FritzBox https poort WTF

[jayjay]

Sinds een goeie week ben ik bij EDPnet overgestapt van ADSL2 naar VDSL2, en heb ik dus een FritzBox 7360 staan.

Bij het configureren van dat ding viel me op dat hij poort 443 (https) openzet naar de buitenwereld. Heel de wereld kan dus aan de configuratie pagina van mijn router. Testen via een VPN en via de 3G verbinding van mijn telefoon bevestigden dat dit het geval was.

Dat is dus iets dat ik absoluut niet wil, want het stelt me bloot aan password attacks en aan vulnerabilities in het webservertje van de FritzBox, en ja die zijn er al geweest: https://www.insinuator.net/2014/03/how- ... -analysis/ en met de traagheid waarmee Proximus updates certifieert zal snel patchen geen optie zijn.

Geen nood, even door de configuratie gegrasduind, en ik vond al snel de setting om dit weer uit te zetten. (Internet -> Permit access -> Fritzbox Services). Kous af, zou je dan denken, maar je zou je vergissen. Een paar dagen later kijk ik nog eens op mijn FritzBox, en zie ik dat die service opnieuw openstaat. Ik vink dat weer uit, en voor de zekerheid check ik een uurtje later opnieuw en ja hoor ... het staat opnieuw aan. Er is dus iets dat de settings van mijn device op mijn netwerk overrulet. WTF.

Dan dacht ik slim te zijn, door een port forwarding op te zetten op port 443 naar een niet bestaande service op mijn netwerk, zodat de webserver zich niet op die poort kan binden ... maar na een uurtje stond die dan wéér open, maar dit keer op poort 40443. Ook deze poort heb ik dan geforward, en dit houdt voorlopig stand. Edit: niet dus:

Nu is mijn vraag: hoe komt het dat die setting automatisch teruggezet wordt? Is dit een bug in de FritzBox firmware of heeft Proximus en/of EDPNet root access op mijn router, en stellen ze de settings in naar eigen goeddunken?

[joriz]

Wat geeft de GRC portscan aan voor port 443? Zie link https://www.grc.com/x/portprobe=443

[jayjay]

Wat geeft de GRC portscan aan voor port 443? Zie link https://www.grc.com/x/portprobe=443

Ja op 443 niks meer he, maar op de poort waar het nu op staat geeft ie "open":

[Kenw00t]

Heb je na het uitvinken van de HTTPS optie op Apply geklikt? En heb je daarna ook onder Internet > MyFRITZ! eens gekeken? Daar dien je namelijk ook je account te verwijderen indien je die hebt.

[nickz]

Dat is waarschijnlijk zo gedaan zodat Belgacom/EDPnet in geval van problemen vanop afstand kan tussenkomen en dus niet direct een technieker hoeft te sturen. Op de b-box modems is dat ook zo. Niets om je zorgen over te maken volgens mij.

[Kenw00t]

Da's onzin. Heeft nog nooit opengestaan bij mij of andere Fritz!Boxen die ik elders geïnstalleerd heb.

[jayjay]

Heb je na het uitvinken van de HTTPS optie op Apply geklikt? En heb je daarna ook onder Internet > MyFRITZ! eens gekeken? Daar dien je namelijk ook je account te verwijderen indien je die hebt.

Denk je dat ik dom ben of zo? Natuurlijk heb ik op apply geklikt, en het staat dan ook effectief uit .... voor een uurtje of zo.

Ik heb ook helemaal geen MyFritz account.

[Kenw00t]

Tegenwoordig zijn er zat genoeg configuratieschermen waar je gewoon geen Apply/Save knop meer hebt, en alles in de achtergrond opgeslagen wordt bij het doorvoeren van wijzigingen. Een mens kan dat gewoon worden, weet je...

Enfin, welke firmware draai je? Voor het geval je gehackt zou zijn, kan je ook eens bij Telephony > Telephony Devices gaan kijken om te zien of daar niets verdachts tussen staat waarmee ze op jouw kosten gaan VoIP bellen.

[jayjay]

Enfin, welke firmware draai je? Voor het geval je gehackt zou zijn, kan je ook eens bij Telephony > Telephony Devices gaan kijken om te zien of daar niets verdachts tussen staat waarmee ze op jouw kosten gaan VoIP bellen.

Firmware is 6.30, 2 dagen geleden geüpdatet van 6.20. Het is ook pas op 6.30 dat ik het probleem heb vastgesteld, maar het kan evengoed al eerder aanwezig geweest zijn zonder dat ik erop gelet heb.

