Hallo

ich habe heute von der Telekom (meinem Provider) folgende Nachricht erhalten:

zu Ihrem Internetzugang haben wir Hinweise auf eine Sicherheitslücke
erhalten. Konkret geht es hier um einen offenen NETBIOS-Dienst mit
einer Sicherheitslücke, die das Ausspionieren Ihres lokalen Netzes und
den Missbrauch Ihres Internetzugangs für sogenannte 'UDP Amplification
Attacks' auf Dritte ermöglicht. Anhand der uns zugesendeten Daten haben
wir Ihren Internetzugang ermittelt:

Mithilfe des Gerätenamens und der MAC-Adresse sollte sich das
betroffene Gerät leicht lokalisieren lassen. Wenn weitere zu NETBIOS
gehörende Ports offen sein sollten, wäre aus der Ferne u.U. sogar der
vollständige Zugriff auf Ihre Systeme möglich.

Als Router habe ich eine TimeCapsule (neuestes Modell) und als Modem ein Speedport 431 bzw. Telekom Teledat 431 LAN

Nun kann ich mit der Meldung nichts anfangen, bzw. weiß gar nicht was sich machen soll.

Kann mir hier jemand damit weiterhelfen?

Danke

Das kann doch nicht die gesamte Nachricht sein. Wie gehts weiter? Was schlägt die Telekom vor?
Pauschal würde ich sagen: Die Portfreigabe für den entsprechenden NETBIOS-Dienst in der Time Capsule entfernen

wie kannich denn den Port schließen? das ist der gesamte Text:

Mithilfe des Gerätenamens und der MAC-Adresse sollte sich das
betroffene Gerät leicht lokalisieren lassen. Wenn weitere zu NETBIOS
gehörende Ports offen sein sollten, wäre aus der Ferne u.U. sogar der
vollständige Zugriff auf Ihre Systeme möglich.

Mögliche Abhilfen für das Problem:

Lösen Sie auf dem betroffenen Gerät die Verbindung von NETBIOS und
TCP/IP oder konfigurieren Sie Ihren Router so, dass der angegebene Port
in der Firewall Ihres Routers blockiert wird.

Benötigen Sie weitere Informationen zu dieser Sicherheitswarnung,
antworten Sie uns einfach auf diese E-Mail und lassen den Betreff
unverändert, damit wir Ihre Nachricht richtig zuordnen können. Bitte
berücksichtigen Sie, dass wir keinen technischen Support leisten können.

Falls Sie unsere Antworten und gegebenenfalls weitere
Sicherheitswarnungen an eine abweichende E-Mail-Adresse zugestellt
haben möchten, können Sie im E-Mail Center (https://email.t-online.de)
unter 'Menü' / 'Einstellungen' / 'Weiterleitung' die gewünschte
E-Mail-Adresse als Ziel eingeben. An die 't-online.de'-Adresse
gesendete E-Mails werden dann in das von Ihnen präferierte Postfach
zugestellt und können von dort aus bearbeitet werden.

Mit freundlichen Grüßen

Deutsche Telekom AG
SEC-CDM / Abuse-Team
T-Online-Allee 1
D-64295 Darmstadt
E-Mail: abuse@telekom.de

Entweder ist die Email gar nicht von der Telekom oder sie meinen das das Modem Eine Sicherheitslücke hat. Wer macht genau die Einwählen ins Internet? Teledat / speedport oder Timecapsule? Die Telekomdinger scheinen ja schon recht angestaubt zu sein... Würde ich ersetzen durch ein vernünftiges Modem oder gleich Router mit internem Modem.

Installiere Dir Wireshark auf dem System und schau mal was bei Dir im Netzwerk passiert. Falls der Traffic nicht bei Dir am Mac ankommt solltest Du zusätzlich dsniff installieren und versuchen den Switch im Router per macof zum Überlauf zu bringen, dann läuft er wie ein Hub. Danach siehst Du mit wireshark den kompletten Traffic.

Mail ist vom CERT-Team der Telekom. Die sind allerdings nicht tel. zu erreichen. Der Telekom Support sagte, dass das Modem sehr alt sei. Die Einwahl macht die TimeCapsule. Das Speedport funktioniert rein als Modem.
Was wäre denn ein vernünftiges Modem bzw. Router mit Modem und vor allem sollte dann das neue Modem/Router die Einwal machen oder immer noch die TC?

Whireshark bekomme ich noch hin - aber das Andere überfordert meine Kenntnisse.

Im Speedport wird ein Switch verbaut sein, d.h. wenn von Deiner Time Capsule NetBIOS Daten an den Router gehen, wirst Du sie erstmal nicht sehen, weil der Switch (Switche sind in den meisten SpeedPorts intern verbaut, an einem Switch Port hängt der Router dran - interne Verkabelung) die Pakete nur an den Router durchreicht. Der Switch hat intern eine Tabelle mit der er sich merkt wohin er Pakete mit Ziel MAC Adresse schicken muß. Diese Tabelle kann man fluten, z.B. mit dem Programm macof aus dem dSniff Paket. Wenn das passiert fällt der Switch üblicherweise in einem Hub Modus zurück, d.h. er verteilt alle Pakete auf allen Ports und man mit Wireshark den kompletten Traffic am Switch sniffen.

Das ist die Erklärung, was ist der Ratschlag?

Da das Teledat 431 LAN recht alt ist und nur als Modem fungiert, genügt es das Modem auszutauschen, die TC darf weiter routen. Du kannst das Modem aber auch durch einen Modemrouter ersetzen, und/oder an diesem die Routingfunktion ausschalten und die TC weiterhin als Router nutzen.
Reine DSL-Modems gibt es kaum noch. Welchen Anschluss hast du denn? ADSL oder VDSL, und wie schnell?
Eine Empfehlung für ein Modem abzugeben ist hier sehr gefährlich Die Produkte für Einsteiger werden schlecht gemacht, die Geräte für Profis kann/will keine Normalperson bezahlen.

