Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
(Keine) Authentifizierung nach Netzumschaltung?
165 views
Skip to first unread message
Christian Weisgerber
Jul 7, 2017, 12:30:06 PM7/7/17
to
In den letzten Monaten hat die Telekom eine interne Umstellung
auf "Broadband Network Gateway" durchgeführt:
https://www.telekom.de/netzumschaltung/
Zitat: "Dadurch wird die Einrichtung eines Internet-Zugangs künftig
viel einfacher. Mit einem aktuellen Router der Telekom müssen Sie
dann keine Zugangsdaten mehr eingeben!"
Was das auf technischer Ebene bedeutet, für diejenigen, die keinen
Telekom-Router verwenden, wird nicht beschrieben. Hat jemand
inzwischen herausgefunden, wie die neue Authentifizierung bzw.
Nichtauthentifizierung funktioniert?
Mein VDSL-50/Magenta-Zuhause-M-Anschluss ist im zweiten Anlauf dann
vor zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit
den alten Zugangsparametern weiterhin hergestellt, soweit kein
Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
* Ohne Authentifizierungsprotokoll?
Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
auszuhandeln.
* Mit leeren Authentifizierungsdaten?
Nein, auch das scheitert.
Augenscheinlich müssen bestimmte, feste Authentifizierungsparameter
verwendet werden. Aber welche? Man sollte meinen, das wäre öffentlich
dokumentiert. Irgendwie müssen die CPE-Hersteller es ja auch erfahren.
--
Christian "naddy" Weisgerber na...@mips.inka.de
auf "Broadband Network Gateway" durchgeführt:
https://www.telekom.de/netzumschaltung/
Zitat: "Dadurch wird die Einrichtung eines Internet-Zugangs künftig
viel einfacher. Mit einem aktuellen Router der Telekom müssen Sie
dann keine Zugangsdaten mehr eingeben!"
Was das auf technischer Ebene bedeutet, für diejenigen, die keinen
Telekom-Router verwenden, wird nicht beschrieben. Hat jemand
inzwischen herausgefunden, wie die neue Authentifizierung bzw.
Nichtauthentifizierung funktioniert?
Mein VDSL-50/Magenta-Zuhause-M-Anschluss ist im zweiten Anlauf dann
vor zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit
den alten Zugangsparametern weiterhin hergestellt, soweit kein
Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
* Ohne Authentifizierungsprotokoll?
Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
auszuhandeln.
* Mit leeren Authentifizierungsdaten?
Nein, auch das scheitert.
Augenscheinlich müssen bestimmte, feste Authentifizierungsparameter
verwendet werden. Aber welche? Man sollte meinen, das wäre öffentlich
dokumentiert. Irgendwie müssen die CPE-Hersteller es ja auch erfahren.
--
Christian "naddy" Weisgerber na...@mips.inka.de
Shinji Ikari
Jul 7, 2017, 2:47:44 PM7/7/17
to
Guten Tag
Christian Weisgerber <na...@mips.inka.de> schrieb
>Was das auf technischer Ebene bedeutet, für diejenigen, die keinen
>Telekom-Router verwenden, wird nicht beschrieben.
Grob gesagt: Sofern der anderen Router nicht zu den gewuenschten
Modellen und Methoden kompatibel ist, sind weiterhin Einwahldaten im
Router erforderlich.
>Hat jemand
>inzwischen herausgefunden, wie die neue Authentifizierung bzw.
>Nichtauthentifizierung funktioniert?
Es wird einfach di Line/Leitung an der ein Router sagt "ahhlo hier ist
jemnand" identifiziert. Der daran angeschlossene Port am
DSLAM/MSAN/(wie auch immer das aktive Netzelement dann genannt wird)
reagiert und meldet an seine Verwaltung: an Leitung 12345 sagt ein
Router, ich bin kompatibel und warte auf Dich. Daraufhin antwortet die
Verwaltungseinheit: Ja, ich kenne die Leitung und die zugeordnete
Person hat Produkt xyz mit Tarif abc und Optionen efg gebucht. Du
darfst ihm alst yxz+abc+efg bereit stellen.
Dann meldet das Netzelement dem Router ueber die genutzte Leitung:
Hallo, Wir wissen dass jemand dn dieser Leitung abcxyzefg darf und das
bieten wir Dir.
Der Router freut sich riuesig und sachltet seine
Ports/einstellungen/Konfigurationen entsprechend frei und meldet dem
Nutzer 'bin feddich, Benutze mich Du braver Tarifbezahler'.
Naja, etwas sehr polemisch und stark gekuerzt, aber grundlegend ist es
aehnlich.
Die sicherheitstechnischen Risiken, wenn jemand im Keller (an der
Strecke) die Leitung kappt und nach einiger Zeit selber einen
kompatblen Router simuliert und dann auf Tarif von Nutzer %Alfredo
Quarktasche% im Darknet unverschluesselt seeehr bedenkliches Material
feil bietet oder kauft kann man sich mit genug Vorstellungskraft
ausmahlen. %Alfredo Quarktasche% wuerde zumindest bei einem Besuch
entsprechender Strafverfolgungsbehoerden erst einmal ins Schwiten
kommen, ohne dahingehend etwas falsch gemaht zu haben. Er hatte in
seiner Urlaubszeit nur eine Unterbrechung, die moeglicherweise schon
lange aus seinen Routerlogs ausgespuelt wurde und kann seine Unschuld
vielleicht nicht so gut belegen, wei er es gerne haette.
>Die PPP-Sitzung wird mit
>den alten Zugangsparametern weiterhin hergestellt, soweit kein
>Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
s.o. Wenn ein Router zu dem neuen Verfahren kompatibel ist, muesste er
nach einem Werksreset nach einiger ZEit automatisch mit den
Konfigurationen/Daten an diesem Anschluss gefuettert werden und dann
ungefaer so funktionieren, wie es sich der Anbieter grundlegend
wuenscht.
>* Ohne Authentifizierungsprotokoll?
> Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
> auszuhandeln.
Mopeglicherweise hat man zwar schon auf die neue Plattform umgestellt,
aber noch nicht die Verwaltung fuer die LeitungsID hoch
gefahren/gestartet.
Christian Weisgerber <na...@mips.inka.de> schrieb
>Was das auf technischer Ebene bedeutet, für diejenigen, die keinen
>Telekom-Router verwenden, wird nicht beschrieben.
Modellen und Methoden kompatibel ist, sind weiterhin Einwahldaten im
Router erforderlich.
>Hat jemand
>inzwischen herausgefunden, wie die neue Authentifizierung bzw.
>Nichtauthentifizierung funktioniert?
jemnand" identifiziert. Der daran angeschlossene Port am
DSLAM/MSAN/(wie auch immer das aktive Netzelement dann genannt wird)
reagiert und meldet an seine Verwaltung: an Leitung 12345 sagt ein
Router, ich bin kompatibel und warte auf Dich. Daraufhin antwortet die
Verwaltungseinheit: Ja, ich kenne die Leitung und die zugeordnete
Person hat Produkt xyz mit Tarif abc und Optionen efg gebucht. Du
darfst ihm alst yxz+abc+efg bereit stellen.
Dann meldet das Netzelement dem Router ueber die genutzte Leitung:
Hallo, Wir wissen dass jemand dn dieser Leitung abcxyzefg darf und das
bieten wir Dir.
Der Router freut sich riuesig und sachltet seine
Ports/einstellungen/Konfigurationen entsprechend frei und meldet dem
Nutzer 'bin feddich, Benutze mich Du braver Tarifbezahler'.
Naja, etwas sehr polemisch und stark gekuerzt, aber grundlegend ist es
aehnlich.
Die sicherheitstechnischen Risiken, wenn jemand im Keller (an der
Strecke) die Leitung kappt und nach einiger Zeit selber einen
kompatblen Router simuliert und dann auf Tarif von Nutzer %Alfredo
Quarktasche% im Darknet unverschluesselt seeehr bedenkliches Material
feil bietet oder kauft kann man sich mit genug Vorstellungskraft
ausmahlen. %Alfredo Quarktasche% wuerde zumindest bei einem Besuch
entsprechender Strafverfolgungsbehoerden erst einmal ins Schwiten
kommen, ohne dahingehend etwas falsch gemaht zu haben. Er hatte in
seiner Urlaubszeit nur eine Unterbrechung, die moeglicherweise schon
lange aus seinen Routerlogs ausgespuelt wurde und kann seine Unschuld
vielleicht nicht so gut belegen, wei er es gerne haette.
>Die PPP-Sitzung wird mit
>den alten Zugangsparametern weiterhin hergestellt, soweit kein
>Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
nach einem Werksreset nach einiger ZEit automatisch mit den
Konfigurationen/Daten an diesem Anschluss gefuettert werden und dann
ungefaer so funktionieren, wie es sich der Anbieter grundlegend
wuenscht.
>* Ohne Authentifizierungsprotokoll?
> Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
> auszuhandeln.
aber noch nicht die Verwaltung fuer die LeitungsID hoch
gefahren/gestartet.
Arno Welzel
Jul 8, 2017, 5:04:13 AM7/8/17
to
Christian Weisgerber wrote:
> In den letzten Monaten hat die Telekom eine interne Umstellung
> auf "Broadband Network Gateway" durchgeführt:
> https://www.telekom.de/netzumschaltung/
>
> Zitat: "Dadurch wird die Einrichtung eines Internet-Zugangs künftig
> viel einfacher. Mit einem aktuellen Router der Telekom müssen Sie
> dann keine Zugangsdaten mehr eingeben!"
>
> Was das auf technischer Ebene bedeutet, für diejenigen, die keinen
> Telekom-Router verwenden, wird nicht beschrieben. Hat jemand
> inzwischen herausgefunden, wie die neue Authentifizierung bzw.
> Nichtauthentifizierung funktioniert?
Ohne passenden Router muss man weiterhin Zugangsdaten eingeben.
> In den letzten Monaten hat die Telekom eine interne Umstellung
> auf "Broadband Network Gateway" durchgeführt:
> https://www.telekom.de/netzumschaltung/
>
> Zitat: "Dadurch wird die Einrichtung eines Internet-Zugangs künftig
> viel einfacher. Mit einem aktuellen Router der Telekom müssen Sie
> dann keine Zugangsdaten mehr eingeben!"
