xDSL.at

[madmat17]

Hi Leute!

Beim SpeedTouch 546 gibt es eine Funktion, die sich "Erkennen von Eindringlingen" (bzw "Intrusion Detection") nennt und standardmäßig deaktiviert ist. Leider habe ich nirgends die option finden können, diesen Blocker zu aktivieren.
Mein Provider ist Inode; das Modem ist entsprechend von Inode vorkonfiguriert gewesen.
Ich möchte gerne testen, wie gut dieser Zusatz zur Firewall abschirmt. Und ich hätte das Teil gerne aktiviert, ohne den CLI Guide zu studieren...
Weiß jemand Rat?

Danke,
Mat

[wavenetuser]

müsste wohl hier zu finden sein:

Code: Alles auswählen

[ ids.ini ]
config state=disabled trace=disabled
signature modify signature=spoofed_packet state=disabled

jedoch weiß ich nix genaues drüber

[madmat17]

danke für die prompte AW!
sieht schon einmal nicht schlecht aus. wieso hab ich das nicht im config-file gefunden?

kann das jemand bestätigen, oder soll ichs einfach ausprobieren? hab irgendwie einen bammel davor, die config auf gut glück manuell umzuschreiben. damit haben schon mehrere ihre modems lahm gelegt. und das gerät nachher wieder zum leben zu erwecken (bzw zugänglich zu machen) ist laut meinen recherchen a bissal mühsam...

[jutta]

1. im web-if schauen (ka ob man es da einstellen kann)
2. das studium des cli-guides kann man durch die suchfunktion des .pdf-readers sehr gut abkuerzen. meistens bleibt dann eine halbe bis eine seite, die man lesen muss.
3. soweit ich beim blaettern mitbekommen habe, gibts die ids-detection erst ab sw 5.3.1. schau also zunaechst nach, welche sw-version du hast.
4. funktionieren kanns wohl nur im multi-user modus.
5. wenns nicht sofort sein muss, schau von zeit zu zeit hier
http://www.speedtouch.nl/documents.html vorbei. da gibts sehr brauchbare anleitungen (vor allem am unteren ende der liste). vielleicht kommt was genaueres zu IDS.

[madmat17]

@jutta

1. wäre es über das web-frontend konfigurierbar, hätte ich es dort aktiviert...
2. da hast du natürlich recht (hätte ich wahrscheinlich auch so gemacht). aber ich bin FAUL. zudem: ich bin zwar in technischen fragen kein vollkommenes nackerbatzi, aber ich hab doch einen bammel, was kaputt zu machen
3. derzeit habe die Firmware v5.4.0.14 drauf. leider weiß ich nicht mehr, mit welcher FW das gerät ausgeliefert wurde (ob 5.3.0.x oder 5.3.1.x). die intrusion detection war von anfang an im web-frontend vorhanden; wenn ich nun anfangs eine ältere FW version als 5.3.1 hatte, dann wissen wir, dass ids.ini NICHT die intrusion detection steuert.
4. den MU hab ich seit der ersten stunde am modem aktiviert (da ich die verbindung privat nutze, aber auch ab und an mit meinem firmennotebook online muss - und das notebook selber kann keine zwei VPN-tunnen ineinander aufbauen... )
5. danke für den tip! werde das auf jeden fall im auge behalten.


hatte vor meinem letzten posting schon nach ids.ini gegoogled(?), aber leider nichts gefunden.

[wavenetuser]

ids war auch in der originalkonfiguration aus.
Version bei Auslieferung:

Code: Alles auswählen

set var=CONF_VERSION value=5.3.1.9

[madmat17]

