SIP-Zugangsdaten auslesen Centro Router Motorola/Arris
Um an die SIP Zugangsdaten seinen Swisscom Telefonanschlusses zu kommen brauchte man bisweilen einen Centro Router von Pirelli/ADB.
Durch die Information und freundlicher Genehmigung von revault.ch ist es mir nun möglich euch noch einen anderen Weg mit dem Centro Router von Motorola/Arris zu zeigen. Dieser ist sogar noch etwas einfacher anzuwenden da man hierzu kein Downgrade der Firmware machen muss Dabei spielt es keine Rolle ob es sich um einen grande oder piccolo dieses Herstellers handelt.
Geprüft wurde der Exploit mit der Firmware Version 9.0.10h2d12
Voraussetzung
Die SIP Daten müssen auf den Router geschrieben sein. Die Telefon LED muss also weiss leuchten.
Als Trick verwendet man einen Netcat listener im selben Netzwerk. Die Befehle in diesem Beitrag beziehen sich auf die Linux Version. Die Verwendung der Zugangsdaten wird bereits in diesem Beitrag beschrieben und nicht nochmals erwähnt:
Zuerst startet man einen Netcat listener auf einer Maschine im selben Netzwerk des Routers. Dies kann die gleiche Maschine sein von der aus wir nachher noch eine Telnet Verbindung zum Router aufbauen. Natürlich muss der Port des listeners, in diesem Beispiel 1669, erreichbar sein!
nc -l 1669 |grep
siputilsauth.c
Als nächstest startet man mit einem anderen Prozess oder auf einer anderen Maschine eine Telnet Verbindung auf den Router und loggt sich als admin ein.
telnet 192.168.1.1
Mittels dem Befehl magic öffnet man auf dem Router eine erweiterte shell und aktiviert das Logging auf den zuvor eröffneten Netcat listener. Hierzu ist die IP und der Port dem eigenen Netz anzupassen!
magic voip trace sipstack
on
voip extrnlog on 192.168.1.102:1669 8
Um den listener mit Daten zu füllen, muss man einen SIP Parameter ändern. Bei der grande Version kann man gleich beide Linien ändern, bei der piccolo nur eine da ja auch nur eine physikalische Schnittstelle vorhanden ist.
configure
set voip phone 1 sip-expires-time 5
set voip phone 2 sip-expires-time 5
validate
save
exit
Nachdem man einige Sekunden gewartet hat setzt man den Wert wieder auf den dafür vorgesehenen.
configure
set voip phone 1 sip-expires-time 3600
set voip phone 2 sip-expires-time 3600
validate
save
exit
Der Netcat listener sollte sich wie auf dem Bild zu sehen mit den benötigten Daten gefüllt haben. Falls nicht, einfach die Befehle nochmals ausführen. Hat man im Falle von Multiline mehrere Rufnummern kann man diese den Ports des Routers zuweisen lassen und ebenfalls auslesen. Ist man fertig schaltet man das Logging auf dem Router noch aus.
voip
trace sipstack off
voip extrnlog off
Vielen Dank für die Unterstützung und viel Spass damit!
In diesem Artikel geht es darum die verschiedenen Betriebsmodi der Centro Router zu erklären.
Dazu gehören der Centro Piccolo sowie der Centro Grande. Fürs Verständnis wichtig ist, dass es von den Centro Routern 2 verschiedene Betriebssystem-Typen gibt. Den Centro Picolo sowie den Centro Grande kann man in einer Version von Motorola bekommen. Den Centro Grande aber auch in einer Version von Pirelli/ADB. Bei Fiber Anschlüssen bekommt man nur die Pirelli/ADB Version. Den Typ stellt man fest, indem man den Aufkleber auf dem Router beachtet oder im Routermenü unter Diagnose, Technische Werte, nachschaut.
Ich beschränke mich hier grundsätzlich auf die Funktionen welche via normalen Web GUI eingestellt werden können. Nur beim Bridge Mode ist dies nicht möglich.
Mittlerweile ist man auf einem Stand, bei dem sich diese bei beiden Betriebssystemen in etwa gleich verhalten. Da diese Router relativ viele verschiedene Firmwares erhalten haben und man sogar von einem Generationenwechsel innerhalb der Firmware sprechen kann, relativ schwierig. Demnach kann dieser Blog Post nur eine Momentaufnahme beschreiben.
Wer sich für die IPv6 Funktionalität der Router interessiert, dem habe ich hier einen etwas älteren Beitrag geschrieben. Es ist bald so weit, das diese Firmwares öffentlich ausgerollt werden.
Nutzer der älteren Netopia Router werden in diesem Blog Post bedient.
Welchen Modus brauche ich?
Damit man am Schluss ein zufriedenstellendes Resultat erreicht, muss man sich im Vorfeld zuerst mal klar werden was man eigentlich will oder braucht.