>
> Was das auf technischer Ebene bedeutet, für diejenigen, die keinen
> Telekom-Router verwenden, wird nicht beschrieben. Hat jemand
> inzwischen herausgefunden, wie die neue Authentifizierung bzw.
> Nichtauthentifizierung funktioniert?
> Mein VDSL-50/Magenta-Zuhause-M-Anschluss ist im zweiten Anlauf dann
> vor zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit
> den alten Zugangsparametern weiterhin hergestellt, soweit kein
> Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
> * Ohne Authentifizierungsprotokoll?
> Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
> auszuhandeln.
> * Mit leeren Authentifizierungsdaten?
> Nein, auch das scheitert.
>
> Augenscheinlich müssen bestimmte, feste Authentifizierungsparameter
> verwendet werden. Aber welche? Man sollte meinen, das wäre öffentlich
> dokumentiert. Irgendwie müssen die CPE-Hersteller es ja auch erfahren.
für seinen Anschluss abschalten - bei der Telekom nennt sich das
"EasyLogin".
--
Arno Welzel
https://arnowelzel.de
https://de-rec-fahrrad.de
http://fahrradzukunft.de
Andreas Hartmann
Jul 8, 2017, 6:12:42 AM7/8/17
to
On 07/07/2017 at 05:50 PM Christian Weisgerber wrote:
> Mein VDSL-50/Magenta-Zuhause-M-Anschluss ist im zweiten Anlauf dann
> vor zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit
> den alten Zugangsparametern weiterhin hergestellt, soweit kein
> Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
>
> * Ohne Authentifizierungsprotokoll?
> Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
> auszuhandeln.
>
> * Mit leeren Authentifizierungsdaten?
> Nein, auch das scheitert.
>
> Augenscheinlich müssen bestimmte, feste Authentifizierungsparameter
> verwendet werden. Aber welche? Man sollte meinen, das wäre öffentlich
> dokumentiert. Irgendwie müssen die CPE-Hersteller es ja auch erfahren.
Ich wurde schon letztes Jahr umgestellt. In diesem Zusammenhang habe ich
> Mein VDSL-50/Magenta-Zuhause-M-Anschluss ist im zweiten Anlauf dann
> vor zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit
> den alten Zugangsparametern weiterhin hergestellt, soweit kein
> Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
>
> * Ohne Authentifizierungsprotokoll?
> Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
> auszuhandeln.
>
> * Mit leeren Authentifizierungsdaten?
> Nein, auch das scheitert.
>
> Augenscheinlich müssen bestimmte, feste Authentifizierungsparameter
> verwendet werden. Aber welche? Man sollte meinen, das wäre öffentlich
> dokumentiert. Irgendwie müssen die CPE-Hersteller es ja auch erfahren.
im Vorfeld nachgefragt und es auch selbst verifiziert.
Fazit:
Im Grunde hat sich protokolltechnisch nichts geändert. Die Telekom
übergeht per *default* (und das halte ich persönlich für die Frechheit),
die Prüfung, um den Anschluss vollpfostentauglich zu machen (zumindest
war es bei mir defaultmäßig aktiviert).
Im Detail heißt das, dass Du bei ppp als user und password irgendwas
eingeben kannst - genauso bei sip (war zumindest bei meinen Tests damals
so). Nur nicht nichts (weil damit die Protokolle und oder Programme an
sich wahrscheinlich nicht klarkommen).
Über die Defaulteinstellung (derzeit: Kundencenter -> Anschluss
verwalten -> Meine Zugangsdaten -> Easy Login -> Status einsehen ->
"Automatischer Internet-Zugang ist inaktiv." sollte aktiv sein) freut
sich die Telekom, weil Kunde sein Device einfach nur noch einstecken
muss und fertig (kein Support mehr nötig) - evtl. müssen noch
Telefonnummern eingegeben werden - das vermag ich aber nicht zu sagen,
weil ich solche vom Provider gemanagten Kisten grundsätzlich nie und
nimmer einsetzen würde - damit bist Du nämlich vollständig unter der
Kontrolle des Providers und der Provider hat vollständig die
*Möglichkeit*, zu kontrollieren und zu bestimmen, was Du zu sehen
bekommst und was nicht.
Über die Defaulteinstellungen freut sich auch jeder andere, der an die
physische Leitung dran kommt. Der kann dann nämlich einfach sein eigenes
Modem dran hängen und voila ... .
Und natürlich freuen sich auch diejenigen, die Du in dein Netz lässt,
falls udp durchgereicht wird. Die können sich dann ohne Password einen
beliebigen SIP-Client auf Deine Telefonnummer registrieren und können
dann damit machen, was Dein Telefonanschluss alles hergibt.
Ergo:
Legt man auch nur ein ganz klein wenig Wert auf Sicherheit (und man
weiß, was man tut), schaltet man als erstes dieses Feature ab und
verwendet als zweites keinen von der Telekom verwalteten Router bzw.
Modem. Wobei man "Telekom" in diesem Satz durch jeden beliebigen
Provider ersetzen kann.
V.a. wichtig: regelmäßig prüfen, dass dieses Feature auch wirklich
ausgeschaltet ist. Ich habe nämlich schon erlebt, dass plötzlich doch
wieder der Default aktiv war ... .
Die Prüfung kann man im Kundencenter durchführen (was ziemlich lästig
sein kann, weil sich das ständig ändert und man ziemlich danach suchen
muss) oder einfach testweise temporär *einmalig* eine falsche UID
verwenden (lauter Nullen z.B.). Wenn man trotzdem reinkommt ist
easylogin aktiviert - wenn nicht ist alles gut. Die letztere Variante
ist im Übrigen die sicherste, weil man sich nicht auf die Anzeige
verlassen muss (die könnte ja durchaus falsch sein).
Gruß,
Andreas
Thomas Einzel
Jul 8, 2017, 10:21:48 AM7/8/17
to
Am 08.07.2017 um 11:04 schrieb Arno Welzel:
> Christian Weisgerber wrote:
...
Mögliche Ursachen:
a) Ihr Gerät unterstützt keine EasySupport Funktionen oder interaktive
Services. Bitte setzen Sie einen der folgenden Speedport Router der
Telekom ein:
- Speedport W 501V, W 502V, W 503V, W 504V oder höher
- Speedport W 701V, W 721V, W 722V, W723V oder höher
- Speedport W 900V, W 920V oder höher
..."
Ja einen Speedport setze ich nicht ein, aber wie kann ich verhindern
dass das jemand mit einem der o.a. Speedports unautorisiert an meiner
Doppelader ohne meine Logindaten machen könnte? (war das nicht die
eigentliche Frage?)
--
Thomas
> Christian Weisgerber wrote:
...
>> Augenscheinlich müssen bestimmte, feste Authentifizierungsparameter
>> verwendet werden. Aber welche? Man sollte meinen, das wäre öffentlich
>> dokumentiert. Irgendwie müssen die CPE-Hersteller es ja auch erfahren.
>
> Siehe oben. Wenn man das nicht will, kann man es auch im Kundencenter
> für seinen Anschluss abschalten - bei der Telekom nennt sich das
> "EasyLogin".
"...Nutzung von EasySupport Funktionen nicht möglich...
>> verwendet werden. Aber welche? Man sollte meinen, das wäre öffentlich
>> dokumentiert. Irgendwie müssen die CPE-Hersteller es ja auch erfahren.
>
> Siehe oben. Wenn man das nicht will, kann man es auch im Kundencenter
> für seinen Anschluss abschalten - bei der Telekom nennt sich das
> "EasyLogin".
Mögliche Ursachen:
a) Ihr Gerät unterstützt keine EasySupport Funktionen oder interaktive
Services. Bitte setzen Sie einen der folgenden Speedport Router der
Telekom ein:
- Speedport W 501V, W 502V, W 503V, W 504V oder höher
- Speedport W 701V, W 721V, W 722V, W723V oder höher
- Speedport W 900V, W 920V oder höher
..."
Ja einen Speedport setze ich nicht ein, aber wie kann ich verhindern
dass das jemand mit einem der o.a. Speedports unautorisiert an meiner
Doppelader ohne meine Logindaten machen könnte? (war das nicht die
eigentliche Frage?)
--
Thomas
Arno Welzel
Jul 8, 2017, 1:56:46 PM7/8/17
to
Thomas Einzel wrote:
[...]
[...]
> Ja einen Speedport setze ich nicht ein, aber wie kann ich verhindern
> dass das jemand mit einem der o.a. Speedports unautorisiert an meiner
> Doppelader ohne meine Logindaten machen könnte? (war das nicht die
> eigentliche Frage?)
Telekom fragen.
> dass das jemand mit einem der o.a. Speedports unautorisiert an meiner
> Doppelader ohne meine Logindaten machen könnte? (war das nicht die
> eigentliche Frage?)
Oliver Schwickert
Jul 8, 2017, 3:15:12 PM7/8/17
to
Thomas Einzel schrieb:
anderes.
Die Einstellungen zum "automatischen Login" finde ich aktuell allerdings
nicht mehr im Kundencenter. Ich weiß auch nicht, ob die frühere
Deaktivierung dessen sich auf den "automatischen Internet-Zugang" auswirkt.
Letzteren kann man beim BNG-Anschluß unter
<https://kundencenter.telekom.de/kundencenter/anschluss-tarif/internet-einstellungen/index.html>
deaktivieren.
> Am 08.07.2017 um 11:04 schrieb Arno Welzel:
>> Siehe oben. Wenn man das nicht will, kann man es auch im Kundencenter
>> für seinen Anschluss abschalten - bei der Telekom nennt sich das
>> "EasyLogin".
>
> "...Nutzung von EasySupport Funktionen nicht möglich...
Arno meinte vermutlich "automatisches Login". EasySupport ist was ganz
>> Siehe oben. Wenn man das nicht will, kann man es auch im Kundencenter
>> für seinen Anschluss abschalten - bei der Telekom nennt sich das
>> "EasyLogin".
>
> "...Nutzung von EasySupport Funktionen nicht möglich...
anderes.
Die Einstellungen zum "automatischen Login" finde ich aktuell allerdings
nicht mehr im Kundencenter. Ich weiß auch nicht, ob die frühere
Deaktivierung dessen sich auf den "automatischen Internet-Zugang" auswirkt.
