Unitymedia Warnung: offener mDNS Dienst / mdns-zeroconf

[McPart]

Hi,
ich bin mir nicht Sicher ob dieses Unterforum richtig ist, falls nicht bitte verschieben
Vor ein paar Tagen habe eine Mail von Unitymedia mit folgendem Inhalt erhalten

Sehr geehrte Damen und Herren,

wichtiger Sicherheitshinweis vom IT-Sicherheitsteam zu Ihrem Produkt vom .

Ihre Kundennummer: xxxxxxxxxxx

Wir konnten in den letzten Tagen feststellen, dass ein von Ihnen verwendetes internetfähiges Endgerät ein Sicherheitsproblem darstellt. Auf Ihrem Endgerät ist ein sogenannter offener mDNS Dienst aktiv. Dessen Funktion stellen Sie jedem Internetnutzer weltweit zur Verfügung. Das Problem wird in den meisten Fällen durch eine fehlerhafte Einstellung oder eine veraltete Firmware Ihres Endgerätes verursacht. Wir stellen Ihnen weitere Informationen zu diesem Sicherheitshinweis über folgenden Link zur Verfügung. Die meisten Hersteller stellen auf Ihren Internetseiten aktuelle Sicherheitsupdates für das jeweilige Modell zur Verfügung. Wenn Sie dort fündig werden, installieren Sie das Update bitte nach den Anweisungen des Herstellers.

Im enthaltenen Link ist dann folgende Auflistung:

08.07.2019 21:30 mdns-zeroconf xxx.xxx.xxx.xxx abuse@unitymedia.de
07.07.2019 19:29 mdns-zeroconf xxx.xxx.xxx.xxx abuse@unitymedia.de
05.07.2019 21:26 mdns-zeroconf xxx.xxx.xxx.xxx abuse@unitymedia.de
04.07.2019 21:28 mdns-zeroconf xxx.xxx.xxx.xxx abuse@unitymedia.de
03.07.2019 21:36 mdns-zeroconf xxx.xxx.xxx.xxx abuse@unitymedia.de


Scheinbar geht es um den Bonjour-Dienst, der auf meiner Synology 118 aktiv ist/war.

Ich verstehe allerdings nicht, warum das ein Problem ist. An der Fritzbox sind für VPN 1701, 500, 4500 für die Diskstation freigegeben. Die Firewall der Synology ist nicht aktiviert...

Ist das ein falscher Alarm oder ist das tatsächlich eine Sicherheitslücke? Falls ja, Frage ich mich warum der Bonjour-Dienst standardmäßig aktiv ist.

Vielen Dank für eure Hilfe!

 

[Dary]

Hi McPart,

Ich bekomme die gleiche Warnung regelmäßig von Unitymedia zugeschickt, bin daher auch an einer Lösung interessiert.
Nach einer kurzen Recherche ist wohl der UDP Port: 5353 an allem Schuld, werde den mal versuchen zu blocken.
Eine detailierte Beschreibung zur Sicherheitslücke durch mdns-zeroconf gibt's hier

Ich habe auch kurz einen test mit meiner externen IP4 Adresse hier gemacht und der Port 5353 ist bei mir offen:
https://hackertarget.com/udp-port-scan/

 

[McPart]

Hi,

in meinem Fall habe ich wohl fälschlicherweise die Diskstation beschuldigt. Tatsächlich war es aber die Playstation 4 (die als Exposed Host vor der Firewall war) und dem darauf laufenden Spotify-Dienst. Leider konnte ich das Problem bisher noch nicht lösen, auch die Deaktivierung des Exposed Host in der Fritzbox löste das Problem nicht. Wahrscheinlich liegt es an den UPnP-Einstellungen, die den 5353 Port aufmachen

 

[Fusion]

Man kann in der Fritzbox auch untersagen, dass Clients per uPnP Ports öffnen...

 

[McPart]

Klar geht das, aber UPnP hat ja auch einen Sinn – ich will mich ja möglichst nicht darum kümmern müssen, welchem Gerät ich welche Ports öffnen soll. Und nur weil die PS4/Spotify meint, irgendwelche Anfragen beantworten zu müssen, möchte ich UPnP nicht für mein gesamtes Netzwerk deaktivieren.

Weiß jemand, wie es sich verhält, wenn ich UPnP aktiviert lasse, aber den UDP 5353 explizit für die PS4 sperre? Was trifft dann letztendlich zu?

 

[Fusion]

Ich weiß halt ganz gerne, wer was in meinem Netz macht. Da ist uPnP eher hinderlich. Sinn und Komfort sind zwei Dinge.
Meines Wissens kann man uPnP bzw Portfreigaben auch pro Gerät erlauben. ob man dafür uPnP erst Mal für alle deaktivieren muss weiß ich leider nicht.

