1. Absolute Sicherheit – die harte Tour
Das folgende Gebot gilt nur für Benützer von Kabelmodems.
Trennen des Modems vom Rechner: Am besten das Verbindungskabel zwischen der im Computer eingebauten Ethernet-Netzwerkkarte und dem Kabelmodem am PC oder Mac herausziehen, die grüne Leuchtdiode an der Karte erlischt, der Computer ist zuverlässig vom Netzwerk und vom Internet getrennt.
Das Herausziehen des Steckers aus der Maschine kann auch bei eingeschaltetem Computer erfolgen. Dabei ist darauf zu achten, daß der empfindliche Stecker mit zwei Fingern oben und unten angefaßt wird, damit der winzige Entriegelungshebel, der die mechanische Verbindung vor unbeabsichtigtem Trennen schützt, niedergedrückt wird.
(Bild: LANCity Cable Modem. Image Courtesy of highSynth.)
Will man dann wieder online sein, braucht man das Kabel nur richtig herum hineinzustecken und ist sofort mit dem LAN und dem Internet verbunden; die grüne Leuchtdiode an der Netzwerkkarte glimmt auf.
Das Kabelmodem selbst sollte laut Auskunft des Kabel-Internet Service-Providers chello niemals von der TV-Kabel-Anschlußsteckdose in der Wand getrennt werden und auch nicht vom Stromnetz (Netzgerät), um Beschädigungen zu vermeiden.
Mehrere User, die den unnötigen Energieverbrauch nicht hinnehmen wollen, berichten jedoch, sie würden schon seit längerem problemlos das Modem – alleine oder über eine Steckerleiste zusammen mit dem Computer – mehrmals täglich ein- und abschalten; es könne nach dem Einschalten des Modems etwa eine Minute dauern, bis die Verbindung zum Internet stehe. Es ist anzunehmen, daß damit die Lebensdauer des Modems nicht gerade verlängert wird.
Mike: »Das Modem länger vom Strom zu trennen, halte ich trotz allem für keine gute Idee, da es über einen internen Konfigurationscode verfügt.« Die Stromkosten für ein Kabelmodem, das ständig mit dem Stromnetz verbunden ist, betragen etwa ATS 100,-- pro Jahr.
Tip für jene, die das Kabelmodem stets eingeschaltet lassen: Alle zwei Wochen für zwei Minuten vom Stromnetz nehmen (Stecker des Kabelmodem-Netzgerätes aus der Steckdose ziehen, die mit dem Elektrizitätswerk verbunden ist). Nach dem Wieder-Anstecken ein paar Minuten warten, bis die beiden äußersten grünen Dioden stabil leuchten (siehe hier). Dadurch wird das Modem resettet, neu konfiguriert, und eventuelle (Firmware-)Updates werden vom Kabelmodem-Internet-Provider über das »Fernsehkabel« eingespielt und automatisch installiert.
Mike ergänzt: »Das Kabel zwischen Modem und Computer ist übrigens ein ›Category 5 Twisted Pair Patch Cable‹, kein Ethernet Cable (Ethernet ist das mit den T-Stücken und den Abschlußwiderständen). Die Kabel im Ethernet werden auch als RG58 bezeichnet (wohlgemerkt – es ist die Rede von Thin-Wire Ethernet), und die Patch-Cable werden als Twisted Pair Kabel RJ45 bezeichnet.
Einen Schalter in diesem Kabel, über den man sich das An- und Abstecken ersparte, könnte man zwar bauen, das wäre aber recht aufwendig und für die Signalqualität nicht besonders gut. Was aber machbar ist: Eine Baueinheit mit 2 Buchsen kaufen und links und rechts ein Kabel reinstecken vom Modem zur Doppelbuchse und von dort zum PC. Dieses Gerät kann man auf den Schreibtisch legen, dann tut man/frau sich leichter beim Hineinstecken und Herausziehen und muß nicht jedesmal in die obskure Gegend hinter dem Computer abtauchen.«
Und Gustl: »Statt des Doppelsteckers kann man auch einen billigen Hub verwenden.« Weitere Details zu diesem Kabel in einem Eintrag, den ein Techniker, der das Thema gerade studiert, unserem öffentlichen Forum hinzufügte.
Falls jemand unser erstes Gebot als redundant oder Pleonasmus betrachten sollte – es gibt tatsächlich einen solchen Schalter, der zwischen Kabel-/DSL-Modem und Computer montiert wird, um fünfzig harte kanadische Dollar zu kaufen. Nennt sich Firewall Switch von DATA CHECK SERVICES LTD. in British Columbia. Erfahrungsberichte und Testergebnisse bitte an uns Weiterer Tip zur absoluten Sicherheit,
den man sich unbedingt ansehen sollte...Security rule numero uno:
No matter how paranoid you are,
you aren’t paranoid enough.
Steve Bass
Kabelmodem Kurzinfo Technik/Tarife
Internetanschluß über das TV-Kabel (Kabelfernsehen).
