Sicherheitsrisiko: Internettelefonie bei abgeschalteter Firewall?

Lord Nyus

Cadet 2nd Year
Registriert
Apr. 2007
Beiträge
30
Hallo zusammen,

ich habe grade einen Providerwechsel (Vodafone) hinter mir und habe jetzt einen neuen Router (inklusive Kabelmodem) bekommen. Dieser hat einen eingeschränkten Funktionsumfang, weswegen ich diesen nur noch als Modem und für das Telefon verwenden will. Als Router möchte ich meine Fritzbox 7390 verwenden.

Aus diesem Grund habe ich Funktionen wie die Firewall, des nun nur noch als Modem genutzten Routers, abgeschaltet. Dabei hat sich mir die Frage gestellt, ob es Sicherheitstechnisch ein Problem ist, wenn ich mein Telefon weiter über den Router von Vodafone betreibe.

Viele Grüße
Nyus
 
Seit 01.06.2017 kannst du dem Provider dazu zwingen die Logindaten herauszugeben da er dir keinen Router oder Modem mehr vorschreiben darf. Ich würde ihm das Ding zurückschicken und die Logindaten von ihm verlangen - Problem gelöst. Hab ich bei meinem Telekom Anschluss auch so gehandhabt (wobei ich gleich gesagt habe das ich keinen Router brauche).
 
Nein wenn das telefon nur Telefon ist. Das muss eh immer mit den voipserver kommunizieren. Ist sogar gut wenn das Telefon in eigenen subnetzt sitzt
 
  • Gefällt mir
Reaktionen: Lord Nyus
Darklord272 schrieb:
Seit 01.06.2017 kannst du dem Provider dazu zwingen die Logindaten herauszugeben da er dir keinen Router oder Modem mehr vorschreiben darf. Ich würde ihm das Ding zurückschicken und die Logindaten von ihm verlangen - Problem gelöst. Hab ich bei meinem Telekom Anschluss auch so gehandhabt (wobei ich gleich gesagt habe das ich keinen Router brauche).

Das könnte ich tun, würde mir aber nicht helfen, weil meine Fritzbox kein Kabelmodem hat sondern nur ein normales für DSL. :)
 
Das mit den Zugangsdaten geht glaub ich nur, wenn es ein Router mit Kabelmodem ist, also Fritte 6490 oder 6590. Dann kann man diesen direkt an die Kabeldose hängen und ruft im Fritzbox-Menü die Seite Zugangsdaten auf und ruft dort dann die Freischaltungs-Webseite auf. Bei dieser muss man idR die MAC der Fritzbox eingeben und bekommt dann die SIP-Daten für die Einrichtung der Fritzbox.

Da der @TE eine Fritzbox 7390 verwendet und diese nur ein DSL-Modem hat, hier folgender Vorschlag:
Rufe im Vodafone Kabel Deutschland-Kundenportal das Menü mit den Router/Modem-Einstellungen auf und setze das Kabelrouter auf den Brigde-Modus. Dieser bewirkt, dass Routing, DHCP etc. deaktiviert werden und nur noch als dummes Modem läuft. Stecke dann in LAN 1 vom Modem die Fritzbox, bei dieser auch in LAN 1 reingehen. Musst die Fritzbox dann eben noch konfigurieren für den Zugang über externes Modem. LAN 1 wird dabei dann zur WAN-Schnittstelle und kann für das interne Heimnetz nicht mehr benutzt werden.
 
empy schrieb:
Nein wenn das telefon nur Telefon ist. Das muss eh immer mit den voipserver kommunizieren. Ist sogar gut wenn das Telefon in eigenen subnetzt sitzt
ok, das ist beruhigend. Inwiefern ist das gut, das es in einem eigenen Subnetz sitzt?
Ergänzung ()

Hyourinmaru schrieb:
Das mit den Zugangsdaten geht glaub ich nur, wenn es ein Router mit Kabelmodem ist, also Fritte 6490 oder 6590. Dann kann man diesen direkt an die Kabeldose hängen und ruft im Fritzbox-Menü die Seite Zugangsdaten auf und ruft dort dann die Freischaltungs-Webseite auf. Bei dieser muss man idR die MAC der Fritzbox eingeben und bekommt dann die SIP-Daten für die Einrichtung der Fritzbox.

