Alex' blog (Artikel mit Tag router)

Wie schokokeks-Kunden ihren AVM-Router für DynDNS benutzen können

nospam@example.com (Alex) — Thu, 19 Jun 2008 12:23:19 +0200

Vielleicht ist meine Lösung nicht die Einzige, aber sie funktioniert und fiel mir spontan ein. Und zwar geht es darum, dass (bislang) die IP-Adresse einer Subdomain per schokokeks eigenem DynDNS-Dienst nur über die im Wiki beschriebenen Möglichkeiten aktualisiert werden kann, was wiederum den DynDNS-Client einer Fritz!Box von AVM aussperrt - zumindest den der Fritz!Box Fon WLAN 7050. (Vielleicht hat sich mit neueren Routern von AVM ja etwas geändert.)

Wer seinen Router nicht gemoddet hat, bleibt folgende Lösung, um seinem Router trotzdem die Arbeit machen zu lassen.

Telnet auf der Fritz!Box per Telefon aktivieren: #96*7*
Mittels Telnet auf dem Router einloggen und folgendes Skript erstellen:

cat >> /var/dyndns.sh << EOF
#!/bin/sh
while true; do
wget -q http://benutzername:passwort@dyndns-subdomain.domain.tld/
sleep 300
done
EOF

Skript ausführbar machen: chmod 700 /var/dyndns.sh
Skript starten und anschließend Telnet-Verbindung beenden. (Skript bleibt aktiv bis zum nächsten Reboot, kein nohup nötig.)

HTTPS funktioniert leider mit der limitierten Version von wget (Busybox) nicht. Den Timer von fünf Minuten (sleep 300) kann man natürlich nach eigenem Belieben verändern. Der Router wird auch vom Antwortverhalten nicht merklich langsamer.
Die erstellte Datei wird mit einem Neustart des Routers allerdings wieder gelöscht und ist somit keine permanente Änderung. Aber Neustarts des Routers kommen ja eigentlich nicht vor.
Die von wget erstellte Webseite wird bei jedem Aufruf überschrieben und schreibt somit /var nicht voll.
Vielleicht kann diese Information ja der ein oder andere schokokeks-Kunde gebrauchen (und ich brauche nicht noch einmal nachdenken, wenn doch mal ein Neustart notwendig sein sollte. )

IPTV und Port-Priorisierung an einer Fritzbox Fon WLAN 7050

nospam@example.com (Alex) — Fri, 23 May 2008 19:43:25 +0200

Eigentlich hätte ich nicht gedacht, dass das so zwingend nötig ist und das die Fritzbox Fon WLAN 7050 von AVM schon Port-Priorisierung für IPTV mitbringt, aber es ist doch so.

Wer eine 7050 zusammen mit dem Media Receiver von T-Home einsetzt, der muss die Box mit der Ethernet-RJ45-Buchse, die mit "LAN A" betitelt ist, verbinden, sonst bleibt das Fernsehbild nach ca. 5 Sekunden immer hängen. Video-On-Demand (VOD) läuft hingegen problemlos weiter.

Entertain-Paket und keine VoIP-Telefonnummer mehr

nospam@example.com (Alex) — Fri, 16 May 2008 13:40:17 +0200

Vielleicht ist dieser Eintrag für den ein oder anderen T-Com Kunden ja auch ganz hilfreich:

wer auf ein beliebiges Entertain-Paket umsattelt und zuvor eine (kostenlose) VoIP-Telefonnummer (Vorwahl 032) besessen hat, der hat mit der Umstellung nun keine VoIP-Telefonnummer mehr. Diese wird automatisch vom System gekündigt.

Man kann diese allerdings wieder kostenlos online im Kundencenter einrichten. Sicherlich bekommt man aber die gleiche Nummer nicht erneut wieder.

Da dies nirgends steht, sollte es vielleicht einmal erwähnt werden. Also, eigentlich ist diese Aussage nicht ganz richtig. Es steht schon wo - und zwar in der E-Mail, die man an dem Tag der Umstellung des Tarifs bekommt. Viel zu spät also !

Für die VoIP-Telefonnummer habe ich keine Flatrate gehabt (kostet knapp 10 EUR im Monat und nennt/nannte sich DSL Telefonie Flatrate). Was daher mit Kunden mit einer DSL Telefonie Flatrate bei der Umstellung passiert, kann ich nicht sagen. Vermutlich wird das aber auch automatisch gekündigt.

Es ist schon irgendwie sehr blöd, wenn plötzlich die zweite "Leitung" aus heiterem Himmel tot ist. (Kann man auch wunderbar im Logfile seines VoIP-fähigen Routers anschauen.)

Wenn das mal kein Entertainment ist, dann weiß ich auch nicht. Der Paketname ist wahrhaft Programm !

T-Home, VDSL und die Fritz!Box

nospam@example.com (Alex) — Mon, 21 Apr 2008 20:00:00 +0200

Ich habe mich in den letzten Tagen ein wenig mit VDSL/VDSL2 beschäftigt, obwohl wir es jetzt gar nicht gebucht haben trotz Verfügbarkeit von VDSL mit 50 Mbit/s. Interessant ist es ja trotzdem.

Wer so wie wir ein Entertain-Paket der T-Com/T-Online/T-Home (wie auch immer sie gerade mal heißen) bucht und sich nachträglich für VDSL entscheidet, der bekommt keinen Router, kein VDSL-Modem dazu. Verhandlungsgeschick dabei ist eine andere Sache.

