Sicherheitswarnung der Telekom zu Internetzugang (SNMP)

[cpuprofi]

Hallo an Alle,

viele "Telekom-Kunden" erhalten mittlerweile vom "Telekom Sicherheitsteam" Schreiben mit "Wichtige Sicherheitswarnung zu Ihrem Internetzugang" in den es um den SNMP Port 161 geht.

Dieser Port ist bei den von mir betreuten Lancom Geräten auf "Read-Only" und mit kryptischem "SNMP Read-Only Community" Passwort versehen.

Bei telefonischen Rückfragen beim "Telekom Sicherheitsteam" erklären diese, dass eine Erreichbarkeit des SNMP Ports aus dem WAN ja ein "hohes Sicherheitsrisiko" darstelle usw... (Standart-Antworten, die wohl von den "Damen" vom Bildschirm abgelesen werden)

Diese "Außerungen" halte ich zumindest im Zusammenhang mit Lancom-Routern für sehr fragwürdig und daher würde ich gerne mal zu diesen Thema ein paar Meinungen von anderen hören.

Viele Grüße
Cpuprofi

[cpuprofi]

Code: Alles auswählen

Betreff: Ticket-Nummer: FRD-R-10xxxxx, Wichtige Sicherheitswarnung zu Ihrem Internetzugang, Zugangsnummer: 55xxxxxxxxxx
Datum: 2016-06-13T16:08:05+0200
Von: "Telekom Sicherheitsteam" <abuse@telekom.de>
An: "55xxxxxxxxxx-0001@t-online.de" <55xxxxxxxxxx-0001@t-online.de>

| Kundennummer: 11xxxxxxxx
| Anschlussinhaber: Axxxxxxx Bxxxxx 

Sehr geehrter Herr Bxxxxx,

zu Ihrem Internetzugang haben wir Hinweise auf Sicherheitslücken oder Konfigurationsfehler erhalten, die einen Angriff auf Ihr System und/oder einen Missbrauch Ihres Systems für Angriffe auf Dritte ermöglichen. Ersteres gefährdet gegebenenfalls die Integrität und Authenzität Ihrer Daten.

Details zu diesem Hinweis:

IP-Adresse: xxx.xxx.xxx.xxx
Zeitpunkt : 13.06.2016 06:39:53 MESZ
offener Dienst: SNMP (Port 161/udp)

Angaben zum Gerät:
LANCOM 1681V 9.20.0615 / 10.06.2016 400xxxxxxxxxxxxx / Lancom1681V

Wir empfehlen Ihnen, Ihren Router so zu konfigurieren, dass nicht relevante Ports oder Dienste geschlossen sind. Welchen Router Sie haben, steht in vielen Fällen auf dem Typenschild auf der Unter- oder Rückseite des Geräts. In der Bedienungsanleitung ist die IP-Adresse oder der URL zur Konfigurationsseite enthalten.

Weiterhin prüfen Sie bitte, ob eine neuere Firmwareversion vorhanden ist. Diese sollten Sie gegebenenfalls einspielen.

Wenn Sie Hilfe benötigen, erreichen Sie uns von Montag bis Freitag zwischen 08:00 Uhr - 20:00 Uhr und Samstag von 08:00 Uhr - 16:00 Uhr direkt unter der kostenfreien Rufnummer 0800 5544 300. Halten Sie hierzu Ihre Ticket-Nummer und Zugangsnummer, welche Sie im Betreff finden, bereit.

Benötigen Sie weitere Informationen zu dieser Sicherheitswarnung, antworten Sie uns einfach auf diese E-Mail. Lassen Sie den Betreff bitte unverändert, damit wir Ihre Nachricht richtig zuordnen können. 

Mit freundlichen Grüßen,
Ihr Telekom Sicherheitsteam

Deutsche Telekom AG 
SEC-CDM / Abuse-Team
T-Online-Allee 1
D-64295 Darmstadt
E-Mail: abuse@telekom.de

http://www.telekom.de/hilfe/festnetz-internet-tv/sicherheit/missbrauch-von-diensten/das-abuse-team
http://www.telekom.de

ERLEBEN, WAS VERBINDET.  

Die gesetzlichen Pflichtangaben finden Sie unter: 
www.telekom.com/pflichtangaben

Große Veränderungen fangen klein an Ressourcen schonen und nicht jede E-Mail drucken.

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen Informationen sind nicht gestattet.

