×
Bis auf weiteres keine Downloads möglich (05 Mai 2020)

Aus den Erfahrungen der letzten Wochen und dem überstandenen Backdoor-Angriff habe ich eines gelernt: Nämlich ganz sicher keine veralteten Komponenten in der Forensoftware einzusetzen, die keine Sicherheitsupdates mehr erhalten. Daher gibt es bis auf weiters keine Downloadkomponente mehr, und manche Links in manchen älteren Threads gehen ins Leere.

Ich bitte dafür um Verständnis !

Euer Andi

normal Frage IP-Verbindungen von AV-Receiver (Denon)


  • Vindobona
  • Vindobonas Avatar Autor
  • Offline
  • Expert Boarder
  • Expert Boarder
Mehr
30 Jun 2018 22:21 #76511 von Vindobona
IP-Verbindungen von AV-Receiver (Denon) wurde erstellt von Vindobona
Ich hab nun mal überprüft, was mein neuer AV-Receiver, ein Denon AVR-X2400H, hier alles so treibt, und bin da etwas irritiert.
So ein moderner AVR, der im Netz hängt, kann ja so einige Internet-Dienste nutzen.
Mein AVR hängt am Kabel (mit DHCP). Die Internet-Dienste selbst nutze ich aber eigentlich überhaupt nicht. Internetradio (TuneIn) habe ich zwar mal ausprobiert, aber dann nur wenige Male benutzt (zuletzt wohl vor Wochen). HEOS-Account habe ich keinen. Netzwerk-Steuerung ist auf "Immer ein" (lt. Bedienungsanleitung), da ich den AVR auch mit der Denon-App steuern will. Andere Dienste wie Spotify, Amazon Music, und was es sonst noch gibt, nutze ich nicht und habe ich auch gar noch nicht ausprobiert. Versuchsweise habe ich auf Musik von meinem NAS zugegriffen, doch das NAS ist derzeit nicht in Betrieb und daher wird diese Funktion auch nicht verwendet. Ich will/brauche ohnedies bald ein neues NAS und muss meine Medien ohnedies neu organisieren, damit ich das vernünftig nutzten kann.
Automatisches Firmware-Update und Übermittlung von Nutzungsdaten sind seit Anfang an deaktiviert. Nun habe ich auch die Upgrade-Meldung für neue Firmware deaktiviert.
Den AVR nutze ich nun eigentlich nur für TV, Blu-ray und CD. Eigentlich hätte ich erwartet, dass dadurch nun überhaupt kein IP-Traffic vom AVR ausgehen sollte.
Unter Diagnostics / Active Connections am Pirelli (PRG-AV4202N) zeigt sich aber etwas anderes!

Neben den vielen UPnP-Verbindungen (SSDP auf die Multicast-Adresse 239.255.255.250:1900, ca. 30 Stück scheinen auf) finde ich aber auch andere Verbindungen. So gab es z.B. vorgestern auch eine Verbindung auf 239.255.255.250:1902, wo ich nicht genau weiß, was das sein soll (anderer Port).
UPnP an sich macht mir zwar keine großen Sorgen, aber ein neuer Artikel auf heise.de UPnP als Tarnung: Verwundbare Router helfen DDoS-Angreifern lässt schon wieder Zweifel an dem aufkommen. So wirklich kenne ich mich mit UPnP auch gar nicht aus. Früher, vor Jahren, hatte ich es sogar immer deaktiviert (sowohl am Router als auch am Windows-PC). Seit ich aber vor etwa einem Jahr von der Router-Firmware 5.1.6 auf die E_3.4.0 umgestiegen bin, war UPnP dort aber aktiv. Nun hab ich am Router UPnP mal wieder deaktiviert (UPnP-AV Media Server und UPnP Agent). Ich weiß auch nicht, ob und wozu ich das dort brauche. Auch seit Windows 10 (nun schon einige Jahre) ist der UPnP-Dienst nicht mehr deaktiviert.

Neben den tcp(6) und udp(17) gibt es auch Verbindungen vom Typ unknown(2).

Besonders stört mich aber eine Verbindung zu 54.156.204.193:6125, die anscheinend immer vorhanden ist. Soweit ich das nachforschen konnte, ist das eine Amazon-IP. Ich will nicht von Amazon überwacht, getrackt oder sonst irgendwas werden!
Auch Verbindungen zu anderen Adressen kann ich mir nicht erklären, z.B. 34.206.200.138:6125 vor einigen Tagen oder 213.235.200.199:123 ein anderes Mal, oder auch mal 13.32.22.22:443.





Was mache ich da am besten? Komplett vom Netz nehmen will ich das Teil ja nicht, denn vielleicht will ich doch mal Internet-Radio (oder später auch einen anderen Dienst) nutzten. Auch will ich jedenfalls die Steuerungsmöglichkeit mit der Denon-App.
Ich will aber nichts zu Amazon (weiß nicht, ob das Amazon selbst ist, oder nur jemand die Amazon-Cloud nutzt) übertragen, wenn ich gar keine Internet-Dienste nutze. Die FAQ-Infos von Denon helfen mir nur bedingt, denn dadurch dürften diese IP-Verbindungen - abgesehen von den UDP-Verbindungen - gar nicht existieren.