Grundsätzlich gibt es 4 Hauptmodi welche ich hier erkläre:
Gateway Modus (Standard-Modus)
NAT-Standard-Modus
IP Weiterleitung (IP Passthrough)
Bridge Mode
Mit diesen Modi ist das Spielfeld für den Anfänger wie auch den fortgeschrittenen User offen.
Gateway Modus
Dies ist der normale Modus mit dem der Router geliefert wird. Im Router steckt ein DSL Modem und ein Router. Das Gerät arbeitet als Gateway zwischen dem WAN (DSL) und dem LAN (Ethernet) und routet zwischen diesen beiden Netzen.
Diese Betriebsart ist für alle geeignet die keinen eigenen Router verwenden und simple Portweiterleitungen reichen.
Hinweis: Wer zb. WLAN nach dem neusten Stand brauchen will muss keinen zusätzlichen Router betreiben. In solch einem Fall ist ein Access Point bzw ein Router welcher sich in diesen Modus setzen lässt besser geeignet!
Im Gateway Modus arbeiten die Motorola Typen sehr stabil. Probleme werden vor allem bei den Typen von Pirelli/ADB berichtet. Im Gegensatz zum Grundtenor der in einigen Foren herrscht, es sind nicht alle Centro Grande Pirelli/ADB User von Problemen betroffen! Nicht abzustreiten ist, dass es in gewissen Konstellationen Trigger gibt die zu Problemen führen. Ein guter Swisscom Supporter oder Techniker kann aber entsprechende Massnahmen treffen und einen Router Change machen. Falls nicht möglich, sind User mit Problemen, notfalls mit einer Zeitschaltuhr welche dem Router täglich mal den Strom nimmt gut bedient.
Im Gateway Modus ist es kein Problem, Services zB. von einem NAS extern anzubieten. Alle was es dafür braucht, ist die sogenannte Portweiterleitung.
Diese findet man im Web Router Interface
Swisscom Gateway
Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
Im Webinterface das Menü Einstellungen aufrufen.
Im Menüpunkt Portweiterleitungen lässt sich NAT einrichten.
Gewünschten Service auswählen oder erstellen und auf Host lenken, speichern.
Ist der gewünschte Dienst nicht verfügbar, kann man unter Dienste einen neuen erstellen.
Nach Beendigung der Konfiguration schadet ein Neustart des Routers nie.
Host
Dem Host sollte man eine statische IP ausserhalb des DHCP Ranges geben, damit die Portweiterleitungen richtig bestehen bleiben. Alternativ kann man auch unter dem Menüpunkt "Gerät hinzufügen" Hosts durch die MAC Adresse oder den Hostnamen erfassen. So bleiben Portweiterleitungen auch ohne fixe IP des Hosts bestehen!
Advanced: Auch bei den Centro Routern ist das sogenannte PAT via GUI nicht möglich. Abhilfe schafft der Admin Zugriff bei den Piellis.
Bei den Motorolas hilft die Shell weiter:
conf
set pinhole
NAT-Standard-Modus
Dieser Modus kann man brauchen, wenn man einen eigenen Router verwendet, eine DMZ bauen möchte oder sämtliche Anfragen an einen Host leiten will. NAT-Standard-Modus ist kein eigentlicher Modus. Das Gerät arbeitet immer noch als Gateway. Es ist also weiterhin möglich Clients zB. STB für Swisscom TV im LAN des Swisscom Routers zu belassen. Statt wie bei einer Portweiterleitung gezielt Ports auf Hosts zu lenken, wird beim NAT-Standard-Modus sämtlicher nicht aus dem LAN initiierter Verkehr auf einen Host geleitet. Klar das dieser Host durch eine Firewall oder eben einem fremden Router geschützt werden sollte. Keine gute Idee diesen Modus zB für ein NAS zu verwenden, nur weil es bei den Portweiterleitungen scheitert! ;) Ein Scan des Swisscom Netzes zeigt. Ein Rat den ein kleiner Teil leider so nicht kennt.
Da NAT-Standard-Modus sehr verwand mit der Portweiterleitung ist, gleicht sich das Vorgehen auch.
Swisscom Gateway
Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
Im Webinterface den Menüpunkt Einstellungen anklicken.
Unter IP-Weiterleitung findet man den Button um NAT-Standard-Modus zu aktivieren.
gewünschten Host auswählen und speichern.
Nach Beendigung der Konfiguration Gerät neu starten.
Host
Dem Host sollte man eine statische IP ausserhalb des DHCP Ranges geben, damit statisches NAT immer auf das richtig Ziel führt.