Da der @TE eine Fritzbox 7390 verwendet und diese nur ein DSL-Modem hat, hier folgender Vorschlag:
Rufe im Vodafone Kabel Deutschland-Kundenportal das Menü mit den Router/Modem-Einstellungen auf und setze das Kabelrouter auf den Brigde-Modus. Dieser bewirkt, dass Routing, DHCP etc. deaktiviert werden und nur noch als dummes Modem läuft. Stecke dann in LAN 1 vom Modem die Fritzbox, bei dieser auch in LAN 1 reingehen. Musst die Fritzbox dann eben noch konfigurieren für den Zugang über externes Modem. LAN 1 wird dabei dann zur WAN-Schnittstelle und kann für das interne Heimnetz nicht mehr benutzt werden.

Genau das habe ich auch gemacht. :) Nur leider will sich meine "Eigene Rufnummer" in der Fritzbox nicht einrichten lassen. Da es bisher auch über die Box von Vodafone geht, hatte ich mir überlegt das Telefon einfach dort angeschlossen zu lassen, wenn es kein Sicherheitsproblem darstellt.
 
Schöne Theorie, nur eben bei Vodafone/KD und Kabelinternet nihct anwendbar. Die Telefonie läuft hier über VoC und da gibt es dort keine Zugangsdaten. Die Telefonieanmeldung erfolgt über die MAC-Adresse des Modems/Routers
 
  • Gefällt mir
Reaktionen: Lord Nyus
Lord Nyus schrieb:
Dieser hat einen eingeschränkten Funktionsumfang, weswegen ich diesen nur noch als Modem und für das Telefon verwenden will. Als Router möchte ich meine Fritzbox 7390 verwenden.
Und was genau fehlt nun am Kabelrouter bzw. warum musste eine Fritzbox her? Je nachdem welche Funktionen du explizit - also aus handfesten Gründen - von der Fritzbox erledigen lassen willst, stellt sich die Frage nämlich gar nicht mehr. So unterscheiden sich beispielsweise Portweiterleitungen von (Consumer)Router zu (Consumer)Router in 99 von 100 Fällen nur durch die Eingabemaske, aber nicht durch die Funktion an sich - gesetzt den Fall dein Kabelanschluss hat überhaupt eine eigene IPv4, sonst wären Portweiterleitungen eh hinfällig. Daher spricht in der Regel wenig dagegen, die Firewall weiterhin durch den Internet-Router zu handhaben.

Wenn man tatsächlich Gründe hat, die über das HörenSagen hinausgehen und man deswegen den Internetrouter auf Durchzug stellen will, kann man das natürlich tun.

Ich frage das aus dem Grunde, weil ich beispielsweise seit Jahren einen Speedport habe, der ja auch immer gerne schlechtgeredet wird. Mein Netzwerk ist weit entfernt von "alltäglich" - bin nun mal Netzwerker - und trotzdem tut der Speedport was er soll... In den meisten Fällen sind daher Aussagen wie "der Provider-Router taugt nichts" oder "kann dies und das nicht" nicht wirklich fundiert ;)
 
@Lord Nyus: Du kannst auch wie gesagt das Modem nur als Modem laufen lassen und die Telefonie zur Fritzbox durchschleifen. Jenachdem welches Modem es ist: Stecke ein RJ11-Kabel in Fon 1 (Kabelmodem), das auf der anderen Seite eine Adapterbuchse mit F oder NFN hat und stecke dort das Y-Kabel mit TAE-Adapter von der Fritzbox rein. Die andere Seite für den Anschluss an die Fritzbox steckst du natürlich in die DSL-Buchse. Dann musst du natürlich noch die Rufnummer in der Fritte eintragen. Was du allerdings noch machen musst, weiß ich nicht mehr, da unser Anschluss auch schon seit 2 Jahren bei Telekom läuft und das mehr eine Bastellösung war, wenn man keine Kabel-Fritzbox hatte.