Zur Verkabelung: Am Pirelli hängen zwei Switches. Ein 5-Port Switch für Audio/Video (TV [deaktiviert], A1 TV [dzt. Standby], AVR und Blu-ray Disc Player) und ein 8-Port Switch für PC, Notebooks [derzeit nicht in Verwendung] und NAS [derzeit aus]. Das WLAN vom Pirelli wird (nur) von zwei Android-Smartphones verwendet.


Wie schaut das bei anderen aus, die auch einen AVR (oder ein vergleichbares Gerät) haben (egal ob Denon oder eine andere Marke)?
Sollte ich hier Maßnahmen ergreifen? Welche?


P.S.: Eine Anfrage beim Denon-Support läuft. Bisher habe ich noch keine Antwort erhalten.

Dieser Beitrag enthält Bilddateien.
Bitte anmelden (oder registrieren) um sie zu sehen.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
01 Jul 2018 10:23 - 01 Jul 2018 11:07 #76514 von rwhome
hallo,

upnp abdrehen am router
das predigen wir schon immer
damit ist der part gemeint der die portweiterleitungen betrifft

upnp dlna (mediaserver bzw. clients) sind viele in deinen netz
auch das pirelli wenn du dort upnp dlna aktivierst für die spielereien
das was du siehst sind deren broadcasts
der router sollte nicht darauf anworten
die broadcasts gehen auch nicht raus

wenn du willst das deine geräte bestimmte anfragen nicht aussenden kannst du das wenn möglich an den geräten unterdrücken (dienste deinstallieren, firewall an den geräte selbst , hosts liste editieren)

am pirelli kannst diesbezüglich schon ein paar sachen einstellen
über die benutzer acl (sicherheit/firewall)
eine ip/mac adresse oder einen lokalen ip bereich bzw. ein komplettes subnetz sperren
bzw. gezielt bestimmte ports (source/destination) sperren für bestimmte adresse(n)/bereiche
bzw. partental control hernehmen und ip adressen oder dns adressen in die blacklist geben
das gilt aber dann für alle
etwas spezifischer geht es wohl erst mit den erweiterten firewall regeln (ungesperrter router)
das alles ist aber meist etwas umständlich oder unflexibel

p.s.
da ich mich nicht darauf verlasse das ich das bei einen a1 router machen kann habe ich meine eigene zentrale firewall bzw. router dazwischen
ich fang nicht immer von vorne an wenn ich das a1 modem wechsle
bei den meisten kannst diesbezüglich sowie nichts mehr einstellen

LG RWHome//Wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden
Letzte Änderung: 01 Jul 2018 11:07 von rwhome.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • Vindobona
  • Vindobonas Avatar Autor
  • Offline
  • Expert Boarder
  • Expert Boarder
Mehr
01 Jul 2018 18:11 #76515 von Vindobona
Vindobona antwortete auf IP-Verbindungen von AV-Receiver (Denon)
Naja, UPnP ist am Router ja nun eh schon deaktiviert, wobei ich aber noch nicht weiß, was das für Auswirkungen hat.
Trotz deaktiviertem UPnP ist das Bild unverändert: Sehr viele UPD/SSDP-Multicasts (Port 1900), eine auf Port 1902.
Zwei NTP-Verbindungen (udp und unknown) zu 144.76.197.108:123 (OK).
Und wieder eine dubiose TCP-Verbindung zu 34.192.183.158:6125 (Amazon). :angry:
Am liebsten würde ich das Teil so gleich direkt vom Netz nehmen, ich will aber nicht auf die App-Steuerung verzichten.

Neben dem Pirelli, dem PC (UPnP Dienst läuft nicht) und dem AVR sollten keine anderen DLNA-Clients aktiv sein! NAS ist total aus, STB im Deep-Standby, Blu-ray Player aus. Netzwerk im TV ist deaktiviert.
Bei mir laufen dzt. alle Geräte mit DHCP und in der DHCP leases List sind auch nur PC und AVR.

Einzelne Internet-Dienste kann man am AVR ja leider nicht deaktivieren, bestenfalls kein Konto dafür anlegen, wenn ein solches notwendig sein sollte.

Meine Netzwerk-Infrastruktur (nur Pirelli und zwei kleine Switches) stelle ich eh auch schon in Frage. Dir Frage ist nur, was ich hier als Firewall nehmen soll, ob eigener AP, etc.
Das Ganze soll weder zu groß/viel, noch zu teuer werden. Und vor allem muss es auch für mich administrierbar sein und bleiben. Die Konfiguration sollte jedenfalls auch einfach möglich sein, so dass ich mit meinen IP-Grundkenntnissen durchkomme.
Und es muss natürlich dann auch noch alles funktionieren (A1 TV, A1 TV App, Streaming vom Internet, Streaming von einem NAS). Ich hoffe, das wird mir dann nicht alles zu kompliziert.
Derzeit läuft mit dem Pirelli-Modem alles super (und selbst die GUI am Modem läuft ja auch wieder recht flott). Auch mit dem WLAN bin ich soweit zufrieden (und würde mir nur ein eigenes Gäste-LAN wünschen).