Ist der Host ein fremder Router sollte oder muss man dessen LAN Bereich in ein anderes Subnet setzen, zB. 192.168.2.0/24 (verhindert routing issues)
IP Weiterleitung / IP Passthrough
Auch bei einer IP Weiterleitung arbeitet das Swisscom Gateway in seinem LAN immer noch als Router. Es ist also auch hier immer noch möglich STBen für Swisscom TV in diesem LAN zu betreiben. Im Gegensatz zum NAT-Standard-Modus wird bei der IP Weiterleitung die öffentliche IP auf das WAN Interface eines bestimmten Host's abgebildet. Dieser Modus ist also vor allem im Betrieb mit einem eigenen Router oder Firewall interessant und man mit dem Bridge Mode überfordert ist, oder man auf die Funktionalitäten der Centros nicht verzichten möchte.
Swisscom Gateway
Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
Im Webinterface den Menüpunkt Einstellungen anklicken.
Unter IP-Weiterleitung findet man den Button um die IP-Weiterleitung zu aktivieren.
Einen Host auswählen und aktivieren
Das Gateway wird darauf hinweisen das ein Neustart nötig ist. Also neu starten! (Der Hinweis kommt bis dato nur bei Motorola. Bei Pirelli/ADB muss man selber daran denken)
Host
Das WAN Interface des Host's (Router) muss die IP automatisch beziehen, also auf DHCP eingestellt sein. Ansonsten kann man das Gerät nicht als Ziel für die IP-Weiterleitung auswählen.
Nachdem das Swisscom Gateway beim letzten Punkt den Neustart ausgeführt hat und die Internetverbindung wieder steht, muss auch der eigene Router neu gestartet werden oder einen DHCP refresh ausführen, damit die öffentliche IP bezogen werden kann.
Auch hier ist es besser den LAN Bereich des eigenen Routers in ein anderes Subnet zu setzen, damit Routing Probleme gleich von Anfang an verhindert werden können.
Ob es mit der IP-Weiterleitung auch wie gewünscht klappt, hängt vor allem vom nachgeschalteten Router ab.
Nicht alle Geräte haben es gerne, dass sie eine öffentliche IP bekommen, der DNS sowie das Routing über eine Private IP geschehen. Falls Probleme auftauchen, ist die Lösung in diesem Bereich zu suchen.
Ich selber betreibe seit gut einem halben Jahr meine eigene Firewall hinter einem Swisscom Centro Piccolo mit der IP-Weiterleitung und verschiedenen Firmwares. Diese stehen mittlerweile kurz vor dem Rollout, so das auch andere davon profitieren können.
Bridge Mode
In diesem Modus schaltet das Gateway eine Bridge zwischen LAN und WAN, arbeitet also nicht mehr als Router.
Gut also für all die welche ihren eigenen Router verwenden möchten und das Swisscom Gateway nur noch als Modem betreiben. Simple Sache wenn man nur Internet braucht. Schwieriger wirds wenn man noch Swisscom TV oder VoIP Services von Swisscom benötigt. Da muss man wissen was man macht! :D
Das Gateway wird in Bridge Mode nicht einfach nur ein dummes Modem. Ein Client mit statischer IP im Range des Centro Gateways (192.168.1.0/24) kann immer noch Zugriff erlangen um zB. Leitungsinformation auszulesen!
Spätesten hier wird offensichtlich wo der Unterscheid zwischen dem Motorola und dem Pirelli/ADB Betriebssystem liegt.
Motorola:
Ich habe das Vorgehen dazu bereits in der Swisscom Support Community beschrieben.
Hier der Auszug davon:
Das flashen von Firmwares kann immer zu Fehlern und im schlimmsten Fall zu einem defekten Gerät führen.
Falls ihr nicht wisst was ihr da tut (ja klar wisst ihr es nicht..ich ja auch nicht ) solltet ihr das sein lassen.
Wenn ihr nicht mal wisst ob ihr einen Centro piccolo habt oder nicht, dann sowieso.
Anmerkung: Bei neueren Firmwares der Centro Router (9.0.10xx) geschieht der Downgrade wieder direkt mit der 7.8.6 Firmware. Betrifft Meldung: Firmware image is invalid!
Ist diese geflasht (Router wird sich neu starten) kann man auf eine 7.8.6 Firmware zurückflashen.
Dieser Weg geht auch in die andere Richtung.
Selbstverständlich müsste man jetzt noch cwmp deaktivieren möchte man keine Überraschungen erhalten. (set dslf-cpewan option off)
Den Bridge Mode aktiviert man nun via shell:
Pirelli/ADB
Motorola Bridge Mode war kompliziert? Nun dann freue dich auf den Bridge Mode des Pirelli/ADB :D
Vorbereitung:
last known good Firmware 5.0.0.33 downloaden. Link
Sämtliche Verbindungen ab Centro Grande bis auf den Konfigurations-PC trennen.
DSL Anschlusskabel ebenfalls trennen!
Dem Konfigurations-PC eine fixe IP geben. zb 192.168.1.2/24
Reset mittels gedrückthalten des Resetsknopfs für ca. 20s tätigen.
Upload der 5.0.0.33 Firmware welche man natürlich vorher schon heruntergeladen hat :) Passwort eines zurückgesetzten Pirellis ist 1234!