Letzteren kann man beim BNG-Anschluß unter
<https://kundencenter.telekom.de/kundencenter/anschluss-tarif/internet-einstellungen/index.html>
deaktivieren.
Andreas Hartmann
Jul 8, 2017, 4:44:03 PM7/8/17
to
On 07/08/2017 at 09:52 PM Frank Graf wrote:
> erfolgt ist folgendes:
Das so zu machen ist ja völlig ok. Es geht ja nur darum, dass das per
Default alles ist.
> Die Anzahl der Mißbrauchsfälle durch abgegriffene PPP Zugangsdaten ist
> deutlich höher als die Fälle bei denen sich jemand physikalisch Zugriff
> zur DSL-Leitung beschafft.
Das würde bedeuten, dass die ppp-Zugriffe vorher grundsätzlich von jeder
beliebigen (Telekom-)Leitung aus funktioniert haben?! Ich bin immer
davon ausgegangen, dass die sowieso an die physische Leitung gebunden
waren. Die Annahme scheint ja dann wohl falsch gewesen zu sein.
>
> Die Zugangsdaten kann eine Schadsoftware abgreifen. Eine DSL-Leitung
> anzuzapfen ist deutlich aufwändiger.
Ohne die zugehörige Physik hätten die aber nichts gebracht - aber wenn
die genutzte Leitung irrelevant war, sieht das natürlich anders aus.
Macht die Sache in Summe aber trotzdem nicht viel besser. Die abgehörten
Passwörter sind wenigstens noch eine weitere Hürde und man braucht
wenigstens ein wenig KnowHow. Der aktuelle Defaultzustand braucht ja gar
kein KnowHow mehr - was ja das erklärte Ziel war ... .
Gruß,
Andreas
> Am Sat, 08 Jul 2017 12:12:16 +0200 schrieb Andreas Hartmann:
>
>> On 07/07/2017 at 05:50 PM Christian Weisgerber wrote:
>>
>>> Mein VDSL-50/Magenta-Zuhause-M-Anschluss ist im zweiten Anlauf dann vor
>>> zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit den alten
>>> Zugangsparametern weiterhin hergestellt, soweit kein Problem, aber es
>>> soll ja jetzt auch ohne funktionieren. Nur wie?
>>>
>>> * Ohne Authentifizierungsprotokoll?
>>> Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
>>> auszuhandeln.
>>>
>>> * Mit leeren Authentifizierungsdaten?
>>> Nein, auch das scheitert.
>>>
>>> Augenscheinlich müssen bestimmte, feste Authentifizierungsparameter
>>> verwendet werden. Aber welche? Man sollte meinen, das wäre öffentlich
>>> dokumentiert. Irgendwie müssen die CPE-Hersteller es ja auch erfahren.
>>
>> Ich wurde schon letztes Jahr umgestellt. In diesem Zusammenhang habe ich
>> im Vorfeld nachgefragt und es auch selbst verifiziert.
>>
>>
>> Fazit:
>> Im Grunde hat sich protokolltechnisch nichts geändert. Die Telekom
>> übergeht per *default* (und das halte ich persönlich für die Frechheit),
>> die Prüfung, um den Anschluss vollpfostentauglich zu machen (zumindest
>> war es bei mir defaultmäßig aktiviert).
>
> Das Argument daß die Authentifizierung über den physikalischen DSLAM-Port
>
>> On 07/07/2017 at 05:50 PM Christian Weisgerber wrote:
>>
>>> Mein VDSL-50/Magenta-Zuhause-M-Anschluss ist im zweiten Anlauf dann vor
>>> zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit den alten
>>> Zugangsparametern weiterhin hergestellt, soweit kein Problem, aber es
>>> soll ja jetzt auch ohne funktionieren. Nur wie?
>>>
>>> * Ohne Authentifizierungsprotokoll?
>>> Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
>>> auszuhandeln.
>>>
>>> * Mit leeren Authentifizierungsdaten?
>>> Nein, auch das scheitert.
>>>
>>> Augenscheinlich müssen bestimmte, feste Authentifizierungsparameter
>>> verwendet werden. Aber welche? Man sollte meinen, das wäre öffentlich
>>> dokumentiert. Irgendwie müssen die CPE-Hersteller es ja auch erfahren.
>>
>> Ich wurde schon letztes Jahr umgestellt. In diesem Zusammenhang habe ich
>> im Vorfeld nachgefragt und es auch selbst verifiziert.
>>
>>
>> Fazit:
>> Im Grunde hat sich protokolltechnisch nichts geändert. Die Telekom
>> übergeht per *default* (und das halte ich persönlich für die Frechheit),
>> die Prüfung, um den Anschluss vollpfostentauglich zu machen (zumindest
>> war es bei mir defaultmäßig aktiviert).
>
> erfolgt ist folgendes:
Das so zu machen ist ja völlig ok. Es geht ja nur darum, dass das per
Default alles ist.
> Die Anzahl der Mißbrauchsfälle durch abgegriffene PPP Zugangsdaten ist
> deutlich höher als die Fälle bei denen sich jemand physikalisch Zugriff
> zur DSL-Leitung beschafft.
Das würde bedeuten, dass die ppp-Zugriffe vorher grundsätzlich von jeder
beliebigen (Telekom-)Leitung aus funktioniert haben?! Ich bin immer
davon ausgegangen, dass die sowieso an die physische Leitung gebunden
waren. Die Annahme scheint ja dann wohl falsch gewesen zu sein.
>
> Die Zugangsdaten kann eine Schadsoftware abgreifen. Eine DSL-Leitung
> anzuzapfen ist deutlich aufwändiger.
Ohne die zugehörige Physik hätten die aber nichts gebracht - aber wenn
die genutzte Leitung irrelevant war, sieht das natürlich anders aus.
Macht die Sache in Summe aber trotzdem nicht viel besser. Die abgehörten
Passwörter sind wenigstens noch eine weitere Hürde und man braucht
wenigstens ein wenig KnowHow. Der aktuelle Defaultzustand braucht ja gar
kein KnowHow mehr - was ja das erklärte Ziel war ... .
Gruß,
Andreas
Andreas Hartmann
Jul 8, 2017, 4:44:03 PM7/8/17
to
On 07/08/2017 at 09:15 PM Oliver Schwickert wrote:
> Thomas Einzel schrieb:
>> Am 08.07.2017 um 11:04 schrieb Arno Welzel:
>>> Siehe oben. Wenn man das nicht will, kann man es auch im Kundencenter
>>> für seinen Anschluss abschalten - bei der Telekom nennt sich das
>>> "EasyLogin".
>>
>> "...Nutzung von EasySupport Funktionen nicht möglich...
>
> Arno meinte vermutlich "automatisches Login". EasySupport ist was ganz
> anderes.
>
> Die Einstellungen zum "automatischen Login" finde ich aktuell allerdings
> nicht mehr im Kundencenter. Ich weiß auch nicht, ob die frühere
> Deaktivierung dessen sich auf den "automatischen Internet-Zugang" auswirkt.
Das "Feature" schimpft sich "easy Login" (wenn Du auf BNG bist). In
> Thomas Einzel schrieb:
>> Am 08.07.2017 um 11:04 schrieb Arno Welzel:
>>> Siehe oben. Wenn man das nicht will, kann man es auch im Kundencenter
>>> für seinen Anschluss abschalten - bei der Telekom nennt sich das
>>> "EasyLogin".
>>
>> "...Nutzung von EasySupport Funktionen nicht möglich...
>
> Arno meinte vermutlich "automatisches Login". EasySupport ist was ganz
> anderes.
>
> Die Einstellungen zum "automatischen Login" finde ich aktuell allerdings
> nicht mehr im Kundencenter. Ich weiß auch nicht, ob die frühere
> Deaktivierung dessen sich auf den "automatischen Internet-Zugang" auswirkt.
meinem anderen Posting habe ich beschrieben, wo er aktuell zu finden ist.
Gruß,
Andreas
Oliver Schwickert
Jul 8, 2017, 4:56:53 PM7/8/17
to
Oliver Schwickert schrieb:
<https://kundencenter.telekom.de/kundencenter/kundendaten/index.html> ->
<https://kundencenter.telekom.de/kundencenter/kundendaten/login-einstellungen/index.html>
> Die Einstellungen zum "automatischen Login" finde ich aktuell allerdings
> nicht mehr im Kundencenter.
Äh, doch:
> nicht mehr im Kundencenter.
<https://kundencenter.telekom.de/kundencenter/kundendaten/index.html> ->
<https://kundencenter.telekom.de/kundencenter/kundendaten/login-einstellungen/index.html>
Oliver Schwickert
Jul 8, 2017, 5:04:17 PM7/8/17
to
Andreas Hartmann schrieb:
"Automatischer Internet-Zugang".
Ob "Automatisches Login" (das hie und da möglicherweise "easy Login"
genannt wurde) letztendlich das gleiche bewirkt, weiß ich nicht (die
Umstellung auf BNG findet hier rund ein Jahr nach erstmaliger
Ankündigung erst im September statt).
> Das "Feature" schimpft sich "easy Login" (wenn Du auf BNG bist).
Nee, das bei BNG eigentlich relevante Feature schimpft sich
"Automatischer Internet-Zugang".
Ob "Automatisches Login" (das hie und da möglicherweise "easy Login"
genannt wurde) letztendlich das gleiche bewirkt, weiß ich nicht (die
Umstellung auf BNG findet hier rund ein Jahr nach erstmaliger
Ankündigung erst im September statt).
Thomas Einzel
Jul 8, 2017, 5:07:18 PM7/8/17
to
Am 08.07.2017 um 19:56 schrieb Arno Welzel:
> Thomas Einzel wrote:
>
> [...]
>> Ja einen Speedport setze ich nicht ein, aber wie kann ich verhindern
>> dass das jemand mit einem der o.a. Speedports unautorisiert an meiner
>> Doppelader ohne meine Logindaten machen könnte? (war das nicht die
>> eigentliche Frage?)
>
> Telekom fragen.
Klar. Dann aber bitte nicht mehr solche Sätze deinerseits. Vermuten kann
> Thomas Einzel wrote:
>
> [...]