Momentan bekommt man einen Router mit eingebautem Modem, welches aber kein VDSL hardwareseitig versteht ausgeliefert: es ist ein Speedport W 701V. Damit braucht man also auch ein zusätzliches VDSL-Modem. Dieses ist der Speedport 300 HS, welcher ebenso mitgeliefert wird.

Wer später umrüstet, der braucht folgende Dinge:

einen Router, der VLAN-Tagging nach IEEE 802.1q (ID 7) am WAN-Port unterstützt
einen neuen VDSL-Splitter
ein extra VDSL-Modem

Eigentlich kann die neue AVM Fritz!Box Fon WLAN 7270 hardwareseitig VDSL, aber in der Firmware ist noch nichts freigeschaltet. Soll wohl auch so schnell nicht kommen, obwohl AVM abgespeckte Fritz!Box'en als Speedport-Router an T-Com liefert.
Hat wahrscheinlich vertragliche Gründe ...

Sämtliche Fritz!Box'en scheinen kein aktiviertes VLAN-Tagging (siehe oben) auf dem WAN-Port zu haben. Damit scheidet eine Fritz!Box für VDSL selbst nach einem passenden VDSL-Modem aus.
Nach etwas Recherche im Internet hat sich folgendes herausgestellt:

der Fritz!Box Fon WLAN 7170 kann mit einer kleinen Modifikation VLAN-Tagging beigebracht werden. Wie stabil das allerdings ist, weiß ich nicht.
der Fritz!Box Fon WLAN 7050 kann mit einer kleinen Modifikation ebenfalls VLAN-Tagging beigebracht werden. Mit den neueren Firmware-Versionen läuft das ganze aber angeblich extrem instabil. Wahrscheinlich ist die CPU bei der Datenflut zu überlastet. Mit älteren Firmware-Versionen scheint es aber wieder halbwegs zu gehen. (Das eine ältere Firmware aber wieder mehr Bugs und vielleicht auch sicherheitskritische Lücken aufweist, darf man hier natürlich auch nicht vergessen !)

Andere Fritz!Boxen als die 7270, 7170 und 7050 habe ich nicht recherchiert.

Falls jemand also schon ein Entertain-Paket besitzen sollte und sich nur ein VDSL-Modem nach der VDSL-Zubuchung angeschafft haben sollte und es jetzt nicht funktioniert, der weiß jetzt woran es liegt.
Ob er/sie jetzt allerdings noch diesen Eintrag lesen kann, ist eine ganz andere Sache.

HD-Filme über das IPTV der T-Home gibt es übrigens nur mit VDSL (25 oder 50 Mbit/s ist hier egal).
Wer kein VDSL will oder bekommen kann, dessen Anschluss wird zu einem DSL 16plus gemacht. Wer bereits einen 16 Mbit/s DSL-Anschluss hat, dem widerfährt das gleiche Schicksal.

Was ist also letztendlich der Unterschied zwischen dem normalen 16 Mbit/s DSL und dem DSL 16plus ? Der einzige Unterschied, der mir bei der Recherche aufgefallen ist, ist der, dass bei DSL 16plus Fastpath wegen der Fehlerkorrektur für IPTV wieder deaktiviert ist.

Da man momentan noch kein VDSL ohne IPTV-Paket (also ein Entertain-Paket) bekommen kann, muss man auf Fastpath verzichten. Das könnte einige Online-Spieler etwas stören.

Fritz!Box: Drucken über Netzwerk mit Windows Vista

nospam@example.com (Alex) — Mon, 21 Apr 2008 18:05:00 +0200

Hier hatte ich ja schon mal geschrieben, dass ich mir eine zweite Fritz!Box für das Drucken im Netzwerk geholt habe, da wir nur einen Drucker mit USB-Anschluss haben.

Unter Windows XP hat es auch hervorragend geklappt. Unter Windows Vista bis zum heutigen Tage nicht.

Normalerweise ist die Vorgehensweise für die Netzwerk-Benutzung eines USB-Druckers über eine passende AVM Fritz!Box ganz einfach:

Falls der Drucker schon installiert sein sollte, weil man ihn bereits über USB bisher benutzt hat, so erstellt man einfach einen neuen Drucker-Anschluss und stellt dann diesen statt dem bisherigen USB-Anschluss ein.

Der Assistent fragt die IP-Adresse bzw. den Hostnamen des Druckers ab: fritz.box reicht hier als Angabe bereits aus (wenn man nur eine hat). Dann vergibt man dem Drucker-Anschluss noch einen aussagekräftigen Namen wie bspw. so: Epson_CX5400. (Letztendlich ist es aber egal, wie man den Namen wählt.)

Windows redet bei diesem Namen allerdings ständig von Drucker-Port, was aber überhaupt nichts mit dem Port der Fritz!Box zu tun hat, der auf eingehende Druckaufträge wartet !

Der Router wartet auf dem/den internen Interface(s) auf Port 9100 auf Arbeit. Das ist bereits voreingestellt unter Windows. Genauso wie "raw".

Jetzt sollte man noch die bidirektionale Unterhaltung zwischen PC und Drucker (also Router) deaktivieren, da dies generell nicht funktioniert. (Zumindest nicht dann, wenn man nicht gerade Besitzer einer 7270 ist.) Wenn man dies nicht tut, bringt einem ein vielleicht sonst installierter Druck-Monitor (für Tintenstand-Anzeige, etc.) nur Ärger. Auf einen Druck-Monitor muss man eben verzichten.

