moormaster
11-02-2007, 17:16
Es gibt eine Sicherheitslücke in der Firmwareversion 1.9.7.2 des WLAN Routers WL 500g Premium.
Undzwar habe ich ein wenig mit den Einstellungen gespielt, weil ich primär verhindern wollte, dass sich niemand einfach an den Router stöpseln kann und im Internet surft, der da nicht eingetragen ist :D
Ich habe zunächst für alle IPs nur bestimmte ausgehende Ports fürs Internet durchgelassen:
TCP:
20-21, 22, 23, 25, 53, 80, 110, 115, 119, 143, 443, 8080
UDP:
53, 123
Vom Wireless LAN MAC Filter habe ich gebraucht gemacht. Dieser gilt jedoch nur für WLAN Teilnehmer... also habe ich den MAC Filter der integrierten Firewall auch mit aktiviert und dort die MACs ebenfalls eingetragen.
Soweit so gut... logge ich mich mit einem Rechner ein, der in den MAC Listen drin steht (also zugelassen wird), so kommen auch die anderen Einstellungen in der Firewall zur Geltung und ich habe nur auf die freigegebenen ausgehenden Ports Zugriff.
Wenn ich nun aber Spaßhalber eine MAC Adresse aus dem MAC Filter der Firewall entferne (im MAC Filter vom WLAN war sie noch eingetragen), dann passiert, was zu erwarten ist. DNS Abfragen und PINGs, welche sich direkt an den Router richten, bleiben unbeantwortet. Es wird auch vom DHCP keine IP mehr an diesen Rechner vergeben. Soweit ist das alles, wie es sein sollte :D
Aber nun kommt die Schwachstelle:
Stelle ich bei dem Rechner, welcher ja eigentlich keinen Zugang zum Internet haben sollte, nun eine feste IP ein und trage die IP des Routers als Standardgateway sowie die DNS Adressen des Internet Providers ein (schliesslich beantwortet der Router selbst ja keine DNS Anfragen mehr), so bekomme ich vollen Zugang zum Internet. Ich kann jede beliebige Adresse auflösen und sogar die Porteinstellungen der Firewall gelten dann nicht mehr. Ich habe dann mit diesem PC vollen Zugriff über sämtliche ausgehenden Ports (auch die, die ich nicht freigegeben habe... z.B. Port 6667, um auf einen IRC Server zu connecten).
Offenbar hat sich da wohl jemand gedacht, dass es überflüssig ist, ohnehin durch den MAC Filter geblockte Anfragen nochmals durch die Porteinstellungen der Firewall zu schicken... das ist ja auch richtig, wenn der MAC Filter der Firewall richtig blocken würde. Eigentlich sollte der Router diese Pakete überhaupt nicht erst routen, wenn sie von einer (implizit) geblockten MAC Adresse stammen.
Undzwar habe ich ein wenig mit den Einstellungen gespielt, weil ich primär verhindern wollte, dass sich niemand einfach an den Router stöpseln kann und im Internet surft, der da nicht eingetragen ist :D
Ich habe zunächst für alle IPs nur bestimmte ausgehende Ports fürs Internet durchgelassen:
TCP:
20-21, 22, 23, 25, 53, 80, 110, 115, 119, 143, 443, 8080
UDP:
53, 123
Vom Wireless LAN MAC Filter habe ich gebraucht gemacht. Dieser gilt jedoch nur für WLAN Teilnehmer... also habe ich den MAC Filter der integrierten Firewall auch mit aktiviert und dort die MACs ebenfalls eingetragen.
Soweit so gut... logge ich mich mit einem Rechner ein, der in den MAC Listen drin steht (also zugelassen wird), so kommen auch die anderen Einstellungen in der Firewall zur Geltung und ich habe nur auf die freigegebenen ausgehenden Ports Zugriff.
Wenn ich nun aber Spaßhalber eine MAC Adresse aus dem MAC Filter der Firewall entferne (im MAC Filter vom WLAN war sie noch eingetragen), dann passiert, was zu erwarten ist. DNS Abfragen und PINGs, welche sich direkt an den Router richten, bleiben unbeantwortet. Es wird auch vom DHCP keine IP mehr an diesen Rechner vergeben. Soweit ist das alles, wie es sein sollte :D
Aber nun kommt die Schwachstelle:
Stelle ich bei dem Rechner, welcher ja eigentlich keinen Zugang zum Internet haben sollte, nun eine feste IP ein und trage die IP des Routers als Standardgateway sowie die DNS Adressen des Internet Providers ein (schliesslich beantwortet der Router selbst ja keine DNS Anfragen mehr), so bekomme ich vollen Zugang zum Internet. Ich kann jede beliebige Adresse auflösen und sogar die Porteinstellungen der Firewall gelten dann nicht mehr. Ich habe dann mit diesem PC vollen Zugriff über sämtliche ausgehenden Ports (auch die, die ich nicht freigegeben habe... z.B. Port 6667, um auf einen IRC Server zu connecten).
Offenbar hat sich da wohl jemand gedacht, dass es überflüssig ist, ohnehin durch den MAC Filter geblockte Anfragen nochmals durch die Porteinstellungen der Firewall zu schicken... das ist ja auch richtig, wenn der MAC Filter der Firewall richtig blocken würde. Eigentlich sollte der Router diese Pakete überhaupt nicht erst routen, wenn sie von einer (implizit) geblockten MAC Adresse stammen.