Nach erfolgreichem Firmwaredowngrade das admin GUI freischalten.
Freischaltung admin Gui.
Mittels Telnet eine Verbindung zum Centro Grande aufbauen.
Benutzername: admin
Passwort: 1234
Folgenden Befehl ausführen: conf set wbm/admin_wbm a25B06c81
Nach Bestätigung des Routers druch return 0 einen reboot des Geräts mittels system reboot veranlassen.
Nachdem der Router neu gestartet ist hat man Zugriff auf das Admin Gui via 192.168.1.1/admin.html
Mit dem Browser 192.168.1.1/admin.html aufrufen und ins Menü der Netzwerkverbindungen gehen.
Unten hat es einen Button Schnelleinrichtung. Diesen drücken!
In der Schnelleinrichtung wählt man unter WAN DSL Verbindungsart: Bridged Ethernetverbindung über PTM.
Falls Wireless aktviert ist, dieses deaktivieren.
Danach OK drücken.
In der folgenden Abfrage ersetzt man die alte durch die neue Verbindung und kreuzt das editieren gleich an.
Es ist Zeit Beenden zu drücken.
Falls man aus dem Router geworfen wird einfach nochmals via Browser das admin gui öffnen. Nun geht man wieder in die Netzwerkverbindungen und drückt bei den Verbindungen auf die WAN-LAN-Bridge. Dies öffnet deren Konfiguration. Unter Einstellungen stellt man bei Internetprotokoll auf keine IP-Adresse.
Ohne auf OK oder Anwenden zu drücken wechselt man in den Reiter Bridging. Wie auf dem Bild unten gezeigt, entfernt man ausgenommen vom Punkt WAN ETHoP und dem gesteckten Port des Konfigurations-PC sämtliche Häklein Beim Status kann man erkennen wo der PC gesteckt ist. (Die Beschriftung des Centro Grandes und die Bezeichnung der Ports im System sind Spiegelverkehrt.)
Nun ist man so weit OK zu drücken. Nachdem man dies gemacht hat, kann man den Router mittels Schalter neu starten. Der eine Port ist nun so konfiguriert, dass ein Router daran via DHCP die öffentliche IP bezieht.
Thoughts
Die aktuellen Centro Routers haben in mancher Hinsicht auf den ersten Blick vieles schwieriger gemacht.
2 Jahre nach der Einführung ist die Swisscom aber bereit weitere Funktion in die Router zu implementieren.
Dazu gehört nicht nur die IPv6 Kompatibilität sowie eine entsprechende Firewall.
Bald wird man via Kundencenter fähig sein erweiterte Funktionen im Heimnetzwerk zu nutzen.
Neben der Ansicht des Heimnetzwerkes gehört vor allem eine Funktion zur Zeitbegrenzung der Clients dazu.
Mehr kann und darf ich an dieser Stelle nicht sagen... Die Funktionen und Möglichkeiten sind aber vielfältig Möglich das man später noch mehr Optionen bekommt. Dieses Gebiet ist so neu und fancy, dass es noch gar keine Wikis dazu gibt. Man kann also gespannt sein was Swisscom ermöglichen wird. Sicher werden wir sie pushen :) Solche Protokolle sind allerdings noch proprietär Swisscom muss bei den Centros ja schon 2 verschiedene Systeme unterstützen. Zu viel kann man also für den Anfang nicht erwarten. Einen Einblick in die Funktionen gibt dieses Cisco Whitepaper.
Ich hoffe ich konnte mit diesem Blog Post einigen helfen. Auch wenn Funktionen wie der Bridge Mode fast verloren gegangen sind, so soll hier auch gezeigt werden, dass dies mit einer funktionierenden IP-Weiterleitung gar nicht nötig ist.
6 Juni 2012, IPv6 World Launch Day. An diesem Datum wird das Internet der zweiten Generation "eingeschaltet". Bereits am 3 . Februar 2011 wurde von der IANA der letzte freie IPv4 Adressraum vergeben, dennoch funktioniert das Internet noch immer :) also, kein Grund zur Panik
Gerade weil es für den normalen Gebrauch noch keinen Effekt hat, kümmert es den normalen User nicht ob er nun IPv6 ready ist oder nicht. Trotzdem, Swisscom ist seit einiger Zeit bereit ihren Kunden eine IPv6 Verbindung zu ermöglichen.
IPv6 bei Swisscom
Am 21.04.2011 startete der offizielle Trial für Privatkunden um IPv6 zu erproben bzw zu nutzen.
Als Technik setzt Swisscom momentan auf 6RD. Wie es der Name schon sagt ist 6 rapid deployment eine Technik, um Kunden durch einen Provider durch relative einfache Art und Weise, schnell kostengünstig eine IPv6 Konnektivität zu geben. Entwickler Rémis Després (6RD kann auch für seine Initialen stehen) hat bereits 2007 bei Free, einem Französischen Provider bewiesen das er dies innert 5 Wochen einführen konnte!