Up- und Downloadgeschwindigkeit bis zu 10 Mbps (Megabits per second) technisch möglich, gerüchteweise sogar bis zu 30 Mbps (Vergleich Kabelmodem/ISDN/Dialup). Das Kabelmodem drosselt beim Tarif »Websurfer« von Chello Austria auf 300 kbps beim Download, der Upload ist mit 64 kbps noch langsamer, höhere Geschwindigkeiten in höheren Tarifklassen möglich (zum Beispiel »LAN Connect«: Bandbreite down-/upstream 2048/64-2048 kbps).
»Always-on«-Verbindung (online, solange der Rechner eingeschaltet ist), Flatrate. Keine Online-Telefongebühren, die Telekom-Telefonleitung bleibt unberührt. Per DHCP vergebene IP-Adresse, die in der Regel aber jedesmal gleich bleibt.
Das bisher »unlimitierte« Dateiübertragungsvolumen (der Provider nennt eine unscharf definierte »Fair-Use«-Regel) wird gerade (Anfang 2001) in Frage gestellt. (Oder doch nicht?) Ab März soll es diesbezüglich neue Tarifklassen geben.
Monatspauschale ATS 788,--/ca. DM 112,--; Euro 57,--; US$ 55.00, einmalige Kaution für das Modem, Anschlußgebühr.
Zusätzlich wird Telefonie über das Fernsehkabel angeboten.
In den USA und in Kanada gibt es Ende 2000 über vier Millionen Kabelmodem- und Kabelmodemrouter-Besitzer.
WWW-Hyperlinks zu technischen Beschreibungen und Abbildungen des Kabelmodems LanCity LCPET-2 (LCP):
Bluemax (engl.)
CNET (engl.)
Presentation by Richard Wiggins (Dia-Show, Pfeil-Buttons)
Installation des LanCity Kabelmodems
Reboot des LanCity Kabelmodems
Wenn diese beiden Dioden konstant leuchten,
ist das LanCity-Kabelmodem betriebsbereit
Sicherheitslücken in ADSL-Modems von Alcatel
- Heise-Newsticker-, WebStandard-, DSLreports-Meldung
- Alcatel: SPEED TOUCH ADSL MODEM SECURITY INFORMATION
- SDSC's Self-Help Guide to the Alcatel Speed Touch Home ADSL modem
- CERT© Advisory CA-2001-08 Multiple Vulnerabilities in Alcatel ADSL Modems
- ORF-FutureZone Entwarnung: Hacker-Zugriffe für Jet2Web »kein Thema«
Wie es in dem Bericht heißt, könne in die Modems problemlos »Firmware« installiert werden, die kompletten Zugriff auf den Datenverkehr ermögliche. Die Sicherheitslücke sei auf schwache Authentifizierungs- und Access-Kontrolle zurückzuführen, die unerlaubten Zugriffen von außen Tür und Tor öffne. So könnten etwa Cracker über den Bug Codes ausführen und so veranlassen, daß Kreditkartennummern und Passwörter unverschlüsselt übertragen werden.
Das betrifft also offenbar sowohl Österreich als auch Deutschland nicht; in Österreich zumindest nicht die Ethernet-Versionen der Jet2Web-DSL-Modems »Speed Touch Pro« (für die USB-Versionen liegen hingegen keine eindeutigen Aussagen vor), da die über Remote nicht erreichbar seien, lassen User in Newsgroups vernehmen.
Alcatel-Sprecher Brian Murphy versicherte gegenüber U.S.-amerikanischen Nachrichtenagenturen, daß man alles daran setze, »eventuelle« Sicherheitslücken zu schließen. Auf der Firmen-Homepage rät Alcatel seinen ADSL-Modem-Kunden dazu, zusätzlich eine Firewall zu installieren.
Abbildungen vom ADSL-Modem »Speed Touch Pro«:
In Deutschland will die Telekom erst in Zukunft DSL-Hardware von Alcatel einsetzen, um Lieferengpässe und damit den Rückstau bei den T-DSL-Anschlüssen beheben zu können. Bis dahin sind hoffentlich alle Sicherheitslücken geschlossen.
Alcatel ist mit 34,9 Prozent Marktanteil Weltmarktführer im Segment der ADSL-Modems. Die betroffenen Geräte wurden hauptsächlich in den USA ausgeliefert, doch ist die Speed-Touch-Serie auch in Europa am Markt und soll unbestätigten Angaben zufolge über 1,5 Millionen Mal verkauft worden sein. Allein in Österreich dürften rund 40.000 ADSL-Kunden von Jet2Web Internet ein Speed Touch Pro zu Hause haben.
Alcatel-Österreich-Sprecher Anton Bum sprach in einer ersten Stellungnahme davon, daß die Telekom Austria bereits über den Vorfall informiert wurde. »Bei unseren Technikern rauchen jetzt die Köpfe«, so Bum gegenüber pressetext.austria. Derzeit stehe noch nicht fest, ob auch die hierzulande ausgelieferten Modelle vom Leck betroffen seien, da die Geräte verschieden konfiguriert werden. Vom ebenfalls betroffenen Network Termination Device konnte Bum nicht sagen, ob es auch in Österreich erhältlich ist.