>> Ja einen Speedport setze ich nicht ein, aber wie kann ich verhindern
>> dass das jemand mit einem der o.a. Speedports unautorisiert an meiner
>> Doppelader ohne meine Logindaten machen könnte? (war das nicht die
>> eigentliche Frage?)
>
> Telekom fragen.
man alles mögliche...
--
Thomas
Thomas Einzel
Jul 8, 2017, 5:14:09 PM7/8/17
to
Am 08.07.2017 um 22:56 schrieb Oliver Schwickert:
> Oliver Schwickert schrieb:
>> Die Einstellungen zum "automatischen Login" finde ich aktuell allerdings
>> nicht mehr im Kundencenter.
>
> Äh, doch:
...
> Oliver Schwickert schrieb:
>> Die Einstellungen zum "automatischen Login" finde ich aktuell allerdings
>> nicht mehr im Kundencenter.
>
> Äh, doch:
> <https://kundencenter.telekom.de/kundencenter/kundendaten/login-einstellungen/index.html>
Ah... *danke*..."Ausgeschaltet:"
--
Thomas
Oliver Schwickert
Jul 8, 2017, 5:18:03 PM7/8/17
to
Thomas Einzel schrieb:
Aber wie gesagt, ich weiß nicht, ob dadurch dann auch der "Automatische
Internet-Zugang"[*] deaktiviert wird.
[*] Direktlink kann ich leider nicht liefern.
Internet-Zugang"[*] deaktiviert wird.
[*] Direktlink kann ich leider nicht liefern.
Jörg Tewes
Jul 8, 2017, 6:48:53 PM7/8/17
to
Andreas Hartmann schrieb:
Zugangsdaten an jedem Telekom DSL Anschluß anmelden. HAb ich mal aus
versehen gemacht, als ich mit meinem Router zu meiner Schwester
gegangen bin um was auszuprobieren und sofort verbunden war, mit
meinen Zugangsdaten.
Bye Jörg
--
"I am the right hand of vengeance. And the boot that is gonna kick
your sorry ass all the way back to earth. I'm death incarnate and
the last living thingthat you are ever going to see. God sent me!!"
(Ivanova in "Between the Darkness and the Light")
> On 07/08/2017 at 09:52 PM Frank Graf wrote:
>> Die Anzahl der Mißbrauchsfälle durch abgegriffene PPP Zugangsdaten ist
>> deutlich höher als die Fälle bei denen sich jemand physikalisch Zugriff
>> zur DSL-Leitung beschafft.
> Das würde bedeuten, dass die ppp-Zugriffe vorher grundsätzlich von jeder
> beliebigen (Telekom-)Leitung aus funktioniert haben?! Ich bin immer
> davon ausgegangen, dass die sowieso an die physische Leitung gebunden
> waren. Die Annahme scheint ja dann wohl falsch gewesen zu sein.
Jupp die Annahme ist falsch. Ich kann/konnte mich mit meinen
>> Die Anzahl der Mißbrauchsfälle durch abgegriffene PPP Zugangsdaten ist
>> deutlich höher als die Fälle bei denen sich jemand physikalisch Zugriff
>> zur DSL-Leitung beschafft.
> Das würde bedeuten, dass die ppp-Zugriffe vorher grundsätzlich von jeder
> beliebigen (Telekom-)Leitung aus funktioniert haben?! Ich bin immer
> davon ausgegangen, dass die sowieso an die physische Leitung gebunden
> waren. Die Annahme scheint ja dann wohl falsch gewesen zu sein.
Zugangsdaten an jedem Telekom DSL Anschluß anmelden. HAb ich mal aus
versehen gemacht, als ich mit meinem Router zu meiner Schwester
gegangen bin um was auszuprobieren und sofort verbunden war, mit
meinen Zugangsdaten.
Bye Jörg
--
"I am the right hand of vengeance. And the boot that is gonna kick
your sorry ass all the way back to earth. I'm death incarnate and
the last living thingthat you are ever going to see. God sent me!!"
(Ivanova in "Between the Darkness and the Light")
Shinji Ikari
Jul 8, 2017, 7:14:02 PM7/8/17
to
Guten Tag
Frank Graf <f.g...@firemail.de> schrieb
>Die Anzahl der Mißbrauchsfälle durch abgegriffene PPP Zugangsdaten ist
>deutlich höher als die Fälle bei denen sich jemand physikalisch Zugriff
>zur DSL-Leitung beschafft.
der 'Verschaltungen' oder 'Verwechselungen'.
Ggf. ist man ueber den Zugang des Nachbarn unterwegs und dieser ueber
den eigenen.
Alles kein nennenswertes Problem, bis einer von beiden etwas macht.
was auf den anderen zurueck faellt (oder man in dessem Mailkonto
landet oder so...).
Frank Graf <f.g...@firemail.de> schrieb
>Die Anzahl der Mißbrauchsfälle durch abgegriffene PPP Zugangsdaten ist
>deutlich höher als die Fälle bei denen sich jemand physikalisch Zugriff
>zur DSL-Leitung beschafft.
>Die Zugangsdaten kann eine Schadsoftware abgreifen. Eine DSL-Leitung
>anzuzapfen ist deutlich aufwändiger.
Ja, leider beruecksichtigt diese Sache nicht die nicht geringe Anzahl
>anzuzapfen ist deutlich aufwändiger.
der 'Verschaltungen' oder 'Verwechselungen'.
Ggf. ist man ueber den Zugang des Nachbarn unterwegs und dieser ueber
den eigenen.
Alles kein nennenswertes Problem, bis einer von beiden etwas macht.
was auf den anderen zurueck faellt (oder man in dessem Mailkonto
landet oder so...).
Thomas Einzel
Jul 9, 2017, 4:53:04 AM7/9/17
to
Authentifizierung mit dem Weblogin für Kundencenter, Webmail usw.
--
Thomas
Arno Welzel
Jul 9, 2017, 8:32:28 AM7/9/17
to
es im Kundencenter noch die Einstellung ob man EasyLogin nutzen will
oder nicht.
Andreas Hartmann
Jul 9, 2017, 9:18:20 AM7/9/17
to
On 07/08/2017 at 11:04 PM Oliver Schwickert wrote:
> Andreas Hartmann schrieb:
>> Das "Feature" schimpft sich "easy Login" (wenn Du auf BNG bist).
>
> Nee, das bei BNG eigentlich relevante Feature schimpft sich
> "Automatischer Internet-Zugang".
Kuckst Du da:
> Andreas Hartmann schrieb:
>> Das "Feature" schimpft sich "easy Login" (wenn Du auf BNG bist).
>
> Nee, das bei BNG eigentlich relevante Feature schimpft sich
> "Automatischer Internet-Zugang".
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Direktlinks-Festnetz-Kundencenter/ta-p/2387103
Das Feature nennt sich primär Easy Login und gibt es nur am BNG
Zitat (9.07.2017):
-----------------------------------------------------------------------
EasyLogin (Automatischer Internet-Zugang):
https://kundencenter.telekom.de/kundencenter/anschluss-tarif/internet-einstellungen/easylogin/index....
(nur am BNG-Anschluss)
----------------------------------------------------------------------
Das bedeutet es (wenn man dem Link gefolgt ist und einen BNG-Anschluss hat):
Zitat:
----------------------------------------------------------------------
Easy Login
Mit dem automatischen Internet-Zugang müssen ihre Zugangsdaten nicht
mehr in ihrem Router (z.B. Telekom Speedport) gespeichert werden. Der
Aufbau der Internet-Verbindung erfolgt automatisch.
----------------------------------------------------------------------
Gruß,
Andreas
Oliver Schwickert
Jul 9, 2017, 2:42:52 PM7/9/17
to
Andreas Hartmann schrieb:
Naja, ich finde "Login" nicht ganz passend, und wenn man den direkten
Link nicht kennt, muß man sich ja anscheinend über
"Internet-Einstellungen" - "Einstellungen zum Automatischen
Internet-Zugang ändern" dahin durchklicken.
> Das bedeutet es (wenn man dem Link gefolgt ist und einen BNG-Anschluss hat):
>
> Zitat:
> ----------------------------------------------------------------------
> Easy Login
Ah, okay. Da hat die Telekom wieder einen /schönen/ Begriffswirrwarr.
>
> Zitat:
> ----------------------------------------------------------------------
> Easy Login
Naja, ich finde "Login" nicht ganz passend, und wenn man den direkten
Link nicht kennt, muß man sich ja anscheinend über
"Internet-Einstellungen" - "Einstellungen zum Automatischen
Internet-Zugang ändern" dahin durchklicken.
Oliver Schwickert
Jul 9, 2017, 2:59:43 PM7/9/17
to
Thomas Einzel schrieb:
[Automatisches Login]
Interneteinwahl schon länger nicht mehr funktioniert.
Eine zeitlang konnte man mittels "automatischem Login" festlegen, ob für
die (dem Hauptnutzer zugeordneten) VoIP-Rufnummern eine
Authentifizierung nötig ist oder nicht. Das wurde aber irgendwann wieder
abgeschafft - geht grundsätzlich ohne, außer bei älteren Anschlüssen bei
denen "automatisches Login" vorher schon ausgeschaltet war (falls das
mittlerweile nicht wieder geändert wurde).
Worauf die Einstellung überhaupt noch Einfluß hat, keine Ahnung.
[Automatisches Login]
> Noch mal angesehen, stimmt, dass ist nur für ein/aus der
> Authentifizierung mit dem Weblogin für Kundencenter, Webmail usw.
Wobei die automatische Authentifizierung im Kundencenter etc. anhand der
> Authentifizierung mit dem Weblogin für Kundencenter, Webmail usw.
Interneteinwahl schon länger nicht mehr funktioniert.
Eine zeitlang konnte man mittels "automatischem Login" festlegen, ob für
die (dem Hauptnutzer zugeordneten) VoIP-Rufnummern eine
Authentifizierung nötig ist oder nicht. Das wurde aber irgendwann wieder
abgeschafft - geht grundsätzlich ohne, außer bei älteren Anschlüssen bei
denen "automatisches Login" vorher schon ausgeschaltet war (falls das
mittlerweile nicht wieder geändert wurde).
Worauf die Einstellung überhaupt noch Einfluß hat, keine Ahnung.