Falls der Drucker nicht schon am PC installiert sein sollte, so kann man mittels des Drucker-Assistenten den neuen USB-Drucker direkt über die inf-Dateien installieren. Notfalls muss hierzu das ganze Setup-Paket (exe oder msi) auseinander genommen werden.

Beim Drucker-Assistenten muss man hier allerdings noch eine Kleinigkeit beachten: auch wenn der Drucker jetzt ein Netzwerkdrucker wird, er muss als lokaler Drucker installiert werden. Die ~~"Plug and Pray"-Erkennung~~ "Plug and Play"-Erkennung deaktiviert man natürlich - schließlich hängt er ja nicht am PC, sondern am Router.

So funktioniert das zumindest unter Windows XP problemlos, sofern man auch einen unterstützten Drucker seitens des Routers (sprich: Router-Firmware) hat. Unter Windows Vista funktioniert das so nicht bzw. es fehlt noch ein weiterer Schritt.

Irgendwann hatte ich die Sache aufgegeben und mich bis heute nicht mehr weiter darum gekümmert. Heute fiel es mir dann wie Schuppen von den Augen als ich einen gewissen neuen Menüpunkt entdeckte:

Als Administrator muss man unter Windows Vista nur noch den Drucker als "Online verwenden" aktiv schalten. Systemsteuerung => Drucker => Den Drucker auswählen => Kontextmenü aufrufen => Menüpunkt "Als Administrator ausführen - Online verwenden" anklicken. Fertig !

Jetzt läuft der Drucker auch endlich unter Windows Vista. (Aber lange bleibt Windows Vista hier trotzdem nicht mehr drauf. ;-) Da hat auch der SP1 nicht viel gebracht.)

D-box 2: Filme direkt auf einer USB-Festplatte speichern

nospam@example.com (Alex) — Wed, 12 Mar 2008 17:26:00 +0100

Nachdem ich jetzt seit ein paar Tagen eine weitere AVM Fritz!Box mein Eigen nenne und schon seit längerer Zeit über eine umgebaute D-box 2 verfüge, wollte ich endlich einmal Filme direkt auf Festplatte ohne den Umweg über einen eingeschaltenen PC aufnehmen - und zwar kostengünstig. (Das scheint eine Krankheit der Schwaben zu sein. )

Die neue Fritz!Box WLAN 3130 kann über ihren USB-Port (Version 1.1) maximal zwei Massenspeicher und einen Drucker gleichzeitig ansteuern - dies setzt natürlich einen USB-Hub voraus.
Da die Fritz!Box mit der Original-Firmware nur einen FTP-Zugang zum Transfer der Daten anbietet, kann man auf der D-box 2 die verfügbaren Massenspeicher nur mittels FTPFS mounten.

Der Freigabename des verwendeten USB-Massenspeichers bestimmt der Router. Ändern lässt er sich ohne Modifikation an der Firmware nicht. Eigentlich kein Problem, aber wer nicht einen USB-Stick anschließen will, sondern eine USB-Festplatte, der bekommt einen zu langen Namen zum Eintragen in die TV-GUI der D-box 2.
Im Internet lassen sich dann entsprechende Modifikationen der Fritz!Box Firmware finden. Das ist aber alles unnötig: man benutzt einfach den yWeb-Server der D-box 2. Dort lassen sich längere Namen eingeben und werden trotzdem noch korrekt verarbeitet. Ansonsten bliebe immer noch der Zugang mittels Telnet und die direkte Editierung der passenden Textdatei.

Wenn dann die USB-Festplatte, die vom Freigabenamen her länger sind als die der USB-Sticks, erfolgreich über FTPFS gemountet wurde, kann die Aufnahme eigentlich beginnen, sofern man das Aufnahmeverzeichnis entsprechend auf den neuen Mountpoint gelegt hat.

Bei meinem ersten Test der Direktaufnahme lief die 2,5" USB-Festplatte hörbar an Daten zu schreiben. Eigentlich war diese 30 GB große Festplatte für den Einbau in die D-box 2 gedacht, aber weil der neue Router eben nicht nur Printserver, sondern auch gleich noch Fileserver spielen kann, kann ich mir eventuell die ca. 50 EUR Materialkosten zum Umbau der D-box 2 sparen ...

Das direkte Abspielen der TS-Datei (SPTS-Modus aktiv) nach dem Stopp der Aufnahme schlug allerdings fehl. Nachdem der Kopiervorgang der TS-Datei auf den PC, wobei sich der Datentransfer auf ca. 960 KB/s einpendelte, abgeschlossen war, war die Wiedergabe durch Bildruckler gezeichnet, welche aber definitiv nicht an der CPU liegen.

Eine programmierte Aufnahme über die D-box 2 meldet sich mehrmals mit einer Fehlermeldung, dass die Daten nicht schnell genug geschrieben werden konnten.

Letztendlich bin ich dann zu der Schlußfolgerung gekommen, dass für Filmaufnahmen über die D-box 2 direkt auf einen USB-Massenspeicher einer Fritz!Box mit USB 1.1 (zumindest mittels FTPFS) untauglich sind, wenn man einen Fernsehsender mit hoher Bitrate aufnehmen will.
Wessen Aufnahme fehlschlägt sollte versuchen noch einige (hundert) Kilobyte mittels Abschaltung der Aufzeichnung unnötiger Tonspuren zu retten.
Wer also nicht auf einen Zweikanalton und AC-3 angewiesen ist, der hat noch die besten Karten. Wer auf AC-3 nicht verzichten kann, der kann zumindest die Standard-Tonspur und den Zweikanalton ausschalten. Vielleicht reicht es so wieder aus.

