Kurios: Router leitet Traffic kurzzeitig komplett auf Domain telekom.de um

Dieses Thema im Forum "Webhosting/DSL-Anbieter" wurde erstellt von echo.park, 31.12.13.

  1. echo.park

    echo.park Orleans Reinette

    Dabei seit:
    08.06.11
    Beiträge:
    10.292
    Hi,

    vor wenigen Tagen sah ich mich gezwungen meinen Router von der Telekom auf die Werkseinstellungen zurücksetzen zu müssen.

    Nun ist es so, dass der Router nach dem Zurücksetzen logischerweise ohne hinterlegte Zugangsdaten neu startet und versucht über die automatische Konfiguration eben diese Zugangsdaten zu beschaffen. Dazu öffnet man dann einfach den Webbrowser des verbundenen Computers und gelangt automatisch auf eine entsprechende Webseite der Telekom, auf der man sich dann mit den eigenen Login-Daten einloggt und der Router anschließen aus der Ferne konfiguriert wird.

    Hier findet also eine Umleitung des Webbrowsers auf diese Telekom-Seite statt. Egal welche URL man öffnet, man landet immer dort. Erst wenn die Zugangsdaten wieder eingetragen sind und man dadurch auf herkömmliche Weise "online" ist, kann man wieder wie gewohnt surfen.

    Ich habe Little Snitch installiert und bemerkt, dass durch diese Umleitung auch sämtliche Systemprozesse von OS X zur Telekom umgeleitet wurden. Teilweise wurde ich durch Little Snitch auch gefragt, ob ich eine Verbindung zu "kundencenter.telekom.de" oder "walledgarden.telekom.de" zulassen möchte. Da ich ungern etwas blockiere, was auf den ersten Blick legitim aussieht, habe ich sämtliche Verbindungen zugelassen. Warum genau ich das tat, kann ich im Nachhinein allerdings nicht beantworten. Das geschah wohl eher unbewusst.

    Dazu zählten dann Prozesse wie "storeagent", "gamed", "configd" oder auch die App Mail.

    Jetzt möchte ich einfach wissen, wie der Server der Telekom auf diesen Traffic reagiert hat bzw. was da hinter den Kulissen stattgefunden hat. Eben weil diese Prozesse auch sensible Daten übertragen, zum Beispiel Tokens der eingeloggten Apple ID, oder im Falle von Mail auch die Passwörter sämtlicher Mail-Accounts.

    Dass der Telekom-Server keine Daten "mitloggt", die da ungefragt auf ihn einprasseln, das sollte eigentlich klar sein, auch nicht "aus Versehen", wie es mal Blackberry mit Passwörter für Mail-Accounts "geschafft" hat, wenn man auf seinem Telefon einen Account eingerichtet hat.

    Aber wie verhält sich das dazu, dass ich ja zu einem späteren Zeitpunkt über die Telekom-Webseite in meinen dortigen Account eingeloggt war und somit ein Kanal "offen" stand? Der Browser lief über Port 443 und alle Prozesse, die ich beobachtet habe, liefen ebenfalls über diesen Port. Lediglich Mail lief über Port 993.

    Könnten denn diese eintrudelnden Daten irgendwas an meinem Account bei der Telekom geändert haben? Irgendwelche hinterlegten Daten oder Einstellungen? In meinen wüstesten Fantasien male ich mir aus, dass sogar das hinterlegte Passwort bei der Telekom durch ein eintrudelndes Passwort dieses umgeleiteten Traffics hätte geändert werden können. Aber da spielen ja auch gültige Zertifikate eine Rolle, nicht wahr? Wie unterscheidet sich denn beispielsweise der verschlüsselte Traffic eines Gmail-Accounts von dem eines Telekom-Accounts? Könnte denn ein Server ankommende Daten, die eigentlich für einen anderen Server bestimmt sind, "lesen und verstehen", würde man das alles "umswitchen"?

    Oder ist es einfach so, dass ein solcher Telekom-Server eine NAT-ähnliche Firewall nutzt, die unangeforderte Datenpakete ignoriert, auch dann, wenn ich parallel über den Browser eingeloggt bin?
    Hiervon wäre dann insbesondere der Traffic verursacht durch Mail über Port 993 betroffen, denn die Webseite der Telekom verweist ja wohl kaum auf einen "Mail-Server", der damit etwas anfangen könnte, der auch überhaupt auf diesem Port "lauschen" würde.