SUPERSICHER
In einer Meldung vom Karfreitag, dem 13. April 2001, verbreitet der Netzbetreiber dann, es sei alles eitel Wonne: Die am Mittwoch bekanntgewordenen Sicherheitsprobleme diverser Alcatel-Modems haben laut Telekom Austria keine Auswirkungen auf Jet2Web-Internet-Kunden. »Nach Bekanntwerden der theoretischen Sicherheitslücke hat die Telekom Austria sofort reagiert und so die fortwährende Sicherheit des ADSL-Netzes gewährleistet. Es wurden umgehend Gegenmaßnahmen implementiert.«
Obwohl bei Business-Kunden mit fixer IP-Adresse »theoretisch Probleme möglich wären«, seien »Hacker-Zugriffe für die Kunden des größten österreichischen Internet-Providers kein Thema«, so die Presseaussendung. Die theoretische Sicherheitslücke würde zudem »zu keiner Zeit eine direkte, unmittelbare Zugriffsmöglichkeit auf die Daten des Teilnehmers« ermöglichen. Die von der Telekom Austria »gewährte Netzsicherheit ist daher im vollen Umfang gewährleistet«, und »Sicherheitskriterien sowohl für den Residential- als auch für den Business-Kunden können eingehalten werden«.
Sicherheitslücke bei Alcatel-Modems (DoS)
Wie SecuriTeam.com am 17. 1. 2002 meldet, sind davon Alcatel Speed Touch Home ADSL-Modems mit der Firmware-Version 8706 betroffen. Sie können zum Crash gebracht werden, indem sie von Angreifern einfach mit dem Tool NMap gescannt werden.
In der Newsgruppe at.internet.breitband schreibt Michael dazu: »Da muß ich aber lachen. Nicht nur diese Firmware-Version ist betroffen, sondern alle, aber nur, wenn keine pptp-Verbindung besteht. Wenn keine pptp-Verbindung besteht, friert das Modem ein (man kann keine pptp-Verbindung mehr aufbauen), und man muß das Modem rebooten.«
David: »Und jeder, der sich mit dem Modem ›eingehender‹ beschäftigt hat, weiß das schon, seitdem es ADSL in Österreich gibt. Wenn ich mich recht erinnere, genügt ein telnet auf den richtigen Port, um den pptp-server abzuwürgen.«
Michael: »Stimmt, das Modem friert ja auch nur ein, wenn nmap einen halboffenen (syn scan) über den pptp-Port macht (das haben sie in dem ganzen Gemurks um die Sicherheitslücke im Modem vergessen). Man muß das Modem mit "nmap -sS -v -v -v -O <modem IP>" scannen, die Option "-sS" ist erforderlich, sonst funktioniert es zumindestens bei mir nicht.
Das Alcatel Speed Touch Home/Pro hat noch sehr viel mehr Sicherheitslücken. Es gestattet (wenn es eine ältere Firmware hat) jedem von außen uneingeschränkten Zugriff mit einem Masterpasswort (auch wenn man selber ein Passwort gesetzt hat). Mit diesem Masterpasswort hat man auch Zugriff auf den Expert-Modus im ADSL-Modem, mit dem man das Modem mit nur 2 Eingaben in das Jenseits schicken kann, – es startet nie mehr. Außerdem lassen sich auf dem Modem Sniffer und Passwort-Catcher installieren, man sollte es also wirklich nicht als sicher ansehen.
Die Sicherheitslücken gibt es schon, seit es das Modem gibt (~1 1/2 Jahre oder sogar mehr), und Alcatel weiß das auch schon so lange. – Denen ist das also ziemlich egal, wie sicher ihr Produkt ist.
Firmen mit sensiblen Daten im Netzwerk kann ich nur unbedingt empfehlen, Sicherheitsmaßnahmen zu ergreifen: Hardwareverschlüsselung der Datenströme direkt auf der Netzwerkkarte, nur Switches mit strengen Berechtigungen, Firewall (ist sowieso Pflicht), oder auch nur Verschlüsselungen auf Betriebssystemebene. Das alles hängt davon ab, ob man den Benutzern hundertprozentig vertrauen kann, und wieviel User sich im lokalen Netzwerk befinden.«
Absolute (?) Sicherheit
– die weiche Tour
Weiter mit den Pfeil-Symbolen >> in den Navigationsleisten
oben und unten auf jeder Seite.
elektronischen Privatsphäre im Breitband-Internet
Copyright-Info
Diese Seite wurde zuletzt am Sonntag, dem 25. November MMI, aktualisiert
URL der Website Sicherheit im Kabelnetzwerk : http://www.pages.at/heaven
URL dieser Seite: http://www.pages.at/heaven/sec001.htm
eMail an die Redaktion: ms
: User online | Heute, am : Seitenaufrufe, Besucher | Details