Bij telephony devices staat enkel dit:

[jayjay]

Schuldige is gevonden denk ik, de provider pusht om het half uur settings naar de FritzBox.

Ik had een monitoring scriptje opgezet vanop een systeem buitenaf, en ik merkte dat om 24 en 54 minuten na het uur de poort terug open ging.

Voorbeeldje uit de logging van mijn script:

Code: Selecteer alles

2016-01-30 18:24:10 closed
2016-01-30 18:24:21 closed
2016-01-30 18:24:31 closed
2016-01-30 18:24:41 open
2016-01-30 18:24:51 open
2016-01-30 18:25:01 open

Dan ben ik in de FritzBox logging gaan kijken, en daar vind ik het volgende:

Code: Selecteer alles

30.01.16        18:24:33        The service provider successfully transmitted settings to this device.
30.01.16        17:54:33        The service provider successfully transmitted settings to this device.
30.01.16        17:24:33        The service provider successfully transmitted settings to this device.
30.01.16        16:54:33        The service provider successfully transmitted settings to this device.
30.01.16        15:56:21        The service provider successfully transmitted settings to this device.

What's going on EDPnet?!

[nickz]

Zoals ik al zei dus, maar dat werd als 'onzin' afgedaan...

Dat is waarschijnlijk zo gedaan zodat Belgacom/EDPnet in geval van problemen vanop afstand kan tussenkomen en dus niet direct een technieker hoeft te sturen. Op de b-box modems is dat ook zo. Niets om je zorgen over te maken volgens mij.

[Kiwivogel]

dan moet je hier eens kijken: http://en.avm.de/service/fritzbox/fritz ... port-8089/
Je zou die TR-069 moeten kunnen afzetten. Dan zou het niet meer kunnen lijkt me.

[nickz]

Of je kan er ook gewoon afblijven
Als je operator dat zo heeft ingesteld dan zou ik daar maar niet aan gaan knoeien.

[jayjay]

dan moet je hier eens kijken: http://en.avm.de/service/fritzbox/fritz ... port-8089/
Je zou die TR-069 moeten kunnen afzetten. Dan zou het niet meer kunnen lijkt me.

Ja dat had ik ook al gevonden, maar ik heb geen scherm in mijn webinterface om dat uit te zetten.





Daarnaast, is die TR-069 niet nodig om DLM te kunnen doen en in de toekomst een hoger profiel toe te krijgen? Zit nu nog op een 30/10 provisioning profiel, en zou toch graag iets hoger krijgen in de toekomst...

[jayjay]

Of je kan er ook gewoon afblijven
Als je operator dat zo heeft ingesteld dan zou ik daar maar niet aan gaan knoeien.

Wat een slavenmentaliteit zeg.

Mag ik misschien zelf bepalen welke poort ik wil openzetten voor het ganse internet? Dat is MIJN FritzBox, en het zijn MIJN gegevens en MIJN netwerk waarvan de beveiliging hierdoor gecompromitteerd wordt he.

Als je provider zegt dat je je deur niet op slot mag doen, want dan kan de technieker altijd gemakkelijk binnen, doe je dat dan ook?

Het is ook niet dat het overdreven paranoia is en dat zoiets nog nooit is voorgevallen. 2 jaar geleden nog werden die Fritzboxen massaal gehackt doordat ze standaard veel te veel openzetten naar de buitenwereld en er een vulnerability ontdekt werd. Zie: https://www.insinuator.net/2014/03/how- ... -analysis/

[Kiwivogel]

als je het scherm internet service provider niet kan opendoen staat tr-069 uit normaalgezien. Al geprobeerd om de FRITZ!Box op other service provider te zetten? TR-069 staat overigens volledig los van dlm. dlm wordt vanuit procximus beheerd.

[Kenw00t]

Zoals ik al zei dus, maar dat werd als 'onzin' afgedaan...

Het slaat nergens op omdat de ISP reeds toegang heeft via TR-069. Er is geen enkele reden om nog een tweede achterdeur open te zetten. Dit is dus een van de instellingen waar ze moeten van afblijven!

Ja dat had ik ook al gevonden, maar ik heb geen scherm in mijn webinterface om dat uit te zetten.

Vreemd, normaal moet die tab nochtans zichtbaar zijn indien de ISP TR-069 gebruikt (staat ook op die link zo beschreven).

Daarnaast, is die TR-069 niet nodig om DLM te kunnen doen en in de toekomst een hoger profiel toe te krijgen?

