VDSL zu Hause und VPN

Schöne Werte!
Schöne Werte!

Bereits seit einiger Zeit wird ja VDSL großflächig beworben. Im Moment sind Geschwindigkeiten bis 100 MBit/s im Download im Angebot. Da mir mein bisheriger Anbieter (1&1) einen solchen Anschluß nicht zur Verfügung stellen kann, entschloss ich mich kurzfristig dazu, ein Angebot von Kabel Deutschland anzunehmen. Die Kollegen übernehmen für ein halbes Jahr die Gebühren des bisherigen Anbieters. Man kann gefahrlos wechseln – so das Versprechen.

Im Vorfeld musste am Haus ein entsprechender Anschluss montiert und Koaxialkabel in meine Wohnung gelegt werden. Beim ersten Montagetermin wurde die Arbeit nur halb erledigt (Koaxialkabel verlegt). Ich vermute der Kollege Monteur hat einen tiefen Respekt vor den Baulichkeiten gehabt oder schlicht und ergreifend nicht das richtige Werkzeug mitgeführt (um die Wände des Hauses aus der Gründerzeit zu „durchbrechen“ tut es ein Baumarktbohrer nicht, da muss schon was Längeres her. Lange Rede kurzer Sinn – am vergangenen Mittwoch wurde alles montiert, die Fritz!Box 6490 angeschlossen und es konnte los gehen.

Funktionierte soweit auch alles wunderbar: phänomenale Downloadgeschwindigkeiten, rasanter Aufbau diverser Webseiten – alles Bestens. Jetzt nur noch schnell VPN eingerichtet und testen … Aber genau das wollte partout nicht klappen. Zuerst dachte ich natürlich an einen Fehler meinerseits und habe einige Male den Client auf dem Smartphone eingerichtet, diverse Einstellungen getestet bzw. den von der Fritz!Box erzeugten Schlüssel (da kann man sich schnell verschreiben) mehrfach eingegeben – Pustekuchen! Mein Galaxy Note4 erhielt keine Antwort vom VPN-Server.

Am Wochenende war ich nicht zu Hause, hatte aber ein wenig Muße nach der Problemlösung zu recherchieren. Die Ursache war dann auch relativ schnell gefunden: Der VDSL-Anschluss wird bei Kabel Deutschland per Standard mit DSLite verwendet. An sich ok und für die meisten Anschlußinhaber sicher kein Problem, aber genau die Lite-Variante von DualStack (gleichzeitige Verwendung von IPv4 und IPv6 auf dem Router), verursacht in eingen Konstellationen Probleme, u.a. eben beim Aufbau von VPNs. Die Erklärung von DualStack, seinen beiden Varianten und bekannten oder möglichen Problemen findet ihr sehr gut im Elektonik-Kompendium erklärt.

Heute dann also ein Anruf bei Kabel, Schilderung der Situation, eine öffentliche IP-Adresse mit Hinweis auf die Notwendigkeit der VPN-Funktionalität erbeten. Der sehr freundliche und kompetente Mitarbeiter versprach Abhilfe innerhalb einer Stunde und bereits 5 Minuten später bootete die Fritz!Box neu. „Problem“ behoben und VPN-Zugriff funktioniert wieder.

Bisheriges Fazit: der Wechsel auf VDSL 100 ging problemlos und schnell vonstatten. Bisher macht auch der technische Support einen guten Eindruck. Ich kann Kabel Deutschland soweit erst einmal nur empfehlen!

Securitynews – AVM und Synology

Die Probleme mit dem AVM-Hack nehmen kein Ende. Scheinbar wurden vor Entdeckung der Sicherheitslücke bei den AVM Fritz!Boxen durch die Cracker umfangreiche Datengesammelt. Das alleinige Einspielen des bereit gestellten Updates reicht daher nicht, um mögliche Zugriffe auf die Fritz!Boxen zu verhindern. Neben der Änderung diverser Passwörter auf den Boxen selbst, wird auch empfohlen die Passwörter für die IP-Telefonie zu ändern. Einen ausführlichen Artikel zum Thema findet ihr auf heise.de …

 
Gestern wurde durch Synology das erste Update für DSM 5 bereit gestellt. Schwerpunkt des Updates sind Securitypatches. Changelog (für meine DS 211+) findet ihr hier …

 

 

Synology DSM 4.x Hack Teil I

LogoBlogBereits seit einiger Zeit befindet sich DSM 5.0 von Synology in der Betaphase, d.h. die Version wurde den Nutzern zum Testen zur Verfügung gestellt. Um so erstaunlicher fand ich, dass bei soweit fortgeschrittener Testphase noch ein Update für DSM 4.3, die derzeitig noch aktuelle Version von Synologys Betriebssystem für die Diskstation, ausgeliefert wird. Diese Sache machte mich neugierig.