@Raijin: Also wir hatten damals ein Hitron-Kabelmodem, das weder Portforwarding, Ändern der WLAN-Einstellungen wie WLAN-Name, Kanal, Passwort, MAC-Filter, Zuweisen von Statischen IPs et cerera zugelassen hat. Ich konnte mit dem Teil eigentlich gar nichts machen und hab dann nach Frust mich im Internet belesen und das Teil in den Bridge-Mode geschaltet und eine 7490 drangehängt. Zwecks IP hatten wir damals nur DSlite, was beim Zocken genervt hat, also bei der Technischen Hotline von VF angerufen und die haben dann auf IPv4 only umgestellt.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Lord Nyus
@Raijin
Das hat jetzt zwar nichts mehr mit meiner Frage zu tun, aber ich beantworte die deine Frage gerne. :)

Ich mag den Router nicht, weil:
+ Sehr langsames Interface mit wenig Informationen
+ Portweiterleitungen funktionieren teilweise nicht oder nur auf einem Rechner
+ Keine statischen IP-Adressen

@Hyourinmaru
Das ist natürlich auch eine gute Idee. Auf die Idee bin ich noch nicht gekommen. Andererseits läuft es jetzt so, und wenn es kein Sicherheitsproblem darstellt ist das auch ok. :)
 
Ist schon klar, aber es kommt auf die Details an. Wenn der Anschluss hinter CGN sitzt, also keine eigene IPv4 hat, sind Portweiterleitungen sowieso hinfällig - in dem Falle ist das kein Argument mehr. MAC-Filter sind Schwachsinn, weil sie binnen Sekunden ausgehebelt werden, auch kein Argument. Reservierungen im DHCP-Server, ok, ein halbes Argument, schließlich kann man dem Drucker, etc. auch eine manuelle IP verpassen. Schlechtes WLAN, auch ein Argument, zumindest solange man sich nicht eh mit weiteren APs eindeckt, um die ganze Bude zu versorgen.

Wie gesagt, ich kenne die Argumente, aber in den meisten Fällen sind sie nicht zwingend. Wenn es im vorliegenden Fall beispielsweise nur um das WLAN und den DHCP-Server geht, kann man die Fritzbox ganz normal als IP-Client einrichten und Firewall und Co macht weiterhin der Kabelrouter.
 
Raijin schrieb:
Ich frage das aus dem Grunde, weil ich beispielsweise seit Jahren einen Speedport habe, der ja auch immer gerne schlechtgeredet wird. Mein Netzwerk ist weit entfernt von "alltäglich" - bin nun mal Netzwerker - und trotzdem tut der Speedport was er soll... In den meisten Fällen sind daher Aussagen wie "der Provider-Router taugt nichts" oder "kann dies und das nicht" nicht wirklich fundiert ;)

Naja da hast du recht bis auf die Ausnahme das insbesondere die "Provider Router und Speedports ganz vorne mitdabei" bei jeder Schwachstelle Lücke betroffen sind ... AVM fast kaum.

Also schon rein aus Sicherheit ... ne Empfehlung. Nehmen wir mal die letzten 10 Lücken: Speedport bei 9 von 10 dabei, AVM bei 1 von 10 betroffen. ( immer noch eine zuviel :mad: aber immerhin besser als die andern Plasterouter)
 
@Lord Nyus : Das hat sehr wohl mit deiner Frage zu tun!

Deine Argumente:

+ Sehr langsames Interface mit wenig Informationen
--> Wie oft bist du bitte im Router? Ich war seit Wochen nicht mehr in meinem.. Und welche Informationen brauchst du so dringend?

+ Portweiterleitungen funktionieren teilweise nicht oder nur auf einem Rechner
--> Das kann ein Argument sein wobei ich doch arg bezweifle, dass das nicht funktioniert. Portweiterleitungen sind grundsätzlich simpel und Teil jedes Routers

+ Keine statischen IP-Adressen
--> Das ist streng genommen falsch. Du meinst Reservierungen im DHCP-Server. Statische IPs werden direkt am Gerät eingestellt, manuell. Dass der Kabelrouter keine Reservierungen kann mag sein, wobei ich mir auch da nicht so sicher wäre. Würde mich wundern, wenn er das wirklich nicht kann. Aber auch da: Statische IP am Gerät und los geht's

Es ist alles eine Frage der Betrachtungsweise. Wie gesagt, ich hab nen Speedport, der im Vergleich zu einer Fritzbox auch .. .. sehr .. .. eingeschränkt ist. Dennoch reicht er für mich vollkommen aus und du kannst dir sicher sein, dass mein Netzwerk deutlich komplexer ist als deins, ist schließlich mein Job ;)
Die Problematik ist eben, dass man unter Umständen die Komplexität des Netzwerks unnötigerweise erhöht obwohl man vermeintliche Schwächen auch ganz anders hätte ausgleichen können. Aufgrund dieser Komplexität ist ja dieser Thread überhaupt erst entstanden, oder nicht?