Ich habe mich jetzt bewusst "einfach" ausgedrückt, da ich glaube, dass Foti kein Netzwerktechniker ist, und somit meinen Post versteht.

Mein Anschluss ist ein 6000er ADSL
Ach so, ich habe diese Kombi 2x mit dem Speedport einmal geschäftlich und einmal zu hause.

Wenn das Modem wirklich nur als Modem arbeitet, kann es weder mit einer MAC-Adresse in Erscheinung treten, noch einen NETBIOS-Port öffnen. Es ist deshalb wahrscheinlicher, dass die Telekom meint, die Time Capsule wäre ein Sicherheitsrisiko.

Ist in der Mail die MAC-Adresse genannt und hast Du diese Adresse schon mit der Time Capsule und den anderen Geräten verglichen? (Die TC hat mindestens 3 Adressen.) Ansonsten ist das alles nur Herumraten.

Genau so scheint es zu sein!

Die Telekom hat sich noch einmal auf mein Nachfragen hin geäußert!

Folgende Antwort habe ich erhalten:

zum Hintergrund unserer E-Mail an Sie:

Sicherheitsexperten der 'Shadowserver Foundation' haben uns darauf
hingewiesen, dass unter der gemeldeten IP-Adresse zum angegebenen
Zeitpunkt ein unsicher konfiguriertes Netzwerkgerät (z. B. ein Router,
Rechner, Netzwerkdrucker usw.) aus dem Internet erreichbar war.

Anhand der gemeldeten IP-Adresse und des exakten Zeitpunktes können wir
innerhalb von bis zu sieben Tagen den verwendeten Internetzugang
ermitteln, um die Information über die unsichere Konfiguration an den
Zugangsinhaber weiterzugeben.

Das betroffene Gerät wird in der uns vorliegenden Meldung als
'WORKGROUP","BASIS2' bezeichnet.

P-Adresse: 84.177.14.12
Zeitpunkt: 28.05.2015, 02:42:25 (MESZ)
Angaben zum Gerät: Arbeitsgruppe: WORKGROUP, Gerät: BASIS2

(Das ist die TC)

Weitere Informationen zu diesem Vorkommnis liegen uns nicht vor.

Einen Onlinescanner für beliebige UDP-Ports finden Sie unter
https://pentest-tools.com/discovery-probing/udp-port-scanner-online-nmap

Bitte haben Sie Verständnis dafür, dass wir als Abuse-Abteilung der
Telekom keine weitere Hilfestellung zur Konfiguration von Geräten in
lokalen Netzwerken geben können. Wenden Sie sich deshalb bei Fragen
bitte an den Support des Herstellers des Netzwerkgeräts.

Falls ein von der Deutschen Telekom geliefertes Gerät betroffen ist,
wenden Sie sich bitte zur weiteren Klärung an unseren Kundendienst:

E-Mail: hotline@t-online.de

Unter http://hilfe.telekom.de/hsp/cms/content/HSP/de/16400 finden Sie
weitere Informationen und themenspezifische Kontaktformulare.

Alternativ stehen Ihnen Ansprechpartner zu den genannten Themenbereichen
auch unter der kostenlosen Rufnummer 0800 33 01000 zur Verfügung.

Darüberhinaus bieten wir Ihnen auch einen Community-Support an, wo Ihnen
sowohl andere Benutzer als auch unser erfahrenes 'Telekom hilft Team'
Hilfe leisten kann. Die Themenbereiche ('Boards' genannt) sind unter
http://telekomhilft.telekom.de/t5/Thema-diskutieren/ct-p/Diskussionen
aufgeführt.

Alternativ stehen Ihnen Ansprechpartner zu den genannten Themenbereichen
auch unter der kostenlosen Rufnummer 0800 33 01000 zur Verfügung.

Eine Eskalation (z.B. Sperren von Diensten) durch uns haben Sie wegen
dieser Meldungen derzeit nicht zu befürchten. Ggf. werden Sie jedoch
weitere Hinweise per E-Mail erhalten, solange die unsichere
Konfiguration besteht.

Mit freundlichen Grüßen


Was ist dann jetzt an der TC nicht richtig konfiguriert?

Zuerst solltest Du prüfen, ob diese Behauptung überhaupt stimmt.

Du kannst mit dem in der Mail angebenen Scanner testen, ob Deine Time Capsule dem Internet auf Port 137 antwortet. (Also manuell "Port range: 137-137" angeben und Deine momentane IP-Adresse bestätigen.)

Im Ergebnis steht dann unter anderem eine Zeile nach dem Muster

137/udp xxx netbios-ns

Wenn bei "xxx" der Wert "closed" oder "filtered" steht, wäre das gut. Wenn dort "open" oder "open|filtered" steht, muss man weiter prüfen.

Dort steht leider:

PORT STATE SERVICE
137/udp open|filtered netbios-ns

hat es etwas mit der Laufwerksfreigabe zu tun? Ich hatte Laufwerk mit WAN freigeben angeglickt?
Kann aber leider nicht mehr den PEN-Test machen da ich keine Creditpoints mehr auf der Seite habe.

So nun hab eich in der TC das Laufwerk über WAN freigeben nicht mehr angeklickt und jetzt zeigt der Test folgendes:

PORT STATE SERVICE
137/udp filtered netbios-ns

Ich denke, das war es gewesen

Danke auch an alle hier.