Zuerst sah ich mir gegen meine Gewohnheit die Changelog des aktuellen Updates an und interessant ist vor allem Punkt 1 (Übersetzung von mir):

Dieses Update repariert das System und entfernt Malware die durch vorherige Schwachstellen verursacht wurden (CVE-2013-6955, CVE-2013-6987)

Interessant wird dieser Punkt v.a. durch die angeführten CVE-Nummern. CVE ist ein Industriestandard, der dazu dient, eine einheitliche Bennennung von erkannten Sicherheitslücken und Schwachstellen zu ermöglichen. Ziel ist es den Informationsaustausch zwischen verschiedenen Unternehmen, Behörden usw. zu vereinfachen bzw. überhaupt erst zu ermöglichen. Sicherheitslücken bzw. Schwachstellen müssen bereits einen relativ hohen „Bekanntheitsgrad“ erreichen um in diese Datenbank aufgenommen zu werden …
 
Durchsucht man nun die Datenbank nach CVE-2013-6955 und CVE-2013-6987 wird der Grund für diese Aufnahme schnell klar: kurz gesagt ermöglichen beide Schwachstellen unautorisierten Nutzern Zugriff auf das Dateisystem der Diskstation zu erlangen. Offensichtlich ist das auch – zumindest einige Male – gelungen, sonst wäre die o.a. Reparatur des Systems inklusive Entfernung von Malware nicht nötig gewesen.
 
Was mich an der Sache wirklich beunruhigt, ist der Fakt, dass in relativ kurzer Zeit 2 wichtige Komponenten meines Heimnetzes von erfolgreichen Attacken betroffen waren. Man kann in diesem Zusammenhang übrigens sehr gut zwei unterschiedliche Herangehensweisen von Unternehmen an die Problemlösung sehen. Während AVM scheinbar transparent reagierte (das es dann am Ende doch nicht ganz so transparent war wissen wir seit gestern, aber das steht auf einem anderen Blatt) und die Öffentlichkeit und Nutzer ihrer Hardware offensiv informierte, hat Synology die Öffentlichkeit nicht informiert und „still und leise“ Updates bereit gestellt. Da aber auch die Diskstation keine automatischen Updates durchführt, sondern diese manuell angestossen werden müssen, ein eher fragwürdiger Weg. So bleibt die Gefahr bestehen, dass noch etliche ungepatchte Geräte im Cyberspace unterwegs sind und damit die Sicherheit dieser Geräte nicht mehr gewährleistet ist …
 
Einen weiteren Punkt möchte ich hier nennen: die Öffnung zahlreicher Ports um aus dem Internet auf seine Synology DS zugreifen zu können, birgt eine Riesengefahr in sich. In den Erläuterungen werden verschiedene Ports genannt, über die der Zugriff erfolgen kann. Ich möchte euch an dieser Stelle noch einmal dringend empfehlen, auf euer Heimnetzwerk ausschließlich per VPN aus dem Internet zuzugreifen. Als Einstieg/Hilfe findet ihr unter Downloads eine Anleitung zur Einrichtung eines VPN mit der Fritz!Box per IPSec bzw. wenn ihr lieber den VPN-Server der Diskstation nutzen wollt, VPN über die DS per OpenVPN. Der zweite Teil bezieht sich zwar auf ownCloud, beinhalted aber die grundsätzliche Vorgehensweise zur Einrichtung aller erforderlichen Komponenten. Beide Texte beziehen Clients unter Linux, Android und Windows mit ein.
 
Natürlich wird damit auch keine 100%ige Sicherheit erreicht, aber eine weitaus höhere Sicherheit als über den Standardzugriff per http oder https.