    Dieser ganze Thread klingt vermutlich ziemlich bescheuert für jemanden, der es besser weiß und sich in der Materie auskennt. Kommt vermutlich wie ein Witz rüber, das alles hier. Das ist mir klar. Ich habe auch lange überlegt überhaupt einen solchen Thread zu erstellen.

    Ich bin dankbar für jeden Post, der für etwas Verständnis in diesem Zusammenhang sorgt.

    ;)

    // Edit: Wie hat Little Snitch eigentlich "mitbekommen", dass der Traffic durch den Router umgeleitet wurde? Liegt das nicht ausserhalb der "Wahrnehmung" von Little Snitch? Ich bin begeistert, ein klasse Tool. :D
     
    #1 echo.park, 31.12.13
    Zuletzt bearbeitet: 31.12.13
  2. Wuchtbrumme

    Wuchtbrumme Manks Küchenapfel

    Dabei seit:
    03.05.10
    Beiträge:
    11.285
    da kann man kaum Verständnis produzieren, denn das würde ja voraussetzen, dass man selbst verstehen würde, was da passiert ist. Mangels Mitschnitt des (unverschlüsselten) Netzwerktraffics ist das geradezu ausgeschlossen. Bleiben pauschale Phrasen und Spekulation: Weil idealerweise sämtlicher Traffic verschlüsselt sein sollte, sollte von den ganzen Apple-Komponenten an Bord kein einziger Kommunikationskanal geöffnet worden sein können (die Zertifikate sollten nicht brauchbar sein, zumindest in der Theorie; was praktisch passiert kann nur jemand schreiben, der das mal vernünftig analysiert, dazu wäre BlackHat eine gute Adresse). Mach Dir keine Gedanken, dass Dir irgendwas davon etwas "umgestellt" haben könnte, das funktioniert über Formulare bzw. Entsprechungen in Web2.0, über die normalen http bzw. smtp-Protokolle passiert diesbezüglich nichts. Angesichts des ganzen NSA-Zirkus derzeit ist das alles, was Du schreibst, immer noch "nur Kindergarten" ;), die richtig bösen Sachen passieren nicht an der Stelle. Nichtsdestotrotz: Schön zu sehen, was ein Zwangsrouter alles so könnte, so er denn wollte (und man ihn mangels Zugangsdaten nicht mal kontrollieren kann; dass Du mitbekommen hast, wohin der Traffic umgeleitet wurde ist ja quasi nur Zufall, wer das richtig böse machen wollte, könnte das auch entsprechend, ohne dass Du was davon merkst).
     
    echo.park gefällt das.
  3. echo.park

    echo.park Orleans Reinette

    Dabei seit:
    08.06.11
    Beiträge:
    10.292
    Solche Antworten habe ich mir erhofft. Kannst du an dieser Stelle vielleicht noch ein wenig ins Detail gehen? Was meinst du mit Web 2.0? Wenn du von Formularen sprichst, meinst du dann zum Beispiel eines, das zur Änderung von Daten vorgesehen ist, etwa zum Ändern eines Passwortes?
     
  4. echo.park

    echo.park Orleans Reinette

    Dabei seit:
    08.06.11
    Beiträge:
    10.292
    Ja, das stimmt. Dank Little Snitch.

    // Edit: Der Doppelpost war nicht beabsichtigt.
     
  5. fLuP

    fLuP Friedberger Bohnapfel

    Dabei seit:
    15.06.13
    Beiträge:
    530
    Von welchen Router reden wir eigentlich?
     
  6. echo.park

    echo.park Orleans Reinette

    Dabei seit:
    08.06.11
    Beiträge:
    10.292
    Es geht um einen Speedport. Welches Modell genau sollte keine Rolle spielen, die arbeiten alle gleich, was die automatische Konfiguration angeht.
     