Oliver Schwickert
Jul 9, 2017, 3:11:34 PM7/9/17
to
Thomas Einzel schrieb:
[Automatisches Login]
[Automatisches Login]
> Noch mal angesehen, stimmt, dass ist nur für ein/aus der
> Authentifizierung mit dem Weblogin für Kundencenter, Webmail usw.
> Authentifizierung mit dem Weblogin für Kundencenter, Webmail usw.
Wobei die automatische Authentifizierung im Kundencenter etc. anhand der
Interneteinwahl schon länger nicht mehr funktioniert.
Eine zeitlang konnte man mittels "automatischem Login" festlegen, ob für
die (dem Hauptnutzer zugeordneten) VoIP-Rufnummern eine
Authentisierung nötig ist oder nicht. Das wurde aber irgendwann wieder
Interneteinwahl schon länger nicht mehr funktioniert.
Eine zeitlang konnte man mittels "automatischem Login" festlegen, ob für
die (dem Hauptnutzer zugeordneten) VoIP-Rufnummern eine
Daniel Weber
Jul 10, 2017, 2:42:55 AM7/10/17
to
Am 07.07.2017 um 17:50 schrieb Christian Weisgerber:
> Was das auf technischer Ebene bedeutet, für diejenigen, die keinen
> Telekom-Router verwenden, wird nicht beschrieben.
...weil es sich für Nicht-Telekom-Router nicht anders auswirkt als für
> Was das auf technischer Ebene bedeutet, für diejenigen, die keinen
> Telekom-Router verwenden, wird nicht beschrieben.
Telekom-Router.
> Hat jemand inzwischen herausgefunden, wie die neue Authentifizierung
> bzw. Nichtauthentifizierung funktioniert?
BNG erkennt Dich anhand der vom MSAN oder DSLAM übermittelten Line-ID.
> * Ohne Authentifizierungsprotokoll?
> Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
> auszuhandeln.
>
> * Mit leeren Authentifizierungsdaten?
> Nein, auch das scheitert.
Zugangsdaten.
Ciao,
Daniel
Daniel Weber
Jul 10, 2017, 2:49:10 AM7/10/17
to
Am 07.07.2017 um 20:47 schrieb Shinji Ikari:
> Grob gesagt: Sofern der anderen Router nicht zu den gewuenschten
> Modellen und Methoden kompatibel ist, sind weiterhin Einwahldaten im
> Router erforderlich.
Welche besonderen Kompatibilitäten muss der Fremdrouter denn bieten um
> Grob gesagt: Sofern der anderen Router nicht zu den gewuenschten
> Modellen und Methoden kompatibel ist, sind weiterhin Einwahldaten im
> Router erforderlich.
beliebige Zugangsdaten (z.B. x/x) übermitteln zu können?
Das größere Kompatibilitätsproblem dürfte VLAN 7 sein, was aber wiederum
nichts mit der automatischen Kundenerkennung zu tun hat.
Ciao,
Daniel
Daniel Weber
Jul 10, 2017, 2:53:15 AM7/10/17
to
Am 08.07.2017 um 11:04 schrieb Arno Welzel:
> Christian Weisgerber wrote:
>> Mein VDSL-50/Magenta-Zuhause-M-Anschluss ist im zweiten Anlauf dann
>> vor zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit
>> den alten Zugangsparametern weiterhin hergestellt, soweit kein
>> Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
>
> Mit passendem Router geht es ohne separate Anmeldung.
Nö, mit "passendem" Router werden nur keine Zugangsdaten mehr abgefragt
>> Mein VDSL-50/Magenta-Zuhause-M-Anschluss ist im zweiten Anlauf dann
>> vor zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit
>> den alten Zugangsparametern weiterhin hergestellt, soweit kein
>> Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
>
> Mit passendem Router geht es ohne separate Anmeldung.
sondern irgendwelche verwendet. Mit "unpassendem" Router trägt man
einfach selbst irgendwelche Zugangsdaten ein.
>> * Ohne Authentifizierungsprotokoll?
>> Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
>> auszuhandeln.
>
> Nur dann, wenn der Router das andere Verfahren nicht beherrscht.
Anwendung. Bisher hat der BRAS die per PAP übermittelten Daten
ausgewertet nur ignoriert der BNG (BRAS-Nachfolger) die per PAP
übermittelten Daten (sofern man das im Kundencenter nicht wieder
abgeschaltet hat).
Ciao,
Daniel
Shinji Ikari
Jul 10, 2017, 5:50:19 AM7/10/17
to
Guten Tag
Daniel Weber <use...@daniel-weber.eu> schrieb
>> Grob gesagt: Sofern der anderen Router nicht zu den gewuenschten
>> Modellen und Methoden kompatibel ist, sind weiterhin Einwahldaten im
>> Router erforderlich.
>Welche besonderen Kompatibilitäten muss der Fremdrouter denn bieten um
>beliebige Zugangsdaten (z.B. x/x) übermitteln zu können?
Diese Frage stelle bitte dem Anbieter (DTAG), die das genau wissen
muessten (aber vermutlich wegen Betriebsgeheimnissen nicht im Detail
rausgeben werden).
>Das größere Kompatibilitätsproblem dürfte VLAN 7 sein, was aber wiederum
>nichts mit der automatischen Kundenerkennung zu tun hat.
Soweit ich mal mitbekommen habe, wird da auch mit unterschiedlichen
VLAn gearbeitet, aber ob es VLAN7 ist oder das eben nur bei IPTV
(entertain) zum Tragen komt, kann ich Dir nicht sagen.
Daniel Weber <use...@daniel-weber.eu> schrieb
>> Grob gesagt: Sofern der anderen Router nicht zu den gewuenschten
>> Modellen und Methoden kompatibel ist, sind weiterhin Einwahldaten im
>> Router erforderlich.
>Welche besonderen Kompatibilitäten muss der Fremdrouter denn bieten um
>beliebige Zugangsdaten (z.B. x/x) übermitteln zu können?
muessten (aber vermutlich wegen Betriebsgeheimnissen nicht im Detail
rausgeben werden).
>Das größere Kompatibilitätsproblem dürfte VLAN 7 sein, was aber wiederum
>nichts mit der automatischen Kundenerkennung zu tun hat.
VLAn gearbeitet, aber ob es VLAN7 ist oder das eben nur bei IPTV
(entertain) zum Tragen komt, kann ich Dir nicht sagen.
hannes wendelfinger
Jul 10, 2017, 5:52:00 AM7/10/17
to
On 07.07.2017 17:50, Christian Weisgerber wrote:
> In den letzten Monaten hat die Telekom eine interne Umstellung
> auf "Broadband Network Gateway" durchgeführt:
> https://www.telekom.de/netzumschaltung/
>
> Zitat: "Dadurch wird die Einrichtung eines Internet-Zugangs künftig
> viel einfacher. Mit einem aktuellen Router der Telekom müssen Sie
> dann keine Zugangsdaten mehr eingeben!"
>
> In den letzten Monaten hat die Telekom eine interne Umstellung
> auf "Broadband Network Gateway" durchgeführt:
> https://www.telekom.de/netzumschaltung/
>
> Zitat: "Dadurch wird die Einrichtung eines Internet-Zugangs künftig
> viel einfacher. Mit einem aktuellen Router der Telekom müssen Sie
> dann keine Zugangsdaten mehr eingeben!"
>
> Was das auf technischer Ebene bedeutet, für diejenigen, die keinen
> Telekom-Router verwenden, wird nicht beschrieben. Hat jemand
> inzwischen herausgefunden, wie die neue Authentifizierung bzw.
> Nichtauthentifizierung funktioniert?
>
> Nichtauthentifizierung funktioniert?
>
> Mein VDSL-50/Magenta-Zuhause-M-Anschluss ist im zweiten Anlauf dann
> vor zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit
> den alten Zugangsparametern weiterhin hergestellt, soweit kein
> Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
>
> vor zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit
> den alten Zugangsparametern weiterhin hergestellt, soweit kein
> Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
>
> * Ohne Authentifizierungsprotokoll?
> Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
> auszuhandeln.
>
> Nein. Die Telekom-Gegenstelle beharrt weiterhin darauf, PAP
> auszuhandeln.
>
> * Mit leeren Authentifizierungsdaten?
> Nein, auch das scheitert.
>
> Nein, auch das scheitert.
>
> Augenscheinlich müssen bestimmte, feste Authentifizierungsparameter
> verwendet werden. Aber welche? Man sollte meinen, das wäre öffentlich
> dokumentiert. Irgendwie müssen die CPE-Hersteller es ja auch erfahren.
>
leer nicht aber beliebig ausser leerer menge
> verwendet werden. Aber welche? Man sollte meinen, das wäre öffentlich
> dokumentiert. Irgendwie müssen die CPE-Hersteller es ja auch erfahren.
>
easylogin abschalten
dann ist dein anschluss/strecke sicherer und nicht so leicht durch
andere abzugreifen und zu benutzen
<https://kundencenter.telekom.de/kundencenter/kundendaten/login-einstellungen/index.html>
Marc Haber
Jul 10, 2017, 7:53:06 AM7/10/17
to
Daniel Weber <use...@daniel-weber.eu> wrote:
>Am 08.07.2017 um 11:04 schrieb Arno Welzel:
>> Christian Weisgerber wrote:
>>> Mein VDSL-50/Magenta-Zuhause-M-Anschluss ist im zweiten Anlauf dann
>>> vor zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit
>>> den alten Zugangsparametern weiterhin hergestellt, soweit kein
>>> Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
>>
>> Mit passendem Router geht es ohne separate Anmeldung.
>
>Nö, mit "passendem" Router werden nur keine Zugangsdaten mehr abgefragt
>sondern irgendwelche verwendet. Mit "unpassendem" Router trägt man
>einfach selbst irgendwelche Zugangsdaten ein.
Das heißt doch auch nur, dass Mama T mal wieder ohne not
>Am 08.07.2017 um 11:04 schrieb Arno Welzel:
>> Christian Weisgerber wrote:
>>> Mein VDSL-50/Magenta-Zuhause-M-Anschluss ist im zweiten Anlauf dann
>>> vor zwei Monaten auch umgestellt worden. Die PPP-Sitzung wird mit
>>> den alten Zugangsparametern weiterhin hergestellt, soweit kein
>>> Problem, aber es soll ja jetzt auch ohne funktionieren. Nur wie?
