× Router: PRG AV4202, ADB DV2210

normal Frage Fernwartung - Firewall Configuration


  • Vindobona
  • Vindobonas Avatar Autor
  • Offline
  • Senior Boarder
  • Senior Boarder
Mehr
30 Jun 2018 17:08 #76508 von Vindobona
Fernwartung - Firewall Configuration wurde erstellt von Vindobona
Ich habe nun wiederholt festgestellt, dass auf meinem PRG-AV4202N die Firewall Configuration geändert wurde. Die letzte Änderung war etwa eine Woche vorher, auch ungefähr um diese Zeit (soweit ich das noch in Erinnerung habe).


Ich habe hier nichts geändert. Ich gehe davon aus, dass dies durch Fernwartung der A1 Telekom Austria gemacht wurde. TR-069 ist bei mir (wohl) aktiv.
Die Access Control List ist leer.

Was wird hier eigentlich geändert?
Ich gehe davon aus, dass die Profis von A1 hier gute Arbeit leisten. Leider sehe ich aber nicht, was hier geändert wird.

Eigentlich mag ich Zugriff von außen ja nicht wirklich, vor allem aber dann nicht, wenn ich nicht weiß/sehe, was hier passiert.
Die Fernwartung kann ich ohnedies nicht (zumindest derzeit noch nicht) deaktivieren.


P.S.: Remote Access Control List ist aktiviert, die einzelnen Rules sind aber alle deaktiviert.

Dieser Beitrag enthält einen Bildanhang.
Bitte anmelden (oder registrieren) um ihn zu sehen.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
30 Jun 2018 21:43 - 03 Jul 2018 09:20 #76510 von rwhome
rwhome antwortete auf Fernwartung - Firewall Configuration
hallo,

an deinen firewall einstellungen wird sicher selten was geändert
und wenn dann siehst es natürlich nicht was außer du kannst die erweiterten firewall einstellungen ansehen was nur bei einen entsperrten pire geht
es ist aber meistens nur eine aktualisierung über tr069 (management interface) ohne jegliche änderung
an den firewall regeln hat sich seit jahren nichts geändert

die acl ist übrigens für reseller (a1 partner)
diese liste ändert sich im laufe der zeit und wird auch gleich mit aufdatiert
bei der aktuellen firmware kannst die gesammte liste deaktivieren (sinnvoller) ohne die einzelnen einträge zu deaktivieren
neue einträge (nach einem tr069 update) sind nähmlich nicht deaktiviert
da müsstest immer nacharbeiten
aber bitte auch nicht alle einträge löschen was früher und wahrscheinlich auch jetzt noch nur dazu führt das dann jeder zugriff hat :ohmy:

LG RWHome//Wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden
Letzte Änderung: 03 Jul 2018 09:20 von rwhome. Begründung: remote access liste nicht deaktivieren

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • Vindobona
  • Vindobonas Avatar Autor
  • Offline
  • Senior Boarder
  • Senior Boarder
Mehr
30 Jun 2018 22:41 #76513 von Vindobona
Vindobona antwortete auf Fernwartung - Firewall Configuration

rwhome schrieb: an deinen firewall einstellungen wird sicher selten was geändert
...
es ist aber meistens nur eine aktualisierung über tr069 (management interface) ohne jegliche änderung
an den firewall regeln hat sich seit jahren nichts geändert

Ah, ja, das klingt plausibel.


rwhome schrieb: die acl ist übrigens für reseller (a1 partner)
diese liste ändert sich im laufe der zeit und wird auch gleich mit aufdatiert
bei der aktuellen firmware kannst die gesammte liste deaktivieren (sinnvoller) ohne die einzelnen einträge zu deaktivieren
neue einträge (nach einem tr069 update) sind nähmlich nicht deaktiviert
da müsstest immer nacharbeiten
aber bitte nicht alle einträge löschen was früher und wahrscheinlich auch jetzt noch nur dazu führt das dann jeder zugriff hat :ohmy:

OK, wenn das mit der aktuellen Firmware geht, kann ich es ja mal probieren. Ich weiß nur, dass es bei der E_3.4.0 nicht gscheid war, siehe PRG AV4202N - Firmware Version: E_3.4.0 - Remote Access Control List
Ich hatte (seit meinem Update auf die E_3.4.0) bisher noch nie neue Einträge, die aktiv waren. Ob überhaupt neue Reseller dazukommen sind, weiß ich aber nicht.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • Vindobona
  • Vindobonas Avatar Autor
  • Offline
  • Senior Boarder
  • Senior Boarder
Mehr
01 Jul 2018 19:07 #76516 von Vindobona
Vindobona antwortete auf Fernwartung - Firewall Configuration

rwhome schrieb: bei der aktuellen firmware kannst die gesammte liste deaktivieren (sinnvoller) ohne die einzelnen einträge zu deaktivieren


NEIN! Das sollte man wohl nicht machen!
Es gilt immer noch das, was ich zur Firmware Version E_3.4.0 geschrieben habe! Mit deaktivierter Remote Access Control List ist der Zugriff von außen möglich! Damit kann jeder mit dem bekannten Telek.m-User auf das Pirelli zugreifen!
Das ist nach wie vor eine gravierende Sicherheitslücke!

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
01 Jul 2018 19:56 - 01 Jul 2018 20:19 #76518 von rwhome
rwhome antwortete auf Fernwartung - Firewall Configuration
ich habe remote access deaktiviert unter management/web gui
der 443 port ist dann nicht offen
es ist dann sowieso egal ob man diese liste oder listeneinträge auch noch deaktiviert

aber soweit hast recht
es ist wohl immer noch ein problem

wenn du das pire entsperrst deaktiviere einfach den remote access auf die web-gui
dann brauchst über die remote access liste nicht mehr nachdenken

LG RWHome//Wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden
Letzte Änderung: 01 Jul 2018 20:19 von rwhome.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • Vindobona
  • Vindobonas Avatar Autor
  • Offline
  • Senior Boarder
  • Senior Boarder
Mehr
01 Jul 2018 20:33 - 01 Jul 2018 20:35 #76520 von Vindobona
Vindobona antwortete auf Fernwartung - Firewall Configuration
Ich hab es vorhin getestet und, wenn unter Web GUI - Remote Access Control List (http://10.0.0.138/ui/dboard/settings/management/webgui/webguiremoteacl) Enable Remote Access Control List auf No steht, kommt man von außen (Android Smartphone, nicht im WLAN) auf die Login-Site des Routers.

Der Zugriff im Browser (SRWare Iron) mit HTTPS auf die (externe) IP Address bringt zuerst eine Warnmeldung, dass die Site nicht sicher ist. Wenn man weiter geht, kann man sich mit dem Telek..-User ganze einfach einloggen und kann alles, was dieser User eben darf, machen. So ist es, wie du auch am Screenshot erkennen kannst.



Ich habe kein NAT Port Mapping aktiviert und auch sonst keine seltsamen Einstellungen (zumindest nicht dass ich weiß).

Dieser Beitrag enthält einen Bildanhang.
Bitte anmelden (oder registrieren) um ihn zu sehen.

Letzte Änderung: 01 Jul 2018 20:35 von Vindobona. Begründung: Korr. URL, Korr. Schreibfehler

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Moderatoren: andifrm1912enjoyherby68benderrwhomegeko
Ladezeit der Seite: 0.268 Sekunden
Powered by Kunena Forum