Auch Swisscom verwendet diese Tunneltechnik erfolgreich um den Privatkunden IPv6 anzubieten.
Bei den Centro Routern haben die Kunden seit einiger Zeit die Möglichkeit IPv6 zu aktivieren. Dies muss bewusst via Kundencenter geschehen (auch wenn es natürlich andere Möglichkeiten dazu gibt). Durch die Aktivierung wird dies dem Router provisioniert. CWPM sei Dank :)
In einer späteren Phase wird IPv6 per Default aktiviert sein!
Es spielt dabei keine Rolle ob man einen Centro Grande oder einen Centro piccolo besitzt. Anfänglich war nur der Centro Grande von Pirelli/ADB in der Lage eine 6RD Verbindung herzustellen. Mittlerweile sind die Motorola Router dazu aber auch fähig.
Auf die Technik selber möchte ich hier an dieser Stelle nicht weiter eingehen.
Genau diese Frage stellt sich relativ bald, sofern man sich etwas mit IPv6 beschäftigt. Schauermärchen des übelsten tun noch ihr übriges um ein mulmiges Gefühl zu hinterlassen.
Bisher war man sich gewohnt das man durch das NAT eines Routers zumindest einigermassen sicher im Internet unterwegs ist. Im Zusammenhang mit IPv6 wird auch immer wieder die Privatsphäre genannt.
Heikle Themen, für die es Lösungen gibt, unerfahrene Anwender aber mal zunächst sicher abhalten IPv6 anzuwenden bzw zu aktivieren.
Daher auch der primäre Wunsch der Anwender, dass das CPE des Provider, zumindest mal für den grundsätzlichen Schutz sorgen soll. Hier war bisher wenig bis gar nichts vorhanden. So verteilt der Centro Grande von Pirelli/ADB zwar fleissig Adressen, lässt aber sämtlichen IPv6 Traffic ungehindert durch. Beim Centro von Motorola sah es bisher etwas "besser" aus. Dieser Verteilt auch seine Adressen, blockiert aber sämtlichen nicht aus dem LAN initiierten Verkehr. Ausnahmen sind auf einfache Art keine zu realisieren.
Kein Zustand der wirklich Freude macht.
Schritt 1, die Adressverteilung und ein funktionierendes 6RD wurden also schnell mal erreicht.
Zeit nun für Schritt 2. Gewinne die normalen User durch Sicherheit.
Sicherheit durch Router
Um Sicherheit bei IPv6 zu gewährleisten gehören sauber konfigurierte Client Firewalls zum wichtigsten.
Mit einer aktivierten Windows Firewall ist man also schon mal gut unterwegs.
Um einen ähnlichen Schutz zu haben wie bei NAT, braucht es aber eine Hardware Firewall, zB im Router.
Die Zeit ist gekommen, auch Swisscom wird sie haben :)
In einer Vorversion der Centro Motorola Firmware, habe ich dieses neue Feature unter die Lupe genommen. Die Roadmap sieht momentan vor, dass ab Juli 2012 die Motorola Geräte mit dieser neuen Firmware ausgestattet werden. Bei Pirelli/ADB wird es länger dauern, man geht von November aus.
Interessierte müssen keine Beziehung zu Swisscom haben um diese Firmware von Motorola zu testen.
Das Wissen wie Swisscom die Firmwares speichert und ein wenig offene Augen an den richtigen Stellen reichen zum Download. Aus Integrität gebe ich den Link hier nicht an und bitte dies auch nicht in den Kommentaren zu tun. Mir hat keiner von Swisscom geholfen diese Firmware zu finden, es kann also nicht so schwer sein :D
Ansonsten abwarten und Tee trinken. Die Firmwares sollten ja bald mal ausrollen.
NAT IPv4
Wer den Centro Grande Motorola kennt, wird auch die gewohnte Portweiterleitung wieder finden. IPv6 bei Swisscom wird im Dual Stack angeboten. Sprich IPv4 steht immer noch zur Verfügung. Logisch, das Internet wäre teilweise noch relativ langweilig ;) Darum ist es auch wichtig und wird es auch noch lange bleiben, dass man seine IPv4 Server versorgen kann.
Unter Einstellungen > Port- Weiterleitung findet man das gewohnte Menü um vorkonfigurierte Dienste auf einen Host zu leiten.
Ist ein Dienst nicht vorhanden, kann man diesen im Menü Einstellungen > Dienste, eröffnen.
An dieser Stelle sei gesagt. Was man von jedem 08-15 Router gewohnt ist, dass sogenannte NAPT, steht im WUI immer noch nicht zur Verfügung. Einer der Hauptgründe warum die Centros als DAU Geräte angesehen werden. Es sind die DAU's die nicht verstehen das die Möglichkeit via Shell trotzdem besteht. Trotzdem unverständlich warum dies via WUI aber nicht möglich ist.
