Sicherheitslücke in USFconnect und Webinterface

      Sicherheitslücke in USFconnect und Webinterface

      Hallo

      Ich habe ein bisschen mit dem Webinterface und der UFScontorl gearbeitet.
      Dabei ist mir eine dicke Sicherheitslücke aufgefallen.
      Wenn man am Router eine Portfreigabe für das Webinterface einrichtet (Aufnahmen unterwegs einstellen z.B.) kann man ohne irgendeine Sicherheitsabfrage mit UFScontrol oder dem Webinterface DIREKT auf den Receiver (bei mir der UFS 906) zugreifen!

      Wie habe ich das probiert:

      Auf dem Handy UFScontrol (Playstore) installieren.
      WLAN des Handys AUSSCHALTEN damit er über das Handynetz ind Internet geht. Damit ist man sicher aus dem Heimnetz raus.
      In der App unter Receiver auf "Receiver hinzufügen" gehen und dann als IP die Externeadresse des Routers (besser Dyndns Adresse einrichten) mit ":9000" am Ende eingeben.
      Der Port 9000 muss im Router auf die IP des Receivers weitergeleitet werden.
      Das Häkchen in der UFScontrol App am Receiver setzen.
      Es kann sein, das der Receiver keinen grünen Punkt bekommt, also angeblich nicht gefunden wird.
      Zurück gehen und auf Fernbedienung den Receiver steuern!!
      Epg, Aufnahmen und so weiter haben ebenfalls funktioniert.
      Auf diesem Wege..... garnicht gut!!!


      Bitte dringend (mindestens) eine Passwortabfrage nachrüsten.



      Guenni
      Bilder
      • IMG_20140614_202555.jpg

        48,21 kB, 720×1.280, 8 mal angesehen

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Guenni75“ ()

      Ähm, ja. Ist schon seit Jahren bekannt. Wird sich aber wohl nie was dran ändern. Kathrein ignoriert das einfach.
      So bleibt nur der Weg über VPN.

      Wenn man in google danach sucht, findet man auch regelmäßig offene Kathrein-Steuerungen, wo jeder eingreifen kann.
      Ich würde das gar nicht Sicherheitslücke nennen, sondern das Fehlen jeglicher Sicherheit, da Kathrein hier überhaupt nichts vorgesehen hat.
      Aber, wie gesagt, mit VPN kann man sich halt absichern und daher kann ich damit dann auch ganz gut damit leben.
      Ich habe den Beitrag in ein anderes Unterforum verschoben. Das gehört nicht in die News.

      Wie schon von Master of Tragedy gesagt, ist zum einen das Thema bekannt. Zum anderen sollte man wissen was man macht wenn man per DynDNS sein Netzwerk von außen erreichbar macht.

      Die sichere Alternative wenn man wirklich eine Steuerung von außen braucht, ist eine VPN Verbindung. Diese ist am Handy und am Router meist sehr einfach einzurichten.
      Edision OS Mini
      Panasonic 50-PZ800E
      VPN? Hatte ich bis jetzt noch nix mit zu tun. Muss ich mich mal informieren.

      Mit Dyndns hab ich schon lange Erfahrung
      Was das mit dieser unbedachten und scheinbar von Faulheit geförderten Nachlässigkeit von Kathrein zu tun haben soll, weiß ich nicht.
      Ich nehmen die Portfreigabe wurde raus und damit ist der Käse gegessen.
      Ich würde auch dringend eine VPN Verbindung empfehlen. Auch wenn Kathrein ein Passwort einbaut, ein offener Port bleibt ein offener Port! Würde ich keinem empfehlen!
      Mit der Fritzbox ist es mittlerweile sehr einfach eine VPN Verbindung einzurichten. Und du hast dann Zugriff auf dein komplettes Heimnetz!

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „digio“ ()

      Ich hab mich mal in VPN eingelesen (und probiert).
      Fakt ist, ich muß ne DynDNS über die Fritzbox laufen lassen, sonnst kann ich sie auch nicht (von aussen) über VPN ansprechen.
      Damit ist die Fritzbox "öffentlich". Die Portfreigabe ist da völlig egal.
      Ohne die Portfreigabe komm ich nicht an den Receiver.

      Ergo:
      Ohne Passwort am Receiver, ist auch VPN sicherheitstechnisch, nutzlos.
      Nur das löschen der Portfreigabe im Router sperrt den Receiver nach aussen.
      @Guenni75: Das ist eine Fehlinterpretation. Um das VPN aufzubauen, muss man sich per Passwort an der Fritzbox anmelden, es ist also nicht offen wie ein Scheunentor.
      Das aufgebaute VPN funktioniert dann wie ein verschlüsseltes, virtuelles Netzwerkabel, über das dann die Verbindung zum Receiver aufgebaut werden kann, ohne dass dieser offen im Internet für alle verfügbar ist.
      UFS-922 FW2.10 XCB51 - AClight 1.19
      Denon AVR-3805 (TOS-Link) - Samsung LE46B750 HDMI 1080i fix
      80cm Offset + Twin Lypsi HQ - 120cm PFA + IDLB-SINL23
      Tuner 1: Sig 57-61% "Einfaches LNB" Astra 19.2
      Tuner 2: Sig 57-62% "DiSEqC 1.0" Astra 19.2 + Astra 28.2
      Guenni du vergleichst 2 verschiedene Sachen.
      Das eine ist DynDNS damit dein Netzwerk von außen erreichbar ist. Solange du keine statische IP von deinem Internetanschlussbetreiber bekommst, brauchst du DynDNS damit dein Heimnetz bei IP Änderungen immer unter der gleichen Adresse erreichbar ist.

      Das andere ist die Portweiterleitung. Im Zusammenhang mit DynDNS machst du damit die weitergeleiteten Ports und die daran hängenden Geräte von aussen für jedermann erreichbar.

      Auch bei VPN brauchst du DynDNS wenn du keine statische IP Adresse hast. Nur ist dein Netzwerk per Passwort geschützt.
      Edision OS Mini
      Panasonic 50-PZ800E
      Richtig die VPN Verbindung ist mit Passwort verschlüsselt. Wenn ich aber eine Dyndns Adresse über die FritzBox laufen habe, muss mann nicht die VPN Verbindung nutzen um an die FritzBox zu kommen.
      Nur weil ich zusätzlich eine VPN Verbindung auf der FritzBox eingerichtet habe, wird die Fritzbox die Verbindung ohne VPN nicht ablehnen. Wenn die Portfreigabe eingerichtet ist bringt VPN da nix.
      Habs vorhin probiert.

      Wenn ich an ein Gerät mit einem bestimmten Port will, muss ich eine Portfreigabe einrichten und dann scheint mir bei der Fritz.box die Möglichkeit zu fehlen dieses mit einer eingerichteten DynDNS Adresse zu verbieten.

      Wenn dies nicht so ist (und das hab ich vorhin probiert) erkläre mir wie.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Guenni75“ ()

      Du musst einfach KEINE Portweiterleitung einrichten, fertig.
      Bei VPN brauchst Du das nicht.
      Natürlich bringt VPN gar nichts, wenn Du weiterhin den Kathrein Port nach außen frei gibst.
      Darum geht es doch gerade. Das sollst Du nicht mehr tun und stattdessen einfach nur die DynDNS-Adresse in der Fritzbox eintragen und VPN nutzen. Einmal per VPN eingeloggt kannst Du auf alles zugreifen. Da braucht es eben KEINE Portweiterleitungen.