  7. Wuchtbrumme

    Wuchtbrumme Manks Küchenapfel

    Dabei seit:
    03.05.10
    Beiträge:
    11.285
    ja, genau. Du hast halt über http/https Zugriff auf eine HTML-Seite mit einem Form, das eine POST Struktur enthält. Im Hintergrund können dann Skripte mit den übergebenen Werten Dinge tun, z.B. das Passwort ändern. Im Web2.0 mag es eine Entsprechung geben, mea culpa, ich bin da schon nicht mehr auf dem Laufenden. Was ich sagen will, es ist sehr unwahrscheinlich, dass die übergebenen Datenstrukturen genau dasjenige Format haben, was eine andere Webseite erwartet - wenn denn die Kommunikationskanäle überhaupt geöffnet werden konnten, denn der ganze Apple-Wischwasch sollte ja verschlüsselt arbeiten und dazu im Idealfall nicht irgendein Zertifikat benutzen, sondern das, was dafür vorgesehen ist und dabei dürfte es sich kaum um Telekom-Zertifikate handeln.
     
    echo.park gefällt das.
  8. echo.park

    echo.park Orleans Reinette

    Dabei seit:
    08.06.11
    Beiträge:
    10.292
    Das kann ich nachvollziehen. Zählt dazu dann auch Mail? Dort sind ja verschiedene Accounts hinterlegt, unter anderem auch mein Telekom-Mail-Account, den ich ursprünglich über die Systemeinstellungen von OS X eingerichtet habe. Zumindest dieser könnte rein theoretisch ein Telekom-Zertifikat haben, und auch das Passwort welches über einen solchen Kanal übertragen werden würde, könnte genutzt werden um in meinem Telekom-Account Passwörter und Einstellungen zu verändern. Aber an dieser Stelle kommen dann wieder die Formulare ins Spiel und die Tatsache, dass Mail nicht über https kommuniziert.

    Aber ich merke schon, meine Vorstellungen gehen wieder mal viel zu weit, gerade zu in die Abstrusität. ;)

    // Edit: Ob Passwörter verändert wurden kann man ja ganz leicht rausfinden, mag der eine oder andere denken. Aber bei der Telekom hat man zig solcher Dinger, unter anderem ein ominöses FTP-Passwort, welches irgendwann mal gesetzt wurde, ich in 10 Jahren aber nie genutzt habe und auch garnicht wüsste wie und wo.
     
    #8 echo.park, 31.12.13
    Zuletzt bearbeitet: 31.12.13
  9. fLuP

    fLuP Friedberger Bohnapfel

    Dabei seit:
    15.06.13
    Beiträge:
    530
    Nein weil ich vor 2 Wochen noch einen 9XX konfiguriert habe wo das nicht so war ;)
     
  10. echo.park

    echo.park Orleans Reinette

    Dabei seit:
    08.06.11
    Beiträge:
    10.292
    @fLuP
    Dann hast du es nur nicht gemerkt. Die Webseite, die man zur Konfiguration aufruft, ist immer gleich. Und auch die Weiterleitung dahin, die ein Router vollzieht wenn keine Zugangsdaten hinterlegt sind, ist gleich. Bei all dem spielt das Router-Modell doch keine Rolle, solange dieser auch "Easy-Support"-fähig ist, wie es die Telekom nennt.

    Es kann auch sein, dass diese Hintergrundprozesse gerade nicht aktiv eine Verbindung zum Internet aufzubauen versuchten, solltest du Little Snitch nutzen und dieses nichts gemeldet haben.
     
  11. fLuP

    fLuP Friedberger Bohnapfel

    Dabei seit:
    15.06.13
    Beiträge:
    530
    @echo.park

    Nein weil zum Zeitpunkt der Konfiguration war es nicht möglich das der Router irgendeine Verbindung zur Telekom aufbauen konnte da er auf der DSL Seite zum Splitter nicht verbunden war und auch keinerlei sonstige Internetverbindung bestand. Router wurde über den Browser konfiguriert --> Zugriff über IP welche vom Router aufgelöst wurde zu speedport.ip ;)

    Also würde mich schonmal Interessieren um welchen Speedport es sich bei dir handelt.
     
  12. Wuchtbrumme

    Wuchtbrumme Manks Küchenapfel

    Dabei seit:
    03.05.10
    Beiträge:
    11.285
    das eine schließt doch aber das andere nicht aus. Bei beiden Aspekten ist die Namensauflösung beteiligt, und die kann ja laufen, egal, ob das Ding in die große weite Wolke kommt oder nicht…
     
  13. echo.park

    echo.park Orleans Reinette

    Dabei seit:
    08.06.11
    Beiträge:
    10.292
    @fLuP
    Na da haben wir es doch! Du hast deinen Router manuell (!) konfiguriert und deine Zugangsdaten von Hand eingegeben. Du warst nie mit dem Support-Netz der Telekom verbunden, hast keine Webseite besuchst und wurdest auch nicht dorthin umgeleitet. In diesem Thread geht es um die automatische Fern-Konfiguration!