Swisscom, hier bitte endlich mal nachbessern! Früher war es ja auch möglich :) Die Router an sich, sind ja ansonsten i.O.
IPv6 Firewall
Soweit so gut. Nun aber zur Neuerung, der IPv6 Firewall. Sobald man im Kundencenter IPv6 aktiviert hat, steht im WUI ein neuer Menüpunkt zur Verfügung.
Dieser nennt sich Sicherheit.
Sicherheit in 3 Stufen
Mittel
Defaultmässig ist die IPv6 Firewall auf Mittel Hoch gestellt.
Falls die IPv6 Firewall
Stufe ""Mittel"" aktiviert ist, wird der IPv6 Datenverkehr
in beide Richtungen (ankommend und abgehend) zugelassen. Davon ausgenommen ist
eine Gruppe von Standard Protokollen (Gruppiert in ""Fernwartungs-Protokolle""
und ""LAN-Protokolle) und alle benutzerdefinierten Regeln, welche Sie
definieren. TCP Ports, welche zur Kategorie "Fernwartungs-Protokolle"
gehören, werden nicht aus dem ankommenden Datenverkehr gefiltert. UDP und TCP
Ports, welche zur Kategorie "LAN-Protokolle" gehören werden im
abgehenden und ankommenden Datenverkehr blockiert.
Andere grundlegende Datenverkehrs-Kontrollen sind aktiviert um
vor ungültigem und schädlichem Verkehr zu schützen.
Falls Sie eine Regel durch deaktivieren des Kontrollkästchens
ausschalten, wird automatisch der Firewall-Status "Mittel"
angewendet, welcher für die spezifizierten Ports den Datenverkehr in beiden
Richtungen (ankommend und abgehend) erlaubt.
Hier ist das Standardverhalten auf "erlauben". Die Firewall lässt Traffic durch. Ausgenommen ist aber ein ganzes Set an wichtigen Protokollen, die eigentlich nur im LAN verwendet oder als Remote Zugang genutzt werden. Diese Protokolle und Ports sind gesperrt, lassen sich aber mittels einfachem Klick auf erlaubt setzen.
Wichtig: Erlaubter Traffic bezieht sich immer auf alle Hosts im LAN. Erlaubt man zB. FTP wird dies für alle Adressen nicht mehr geblockt. Darum ist Client Sicherheit immer nach das A und O.
Hier die gesperrten Dienste und Protokolle
Fernwartungs-Protokolle
Aktivieren
Dienst
Protokoll
Ports
Blockieren
Secure Shell (SS)
TCP
22
Eingehend
Telnet
TCP
23
Eingehend
Apple Airport PPP Status etc.
TCP
192
Eingehend
Mac OS X Server Admin
TCP
311
Eingehend
rlogin
TCP
513
Eingehend
TCP Shell
TCP
514
Eingehend
Mac OS X Server Administration
TCP
660
Eingehend
Mac OS X Server Administration
TCP
687
Eingehend
Samba Web Administration Tool
TCP
901
Eingehend
Telnet over TLS/SSL
TCP
992
Eingehend
QT Server Administration
TCP
1220
Eingehend
VNC Listener
TCP
5500
Eingehend
VNC over HTTP
TCP
5800
Eingehend
VNC remote desktop protocol
TCP
5900
Eingehend
TeamViewer remote desktop proto.