Eine Aufnahme mit niedriger Bitrate lief (gestreamt vom Router) fast anstandslos. Pufferungen zwischendurch können durchaus auftreten.

Das Fazit: so eine Konstruktion lohnt sich nur bei einer neuen Fritz!Box mit USB 2.0 Schnittstelle. Bevor man also extra NUR dafür eine alte Fritz!Box (also mit USB 1.1) kauft, kauft man sich lieber für ca. 50 EUR Materialkosten den HDD-Umbausatz für die D-box 2 - das bereitet keinen Ärger und man ist zumindest nicht ab und zu noch auf einen ständig eingeschaltenen PC angewiesen.
Außerdem spart die angeschlossene USB-Festplatte so niemals Strom, da der Motor ständig läuft.
(Ein 24/7 Dateiserver - und damit meine ich kein fertiges NAS - stellt natürlich immer die beste Lösung dar und davon werde ich definitiv nicht mehr abweichen.)

Falls sich jemand wundert: die D-box 2 hat nur einen 10 Mbit/s Ethernet-Anschluss. Das ergibt eine theoretische Übertragungsrate von 1,25 MB.
USB 1.0 bzw. 1.1 hat eine Übertragungsrate von theoretischen 12 Mbit/s (sprich 1,5 MB/s) und müsste somit eigentlich schneller als der Ethernet-Anschluss sein. Ist aber leider auf Grund des großen Protokoll-Overheads nicht so.

Tipps und Tricks bzgl. einer Optimierung sämtlicher Puffer der D-box 2 nehme ich dennoch gerne entgegen !

USB-Druckserver für wenig Geld

nospam@example.com (Alex) — Tue, 11 Mar 2008 14:10:00 +0100

Heutzutage haben Farb-Tintenstrahldrucker im SoHo-Bereich sicherlich die größte Verbreitung erreicht. Diese Drucker kosten auch fast nichts mehr und den meisten Leuten reichen sie für die alltägliche Arbeit vollkommen aus.

Ebenfalls heutzutage üblich ist eine USB-Schnittstelle zum PC. Ein direkter Anschluss ans heimische Netzwerk, und sei es auch nur Kabel-gebunden, ist fast immer nicht vorhanden.

Um diesen Drucker allen Teilnehmern im Netzwerk zur Verfügung stellen zu können, gibt es mehrere Möglichkeiten. Entweder man schließt den Drucker direkt an irgendeinen PC an und richtet eine Freigabe dafür ein oder man kauft sich einen Druckserver (Printserver) als extra Hardware.

Die erste Möglichkeit hat allerdings den großen Nachteil, dass neben dem Drucker auch der PC eingeschalten sein muss, um Drucken zu können.

Ein Druckserver als weiteres Stück Hardware im Haus ist dahingegen viel interessanter. Allerdings spricht der hohe Preis von ca. 150 EUR eher dagegen.

Seit einiger Zeit gibt es aber auch noch eine weitere Möglichkeit:
Als weitere Möglichkeit bleiben hier neuzeitliche Router, die eine USB-Schnittstelle besitzen. Genauer gesagt: einen USB-Host-Controller.

Die Fritz!Box 7050, die bei uns als Router im Einsatz ist, hat zwar eine USB-Schnittstelle, kann darüber aber keine Drucker oder USB-Sticks betreiben.

Weil hier viele Laptops per WLAN im Netz werkeln musste man zum Drucken immer erst Kabel umstecken. Diese Unschönheit habe ich jetzt mit ca. 36 EUR behoben. Weniger als fünf Watt Strom verbrauchend werkelt nun eine weitere Fritz!Box - dieses Mal eine 3130 - als reiner Druckserver im Netz.

Solange die Fritz!Box unmodifiziert bleibt, spricht sie u.a. kein AppleTalk oder auch SNMP. Eine extra Druckserver für um die 150 EUR bietet diese Features direkt und verbraucht sicherlich auch nicht viel mehr Strom als eine Fritz!Box, aber nicht jeder Privatmann ist auf die Feature-Vielfalt angewiesen.

Uns reicht eine (unmodifizierte) Fritz!Box 3130 (für 36 EUR) als Druckserver vollkommen aus. Das muss aber natürlich jeder für sich selbst entscheiden.

Als Tipp: wer nicht gleich eine vorhandene Fritz!Box gegen das neue Flaggschiff von AVM austauschen will, weil der Router schlichtweg zu teuer ist, und dennoch nicht vor einer zweiten Fritz!Box zurückschreckt, der sollte sich über die verschiedenen Router-Modelle genau informieren, da z.B. ein gebrauchter AVM-Router mit VoIP-Fähigkeiten und USB-Host-Controller teurer über den virtuellen Ladentisch geht als ohne VoIP-Support. Hier lässt sich also je nach definiertem Einsatzzweck noch mehr sparen.

Die 3130 hat keine Telefondosen (weder RJ-11 noch ISDN), unterstützt kein VoIP, hat dafür (per Taster abschaltbaren) WLAN-Support und unterstützt (über einen (aktiven) USB-Hub) bis zu drei USB-Geräte gleichzeitig.

Was kommt nach JavaScript & Flash ? UPnP !

nospam@example.com (Alex) — Tue, 15 Jan 2008 14:42:00 +0100

Seit heute ist es auch beim Verlag Heise zu lesen: Ungewollte Fernkonfiguration für Heim-Router.