>>
>> Mit passendem Router geht es ohne separate Anmeldung.
>
>Nö, mit "passendem" Router werden nur keine Zugangsdaten mehr abgefragt
>sondern irgendwelche verwendet. Mit "unpassendem" Router trägt man
>einfach selbst irgendwelche Zugangsdaten ein.
internationale Standards verletzt.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Ulrich Zwirner
Jul 10, 2017, 8:38:52 AM7/10/17
to
Anschlüssen VLAN 7 für die Standardverbindung und VLAN 8 für IPTV.
Betriebsgeheimnisse sind das sicherlich nicht, die Schnittstellen müssen
nämlich so offengelegt werden,
https://www.telekom.de/hilfe/geraete-zubehoer/telefone-und-anlagen/informationen-zu-telefonanlagen/schnittstellenbeschreibungen-fuer-hersteller?samChecked=true
dass Hersteller ihre Technik entsprechend anpassen können.
Dass das nicht immer klappt, zeigt Asus in Sachen Telekom IPTV bei
einigen seiner Routermodelle.
Gruß Ulrich
Rupert Haselbeck
Jul 10, 2017, 12:50:10 PM7/10/17
to
Marc Haber schrieb:
> Das heißt doch auch nur, dass Mama T mal wieder ohne not
> internationale Standards verletzt.
"ohne Not"? Man will halt Supportaufwand sparen und so ganz nebenbei erhöht
man die Kundenzufriedenheit: "Auspacken, einschalten, geht!"
Nicht alle Kunden sind ja solche Vollprofis, wie sie hier ausnahmslos
herumschwirren.
Und was das verletzen internationaler Standards betrifft, wird das der
Telekom und auch ihren Konkurrenten herzlich egal sein. Wer könnte einen
Nachteil haben? Auf Kundenseite funktioniert ja jedes standardgemäße Gerät
weiterhin und auf Anbieterseite sitzt doch allein die Telekom.
Oder gibts insoweit sonst noch etwas, wovon Dritte betroffen sein könnten?
MfG
Rupert
> Das heißt doch auch nur, dass Mama T mal wieder ohne not
> internationale Standards verletzt.
man die Kundenzufriedenheit: "Auspacken, einschalten, geht!"
Nicht alle Kunden sind ja solche Vollprofis, wie sie hier ausnahmslos
herumschwirren.
Und was das verletzen internationaler Standards betrifft, wird das der
Telekom und auch ihren Konkurrenten herzlich egal sein. Wer könnte einen
Nachteil haben? Auf Kundenseite funktioniert ja jedes standardgemäße Gerät
weiterhin und auf Anbieterseite sitzt doch allein die Telekom.
Oder gibts insoweit sonst noch etwas, wovon Dritte betroffen sein könnten?
MfG
Rupert
Daniel Weber
Jul 10, 2017, 12:51:03 PM7/10/17
to
Am 10.07.2017 um 11:50 schrieb Shinji Ikari:
> Daniel Weber <use...@daniel-weber.eu> schrieb
>
>>> Grob gesagt: Sofern der anderen Router nicht zu den gewuenschten
>>> Modellen und Methoden kompatibel ist, sind weiterhin Einwahldaten im
>>> Router erforderlich.
>> Welche besonderen Kompatibilitäten muss der Fremdrouter denn bieten um
>> beliebige Zugangsdaten (z.B. x/x) übermitteln zu können?
>
> Diese Frage stelle bitte dem Anbieter (DTAG),
Nein, denn die Frage war rhetorischer Natur.
>
>>> Grob gesagt: Sofern der anderen Router nicht zu den gewuenschten
>>> Modellen und Methoden kompatibel ist, sind weiterhin Einwahldaten im
>>> Router erforderlich.
>> Welche besonderen Kompatibilitäten muss der Fremdrouter denn bieten um
>> beliebige Zugangsdaten (z.B. x/x) übermitteln zu können?
>
> Diese Frage stelle bitte dem Anbieter (DTAG),
Die Antwort ist: Keine.
>> Das größere Kompatibilitätsproblem dürfte VLAN 7 sein, was aber wiederum
>> nichts mit der automatischen Kundenerkennung zu tun hat.
>
> Soweit ich mal mitbekommen habe, wird da auch mit unterschiedlichen
> VLAn gearbeitet, aber ob es VLAN7 ist oder das eben nur bei IPTV
> (entertain) zum Tragen komt, kann ich Dir nicht sagen.
nicht, egal ob VDSL oder ADSL (wo bisher an
Single-/Double-Play-Anschlüssen garkeine VLANs im Spiel waren).
Ciao,
Daniel
Marc Haber
Jul 11, 2017, 5:18:59 AM7/11/17
to
Rupert Haselbeck <mein-re...@gmx.de> wrote:
>Oder gibts insoweit sonst noch etwas, wovon Dritte betroffen sein könnten?
Und wenn es wieder nur das unterschwellige Suggerieren wäre, dass
>Oder gibts insoweit sonst noch etwas, wovon Dritte betroffen sein könnten?
Telekom-Router den anderen Produkten am Markt in irgendwelchen
Disziplinen ebenbürtig oder gar überlegen wären.
Christian Weisgerber
Jul 11, 2017, 12:30:06 PM7/11/17
to
On 2017-07-08, Andreas Hartmann <andiha...@01019freenet.de> wrote:
> Im Grunde hat sich protokolltechnisch nichts geändert. [...]
> Im Detail heißt das, dass Du bei ppp als user und password irgendwas
> eingeben kannst - genauso bei sip (war zumindest bei meinen Tests damals
> so). Nur nicht nichts (weil damit die Protokolle und oder Programme an
> sich wahrscheinlich nicht klarkommen).
Danke.
Ich fasse zusammen:
- Es findet zwingend eine Dummy-Authentifizierung auf PPP-Ebene statt.
- Als Authentifizierungsprotokoll kommt zwingend PAP zum Einsatz.
- Name und Passwort dürfen nicht leer sein, sind sonst aber beliebig;
"none"/"none" z.B. funktioniert.
Vulgo:
# ifconfig pppoe0 pppoedev vlan7 authproto pap authname none authkey none
> Über die Defaulteinstellungen freut sich auch jeder andere, der an die
> physische Leitung dran kommt. Der kann dann nämlich einfach sein eigenes
> Modem dran hängen und voila ... .
Mit klassischem Login werden die Zugangsdaten bei jedem Verbindungsaufbau
im Klartext über die Leitung geblasen. Verbindung unterbrechen,
Modempaar einschleifen, und beim folgenden Neuaufbau bekommt man
die Daten direkt geliefert.
Die Sicherheitsabwägung mag jeder selbst treffen.
--
Christian "naddy" Weisgerber na...@mips.inka.de
> Im Grunde hat sich protokolltechnisch nichts geändert. [...]
> Im Detail heißt das, dass Du bei ppp als user und password irgendwas
> eingeben kannst - genauso bei sip (war zumindest bei meinen Tests damals
> so). Nur nicht nichts (weil damit die Protokolle und oder Programme an
> sich wahrscheinlich nicht klarkommen).
Danke.
Ich fasse zusammen:
- Es findet zwingend eine Dummy-Authentifizierung auf PPP-Ebene statt.
- Als Authentifizierungsprotokoll kommt zwingend PAP zum Einsatz.
- Name und Passwort dürfen nicht leer sein, sind sonst aber beliebig;
"none"/"none" z.B. funktioniert.
Vulgo:
# ifconfig pppoe0 pppoedev vlan7 authproto pap authname none authkey none
> Über die Defaulteinstellungen freut sich auch jeder andere, der an die
> physische Leitung dran kommt. Der kann dann nämlich einfach sein eigenes
> Modem dran hängen und voila ... .
Mit klassischem Login werden die Zugangsdaten bei jedem Verbindungsaufbau
im Klartext über die Leitung geblasen. Verbindung unterbrechen,
Modempaar einschleifen, und beim folgenden Neuaufbau bekommt man
die Daten direkt geliefert.
Die Sicherheitsabwägung mag jeder selbst treffen.
--
Christian "naddy" Weisgerber na...@mips.inka.de
Stefan Kanthak
Jul 11, 2017, 1:04:31 PM7/11/17
to
"Christian Weisgerber" <na...@mips.inka.de> schrieb:
> On 2017-07-08, Andreas Hartmann <andiha...@01019freenet.de> wrote:
>
>> Im Grunde hat sich protokolltechnisch nichts geändert. [...]
>> Im Detail heißt das, dass Du bei ppp als user und password irgendwas
>> eingeben kannst - genauso bei sip (war zumindest bei meinen Tests damals
>> so). Nur nicht nichts (weil damit die Protokolle und oder Programme an
>> sich wahrscheinlich nicht klarkommen).
>
> Danke.
>
> Ich fasse zusammen:
> - Es findet zwingend eine Dummy-Authentifizierung auf PPP-Ebene statt.
> - Als Authentifizierungsprotokoll kommt zwingend PAP zum Einsatz.
Wie kommst Du auf zwingend?
Die Telekom unterstuetzt CHAP, seit T-Online die Einwahl per PPP eingefuehrt
hat (also noch VOR DSL-Zeiten).
Siehe auch
<https://telekomhilft.telekom.de/t5/Festnetz-Internet/Authentication-with-CHAP-or-PAP/td-p/1589229>
> - Name und Passwort dürfen nicht leer sein, sind sonst aber beliebig;
> "none"/"none" z.B. funktioniert.
>
> Vulgo:
> # ifconfig pppoe0 pppoedev vlan7 authproto pap authname none authkey none
[...]
> Mit klassischem Login werden die Zugangsdaten bei jedem Verbindungsaufbau
> im Klartext über die Leitung geblasen.
Falsch: mit CHAP werden sie nicht im Klartext uebertragen.
> Verbindung unterbrechen, Modempaar einschleifen, und beim folgenden
> Neuaufbau bekommt man die Daten direkt geliefert.
>
> Die Sicherheitsabwägung mag jeder selbst treffen.
Alternativ: die Kompetenz des Posters erkennen!