TR-069 is in principe inderdaad nergens voor nodig als je zelf weet hoe je alles moet configureren. Verder heeft het geen invloed op de snelheden.

Mag ik misschien zelf bepalen welke poort ik wil openzetten voor het ganse internet? Dat is MIJN FritzBox, en het zijn MIJN gegevens en MIJN netwerk waarvan de beveiliging hierdoor gecompromitteerd wordt he.

Ik kan u daar alleen maar in bijstaan. Goed speurwerk trouwens.

Je kan nog een stapje verder gaan door een packet capture te doen op de Fritz!Box zelf, en het bestand dan in Wireshark te bekijken (en filteren op poort 8089). Op die manier hebben we uitsluitsel over het gebruik van TR-069.

Packet capture kan je doen op volgend adres:
fritz.box/capture.lua

[jayjay]

als je het scherm internet service provider niet kan opendoen staat tr-069 uit normaalgezien.

TR-069 staat toch aan hoor:



De poort staat ook effectief open als ik van buitenaf check.

Al geprobeerd om de FRITZ!Box op other service provider te zetten? TR-069 staat overigens volledig los van dlm. dlm wordt vanuit procximus beheerd.

Straks eens proberen.

100% zeker dat TR-069 uitzetten geen negatief effect heeft op DLM?

[Kiwivogel]

100% Zeker. TR069 is enkel voor het beheer van de modem/router. Gezien je zeker bent dat tr069 opstaat (je printscreen) ligt de uitdaging in deze af te zetten. Misschien dat veranderen van isp in je account menu dit doet.

[philippe_d]

We mogen geen 2 dingen door mekaar slaan:

• 1) het openstaan van poort 8089 ten behoeve van TR069
  2) de gepushte settings van de provider die poort 443 (of 40443) openen, zoals door de TS gerapporteerd.

Volgens mij is er niets mis met poort 8089, en creert dat ook geen onveilige situatie.
De FritzBox zal alleen reageren op de een request van de gekende ACS server van jouw ISP (met een correcte URI), en dan een beveiligde verbinding opzetten zodat de ISP de settings of een nieuwe Firmware kan doorsturen.
Op die manier worden de internet logon doorgestuurd, en de telephony settings.

Maar dat de provider deze update optie gebruikt, om ongevraagde settings te pushen is niet aanvaardbaar.
By the way, in alle security aanbevelingen van AVM staat te lezen om vooral poort 443 niet te gebruiken voor de remote access of MyFritz, maar hiervoor een willekeurige andere poort te kiezen.

Ik zou dus een ticket aanmaken bij EDPnet en erop aandringen dat ze deze (ongevraagde of beter ongewenste) wijzigigen verwijderen uit de gepushte settings.
Je kan normaal ook poort 8089 sluiten. Deze optie moet normaal tevoorschijn komen als TR069 aan staat

Misschien komt dit automatisch als je "EDPnet" als provider kiest. Gezien EDPnet het Proximus netwerk gebruikt, kan je als provider gerust "Proximus" invullen. Deze setting zorgt ervoor dat de Internet PPPoE sessie op VLAN 10 gebeurt.

[jayjay]

Packet capture kan je doen op volgend adres:
fritz.box/capture.lua

Thanks. Ik heb dit net gedaan, en blijkbaar gaat mijn router op het tijdstip dat de setting wordt terug gezet zelf een connectie initiëren met acs.edpnet.be op poort 8080 en vervolgens wat data uitwisselen.

Even googlen leert me dat ACS voor Auto-Configuration Server staat, en dat is iets dat met het TR-069 protocol te maken heeft. Bingo dus.

[Kenw00t]

Is die uitwisseling van data eigenlijk beveiligd? Anders zou je via "Follow TCP Stream" in Wireshark nog kunnen uitvissen welke parameters ze juist doorgeven.

[jayjay]

Is die uitwisseling van data eigenlijk beveiligd? Anders zou je via "Follow TCP Stream" in Wireshark nog kunnen uitvissen welke parameters ze juist doorgeven.

Inhoud lijkt me iets binary te zijn, maar niet encrypted (ik zie er hier en daar plain text strings in staan).

Edit: ik ben mis, de plain text had te maken met certificaat uitwisseling. Het is een https verbinding, dus je wordt er niks wijzer uit door in de pakketjes te kijken.