 

[McPart]

Klar, du hast vollkommen Recht..Ich würde es allerdings so formulieren: Komfort und Sicherheit sind zwei verschiedene Dinge.

UPnP lässt sich in der FB tatsächlich pro Gerät aktivieren, meine Frage ist aber eher, wie sich die FB bei widersprüchlichen Angaben verhält:
UPnP (grundsätzlich/oder nur für PS4) aktiv = PS4 bestimmt, welche Ports die FB öffnet (und will UDP 5353 geöffnet haben) ---> Widerspruch <--- UDP 5353 ist explizit für die PS4 gesperrt.

Nach meinem Verständnis sollte die FB die explizite Anweisung eigentlich höher gewichten und demnach den Port nicht öffnen...naja, ich muss es einfach mal testen

 

[Fusion]

Wo kann man denn in der Fritzbox explizit Ports für den Zugriff von außen sperren?
Meinem Gedächtnis nach ist erst Mal alles dicht (nach dem sinnvollen Ansatz: Alles verboten was nicht explizit erlaubt ist), außer man macht, oder lässt machen, Ports auf. Von daher kann es gar kein Widerspruch geben (und das Problem muss anders gelöst werden).

 

[Dary]

Hi, also ich habs jetzt endlich gesperrt bekommen...

1. Exposed host deaktivieren und ports selbst freigeben die man benötigt
2. Port 5353 als Netzwerkanwendung anlegen, siehe Anleitung
3. Im Standard Profil unter filter sperren

Jetzt steht nur noch filtered unter 5353 bei https://hackertarget.com/udp-port-scan/

 

[Fusion]

Das gilt aber nur für ausgehenden Verkehr. Das Problem ist aber der eingehende Verkehr, offene Port. Dafür reicht schon dein Schritt 1 aus.

 

[McPart]

Wo kann man denn in der Fritzbox explizit Ports für den Zugriff von außen sperren?
Meinem Gedächtnis nach ist erst Mal alles dicht (nach dem sinnvollen Ansatz: Alles verboten was nicht explizit erlaubt ist), außer man macht, oder lässt machen, Ports auf. Von daher kann es gar kein Widerspruch geben (und das Problem muss anders gelöst werden).

Ist exakt so, wie Dary es erläutert bzw. verlinkt hat. Ist zwar ein wenig umständlich gelöst bei der FB, aber man kann durchaus explizite Anwendungen geräte(klassen)spezifisch sperren

 

[NSFH]

Die Idee hinter upnp ist in einem LAN ganz nett, sollte aber trotzdem nicht verwendet werden. Das öffnet einem Schädling Tür und Tor, daher upnp auf OFF stellen!

 

[McPart]

@Dary:

Ich glaub, ich habs jetzt auch hinbekommen...

Beim Anlegen der "Liste" hatte ich damals wohl Quell- und Zielport verwechselt.
Jetzt habe ich Quellport "5353" und Zielport "beliebig" als Liste angelegt, Protokoll UDP. Kannst du das bestätigen?

Der von dir verlinkte Check spuckt jetzt ebenfalls "filtered" aus und nicht mehr wie zuvor "open". Bei dem Versuch vor ein paar Wochen konnte ich nur durch ein komplettes Ausschalten der PS4 bzw. LAN-Kabel ziehen ein "closed" erzielen ;-)

Mal beobachten, was der unitymedia-security check in Zukunft meldet.

 

[Jagnix]

Ich bin die ganze Zeit am überlegen warum ich eine PS4 auf Exposed Host setzen sollte und mir fällt keiner ein.

 

[McPart]

Weil bei manchen Spielen trotz aller Portfreigaben das NAT als strikt bzw. moderat und nicht als offen erkannt wird. Resultiert dann wiederum darin, dass du zwar Spiele joynen kannst, aber es als Host zu Problemen führen kann. Sollte eigentlich nicht so sein, hab die Erfahrung aber immer wieder gemacht. Solange die PS4 als solche nicht "geknackt" ist, ist das ja auch eigentlich kein Problem. Tatsächlich is das mittlerweile sicher nicht mehr empfehlenswert.

 

[Dary]

@Dary:

Ich glaub, ich habs jetzt auch hinbekommen...

Beim Anlegen der "Liste" hatte ich damals wohl Quell- und Zielport verwechselt.
Jetzt habe ich Quellport "5353" und Zielport "beliebig" als Liste angelegt, Protokoll UDP. Kannst du das bestätigen?

Der von dir verlinkte Check spuckt jetzt ebenfalls "filtered" aus und nicht mehr wie zuvor "open". Bei dem Versuch vor ein paar Wochen konnte ich nur durch ein komplettes Ausschalten der PS4 bzw. LAN-Kabel ziehen ein "closed" erzielen ;-)

Mal beobachten, was der unitymedia-security check in Zukunft meldet.

Moin,

der Unitymedia check hat bei mir seitdem nichts mehr beanstandet

LG Dary