Lösungsansatz zum offenen Dienst 'SNMP' (Simple Network Management Protocol):

Durch die Angaben zum Gerät können Sie das betroffene Gerät meistens identifizieren. Richten Sie im Router eine Port-Umleitung bzw. einen 'virtuellen Server' ein:

  Öffentlicher Port : 161
  Protokoll/Type: UDP
  Private IP-Adresse: Siehe Hinweis unten
  Privater Port: 64287

Als private IP-Adresse verwenden Sie eine, die zu Ihrem lokalen Netz gehören würde, dort aber nicht verwendet wird. Als privaten Port verwenden Sie eine hohe Portnummer (49152 bis 65535). Dies stellt sicher, dass der Dienst SNMP auch dann nicht aus dem Internet erreicht werden kann, falls die konfigurierte private IP-Adresse in Ihrem LAN doch einmal existieren sollte.

[stefanbunzel]

Hallo cpuprofi,

da will wohl die Telekom ihre Speedport-Produkte vermarkten?

Im Prinzip ist die Warnung ja okay und absolut berechtigt. Hast du an diesem Standort wirklich SNMP-Zugriff über WAN aktiviert? Okay, bei sicherem Passwort und Nutzung von SNMPv3 ist das ja ggf. vertretbar - aber trotzdem ein möglicher Angriffsweg. Schließlich kannst du über SNMP ja deinen Router konfigurieren...

Daher sollte man SNMP am WAN auf VPN beschränken - oder ganz deaktivieren.

Ist aber sehr interessant, dass die Telekom solche Scans durchführt! Wollten die selbst mal hacken?

Viele Grüße,
Stefan

[cpuprofi]

Hallo Stefan,

...aber trotzdem ein möglicher Angriffsweg. Schließlich kannst du über SNMP ja deinen Router konfigurieren...

aber nur, wenn man dem SNMP-Zugang auch "Schreibrechte" zuweist. Bei meinen Kunden sind die Zugriffsrechte von SNMP per WAN nur auf "Read-Only" eingestellt. Oder verstehe ich da jetzt was "falsch"...?

Grüße
Cpuprofi

[stefanbunzel]

Hallo cpuprofi,

Bei meinen Kunden sind die Zugriffsrechte von SNMP per WAN nur auf "Read-Only" eingestellt. Oder verstehe ich da jetzt was "falsch"...?

So lange, wie es da im LCOS keinen Bug gibt, müsste es (hoffentlich) so klappen. Aber SNMP war ja gerade eine große Baustelle im LCOS... Und Bugs sind da immer mal möglich. Aus diesem Grund ist ein generelles Schließen des Ports natürlich sicherer!

Die Telekom konnte ja nicht "sehen", dass dein Port 161 bei berechtigtem Zugriff nur Lesezugriff zulässt. Aber bei SNMPv2 ist ja das Passwort auch nicht verschlüsselt und könnte auch identisch mit dem root-Passwort sein und dann... Also, meiner Meinung nach schon ein Sicherheitsrisiko.

Warum beschränkst du SNMP am WAN nicht auf VPN? Das ist dann wirklich sicher!

Viele Grüße,
Stefan

[cpuprofi]

Hallo Stefan,

...Aber bei SNMPv2 ist ja das Passwort auch nicht verschlüsselt und könnte auch identisch mit dem root-Passwort sein und dann... Also, meiner Meinung nach schon ein Sicherheitsrisiko.

wenn man dieses so einrichten würde, hättest Du recht. Ist bei meinen Einrichtungen aber anders.

...Warum beschränkst du SNMP am WAN nicht auf VPN? Das ist dann wirklich sicher!

Weil ich dann zu jedem einzelnen Kunden-Gerät eine VPN aufbauen müsste und mir nicht mal eben schnell einen Überblick im Fehlerfall verschaffen kann.

Grüße
Cpuprofi

[Dr.Einstein]

Hallo cpuprofi,

wieso ist der Port 161 überhaupt erreichbar? Normalerweise kommt bei SNMPv1 / 2c bei falscher Community keine Antwort vom Lancom zurück. Wenn die Telekom also den Test macht, müsste ja der SNMP Port reagieren, sonst hättest du ja kein Schreiben bekommen?

Hast du das mal mit Wireshark verifiziert, dass bei falscher Community keine Antwort kommt? Die haben immerhin den SNMP Standard String von dir bekommen ... (Lancom S/N...)

Gruß Dr.Einstein

[cpuprofi]

Hallo Dr.Einstein,

Dein Ansatz ist sehr interessant. Ich werde dieses heute Abend mal überprüfen und mich dann zurückmelden.

Grüße
Cpuprofi