Habt ihr mal getestet, ob der Port 51112 noch offen ist?
http://www.heise.de/security/news/foren/S-mysterioeser-offener-Port-51112-kernel-piglet-Treiber-bei-AVM/forum-274943/msg-24810536/read/
Anscheinend gibts den aber nur bei moderneren Modellen mit
DECT-Funktion. Die CAPI fürs FritzFax habe ich auch aktiviert, aber
das ist eigentlich ein anderer Port und der ist auch nicht im Kernel
verbaut. Sehr merkwürdig, dass der Kernel selbst so ein Loch
aufmacht, dazu noch direkten Zugriff auf das interne FPGA erlaubt.
Nach außen hin (WAN-Seite) scheint der zwar geschlossen zu sein, aber
mangels Source für den dsld Firewall kann man das nicht überprüfen,
könnte ja auf knocking sequenzen reagieren.
In Zeiten wie diesen muss man einfach skeptisch sein, vor allem wenn
bei solchen kritischen Teilen der Sourcecode zurückgehalten wird.
Ein anderes Problem habe ich noch mit der aktuellen Firmware: ich
würde gerne ein paar Internet-Sites sperren (z.B. als Kindersicherung
oder um Spyware zu blocken). Das mit der HTTP Blacklist geht, aber
nicht im Zusammenhang mit HTTPS. Dafür muss man dann HTTPS komplett
sperren, was ja auch wieder kontraproduktiv für die Sicherheit ist.
Natürlich kann man HTTPS-Tunnel schlecht kontrollieren, aber mir
würde es schon genügen, den HTTPS CONNECT auf bestimmte DNS-Ziele zu
verhindern. Das würde schonmal einige Spyware-Geräte die
Geschwätzigkeit verbieten. Und als Kinderschutz für die Kleinen, die
noch nicht wissen wie man VPN-Tunnel aufbaut oder HTTPS-Proxies
konfiguriert bzw. erstmal findet.
http://www.heise.de/security/news/foren/S-mysterioeser-offener-Port-51112-kernel-piglet-Treiber-bei-AVM/forum-274943/msg-24810536/read/
Anscheinend gibts den aber nur bei moderneren Modellen mit
DECT-Funktion. Die CAPI fürs FritzFax habe ich auch aktiviert, aber
das ist eigentlich ein anderer Port und der ist auch nicht im Kernel
verbaut. Sehr merkwürdig, dass der Kernel selbst so ein Loch
aufmacht, dazu noch direkten Zugriff auf das interne FPGA erlaubt.
Nach außen hin (WAN-Seite) scheint der zwar geschlossen zu sein, aber
mangels Source für den dsld Firewall kann man das nicht überprüfen,
könnte ja auf knocking sequenzen reagieren.
In Zeiten wie diesen muss man einfach skeptisch sein, vor allem wenn
bei solchen kritischen Teilen der Sourcecode zurückgehalten wird.
Ein anderes Problem habe ich noch mit der aktuellen Firmware: ich
würde gerne ein paar Internet-Sites sperren (z.B. als Kindersicherung
oder um Spyware zu blocken). Das mit der HTTP Blacklist geht, aber
nicht im Zusammenhang mit HTTPS. Dafür muss man dann HTTPS komplett
sperren, was ja auch wieder kontraproduktiv für die Sicherheit ist.
Natürlich kann man HTTPS-Tunnel schlecht kontrollieren, aber mir
würde es schon genügen, den HTTPS CONNECT auf bestimmte DNS-Ziele zu
verhindern. Das würde schonmal einige Spyware-Geräte die
Geschwätzigkeit verbieten. Und als Kinderschutz für die Kleinen, die
noch nicht wissen wie man VPN-Tunnel aufbaut oder HTTPS-Proxies
konfiguriert bzw. erstmal findet.