Das UPnP schon immer gefährlich war, ist nichts neues. Eigentlich wird UPnP hauptsächlich für das Setzen von Port-Forwardings im Router, initiert durch Anwendungen im LAN, benutzt. Daher war Universal PnP auch schon immer so gefährlich, da sich bereits im LAN befindliche Malware ebenfalls UPnP bedienen kann, um Port-Forwardings im Router einzurichten. Somit wäre es dann möglich auf Dienste, die sonst vom WAN aus nicht erreichbar wären, problemlos zugreifen zu können.

Doch nun kommt das Ganze etwas ~~anders~~ schlimmer: Während man früher noch CSRF/XSRF-Attacken in Verbindung mit einem bereits in den Router eingeloggten Benutzer brauchte, um z.B. den vom Provider zugeteilten DNS-Server zu verändern, um (z.B.) gepflegter Phishing betreiben zu können, ist dies jetzt nicht mehr notwendig, da UPnP über keinerlei Authentifizierungsmassnahmen verfügt und leider zu wesentlich mehr fähig ist als nur Port-Forwardings setzen zu können, was ich leider auch erst lernen musste. Wikipedia ist hier leider nicht vollständig.

Bislang konnte sich Malware im LAN ebenfalls dieser "erweiterten" Features von UPnP bedienen, aber dank der Arbeit von pdp und ap braucht es jetzt quasi nicht mehr als einen Webbrowser und eine entsprechend präparierte Webseite für einen solchen Angriff von außen.

Daher macht man es mir am besten nach. UPnP komplett deaktivieren - und nicht nur im Router, sondern auch am besten in allen anderen UPnP-fähigen Geräte, sofern weitere vorhanden sind. (Unser Router hat direkt an seinem ersten Arbeitstag UPnP deaktiviert bekommen.)

Weil die beiden bereits genug ausführliche Artikel zu dem Thema geschrieben haben, verweise ich hier auf die entsprechenden Seiten:

Katastrophaler Artikel: Die Firmware-Falle

nospam@example.com (Alex) — Sun, 23 Dec 2007 14:27:21 +0100

Also selten habe ich so einen katastrophal schlechten Artikel gelesen wie der, der momentan auf der Startseite der Fachzeitschrift Chip steht.

Viel zu viel pauschalisiert, unvollständig und falsch. Sicherlich, einige Geräte funktionieren erst richtig nach den ersten Firmware-Updates, aber der Artikel könnte in dieser Hinsicht genauso ein Firmware-Update vertragen.

Die Einleitung machen die Notebooks. Ganz zu oberst der hier öfters erwähnte Acer Aspire 7520G. Es ist nicht zutreffend, dass die Soundkarte erst nach einem Treiber-Update vernünftige Töne von sich gibt. Hier ist alles bestens (so wie es eben für 0815-Soundkarten normal ist) auch ohne das Update.

Weiter unten auf der gleichen Seite befindet sich noch ein Tipp bzgl. der Downgrade-Möglichkeit bei Vista Business bzw. Vista Ultimate. Diese beiden Versionen bieten die Downgrade-Möglichkeit zu XP Professionell. Das ist nur teilweise richtig, denn die Home Premium Edition ermöglicht dies z.B. genauso. Allerdings suggeriert der Tipp von Chip den Eindruck, dass man bei den zwei zuerst genannten Editionen XP parallel zu Vista auf einem Rechner fahren kann (und deswegen einen weiteren Lizenz-Schlüssel bekommt). Falls dies so gemeint gewesen sein sollte, so hätte man dies genauer darstellen sollen, denn in diesem Fall bietet die Home Premium Edition nur ein Downgrade als Single-Installation an, wozu kein weiterer Lizenz-Schlüssel benötigt wird.

Als das Nokia 6230 noch nagelneu war, habe ich mir auch eins gekauft, um Bluetooth zu programmieren aus universitärem Anlass. Somit habe ich garantiert eine der ersten Firmware-Versionen gehabt. Allerdings gab es bei mir den bei Chip genannten Bug beim SMS schreiben nicht. Die Angabe eine Versionsnummer wäre hier aus informativen Gründen vielleicht nicht verkehrt gewesen.

Eine AVM Fritz!Box 7050 besitzen wir auch. Das dieser Router nicht mit 16 Mbit/s-Anschlüssen klar kommen soll, sofern man die Leitung mit wirklichen 16 Mbit pro Sekunde auslastet, kann ich ebenfalls nicht bestätigen. Wenn man in den Morgenstunden von Universitäten DVD-Images von Linux-Distributionen herunterlädt und die "dicke" Leitung dann tatsächlich einmal Sinn macht, bleibt hier alles mit der neusten Original-Firmware stabil. Der Verweis auf die Labor-Firmware der Box, die dieses Problem beheben soll, ist zwar nett, aber der Link zeigt nur zur AVM-Homepage. Von dort lässt sich nicht nur die Labor-Firmware generell schlecht finden, es war mir unmöglich eine für die 7050 zu finden. Für die 7170 hingegen ist es kein Problem. Wo soll diese Firmware sein ? Hier hätte der Artikel ebenfalls genauer sein sollen. Nicht jeder will den FTP-Server von AVM absuchen, sofern er überhaupt auf die Idee kommt.

So, dass musste einmal gesagt werden.

Wie man für Fremde Leistungen in Auftrag gibt

nospam@example.com (Alex) — Tue, 18 Dec 2007 14:26:00 +0100

Pauschal gesagt: Ja, die T-Com macht es da einem leicht.
Wesentlich genauer gesagt: Die Mitarbeiter eines T-Punkts.