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
> On 2017-07-08, Andreas Hartmann <andiha...@01019freenet.de> wrote:
>
>> Im Grunde hat sich protokolltechnisch nichts geändert. [...]
>> Im Detail heißt das, dass Du bei ppp als user und password irgendwas
>> eingeben kannst - genauso bei sip (war zumindest bei meinen Tests damals
>> so). Nur nicht nichts (weil damit die Protokolle und oder Programme an
>> sich wahrscheinlich nicht klarkommen).
>
> Danke.
>
> Ich fasse zusammen:
> - Es findet zwingend eine Dummy-Authentifizierung auf PPP-Ebene statt.
> - Als Authentifizierungsprotokoll kommt zwingend PAP zum Einsatz.
Die Telekom unterstuetzt CHAP, seit T-Online die Einwahl per PPP eingefuehrt
hat (also noch VOR DSL-Zeiten).
Siehe auch
<https://telekomhilft.telekom.de/t5/Festnetz-Internet/Authentication-with-CHAP-or-PAP/td-p/1589229>
> - Name und Passwort dürfen nicht leer sein, sind sonst aber beliebig;
> "none"/"none" z.B. funktioniert.
>
> Vulgo:
> # ifconfig pppoe0 pppoedev vlan7 authproto pap authname none authkey none
> Mit klassischem Login werden die Zugangsdaten bei jedem Verbindungsaufbau
> im Klartext über die Leitung geblasen.
> Verbindung unterbrechen, Modempaar einschleifen, und beim folgenden
> Neuaufbau bekommt man die Daten direkt geliefert.
>
> Die Sicherheitsabwägung mag jeder selbst treffen.
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Rupert Haselbeck
Jul 11, 2017, 1:10:12 PM7/11/17
to
Marc Haber schrieb:
> Rupert Haselbeck <mein-re...@gmx.de> wrote:
>>Oder gibts insoweit sonst noch etwas, wovon Dritte betroffen sein könnten?
>
> Und wenn es wieder nur das unterschwellige Suggerieren wäre, dass
> Telekom-Router den anderen Produkten am Markt in irgendwelchen
> Disziplinen ebenbürtig oder gar überlegen wären.
Ja, gut. Das wäre dann natürlich noch ein zusätzlicher, willkommener
Nebeneffekt
MfG
Rupert
> Rupert Haselbeck <mein-re...@gmx.de> wrote:
>>Oder gibts insoweit sonst noch etwas, wovon Dritte betroffen sein könnten?
>
> Und wenn es wieder nur das unterschwellige Suggerieren wäre, dass
> Telekom-Router den anderen Produkten am Markt in irgendwelchen
> Disziplinen ebenbürtig oder gar überlegen wären.
Nebeneffekt
MfG
Rupert
Diedrich Ehlerding
Jul 11, 2017, 1:52:08 PM7/11/17
to
Rupert Haselbeck meinte:
> der gibts insoweit sonst noch etwas, wovon Dritte betroffen sein
> könnten?
Rein theoretisch ja: wenn es in irgendeinem Kuhdorf noch Telefonanschlüsse
gibt, bei denen nicht zwei Adresn in der Erde verbuddelt sind, sondern
diese zwei Adren über Masten an den Aussiedlerhof in der Einöde geführt
werden. Da könnte ein Pöhser Purche seinen eigenen Router dranklemnmen
und dann böse Dinge tun (Filesharing etc .), und der Anschlussinhaber
bekommt dann die Abmahnungen, weils ja sein Anschluss war.
>
--
pgp-Key (RSA) 1024/09B8C0BD
fingerprint = 2C 49 FF B2 C4 66 2D 93 6F A1 FF 10 16 59 96 F3
HTML-Mail wird ungeleſen entſorgt.
> der gibts insoweit sonst noch etwas, wovon Dritte betroffen sein
> könnten?
gibt, bei denen nicht zwei Adresn in der Erde verbuddelt sind, sondern
diese zwei Adren über Masten an den Aussiedlerhof in der Einöde geführt
werden. Da könnte ein Pöhser Purche seinen eigenen Router dranklemnmen
und dann böse Dinge tun (Filesharing etc .), und der Anschlussinhaber
bekommt dann die Abmahnungen, weils ja sein Anschluss war.
>
--
pgp-Key (RSA) 1024/09B8C0BD
fingerprint = 2C 49 FF B2 C4 66 2D 93 6F A1 FF 10 16 59 96 F3
HTML-Mail wird ungeleſen entſorgt.
Andreas Hartmann
Jul 12, 2017, 1:00:22 PM7/12/17
to
On 07/11/2017 at 06:54 PM Stefan Kanthak wrote:
> "Christian Weisgerber" <na...@mips.inka.de> schrieb:
>
>> On 2017-07-08, Andreas Hartmann <andiha...@01019freenet.de> wrote:
>>
>>> Im Grunde hat sich protokolltechnisch nichts geändert. [...]
>>> Im Detail heißt das, dass Du bei ppp als user und password irgendwas
>>> eingeben kannst - genauso bei sip (war zumindest bei meinen Tests damals
>>> so). Nur nicht nichts (weil damit die Protokolle und oder Programme an
>>> sich wahrscheinlich nicht klarkommen).
>>
>> Danke.
>>
>> Ich fasse zusammen:
>> - Es findet zwingend eine Dummy-Authentifizierung auf PPP-Ebene statt.
>> - Als Authentifizierungsprotokoll kommt zwingend PAP zum Einsatz.
>
> Wie kommst Du auf zwingend?
> Die Telekom unterstuetzt CHAP, seit T-Online die Einwahl per PPP eingefuehrt
> hat (also noch VOR DSL-Zeiten).
> Siehe auch
> <https://telekomhilft.telekom.de/t5/Festnetz-Internet/Authentication-with-CHAP-or-PAP/td-p/1589229>
Korrekt. Aber da CHAP md5 als Hashalgorithmus nutzt, würde ich da auch
> "Christian Weisgerber" <na...@mips.inka.de> schrieb:
>
>> On 2017-07-08, Andreas Hartmann <andiha...@01019freenet.de> wrote:
>>
>>> Im Grunde hat sich protokolltechnisch nichts geändert. [...]
>>> Im Detail heißt das, dass Du bei ppp als user und password irgendwas
>>> eingeben kannst - genauso bei sip (war zumindest bei meinen Tests damals
>>> so). Nur nicht nichts (weil damit die Protokolle und oder Programme an
>>> sich wahrscheinlich nicht klarkommen).
>>
>> Danke.
>>
>> Ich fasse zusammen:
>> - Es findet zwingend eine Dummy-Authentifizierung auf PPP-Ebene statt.
>> - Als Authentifizierungsprotokoll kommt zwingend PAP zum Einsatz.
>
> Wie kommst Du auf zwingend?
> Die Telekom unterstuetzt CHAP, seit T-Online die Einwahl per PPP eingefuehrt
> hat (also noch VOR DSL-Zeiten).
> Siehe auch
> <https://telekomhilft.telekom.de/t5/Festnetz-Internet/Authentication-with-CHAP-or-PAP/td-p/1589229>
nicht wirklich von Sicherheit reden wollen.
Wer die nötigen Gerätschaften zum Sniffen mitbringt innerhalb eines
Wohnhauses z.B. irgendwo am Übergabepunkt auf Klingeldrahtebene kann
nicht ganz doof sein.
Wenn die Authentication jedoch defaultmäßig komplett ausgeschaltet ist,
kann sich jeder ohne Know How mit einem 0815-Modem ad hoc dranhängen.
Das ist schon nochmal ein deutlicher Unterschied im Vergleich zum im
Vorfeld nötigen Trace einer startenden ppp-Session (egal ob PAP oder
CHAP): da kann man u.U. Monate lang warten müssen.
>
>> - Name und Passwort dürfen nicht leer sein, sind sonst aber beliebig;
>> "none"/"none" z.B. funktioniert.
>>
>> Vulgo:
>> # ifconfig pppoe0 pppoedev vlan7 authproto pap authname none authkey none
>
> [...]
>
>> Mit klassischem Login werden die Zugangsdaten bei jedem Verbindungsaufbau
>> im Klartext über die Leitung geblasen.
>
> Falsch: mit CHAP werden sie nicht im Klartext uebertragen.
davon ist die Tür natürlich wieder ein Stück weiter zu im Vergleich zu PAP.
Wobei es evtl. durchaus auch eine Überlegung sein kann, die Leitung
gezielt offen zu lassen. Gerade weil es dann so derart einfach ist, dass
sie von jemand anderem genutzt wird, kann man ja dann die potentiell
angerichteten Schäden versuchen abzustreiten. Dürfte nicht ganz so
einfach sein, zu belegen, dass man das selbst war und nicht ein anderer.
[1] http://tools.ietf.org/html/rfc1994
Michael Limburg
Jul 12, 2017, 7:25:38 PM7/12/17
to
Diedrich Ehlerding wrote:
> Rupert Haselbeck meinte:
>
>> der gibts insoweit sonst noch etwas, wovon Dritte betroffen sein
>> könnten?
>
> Rein theoretisch ja: wenn es in irgendeinem Kuhdorf noch Telefonanschlüsse
> gibt, bei denen nicht zwei Adresn in der Erde verbuddelt sind, sondern
> diese zwei Adren über Masten an den Aussiedlerhof in der Einöde geführt
> werden. Da könnte ein Pöhser Purche seinen eigenen Router dranklemnmen
> und dann böse Dinge tun (Filesharing etc .), und der Anschlussinhaber
> bekommt dann die Abmahnungen, weils ja sein Anschluss war.
Dazu muß man aber nicht bis ins Kuhdorf fahren. Bei älteren Doppel- und
> Rupert Haselbeck meinte:
>
>> der gibts insoweit sonst noch etwas, wovon Dritte betroffen sein
>> könnten?
>
> Rein theoretisch ja: wenn es in irgendeinem Kuhdorf noch Telefonanschlüsse
> gibt, bei denen nicht zwei Adresn in der Erde verbuddelt sind, sondern
> diese zwei Adren über Masten an den Aussiedlerhof in der Einöde geführt
> werden. Da könnte ein Pöhser Purche seinen eigenen Router dranklemnmen
> und dann böse Dinge tun (Filesharing etc .), und der Anschlussinhaber
> bekommt dann die Abmahnungen, weils ja sein Anschluss war.