@wavenetuser:
du hast mich auf die idee gebrach, nach meinem ersten settings-backup zu suchen. muss mal schaun, dann weiß ich auch, welche SW mein modem bei der auslieferung hatte.
dass es von anfang an deaktiviert war, bestreite ich ja nicht. (im gegenteil - die anzeige war von anfang an im web-frontend, aber eben nicht aktivierbar). jutta meinte ja, dass es den ids-eintrag erst seit der version 5.3.1 gibt - das schließt 5.3.1.9 ja mit ein. da ist ja egal, ob ids enabled oder disabled war. ich möchte nur eine bestätigung, dass ids (was eventuell für intrusion detections settings stehe könnte).
vielleicht probiere ich es in einem anfall von mut heute selber daheim aus. im notfall müsste mein kleiner bruder noch wo von seinem AON-zugang ein überflüssiges st510 oder st546 herumkugeln haben...
ich poste auf jeden fall den erfahrungsbericht (FALLS mich besagter mutanfall packt)

[jutta]

ids = intrusion detection system.
steht so im speedtouch cli guide, ist aber ein generell ueblicher ausdruck
http://de.wikipedia.org/wiki/Intrusion_Detection_System

wenn du die config vorher sicherst, kann bei speedtouch modems nicht viel schief gehen (solang du nicht an der hardware herumdoktorst).

noch ein hint: wenn du per telnet was an der konfiguration aenderst (imo die einfachste methode), wird die aenderung im normalfall sofort wirksam, aber sie wird nicht gespeichert, ausser du gibst anschliessend "saveall" ein.

wenn man sich nicht sicher ist, kann man einstellungen so ausprobieren, auch eine zeitlang auf ihre wirkungen und nebenwirkungen beobachten und wenns nicht hinhaut, reicht ein reboot um den vorigen zustand wieder herzustellen (hat mich schon manchmal gerettet). wenn man zufrieden ist, sollte man halt vor dem naechsten stromausfall oder sonstigen reboot noch einmal an "saveall" denken

[wavenetuser]

nun ja, sooo viel kann da nicht passieren.
Ich hab mich mal "getraut" und hab das zeugs eingeschaltet:

Code: Alles auswählen

[ ids.ini ]
config state=enabled trace=enabled
signature modify signature=spoofed_packet state=enabled

Fraglich ist aber noch immer wozu das gut sein soll zumal ich ne dynamische IP hab.
Auch in diversen Foren ist nichts näher dazu beschrieben.
Aber allgemein bedeutet trace dass es in den Logs steht.
Man kann also fast nix falsch machen.

Edit: Sorry Jutta, hab Deine Antwort nicht gesehen da ich zwischendurch getestet habe.

[madmat17]

dachte ich es mir doch... (ids = intrusion detection system)
nun ja - war ja auch nicht so schwer zu erraten.

von der jetzigen config habe ich eine sicherung. was mir ursprünglich sorgen gemacht hat, ist, dass der ids.ini-abschnitt nicht den gewünschten effekt bringt, und mir das modem "sperrt". habe in diesem board schon öfters gelesen, dass nach einspielen einer umgeschriebenen user.ini das web-interface nicht mehr ansprechbar war (aus welchen gründen auch immer).

sorry für die frage (bin noch im büro und habe nicht so viel zeit zu recherchieren): soll ich über telnet die config direkt umschreiben oder die modifizierte user.ini aufspielen? unterstützt der telnet-server auf dem modem überhaupt binary transmission?

fragen über fragen:
ist es möglich, den telnet-dienst auf dem modem zu deaktivieren und auf SSH umzustellen? sollte ja rein theoretisch möglich sein, solange das modem mittels irgend einem unix/linux-derivat betrieben wird, oder? da bei telnet keinerlei sicherheit kryptografischer form gegeben ist und ich mir nicht sicher bin, wie leicht port 23 von WAN-seite aus zugänglich ist (auch wenn die fernwartung deaktiviert ist), bereitet es mir bauchweh, dass das modem überhaupt mittels telnet angesprochen werden kann...