Wir haben uns dazu durchgerungen ein paar Euros im Monat bei unserem Telefon- und Internet-Anschluss zu sparen und haben uns daher letzte Woche für einen zweijährigen Vertrag mit der T-Com respektive T-Online (wie auch immer) entschieden.

Da wir sowieso bei der T-Com geblieben wären, kann man auch ruhig nochmal 10 EUR pro Monat sparen.

Was mich allerdings im T-Punkt nicht so begeistert hat, ist die Tatsache, dass ich unter Angabe unserer Telefonnummer den Auftrag dazu erteilen konnte. Ich wurde nicht nach meinem Ausweis gefragt. Das geht eigentlich nicht ! Außerdem habe ich den Auftrag nur mündlich erteilt und nichts unterschrieben, so dass man wenigstens anhand der Unterschrift auf irgendetwas schließen können.

Natürlich ist das kein Beinbruch, da man innerhalb von zwei Wochen als Privatkunde diese evtl. ungewünschte Aktion eines zum Spaßvogel veranlagten Mitmenschen rückgängig machen könnte, aber sicherlich sorgt diese Vorgehensweise auch dann und wann für Ärger, wenn man z.B. während dieser zwei Wochen gerade im Urlaub ist, etc.

Und Ärger muss nicht sein. Kostet nur Zeit und u.U. auch Geld. Daher fordere ich zur Vorbeugung eine Überprüfung des Personalausweises des Auftragstellers mit den Daten des Anschlussinhabers !

PS: Es scheint mir so als würden wir auch wieder neue Hardware zugesandt bekommen. Bald kann ich ein Lager voller SoHo-Router aufmachen ...

Speedport W 500V Umbau

nospam@example.com (Alex) — Mon, 23 Apr 2007 23:32:39 +0200

Da die Preise für einen neuen Speedport W 500V immer noch sehr niedrig sind bzw. mir zu niedrig sind, verkaufe ich diesen Router überhaupt nicht mehr. Ich brauche ihn zwar nicht, aber vielleicht einmal als schnellen Ersatz.

Da der Router laut der OpenWRT-Seite bislang noch nicht getestet wurde, habe ich zuerst einmal nur die mod 500 Firmware eingespielt. Als nächstes werde ich versuchen aus Studienzwecken einen Honeypot (z.B. Nepenthes) darauf zu installieren.

Mal sehen, wer mitten in der Innenstadt Mannheims einen offenen WLAN-Router benutzen möchte (Internet über WAN ist keines vorhanden).

Wahrscheinlich werde ich aber recht schnell OpenWRT darauf installieren. Falls es nicht anständig klappen sollte, so wäre es bei einem Marktwert von um die sechs EUR auch nicht schlimm.

Insecurity 2.0

nospam@example.com (Alex) — Fri, 13 Apr 2007 19:42:00 +0200

Mit Einzug von Web 2.0 und der damit verbundenen Rückeroberung des Internets von Benutzerseite aus, wurden zeitgleich auch neue Gefahren geschaffen, die für den Benutzer wesentlich schwieriger als zuvor abzuwenden sind.

Die Absicherung des heimischen Netzwerks oder Computer lässt sich im Normalfall noch recht leicht bewerkstelligen, so dass man nicht auf Grund eines Buffer-Overflows in irgendeinem Netzwerkdienst Spammern gleich Tür und Tor zu seinem Rechner öffnet. Stichwort: Botnetz.

Wovor sich Otto-Normalanwender allerdings weniger gut schützen kann, sind Angriffe auf Web-Applikationen, die in den letzten Jahre einen wahren Ansturm erlebt haben, weil er fast nichts dagegen unternehmen kann, außer sich entsprechendes Wissen anzueignen und stets alles und jedem zu misstrauen.

Oft basiert ein für den Nutzer gefährlicher Angriff auf JavaScript (XSS und zum Teil auch XFS). XSA, und CSRF bauen, aber nicht zwingend auf JavaScript (oder auch VBScript in der Windows-Welt) angewiesen sind. Durch den Missbrauch von JavaScript werden allerdings auch Cookies wieder gefährlich, da sie Nutzerdaten enthalten, welche möglichst nicht in die Hände eines Angreifers fallen sollten. Neuerdings lässt sich mit JavaScript Port-Scanning von LANs über das Internet bewerkstelligen. Dazu später noch mehr.

Mit JavaScript lässt sich allerdings auch der Browser-Verlauf, sprich: History, stehlen. Ein weiterer Angriff auf die Privatsphäre.

Wer den Internet Explorer von Microsoft benutzt, der ist auch weiterhin der Gefahr von bösartigen ActiveX-Controls ausgesetzt, sofern die Benutzung dieser Controls eingestellt oder wenigstens weitgehend eingeschränkt wird (nur Windows Update erlauben o.ä.). Leider lässt sich diese Gefahrenquelle auch in Alternative-Browser integrieren (z.B. Mozilla Firefox). Davon sollte man aber natürlich Abstand nehmen.

Als Ausweg bleibt nur die Deaktivierung von JavaScript. Jedoch geht einem nicht dabei nicht nur viel Komfort verloren, sondern manchmal lässt sich so die Webseite der Wahl gar nicht mehr anständig lesen bzw. generell etwas mit ihr anfangen.