Reihenhäusern habe ich schon ein paar mal gesehen, daß der Verteiler in
einem Keller den Nachbarn mitversorgt. Eine Wohnung kenne ich, da ist im
Schlafzimmer die Verteilung für die 3 Parteien im Nachbargebäude. Dann
erinnere ich mich des Technikers, der bei Problemen mit einem zusätzl.
Anschluß eines Gewerbebtriebes das Telefonkabel verfolgte, welches im
Keller in der Wand in Richtung des Nachbargebäudes verschwand. In
älteren Mehrparteienhäusern finden sich doch eigentlich recht oft mehr
oder weniger frei zugängliche Verteilungen, die zudem noch Nebengebäude
und Hinterhöfe mitversorgen. Potenzial für Unfug gibt's da eigentlich
genug.
MfG
Diedrich Ehlerding
Jul 13, 2017, 12:55:32 PM7/13/17
to
Michael Limburg meinte:
[zur Antwort auf die Frage: inwiefern kann die Autokonfiguration des
Routers am Anschluss Schaden anrichten? kam von mir das Szenario: an
Telefonfreileitung anhängen]
> Dazu muß man aber nicht bis ins Kuhdorf fahren. Bei älteren Doppel- und
> Reihenhäusern habe ich schon ein paar mal gesehen, daß der Verteiler in
> einem Keller den Nachbarn mitversorgt. [...]
dass in solchen Fällen, wo man leicht an die Telefondrähte rankommt,
selbstkonfigurierende/durch Identifikation der Leitung konfigurierte
Router mit Vorsicht zu betrachten sind, was mein Vorredner bezweifelt
hatte.
[zur Antwort auf die Frage: inwiefern kann die Autokonfiguration des
Routers am Anschluss Schaden anrichten? kam von mir das Szenario: an
Telefonfreileitung anhängen]
> Dazu muß man aber nicht bis ins Kuhdorf fahren. Bei älteren Doppel- und
> Reihenhäusern habe ich schon ein paar mal gesehen, daß der Verteiler in
> Potenzial für Unfug gibt's da eigentlich
> genug.
Ja, dann auch. Es ging mir ja nicht ums Kuhdorf-Bashing, sondern darum,
> genug.
dass in solchen Fällen, wo man leicht an die Telefondrähte rankommt,
selbstkonfigurierende/durch Identifikation der Leitung konfigurierte
Router mit Vorsicht zu betrachten sind, was mein Vorredner bezweifelt
hatte.
Christian Weisgerber
Jul 14, 2017, 10:30:05 AM7/14/17
to
On 2017-07-11, Stefan Kanthak <postm...@127.in-addr.arpa> wrote:
>> Ich fasse zusammen:
>> - Es findet zwingend eine Dummy-Authentifizierung auf PPP-Ebene statt.
>> - Als Authentifizierungsprotokoll kommt zwingend PAP zum Einsatz.
>
> Wie kommst Du auf zwingend?
> Die Telekom unterstuetzt CHAP, seit T-Online die Einwahl per PPP eingefuehrt
> hat (also noch VOR DSL-Zeiten).
Hier nicht.
>> Ich fasse zusammen:
>> - Es findet zwingend eine Dummy-Authentifizierung auf PPP-Ebene statt.
>> - Als Authentifizierungsprotokoll kommt zwingend PAP zum Einsatz.
>
> Wie kommst Du auf zwingend?
> Die Telekom unterstuetzt CHAP, seit T-Online die Einwahl per PPP eingefuehrt
> hat (also noch VOR DSL-Zeiten).
Wenn ich CHAP konfiguriere, kommt keine PPP-Sitzung zustande. Ein
Paketmitschnitt zeigt, was passiert:
- Die Juniper der Telekom schickt ein Configure-Request mit
Auth-Proto PAP.
- Mein Gateway antwortet mit Configure-Nak, Auth-Proto CHAP.
- Die Juniper schickt ein Configure-Request mit Auth-Proto PAP.
- Mein Gateway antwortet mit Configure-Nak, Auth-Proto CHAP.
- Die Juniper schickt ein Configure-Request mit Auth-Proto PAP.
- Mein Gateway antwortet mit Configure-Nak, Auth-Proto CHAP.
- Die Juniper schickt ein Configure-Request mit Auth-Proto PAP.
- Mein Gateway antwortet mit Configure-Nak, Auth-Proto CHAP.
- Die Juniper schickt ein Configure-Request mit Auth-Proto PAP.
- Mein Gateway antwortet mit Configure-Nak, Auth-Proto CHAP.
...
Christian Weisgerber
Jul 14, 2017, 12:30:07 PM7/14/17
to
On 2017-07-12, Andreas Hartmann <andiha...@01019freenet.de> wrote:
> Korrekt. Aber da CHAP md5 als Hashalgorithmus nutzt, würde ich da auch
> nicht wirklich von Sicherheit reden wollen.
Die Angreifbarkeit von MD5 ist dergestalt, dass man zu einem bekannten
> Korrekt. Aber da CHAP md5 als Hashalgorithmus nutzt, würde ich da auch
> nicht wirklich von Sicherheit reden wollen.
Datensatz einen anderen Datensatz (sogar mit frei wählbarem Anfang)
finden kann, der denselben Hashwert hat. Man kann aber nicht umgekehrt
aus dem Hashwert auf unbekannte Daten zurückschließen. Auf diesem
Weg ist ein Angriff auf CHAP nicht durchführbar.
Man kann aber eine Authentifizierung mitschneiden und dann einen
Brute-Force-Angriff starten; die Angreifbarkeit von MD5 ist dafür
unerheblich. Die von der Telekom verteilten Kundenkennwörter (acht
Ziffern) sind damit sofort gefunden.
> Das ist schon nochmal ein deutlicher Unterschied im Vergleich zum im
> Vorfeld nötigen Trace einer startenden ppp-Session (egal ob PAP oder
> CHAP): da kann man u.U. Monate lang warten müssen.
zusammen und wird beim Wiederherstellen der Leitung neu aufgebaut.
Rupert Haselbeck
Jul 14, 2017, 1:10:11 PM7/14/17
to
Diedrich Ehlerding schrieb:
> Michael Limburg meinte:
>
> [zur Antwort auf die Frage: inwiefern kann die Autokonfiguration des
> Routers am Anschluss Schaden anrichten? kam von mir das Szenario: an
> Telefonfreileitung anhängen]
>
>> Dazu muß man aber nicht bis ins Kuhdorf fahren. Bei älteren Doppel- und
>> Reihenhäusern habe ich schon ein paar mal gesehen, daß der Verteiler in
>> einem Keller den Nachbarn mitversorgt. [...]
>> Potenzial für Unfug gibt's da eigentlich
>> genug.
>
> Ja, dann auch. Es ging mir ja nicht ums Kuhdorf-Bashing, sondern darum,
> dass in solchen Fällen, wo man leicht an die Telefondrähte rankommt,
> selbstkonfigurierende/durch Identifikation der Leitung konfigurierte
> Router mit Vorsicht zu betrachten sind, was mein Vorredner bezweifelt
> hatte.
Denkbar wäre vieles. Praktisch anzutreffen sind derlei Szenarien offenbar
selten bis nie, wie der Umstand zeigen mag, dass man von derlei bösen Dingen
nicht hört. Es ist ja auch nicht ganz einfach, die jeweils richtige Leitung
zu finden und unauffällig dazu Zugang zu erlangen. Beim klettern auf die
Masten von Freileitungen wird man auffallen...
Auch die möglicherweise tatsächlich vorhandenen Leitungen in irgendwelchen
Kellern, die die Nachbarhäuser versorgen, sind lediglich für einen
begrenzten Personenkreis zugänglich, so dass der Übeltäter mit einer raschen
Entdeckung rechnen müsste. (Davon abgesehen, dürften inzwischen die
gemeinsamen Anschlüsse für mehrere Häuser oder Wohnungen ziemlich
ausgestorben sein, wobei ggfls. noch tote Relikte an irgendwelchen Wänden
vorhanden sein mögen)
MfG
Rupert
> Michael Limburg meinte:
>
> [zur Antwort auf die Frage: inwiefern kann die Autokonfiguration des
> Routers am Anschluss Schaden anrichten? kam von mir das Szenario: an
> Telefonfreileitung anhängen]
>
>> Dazu muß man aber nicht bis ins Kuhdorf fahren. Bei älteren Doppel- und
>> Reihenhäusern habe ich schon ein paar mal gesehen, daß der Verteiler in
>> einem Keller den Nachbarn mitversorgt. [...]
>> Potenzial für Unfug gibt's da eigentlich
>> genug.
>
> Ja, dann auch. Es ging mir ja nicht ums Kuhdorf-Bashing, sondern darum,
> dass in solchen Fällen, wo man leicht an die Telefondrähte rankommt,
> selbstkonfigurierende/durch Identifikation der Leitung konfigurierte
> Router mit Vorsicht zu betrachten sind, was mein Vorredner bezweifelt
> hatte.
selten bis nie, wie der Umstand zeigen mag, dass man von derlei bösen Dingen
nicht hört. Es ist ja auch nicht ganz einfach, die jeweils richtige Leitung
zu finden und unauffällig dazu Zugang zu erlangen. Beim klettern auf die
Masten von Freileitungen wird man auffallen...
Auch die möglicherweise tatsächlich vorhandenen Leitungen in irgendwelchen
Kellern, die die Nachbarhäuser versorgen, sind lediglich für einen
begrenzten Personenkreis zugänglich, so dass der Übeltäter mit einer raschen
Entdeckung rechnen müsste. (Davon abgesehen, dürften inzwischen die
gemeinsamen Anschlüsse für mehrere Häuser oder Wohnungen ziemlich
ausgestorben sein, wobei ggfls. noch tote Relikte an irgendwelchen Wänden
vorhanden sein mögen)
MfG
Rupert
Marc Haber
Jul 15, 2017, 4:53:11 AM7/15/17
to
unanständige Witze erzählt wenn man ihr mit einer CHAP-Challenge
kommt, und deswegen musste es im Netz abgeschaltet werden.
0 new messages