    // Edit: Natürlich habe ich zu Beginn die Konfigurationsoberfläche des Routers geöffnet um ihn auf die Werkseinstellungen zurückzusetzen. Und nach der automatischen Konfiguration habe ich natürlich noch weitere Einstellungen vorgenommen.
     
  14. fLuP

    fLuP Friedberger Bohnapfel

    Dabei seit:
    15.06.13
    Beiträge:
    530
    Genau mir geht es ja um die Ferneinstellung.
     
  15. echo.park

    echo.park Orleans Reinette

    Dabei seit:
    08.06.11
    Beiträge:
    10.292
    Es geht um einen W7xx Router. Aber ich weiß nicht, worauf du hinaus willst. Wir reden aneinander vorbei.

    Die kannst du garnicht durchgeführt haben, wenn dein Router nicht mit dem Internet verbunden war... also worauf willst du hinaus?
     
  16. fLuP

    fLuP Friedberger Bohnapfel

    Dabei seit:
    15.06.13
    Beiträge:
    530
    Ja kann sein :D
     
  17. echo.park

    echo.park Orleans Reinette

    Dabei seit:
    08.06.11
    Beiträge:
    10.292
    Das ist ganz sicher so. ;)

    Nun gut, ich denke, dabei kann man es erst mal belassen. Ich danke @Wuchtbrumme für die Antworten. Wenn noch ein Netzwerk-Experte antworten möchte, nur zu.
     
  18. Ragnir

    Ragnir Adams Parmäne

    Dabei seit:
    18.10.08
    Beiträge:
    1.320
    Ja; alle gleich im Sinne von Autokonfig möglich / nicht möglich, das schon.
    Ob die Autokonfiguration nutzbar ist, hängt vor allem vom Anschluss ab, sie funktioniert nur an IP-basierten Anschlüssen.
     
  19. echo.park

    echo.park Orleans Reinette

    Dabei seit:
    08.06.11
    Beiträge:
    10.292
    Das stimmt so nicht. Ich habe einen sogenannten "Standard"-Anschluss, nichts mit IP-basiert. ;)

    Was soll das auch für einen Unterschied machen?
    Es ändert sich lediglich der "Umfang" der Konfiguration, ob man beispielsweise (IP-) Telefonie gebucht hat oder nicht. Das wird dann eben zusätzlich zu den eigentlichen Zugangsdaten konfiguriert. Wenn nicht, dann erscheint in den Logs des Routers "IP-Telefonie nicht gebucht." und lediglich die Zugangsdaten werden eingetragen, damit man online gehen kann ("Die Zugangsdaten wurden übermittelt.").

    Ich nutze die automatische Konfiguration schon seit zig Jahren und auch schon zu Zeiten, da gab es noch gar keine IP-basierten Anschlüsse, wie du sie nennst.

    // Edit: Die Autokonfiguration basiert auf TR-069, wenn ich mich nicht irre. Das sollte eigentlich immer fnktionieren, unabhängig von der Anschlussart, die gebucht wurde.

    // Edit 2: Abgesehen davon ist das hier doch überhaupt nicht das Thema. Das fällt schon fast in die Kategorie "Off-Topic". :D
     
    #19 echo.park, 31.12.13
    Zuletzt bearbeitet: 31.12.13
  20. Ragnir

    Ragnir Adams Parmäne

    Dabei seit:
    18.10.08
    Beiträge:
    1.320
    Es würde definitiv einen Unterschied machen, da man sich direkt im IP-Netzwerk befindet. Ob man IP-Telefonie nutzt oder nicht, ist natürlich nachrangig. Es ging ja auch nur um den Internetzugang denke ich.

    Also bei mir (ISDN) ging auf jeden Fall nichts mit autokonfig.telekom.de und ich bin mir relativ sicher, irgendwo auf den Seiten der Telekom gelesen zu haben, dass das nur für die IP-basierten Anschlüsse gedacht ist. Leider weiß ich jetzt auch nicht mehr, wo das genau stand.

    Aber wenn es bei Dir ging bin ist das toll, danke für die Info!