TCP
5938
Eingehend
WBEM HTTP, Apple Remote Desktop
TCP
5988
Eingehend
LAN Protokolle
Aktivieren
Dienst
Protokoll
Ports
Blockieren
WINS
Beide
42
Ankommend/Abgehend
TACACS
Beide
49
Ankommend/Abgehend
Trivial File Transfer Protocol
Beide
69
Ankommend/Abgehend
Mac OS X Server Password Server
Beide
106
Ankommend/Abgehend
ONC RPC (SunRPC)
Beide
111
Ankommend/Abgehend
SQL Services
Beide
118
Ankommend/Abgehend
DCOM Service Control Manager
Beide
135
Ankommend/Abgehend
NetBIOS Name Service
Beide
137
Ankommend/Abgehend
NetBIOS Datagram Service
Beide
138
Ankommend/Abgehend
NetBIOS Session Service
Beide
139
Ankommend/Abgehend
SQL Service
Beide
156
Ankommend/Abgehend
SNMP
Beide
161
Ankommend/Abgehend
SNMP Traps
Beide
162
Ankommend/Abgehend
Print-srv, Network PostScript
Beide
170
Ankommend/Abgehend
X Display Manager Ctrl (XDMCP)
Beide
177
Ankommend/Abgehend
Service Location Protocol (SLP)
Beide
427
Ankommend/Abgehend
Microsoft-DS SMB file sharing
Beide
445
Ankommend/Abgehend
Kerberos Change/Set password
Beide
464
Ankommend/Abgehend
Rexec, Remote Process Execution
Beide
512
Ankommend/Abgehend
Line Printer Daemon
Beide
515
Ankommend/Abgehend
RIPng
Beide
521
Ankommend/Abgehend
RPC
Beide
530
Ankommend/Abgehend
DHCPv6 client
Beide
546
Ankommend/Abgehend
DHCPv6 server
Beide
547
Ankommend/Abgehend
AFP over TCP
Beide
548
Ankommend/Abgehend
Internet Printing Protocol
Beide
631
Ankommend/Abgehend
LDAP over TLS/SSL
Beide
636
Ankommend/Abgehend
Kerberos administration
Beide
749
Ankommend/Abgehend
iSCSI (RFC 3720)
Beide
860
Ankommend/Abgehend
MSSQL Server
Beide
1433
Ankommend/Abgehend
MSSQL Monitor
Beide
1434
Ankommend/Abgehend
RADIUS authentication
Beide
1812
Ankommend/Abgehend
RADIUS accounting
Beide
1813
Ankommend/Abgehend
SSDP
Beide
1900
Ankommend/Abgehend
NFS
Beide
2049
Ankommend/Abgehend
MySQL Server
Beide
3306
Ankommend/Abgehend
Web Services Discovery
Beide
3702
Ankommend/Abgehend
UPnP
Beide
5000
Ankommend/Abgehend
NAT Port Mapping Protocol
Beide
5351
Ankommend/Abgehend
NAT Port Mapping Protocol
Beide
5353
Ankommend/Abgehend
Link-Lcl Mcast Name Resolution
Beide
5355
Ankommend/Abgehend
WSDAPI over HTTP
Beide
5357
Ankommend/Abgehend
WSDAPI over HTTPS
Beide
5358
Ankommend/Abgehend
PostgreSQL
Beide
5432
Ankommend/Abgehend
Hoch
Falls die IPv6 Firewall Stufe ""Hoch"" aktiviert ist, wird der IPv6 Datenverkehr nur in abgehender Richtungen zugelassen. Davon ausgenommen sind ""LAN-Protokolle"" und benutzerdefinierte Regeln, welche Sie definieren. UDP und TCP Ports, welche zur Kategorie "LAN-Protokolle" gehören werden im abgehenden und ankommenden Datenverkehr blockiert.
Andere grundlegende Datenverkehrs-Kontrollen sind aktiviert um vor ungültigem und schädlichem Verkehr zu schützen.
Falls Sie eine Regel, durch deaktivieren des Kontrollkästchens ausschalten, wird automatisch der Firewall-Status "Hoch" angewendet, welcher für die spezifizierten Ports den Datenverkehr nur in abgehender Richtung erlaubt.
Benutzerdefinierte Regeln mit der Richtlinie "Erlaube ankommenden Datenverkehr" erlauben gleichzeitig Verkehr in abgehender Richtung, entsprechend dem Verhalten der Firewall in der Einstellung "Hoch".
Hier ist das Standardverhalten "verbieten" Auf Stufe Hoch agiert hier die Stateful Firewall ähnlich wie ein NAT Router. Nicht aus dem LAN initiierter Verkehr wird verworfen. Auch hier die Möglichkeit Dienste von extern zu erlauben, indem man auf einen der vordefinierten Dienste klickt oder selber eine Regel erstellt.
Standardregeln
LAN Protokolle
Aktivieren
Dienst
Protokoll
Ports
Blockieren
WINS
Beide
42
Blockiere gesamten Verkehr
TACACS
Beide
49
Blockiere gesamten Verkehr
Trivial File Transfer Protocol
Beide
69
Blockiere gesamten Verkehr
Mac OS X Server Password Server
Beide
106
Blockiere gesamten Verkehr
ONC RPC (SunRPC)
Beide
111
Blockiere gesamten Verkehr
SQL Services
Beide
118
Blockiere gesamten Verkehr
DCOM Service Control Manager
Beide
135
Blockiere gesamten Verkehr
NetBIOS Name Service
Beide
137
Blockiere gesamten Verkehr
NetBIOS Datagram Service
Beide
138
Blockiere gesamten Verkehr
NetBIOS Session Service
Beide
139
Blockiere gesamten Verkehr
SQL Service
Beide
156
Blockiere gesamten Verkehr
SNMP