Hier hilft die (seitenweise) Abschaltung von JavaScript. Man lässt auf diese Art nur noch Webseiten zu, denen man vertraut. Dies schützt natürlich nur bedingt vor XSS-Angriffen u.ä. Vor reinen Angriffen auf die Privatsphäre reicht auch die Abschaltung von JavaScript nicht aus, da sich z.B. mit CSS (Cascading Stylesheets) ebenfalls die History des Browsers auslesen lässt. Hier muss man zwar sehr viel Aufwand betreiben, da man keine Liste direkt aus dem Browser auslesen kann, sondern mit einer eigenen Liste von URLs auf die Suche nach Übereinstimmungen gehen muss, aber es potenziell machbar.
Auch basieren die meisten dieser genannten Angriffe nicht auf Fehlern in Browsern. Fehler in Browsern kommen noch dazu, wie man im Fall des Passwort-Diebstahls im Firefox sehen konnte.

SQL-Injections (prinzipiell jede Art von Datenbank als Backend hinter einem Web-Dienst) sind zwar in erster Linie ein Problem für den Server-Betreiber, aber da in Datenbanken fast immer auch irgendwie Benutzerdaten gespeichert werden, wird dies auch zum einem Problem für die eigene Privatsphäre.

Auch kann der eigene Browser mit JavaScript missbraucht werden, um für den Angreifer die Arbeit (andere Webseiten auf Schwachstellen untersuchen) zu erledigen, wie man bei Jikto sehen kann.

Auch AJAX-Frameworks, deren fester Bestandteil JavaScript ist, und heutzutage recht oft und gerne eingesetzt werden (als Beispiel hier Google), sind nicht sonderlich sicher entworfen, was MySpace anhand eines AJAX-Wurms sehen musste.

Da die komplette Deaktivierung von JavaScript keine wirkliche Hilfe ist, da man zu oft darauf wirklich angewiesen ist und die Einschränkung von JavaScript für ausgewählte Webseiten "nur" die Angriffsfläche verkleinert, bleibt dem Nutzer fast ausschließlich nur das, was er bisher gelernt hat oder was er noch lernen kann.

Angriffe, die auf präparierte URLs aufbauen, die dann letztendlich andere Inhalt gelayert (dank XSS) über die aufgerufene Webseite legen oder direkt ein anderes Ziel laden, lassen sich nur mit dem eigenen Verstand abwehren.

Phishing-Filter helfen bei präparierten URLs u.U. nur gerade so weit, dass sie bei bereits identifizierten Schad-URLs warnen. Gerade durch die Internationalisierung von Domainnamen (IDN) sind viele für das Auge gleich aussehende Zeichen hinzugekommen, die sich aber technisch unterscheiden. So wurde schon vor einiger Zeit Daten gephisht, da die Domain vermeintlich richtig aussah, aber dennoch nicht die echte war.

Wie schiebt man einem Benutzer nun solche gefälschten URLs unter ?
Per E-Mail oder Messenger. Das man keine (ungewünschten) Anhänge (fremder) Herkunft öffnet, gar entpackt (mit Passwort) und ausführt, sollte heutzutage bei dem ein oder anderen Benutzer vielleicht doch angekommen sein. URLs in Phishing-Mails evtl. auch, sofern diese noch unbehelligt durch den Phishing-Filter kommen. Beim Einsatz von Messenger sieht das leider noch anders aus. Hier sollte es noch gut möglich sein, irgendwem irgendwelche gefälschten URLs unter zuschieben.
Vor dem (ungewollten) Release von Jikto konnte diese Gefahr durch manipulierte URLs bzgl. XSS o.ä. Angriffen noch als gering angesehen werden, da die Gefahr durch eine gezielt manipulierte Webseite einen Bug im Browser auszunutzen und sich so aller Wahrscheinlichkeit nach administrative Rechte zu sichern, als wesentlich schwerwiegender einzustufen war. Schließlich konnte man sich als Phisher nicht sicher sein, dass derjenige über die Sprache versteht, in der er aufgefordert wird irgendeine Postbank-Webseite in Russland anzusurfen. Nachdem nun irgendwer aber nur aus welchem Grund auch immer den Link klicken muss, um Mittäter einer Attacke zu sein, braucht man keinen hohen Aufwand mehr auf die Ausnutzung von Schwachstellen in Browsern wert legen. JavaScript reicht völlig aus.

Leider sind wir damit noch nicht in der Zukunft angekommen, sondern befinden uns genau da, was heute machbar ist. Die Zukunft wird wahrscheinlich zeigen, dass noch mehr Lücken in AJAX-Frameworks großer Portale gefunden werden und somit Phishern und Spammern viele brauchbare Daten in die Hände spielen werden, ohne dafür groß Zeit zu verbrauchen und Geld ausgeben zu müssen. (Stichwort: StudiVZ)