[jayjay]

Misschien komt dit automatisch als je "EDPnet" als provider kiest. Gezien EDPnet het Proximus netwerk gebruikt, kan je als provider gerust "Proximus" invullen. Deze setting zorgt ervoor dat de Internet PPPoE sessie op VLAN 10 gebeurt.

Het lijkt er inderdaad op dat het te maken heeft met welke provider je kiest. Ik heb de provider op Proximus gezet en nu staat 1) de TR069 poort dicht en 2) blijft de https poort ook dicht staan.

Probleem is dus opgelost volgens mij...

[philippe_d]

Opgelost voor jou, maar toch zou EDPnet hiervan moeten op de hoogte gebracht worden (hopelijk lezen ze hiermee).
En waarom komt dit nu pas boven?

Of heeft EDPnet recent iets aangepast (misschien in het kader van de testen met de nieuwe firmware zodat ze de test firmware vanop afstand op een aantal FritzBoxen konden pushen) ?

[Kenw00t]

En waarom komt dit nu pas boven?

De meeste xDSL klanten zitten bij Proximus en Scarlet. Als je daar een Fritz!Box inzet kom je dergelijk probleem niet tegen.

Doordat Edpnet minder klanten heeft, is dit subforum ook minder actief, en blijven zulke zaken dus onder de radar tot wanneer er eindelijk iemand goed rondkijkt.

[jayjay]

Het kan evengoed iets met de recente FritzBox firmware update te maken hebben he. 6.30 is nog maar 2-3 dagen officieel beschikbaar voor België.

[philippe_d]

Dat zou kunnen, maar deze Firmware (06.30) is niet speciaal ontwikkeld voor België of voor EDPnet.
De Firmware 06.30 (voor de 7490) dateert van 27/08/2015 en is nu pas getest voor Proximus.
Het zou natuurlijk kunnen dat in deze 06.30 een aantal ISP settings gewijzigd zijn t.o.v de 06.20?

Het zou ook kunnen dat EDPNet iets heeft gewijzigd in zijn ASC settings (Auto Configuration Server)
Het is niet zo dat de FritzBox "spontaan" om de x tijd een connectie opzet met acs.edpnet.be

• - Het is de ASC server die een verzoek stuur naar de modem (op poort 8089)
  - Dan controleert de FritzBox of dit een betrouwbare partij is - aan de hand van de URI (Uniform Resource Identifier).
  - Indien aanvaard, bouwt de FritzBox een veilige (encrypted) verbinding op met de acs server.
  - Dan kan de ACS beginnen met de data uitwisseling

Wellicht te maken met de 06.30 user test (waaraan een hondertal modems deelgenomen hebben)?

De meeste xDSL klanten zitten bij Proximus en Scarlet. Als je daar een Fritz!Box inzet kom je dergelijk probleem niet tegen.

Doordat Edpnet minder klanten heeft, is dit subforum ook minder actief, en blijven zulke zaken dus onder de radar tot wanneer er eindelijk iemand goed rondkijkt.

EDPnet heeft inderdaad veel minder klanten dan Proximus/Scarlet, maar in verhouding toch veel meer fritzBox gebruikers.
Ik vermoed dat de meerderheid van de Belgische FritzBox gebruikers toch EDPNet klanten zijn?

[jayjay]

Dat zou kunnen, maar deze Firmware (06.30) is niet speciaal ontwikkeld voor België of voor EDPnet.
Het is niet zo dat de FritzBox "spontaan" om de x tijd een connectie opzet met acs.edpnet.be
Het is de ASC server die een verzoek stuur naar de modem (op poort 8089)

Kan, maar dat request op poort 8089 heb ik toch niet gecaptured.

[petrol242]

Destijds toen Edpnet nog de webracers gebruikte, heb ik mijn fritzbox extern aangeschaft. De accountgegevens moest ik zelf ingeven, want edpnet stond toen niet tussen de mogelijke selecteerbare providers. Bij mij staat hierdoor de betreffende poort 8089 niet open en is TR069 niet actief. Het is ook daarom dat edpnet mij al een paar keer de vraag heeft gesteld bij tickets, welk modem ik gebruik

Dus wil je van die TR069 af, vul de accountgegevens manueel in. Beter dan een andere provider in te stellen zoals Proximus.

[petzl]

bij de zakelijke aansluitingen van belgacom gebruiken ze poort 8081 voor de remote configuratie, blijkbaar staat deze poort ook wel dicht op de belgacom core routers.

ik weet eigenlijk niet welke oplossing ze tegenwoordig gebruiken hiervoor.