Irgendwie werden meine potentiellen Baustellen/Pläne immer größer und umfangreicher (Kodi-Client, event. Superuser für Pirelli, Firewall, ...). Hm.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
01 Jul 2018 19:54 #76517 von rwhome
es gibt zwei upnp schnittstellen am router
die für den router selbst (z.b. für portweiterleitungen)
und die für den mediaserver (upnp dlna)

wenn man upnp für den router abdreht können clients keine portweiterleitungen einrichten oder den router andersweitig fernsteuern
das ist alles

solange du clients oder server hast welche upnp aktiviert haben hast die broadcasts

was ist dubios an den verbindungen zu amazon ?
das internet der dinge (iot) bringt das nun mal mit sich

wenn dich das stört brauchst eine firewall (ein ap ist keine firewall)
firewall regeln können natürlich ausarten
moderne firewalls sind relativ transparent und helfen bei der durchsetzung konservativer sicherheitsmodelle
die dinger sind weder groß noch teuer
zeit muss man investieren

LG RWHome//Wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • Vindobona
  • Vindobonas Avatar Autor
  • Offline
  • Expert Boarder
  • Expert Boarder
Mehr
01 Jul 2018 20:17 #76519 von Vindobona
Vindobona antwortete auf IP-Verbindungen von AV-Receiver (Denon)

rwhome schrieb: es gibt zwei upnp schnittstellen am router
die für den router selbst (z.b. für portweiterleitungen)
und die für den mediaserver (upnp dlna)

wenn man upnp für den router abdreht können clients keine portweiterleitungen einrichten oder den router andersweitig fernsteuern
das ist alles

Die zwei UPnP-Einstellungen sind bekannt. Ich habe auch (wie geschrieben) beide deaktiviert. Am Pirelli-USB hängt ohnedies kein Massenspeicher.
Das Pirelli muss nur UPnP von einem Ethernet-Port auf einen anderen Port durchlassen, da die Switches jeweils an einem eigenen Port hängen.
An einem Switch hängt das NAS. Am anderen Switch Audio/Video (A1 TV, AVR). Daher muss alles über den Router laufen und darf dort nicht blockiert werden.
Werde es bei Zeiten testen.


rwhome schrieb: solange du clients oder server hast welche upnp aktiviert haben hast die broadcasts

Soweit ist mir das bekannt. Ich frage mich nur, warum da so viele Broadcasts sind, auf so vielen Ports, wo ich doch nur AVR+PC+Pirelli aktiv habe.
Ich muss mich vielleicht mal näher mit UPnP beschäftigen.


rwhome schrieb: was ist dubios an den verbindungen zu amazon ?
das internet der dinge (iot) bringt das nun mal mit sich

Wenn ich keine Internet-Dienste nutze, schon gar keine von Amazon, und auch die Datennutzung deaktiviert ist, erwarte ich hier keinen Traffic zu Amazon.
Auch wird über derartige Verbindungen nicht hingewiesen, auch habe ich keine Möglichkeit diesen zu widersprechen. So geht's nicht. Das ist nicht "korrekt" und wohl auch nicht rechtens. Ich würde hier glatt auch einen Verstoß gegen die DSGVO vermuten.


rwhome schrieb: wenn dich das stört brauchst eine firewall (ein ap ist keine firewall)
firewall regeln können natürlich ausarten
moderne firewalls sind relativ transparent und helfen bei der durchsetzung konservativer sicherheitsmodelle
die dinger sind weder groß noch teuer
zeit muss man investieren

Klar, eine AP ist keine Firewall. Ich wollte ja nur sagen, dass ich nicht weiß, ob ich hier eine Wunderwuzzi-Box (z.B. FritzBox mit integriertem AP [mir fällt diese grad nur ein]) verwenden kann, oder ob ich da ein spezielles Firewall-Kastl nehmen soll und dann z.B. auch einen eigenen AP und dann das Pirelli nur mehr als reines VDSL-Modem arbeitete.
Kannst du eine Firewall empfehlen? Was verwendest du?

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
01 Jul 2018 20:39 - 01 Jul 2018 20:50 #76521 von rwhome
der router wird nichts blockieren was nur über seine lan ports läuft
die lan ports sind geswitcht

du weisst ja gar nicht was übertragen wird
eventuell nur ein verbindungstest
wenn du genaueres wissen willst musst du das mal aufzeichnen
vielleicht hast ja einen ordentlichen switch
über gespiegelte lan ports mit wirekshark aufzeichnen

ich verwende einen linux router mit iptables als firewall
fritzbox ist nix wunderwuzzi
schon gar nicht punkto firewall

eine moderne anwendungsorientierte firewall erleichtert die arbeit
nur verbindungsorientiert ist gleich mal komplex
geräte empfehle ich aus prinzip nicht

LG RWHome//Wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden
Letzte Änderung: 01 Jul 2018 20:50 von rwhome.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Moderatoren: andifrm1912enjoyherby68benderrwhomegeko
Ladezeit der Seite: 0.285 Sekunden
Powered by Kunena Forum