Skip to end of metadata
Go to start of metadata


Information:
Die Deutsche Telekom bietet ihren Kunden den kostenlosen Service, mit einem WAN-seitigen Port-Scan den für den Internetzugang verwendeten Router auf Sicherheitslücken oder Konfigurationsfehler zu überprüfen und per E-Mail zu informieren wenn beim eingesetzten Gerät derartiges gefunden wurde. Diese Sicherheitsüberprüfung muss bei der Telekom nicht explizit beauftragt werden.
Die gefundenen Sicherheitslücken beziehen sich auf Dienste-Ports, welche WAN-seitig erreichbar sind und daher einem potentiellen Angreifer Zugang zum Router ermöglichen können.
Aktuell (Stand: Mai 2019) informiert die Deutsche Telekom vermehrt über einen WAN-seitig geöffneten Port des TELNET-Dienstes (Port 23/TCP) bei einem LANCOM Router:


Was muss getan werden, um den TELNET-Port WAN-seitig zu schließen?
1. Stellen Sie zunächst sicher, das Sie auf dem LANCOM Router eine aktuelle LCOS-Firmware verwenden. Diese erhalten Sie kostenlos auf der LANCOM Webseite.
2. Öffnen Sie die Konfiguration Ihres LANCOM Routers und kontrollieren Sie die WAN-seitigen Zugriffs-Rechte im Menü Management → Admin → Zugriffseinstellungen → Zugriffs-Rechte → Von einer WAN-Schnittstelle.
3. Überprüfen Sie das konfigurierte Zugriffs-Recht für das TELNET-Protokoll.
Um den TELNET-Port WAN-seitig zu schließen, muss die Option "nicht erlaubt" eingestellt werden.
4. Überprüfen Sie zudem die Zugriffs-Rechte für alle anderen Protokolle.
Beim Zuweisen der Zugriffs-Rechte auf einer WAN-Schnittstelle sollten aus Sicherheitsgründen bei allen unsicheren Protokollen (HTTP, Telnet, SNMPv1/v2 und TFTP) nur die Zugriffs-Rechte "nur über VPN" oder "nicht erlaubt" verwendet werden. Die verschlüsselten Dienste SSH, HTTPS und SNMPv3 können die Zugriffs-Rechte "erlaubt" oder "nur lesen" erhalten.
Weitere Informationen zur Konfiguration der Zugriffs-Rechte bei LANCOM Geräten erhalten Sie in diesem Knowledge Base Dokument.
5. Schreiben Sie die Konfiguration anschließend in den LANCOM-Router zurück.
Info:
Sie können diese Sicherheitsüberprüfung auch selbstständig vornehmen, indem Sie Ihren Router einen sog. Netzwerkcheck unterziehen. 
Dies können Sie z.B. auf der Webseite des Heise-Verlages tun ( https://www.heise.de/security/dienste/Netzwerkcheck-2114.html ).