Auch werden wir in Zukunft vermehrt Varianten von Jikto sehen und weitere Web 2.0-Würmer. Um nun noch einmal auf das Portscanning mittels JavaScript zurückkommen, es werden sicherlich viele Router ,vor allem im heimischen Umfeld, vor JavaScript-basierten Attacken nicht mehr sicher sein, sofern sich jemand einmal hinsetzt und die bisher vorhandenen JavaScript-Portscanner so umschreibt, dass sie sich durch Router-GUIs wühlen können und vorhandene Datensätze zurückschicken. Letztendlich stellt sich dabei nur die Frage, was man damit wirklich "sinnvolles" anfangen könnte.
Eine Methode, die auf jeden Fall funktionieren wird, ist die Methode einen Router unbenutzbar zu machen indem man ein neues Passwort automatisiert vergibt und vorher die Netzwerkeinstellungen verstellt. Die meisten Modelle haben allerdings einen Reset-Knopf, der in solchen Fällen wieder für Abhilfe sorgt. Das Flashen von absichtlich fehlerhafter Router-Firmware sollte auf Grund der Vielzahl unterschiedlicher Geräte sehr unpraktikabel sein. Schließlich wird nicht (immer) jeder Haufen Bits stillschweigend als gültige Firmware akzeptiert, so dass das Gerät sich dann ins digitale Nirvana verabschiedet.
Interessanter ist es da also eher wieder, wenn man SPIs in solchen Geräten deaktiviert oder Port-Forwardings bzw. -Triggers setzt oder UPnP im Router aktiviert (für Viren, Würmer und anderes Getier, welches sich evtl. mal neuer Möglichkeiten bedient).

Ich bin jedenfalls gespannt was noch von anderen kommt und woran ich selber in naher Zukunft mitarbeiten werde. Für den Otto-Normalanwender wird es auf jeden Fall schlimmer werden.

3CRWE62092B und Speedport W 700V - die Fortsetzung

nospam@example.com (Alex) — Sun, 24 Dec 2006 05:16:00 +0100

Nachdem ich hier bereits den ersten Teil zu 3Com-PCMCIA vs. Speedport W 700V geschrieben habe, kommt nun der zweite Teil.

Es hat zwar niemand etwas am Netz daheim geändert, aber nun funktioniert die 3Com-PCMCIA-Steckkarte problemlos mit dem WLAN-Router. Ok, ein paar Zicken hat sie dann schon noch gemacht, wie z.B. sich nicht für DHCP-Requests und deren Antworten zu interessieren, aber mit einer statischen IP konnte dies umgegangen werden. Fragt sich nur wieso der DHCP-Server im Router, der aktiv ist und auch korrekt mit einem anderen Laptop (der schon damals erwähnte Laptop mit Centrino-Chipsatz) funktioniert, nun mit der 3Com-Steckkarte nicht zusammenarbeiten möchte ...

Nachdem ich meine Compex WL54G PCMCIA-Steckkarte einmal mitgebracht habe, die sonst auch ganz prächtig funktioniert (sogar mit WPA, obwohl sie eigentlich dafür laut Hersteller nicht freigegeben ist), versagt diese ihren Dienst in ähnlicher Art und Weise, wie einst die 3Com ... nur noch etwas weniger durchsichtig.

Ich habe es aber für die kommenden Weihnachtstage direkt aufgegeben, mich damit herumzuärgern. Nächstes Mal dann (oh welch Freude ... als hätte man nichts besseres zu tun).

Damit ich an meinem eigenen Laptop aber trotzdem noch ins Internet kann, habe ich mich diese Nacht dennoch dazu hinreißen lassen und habe die 3Com-PCMCIA-Steckkarte unter Linux erneut ausprobiert, wo sie sonst kläglich ihren Dienst versagt hat. Ja, so etwas kann sie echt gut. Ganz im Gegensatz zur Signalqualität - die ist fast nie gut.

Das Ergebnis mit einem schnell gestartetem Knoppix 5.0.1 von der Live-CD brachte zumindest das gleiche optische Bild: Es hat sich nichts geändert. Wird wahrscheinlich nicht funktionieren.

Das läßt sich bei dieser Karte relativ gut daran erkennen, dass die einzige LED dieser Karte dauerleuchtet und eigentlich früher auf keinerlei Befehl reagiert. Nun habe ich es aber dennoch weiter probiert und ein paar obligatorische Befehle in die Konsole geklopft. Nachdem die Karte dann aktiviert wurde (schon ein Fortschritt gegenüber früher) ging dann die LED aus. Flugs die WLAN-Daten eingegeben und dann noch die Adressierung von Hand (man erinnere sich hier an das nicht funktionierende DHCP) und der Ping zu Google funktionierte auf Anhieb - wie auch das restliche Netz.

So hatte ich mir das eigentlich schon früher gewünscht und jetzt endlich funktioniert es. Das ist schon mal ganz großes Kino. Vorallem weil meine eigene WLAN-Karte nun ja den Dienst mit dem Speedport-Router versagt.

Anzumerken wäre allerdings noch, dass die LED nun überhaupt nicht mehr leuchtet. Nein, nein. Kaputt ist die LED nicht. Unter Windows blinkt sie auch passend zum Transfer, aber unter Linux bleibt sie aus.

Interface von Speedport W700 V extern erreichbar

nospam@example.com (Alex) — Sun, 19 Nov 2006 01:19:41 +0100

Das Administrationsinterface des Routers "Speedport W700 V" ist aus dem Internet erreichbar und nicht nur aus dem LAN. Das dies ein gewaltiges Problem darstellt, da Router der SOHO-Klasse von T-Online die echten Zugangsdaten fast immer im Quelltext zurückliefern.

Das Problem kann ausschließlich mit einem Firmware-Update und einem anschließenden Reset der Konfiguration aus der Welt geschafft werden.

Zum Glück wird nicht dieser Router von T-Online zu jedem neuen Zugang aus den "3x3"-Tarifen gratis oder gegen einen geringen Aufpreis mitgegeben, sondern der "Speedport W500 V". Ob dieser Router nicht auch an diesem Problem zu knabbern hat, weiß ich jetzt leider nicht, da meiner noch originalverpackt und ungetestet in der Ecke steht und auf seinen Verkauf wartet.