtopic.php?f=41&t=17414&p=98835&hili ... ing#p98835

So arbeiten auch häufig Network Intrusion Detection System (NIDS):
https://de.wikipedia.org/wiki/Intrusion ... sierte_IDS

wie zum Beispiel Snort:
https://de.wikipedia.org/wiki/Snort

Aber mir genügt bereits das Logbuch (Syslog) der LANCOM-Router. Dieses ist voll mit solchen abgelehnten Anfragen und genügend aussagekräftig.

Code: Alles auswählen

Dst: xx.yyy.zzz.aaa:5060 {granddixence.invalid}, Src: 77.247.108.142:5070 (UDP): connection refused

Würde nur gerne wissen, wie ich diese Aufzeichnungen im Syslog ausschalten kann.

[plumpsack]

Sollte mit einem "Port Mirroring"-fähigen Switch und den Aufzeichnungsfiltern (CaptureFilters) problemlos machbar sein: ...

Das geht aber nur im LAN und nicht an der WAN-Schnittstelle des Routers.

Ich bekomme das mit dem pipe ( | ), also LCOSCAP ( | ) Wireshark, nicht hin

Aber mir genügt bereits das Logbuch (Syslog) der LANCOM-Router. Dieses ist voll mit solchen abgelehnten Anfragen und genügend aussagekräftig.

Code: Alles auswählen

Dst: xx.yyy.zzz.aaa:5060 {granddixence.invalid}, Src: 77.247.108.142:5070 (UDP): connection refused

Würde nur gerne wissen, wie ich diese Aufzeichnungen im Syslog ausschalten kann.

whois 77.247.108.142
--> VITOX TELECOM

VITOX TELECOM zieht sich wie ein roter Faden durch meine Routing-Tabelle.

Einfach in der Routing-Tabelle blockieren und Ruhe ist.

Aber zurück zum Telekom CA, ist das in der BETA 10.30.0163 gefixed?

[alf29]

Moin,

Ich bekomme das mit dem pipe ( | ), also LCOSCAP ( | ) Wireshark, nicht hin

Das wäre mir auch neu, daß man ein pcap-File einfach so in Wireshark hineinpipen kann. Vielleicht in tshark. RPCap geht prinzipiell mit dem LCOS auch, das ist üblicherweise aber nur in den Windows-Versionen von Wireshark enthalten.

Viele Grüße

Alfred

[plumpsack]

Aber zurück zum Telekom CA, ist das in der BETA 10.30.0163 gefixed?

Wurde wohl nicht bereinigt.

Das Problem taucht weiterhin auf.

[plumpsack]

Gibt es so langsam eine Lösung zu dem Problem?

[plumpsack]

Hallo zusammen,

im Syslog sehe ich seit wenigen Tagen auf mehreren Geräten folgende Meldungen:

Code: Alles auswählen

92	2019-06-28 16:27:34	LOCAL2	Info	Truststore certificate expires on 7/9/2019 23:59:00 with CN=Shared Business CA 4 Fingerprint (SHA1): 30 8c 3a d9 81 44 19 a0 d1 15 be 6a 73 50 
93	2019-06-28 16:27:34	LOCAL2	Info	Truststore certificate expires on 7/9/2019 23:59:00 with CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd 

Das sind wohl beides Root-Zertifikate, welche für bestimmte Dienste erforderlich sind. Muss ich nun selbst tätig werden um diese zu erneuern? Oder passiert das automatisch? Und welche Dienste hängen davon ab? Müssen eventuell ebenfalls neue Zertifikate für Geräte, VPN, SCEP etc. erzeugt werden?

@fildercom

Konntest du das Problem lösen, wenn ja wie?

Betrifft das Problem nur noch mich?

[VX500]

Hallo plumpsack,

ich habe diese Fehlermeldungen auch bei einem Lancom 1781EW 9.24.0472 und einem Lancom 883 10.30.0167RU1

9316 2019-08-19 14:31:13 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Shared Business CA 4 Fingerprint (SHA1): 30 8c 3a d9 81 44 19 a0 d1 15 be 6a 73 50
9317 2019-08-19 14:31:13 LOCAL2 Info Truststore certificate expires on 7/9/2019 23:59:00 with CN=Deutsche Telekom Root CA 2 Fingerprint (SHA1): 85 a4 08 c0 9c 19 3e 5d 51 58 7d cd

Grüße
Sascha