Beide
161
Blockiere gesamten Verkehr
SNMP Traps
Beide
162
Blockiere gesamten Verkehr
Print-srv, Network PostScript
Beide
170
Blockiere gesamten Verkehr
X Display Manager Ctrl (XDMCP)
Beide
177
Blockiere gesamten Verkehr
Service Location Protocol (SLP)
Beide
427
Blockiere gesamten Verkehr
Microsoft-DS SMB file sharing
Beide
445
Blockiere gesamten Verkehr
Kerberos Change/Set password
Beide
464
Blockiere gesamten Verkehr
Rexec, Remote Process Execution
Beide
512
Blockiere gesamten Verkehr
Line Printer Daemon
Beide
515
Blockiere gesamten Verkehr
RIPng
Beide
521
Blockiere gesamten Verkehr
RPC
Beide
530
Blockiere gesamten Verkehr
DHCPv6 client
Beide
546
Blockiere gesamten Verkehr
DHCPv6 server
Beide
547
Blockiere gesamten Verkehr
AFP over TCP
Beide
548
Blockiere gesamten Verkehr
Internet Printing Protocol
Beide
631
Blockiere gesamten Verkehr
LDAP over TLS/SSL
Beide
636
Blockiere gesamten Verkehr
Kerberos administration
Beide
749
Blockiere gesamten Verkehr
iSCSI (RFC 3720)
Beide
860
Blockiere gesamten Verkehr
MSSQL Server
Beide
1433
Blockiere gesamten Verkehr
MSSQL Monitor
Beide
1434
Blockiere gesamten Verkehr
RADIUS authentication
Beide
1812
Blockiere gesamten Verkehr
RADIUS accounting
Beide
1813
Blockiere gesamten Verkehr
SSDP
Beide
1900
Blockiere gesamten Verkehr
NFS
Beide
2049
Blockiere gesamten Verkehr
MySQL Server
Beide
3306
Blockiere gesamten Verkehr
Web Services Discovery
Beide
3702
Blockiere gesamten Verkehr
UPnP
Beide
5000
Blockiere gesamten Verkehr
NAT Port Mapping Protocol
Beide
5351
Blockiere gesamten Verkehr
NAT Port Mapping Protocol
Beide
5353
Blockiere gesamten Verkehr
Link-Lcl Mcast Name Resolution
Beide
5355
Blockiere gesamten Verkehr
WSDAPI over HTTP
Beide
5357
Blockiere gesamten Verkehr
WSDAPI over HTTPS
Beide
5358
Blockiere gesamten Verkehr
PostgreSQL
Beide
5432
Blockiere gesamten Verkehr
Aus
Es ist nur eine
grundlegende Datenverkehrs-Kontrolle aktiviert um vor ungültigem und
schädlichem Verkehr zu schützen, da die IPv6 Firewall ausgeschalten ist.
Schalten Sie die Firewall ein um sämtliche Funktionen des Experten Modus zu
benützen.
Selbstverständlich kann man die Firewall auch deaktivieren und eine eigene Schutzlösung verwenden.
Regeln erstellen
Ähnlich wie bei der Portweiterleitung bei IPv4 kann man auch eigene Regeln für IPv6 erstellen um diese zu erlauben oder explizit zu blocken. Wie schon erwähnt leitet man hier nicht auf einen einzelnen Host, sondern schaltet diesen Traffic allgemein ein oder aus.
What else?
Hmm es gibt da schon noch was :)
Leider hat sich seit dem Update auf SOC OS 9.0.7 die IP-Weiterleitungs Funktion in eine Nichtfunktion verwandelt. Mann kennt die Workarounds und das ist auch gut so.
Allerdings ist der sogenannte Data pump ein wichtiger Teil eines DSL Routers. Es macht also durchaus Sinn auch einen Router der mal im Bridge Mode ist irgendwann wieder mal eine neue Version zu spendieren.
Nun gut, leider ist der Bridge Mode immer noch nicht vorhanden. Als Trostpflaster funktioniert nun aber die IP Weiterleitung wieder einwandfrei.
Dazu geht man unter Einstellungen auf das Menü IP-Weiterleitung und wählt, richtig, IP-Weiterleitung. Der gewünschte Host muss seine IP via DHCP beziehen und bereits an den Router angeschlossen sein. Ist dies der Fall, lässt sich der Host auswählen. Der Centro Router weisst noch darauf hin das der Centro Router selber einen neustart braucht, sowie der IP-Weiterleitungs Host einen neuen DHCP request machen muss.
Tux0ne machen die Centro Router selber wie auch die Witzboxen von AVM keine Freude. Klar, dass die ipfire für den Test hinhalten muss. Selbstverständlich funktioniert auch Swisscom TV in diesem Modus auch noch einwandfrei (hinter meiner ipfire).
Luft für Spielereien ist auch noch vorhanden. Da ipfire 2.11 noch nicht wirklich IPv6 ready ist (was aber in ipfire3 noch kommt), ist der Centro Router als IPv6 Gateway in meinem Netz durchaus vorstellbar.
Um an die SIP Zugangsdaten seinen Swisscom Telefonanschlusses zu kommen brauchte man bisweilen einen Centro Router von Pirelli/ADB.
Die SIP Daten müssen auf den Router geschrieben sein. Die Telefon LED muss also weiss leuchten.
) solltet ihr das sein lassen.