@owned_you : Auch das ist immer so eine Sache. Ganz aktuell das Router-Bot-Netz, das sich durch eine ganze Reihe von Herstellern zieht. Selbst Cisco ist ab und an wegen Schwachstellen in der Presse. Zuletzt war's glaub ich irgendein unverschlüsseltes Management-Protokoll in allen Cisco-Switches oder so..
Man kann das daher nicht schwarz/weiß betrachten wie "Speedport ist schrott" und "Fritzbox ist super". Auch Fritzboxxen haben Schwächen. Deswegen poste ich das ja überhaupt. es kommt auf die Details an und wenn die Argumente passen, ist es auch sinnvoll, den Router zu tauschen. Nicht selten hat ein TE aber nur "gelesen", dass Router x kacke ist und Router y ja viel besser ist oder weiß sich schlicht und ergreifend nicht anders zu helfen.
 
Ich habe ein ähnliches Problem mit meinem Kabelanschluss, das nennt sich Ping-Anrufe...
Jetzt wurde mir von der Vodafone Technik eine Fritzbox empfohlen, um eben diese Nummern von denen die eingehenden Anrufe ausgehen selbst zu sperren. (0137, 0044 usw.)
Macht das Sinn sich deswegen für 5€ im Monat eine Fritzbox 6490 zu mieten?
Oder nehme ich einfach die uralte Fritzbox aus dem Keller und konfiguriere diese so (bzw. das Kabel Modem) so das es nur durchlässt?
 
Das Problem wird sein daß du weiterhin das Vodafone Gerät nutzt. Dann bekommst du keine SIP Zugangsdaten. Wenn du aber ein eigenes Modem oder eine Cable Fritzbox nutzt, dann bekommst du die SIP Zugangsdaten, die du dann eintragen kannst.

Also wenn du unbedingt Telefonie über die Fritzbox möchtest, musst du dir ein Modem holen (z.B. Technicolor TC4400 mit aktueller Firmware) oder du holst dir eine Fritzbox Cable. Ansonsten bleibt dir nur die Lösung mit dem Y Kabel.
 
  • Gefällt mir
Reaktionen: Tesax
Deine Frage mag interessant sein, wenn es darum geht, ob ich einen zweiten Router verwenden sollte oder nicht. Aber darum geht es mir hier nicht.

Ich wollte einfach nur wissen, ob es ein Sicherheitsrisiko darstellt, wenn ich ein Telefon an ein Router anschließe (Bridge-Modus), bei dem die Firewall deaktiviert ist. Alle anderen Geräte und das WLAN laufen über die Fritzbox (mit Firewall) und es funktioniert.

Raijin schrieb:
+ Sehr langsames Interface mit wenig Informationen
--> Wie oft bist du bitte im Router? Ich war seit Wochen nicht mehr in meinem.. Und welche Informationen brauchst du so dringend?
--> Tatsächlich bin ich häufiger mal dabei Portfreigaben für Spiele/Software zu erstellen oder zu entfernen, wenn ich sie nicht mehr brauche. Ich kontrolliere dort auch mal ganz gerne die aktuellen Übertragungswerte.

Raijin schrieb:
+ Portweiterleitungen funktionieren teilweise nicht oder nur auf einem Rechner
--> Das kann ein Argument sein wobei ich doch arg bezweifle, dass das nicht funktioniert. Portweiterleitungen sind grundsätzlich simpel und Teil jedes Routers
--> Mag ein simples Teil sein, funktioniert trotzdem nur sporadisch. (Keine Lust mich darüber zu ärgern!)

Raijin schrieb:
+ Keine statischen IP-Adressen
--> Das ist streng genommen falsch. Du meinst Reservierungen im DHCP-Server. Statische IPs werden direkt am Gerät eingestellt, manuell. Dass der Kabelrouter keine Reservierungen kann mag sein, wobei ich mir auch da nicht so sicher wäre. Würde mich wundern, wenn er das wirklich nicht kann. Aber auch da: Statische IP am Gerät und los geht's
--> Ich sehe du kennst dich aus. Da ich mich häufiger mit meinem Rechner in anderen Netzwerken bewege wäre eine statische IP am Geräte umpraktisch.
 