[madmat17]

@wavenetuser:

und? funkts?
bezüglich dynamischer IP: es werden ja nicht ausschließlich rechner mit statischer IP angegriffen (sonst wär das internet ja fast sicher). es gibt ja genug leute, die mit port-scans in größeren IP-ranges sich ihre opfer suchen. wenn jetzt zb mein media-center-pc - welcher die internetverbindung aufrecht erhält - läuft (weil ich gerade fernsehe oder etwas aufnehme), und ich zuvor einige zeit mit meiner workstation oder dem firmennotebook online war, können schon einige stunden online-zeit zusammen kommen. da bietet man leuten, die mittels sniffing/spoofing arbeiten, kein schlechtes angriffsziel...

nicht, dass ich derart sensible daten hätte. alles wichtige ist sowieso gut verschlüsselt (Stichwort: GnuPG) - aber es geht mir ums prinzip. mein auto stelle ich auch nicht unverschlossen in der übelsten gegend ab und hoffe, dass es niemand klaut oder kaputt macht, weil meine gehaltszahlungen auf meinem girokonto liegen (und nicht im auto).
komische analogie - aber vielleicht kann man so meinen gedankengang nachvollziehen.

[wavenetuser]

ahm, ich hab hinter dem modem noch nen router mit ner firewall.
auch die einzelnen rechner sind recht gut bestückt. Also kann ich Dir gar nicht sagen obs "funkt" denn ich würde einen Angriff so oder so nicht merken.

Edit: Angeschlagen hat die Statistik noch nicht. Dürfte aber vielleicht auch daran liegen dass alles zum Router weitergeleitet wird.

[jutta]

> soll ich über telnet die config direkt umschreiben oder die modifizierte user.ini aufspielen?

geschmackssache. schau dir das telnet-menue einfach einmal an. es hat eine sehr brauchbare hilfe funktion ("help", "help all", auch fuer menue-unterpunkte). es gibt auch viele befehle, mit denen man nur "schauen" kann, ohne was zu verstellen. imo kann man per telnet weniger leicht was verpfuschen, denn "unmoegliche" befehle werden verweigert. ausserdem gibts die schon beschriebene rettung, *nicht* zu sichern und das modem auf den vorigen stand zu rebooten, wenns wirkliche einmal haengt.

> unterstützt der telnet-server auf dem modem überhaupt binary transmission?

braucht er nicht. du landest in einem konfigurations-menue und kannst zeile fuer zeile eintippen, was du willst. vom aufbau ist es den user.inis gleich.

> ist es möglich, den telnet-dienst auf dem modem zu deaktivieren und auf SSH umzustellen?

beim st510 definitiv nicht, obs beim st546 mit irgendeiner ganz neuen sw-version moeglich ist, weiss ich nicht. gelesen habe ich davon noch nichts. (ssh-zugang bei modems/routern kenne ich bisher nur bei bintec und die spielen in einer anderen preiskategorie).

> da bei telnet keinerlei sicherheit kryptografischer form gegeben ist und ich mir nicht sicher bin, wie leicht port 23 von WAN-seite aus zugänglich ist.

beim st 510 ist die firewall genau dazu da (und auch im "bridge" = single-user aktiviert) *das modem* zu schuetzen). daher ist fernwartung nur durch abschalten oder umkonfigurieren der fw moeglich. beim st 546 gibts fw-einstellungen, die die fernwartung ermoeglichen. aber wenn du sie deaktiviert hast und das pw geaendert hast, sollte ein missbrauch zumindest nicht ganz einfach sein. ansonsten: zwischen telnet und http sehe ich sicherheitstechnisch keinen riesenunterschied. ausser, dass im web-interface auch spassvoegel rumklicken koennen, die keine ahnung haben, was sie tun. beim telnet-menue ist das ein wenig schwieriger.

[madmat17]

hallo leute!

juttas tipp per telnet zu konfigurieren war super. einfacher gehts doch gar nicht. da spart man sich das lästige hoch und runterladen der ini-file.

habe die IDS-funktion gestestet; bringt überhaupt nichts. egal, welchen security-check (habe verschiedene internet-seiten genutzt, die per script diverse daten, offene ports, etc suchen) ich gefahren habe, das ergebnis aktivierter IDS und deaktivierter IDS war das selbe. also für die katz'...

lg,
mat

[mazunte2308]

na ja solltest halt schon auch die Fw konfigurieren wenn du IDS nutzen willst am 546er