Hehe, ich will dich ja auch nicht davon abbringen, zwei Router zu nutzen - wie auch immer sie konfiguriert bzw. miteinander verbunden sind -, sondern nur darauf hinweisen, dass das wohlüberlegt sein sollte. Ist das der Fall, spricht auch (meistens) nichts dagegen. Hier im Forum kommen häufiger mal Threads auf wo zwei Router hintereinander betrieben werden und dann zB plötzlich durch doppeltes NAT alles komplizierter wird und derjenige nicht mehr weiter weiß, obwohl es am Ende überhaupt gar keinen Grund für einen zweiten Router gibt....

Wie dem auch sei, wenn die Fritzbox hinter dem Kabelrouter per WAN-Port verbunden ist (was durch die Portweiterleitungen an der Fritzbox anzunehmen ist) und am Kabelrouter außer den Telefonen nichts weiter angeschlossen ist, würde ein vermeintlicher Angreifer sowieso nur bis zur Fritzbox kommen bzw. stünde dann vor ihrer Firewall. D.h. er könnte maximal etwas mit der Telefonie anstellen, aber das könnte er dann prinzipiell auch, wenn der Kabelrouter alleine wäre.
 
  • Gefällt mir
Reaktionen: Lord Nyus
Lupus77 schrieb:
Das Problem wird sein daß du weiterhin das Vodafone Gerät nutzt. Dann bekommst du keine SIP Zugangsdaten. Wenn du aber ein eigenes Modem oder eine Cable Fritzbox nutzt, dann bekommst du die SIP Zugangsdaten, die du dann eintragen kannst.

Also wenn du unbedingt Telefonie über die Fritzbox möchtest, musst du dir ein Modem holen (z.B. Technicolor TC4400 mit aktueller Firmware) oder du holst dir eine Fritzbox Cable. Ansonsten bleibt dir nur die Lösung mit dem Y Kabel.

Für mich ist die Lösung mit Y-Kabel der beste Weg. So kann ich auch die Fritzbox App auf meinem Smartphone zum telefonieren über das Festnetz verwenden. Der Gedanke, das dies nicht funktioniert, war mir vorher garnicht gekommen.
Ergänzung ()

@Raijin
Alles klar, dann weiß ich bescheid. Vielen Dank. :)
 
Raijin schrieb:
Man kann das daher nicht schwarz/weiß betrachten wie "Speedport ist schrott" und "Fritzbox ist super". Auch Fritzboxxen haben Schwächen. Deswegen poste ich das ja überhaupt. es kommt auf die Details an und wenn die Argumente passen, ist es auch sinnvoll, den Router zu tauschen. Nicht selten hat ein TE aber nur "gelesen", dass

korrekt deswegen auch mein Vergleich der letzten 10 Lücken und das kann man dann sehr wohl interpretieren wenn AVM da nur bei 1 betroffen ist die anderen aber bei fast allen! Aber manche sehen den Wink ja nichtmal wenn der Zaunpfahl das Nasenbein zertrümmert.

Das wichtigste ist und bleibt die Sicherheit eines Routers (neben der Stabilität), der Rest ist schlichtweg Bequemlichkeit! Aber he ... lernen durch Schaden hat schon immer geholfen ... den erst wenn es weh tut, kapieren es die Leute.
 
Zuletzt bearbeitet:
owned_you schrieb:
korrekt deswegen auch mein Vergleich der letzten 10 Lücken und das kann man dann sehr wohl interpretieren wenn AVM da nur bei 1 betroffen ist die anderen aber bei fast allen! Aber manche sehen den Wink ja nichtmal wenn der Zaunpfahl das Nasenbein zertrümmert.
Ich vermute mal, dass du den Vergleich wenige Sekunden nach dem Posten reineditiert hast, denn als ich auf "Antworten" geklickt habe, stand da noch nix oder ich werde einfach blind... Das Alter... Glaub das Forum lässt einen Edit ohne "bearbeitet"-Hinweis binnen 30 Sekunden oder so zu, mein Klick bzw. dein Edit war wohl genau in diesem Zeitfenster ;)

Im übrigen sind bei solchen Infos Nachweise nicht verkehrt. Schreiben kann man schließlich viel. ABER: Wir zwei kennen uns ja schon ne Weile aus dem Forum und daher will ich deinen Vergleich nicht anzweifeln. Ich nehme es also auch ohne Nachweis zur Kenntnis und gebe mich unterwürfigst geschlagen..

:schluck:
 
Zurück
Oben