A1 Community

Beantwortet
Diese Frage wurde bereits gelöst.

Wieso gibt es noch die PPPoE Einwahl mit Zugangsdaten?


  • 1.566 Antworten
Wieso gibt es noch die PPPoE Einwahl mit eigenen Zugangsdaten für jeden Kunden?
Im Endeffekt wird die Kundenzuordung eh nur noch über die Last Mile ID gemacht.
Bei dem jetzigem Design werden diese Zugangsdaten über den ACS auf das Modem gespielt. Der ACS ordnet das Modem über "die Telefondose" zu. (Datentechnisch sieht es so aus, als würde dies über die IP vom dem MGMT Interface irgendwie dem Kunden zu geordnet werden. Auf dem Interface hat jeder eine Statische Private IP. Bei GPON wird der "Port" über das GPON Passwort im ONT zugeordnet, bei DSL über den Port am MSAN/DSLAM)
Für mich sieht es nur nach unnötigem Aufwand aus.
Bei den Kabelanbietern funktioniert das doch auch ohne Einwahl. Da werden die Kunden über ein Zertifikat identifiziert, vergleichbar mit dem GPON Passwort.
Wenn man bei PPPoE bleiben möchte, könnte man das so wie O2 machen, wo Einwahluser und Passwort "O2" ist. ( https://www.o2.cz/osobni/techzona-modemy-pro-adsl-vdsl/273154-ostatni_modemy_nikoli_od_o2.html?article=550534 )
icon

Beste Antwort von jo93 8. Oktober 2018, 11:30

Naja, beim Mein A1 kann ich mich von überall aus mit den DSL Zugangsdaten einloggen.
(Habs gerade von der Schule aus probiert. Internet vom Kabelanbieter)
Gestern habe ich zur Kontrolle das Passwort aus meinem Modem ausgelesen. Es war genau das selbe wie im Willkommens-Brief. Das Modem hatte ich zuvor resettet.

w1-net schrieb:

Grundsätzlich stimme ich dir zu, sehe hier aber keinen praktischen Angriffsvektor, der mich unruhig schlafen lassen würde...


Das Szenario wäre, Gäste WLAN ohne VPN und mit Aktiven Autologin oder Zugriffsmöglichkeit auf das Modem über das Gäste WLAN.
Beide Variante sind mir schon untergekommen.
Ich weiß, wie ich das Modem so absichern kann, dass man die PPPoE Zugangsdaten nicht mehr auslesen kann und mein Gäste WLAN leitet den Traffic über ein VPN ins Internet.

Edit: es muss ein passendes Modem dazu bei der Leitung im Einsatz sein.

Original anzeigen

11 Antworten

Benutzerebene 4

Hier siehst du, wie gut die Beiträge von Killerbees19 durch andere bewertet wurden

Abzeichen
Soweit ich das sehe, schützen die Zugangsdaten immer noch davor, dass irgendjemand (nicht der Anschlussinhaber) seine eigene Hardware an einem fremden Anschluss anstöpselt und damit Unfug treibt. Eine Telefondose ist in den seltensten Fällen komplett unzugänglich montiert.

Und im Business Bereich verhindert es jegliche fremde Hardware. Dort bekommt man ja glaube ich gar keine Zugangsdaten ausgehändigt... 😃 🙂
Guter Ansatz.

Aber, aktuell kann ich z.B. ein VV2220 neben und dieses an jeder A1 Telefondose bzw Doppeladler, wo ein Privater Internetanschluss hinterlegt ist, anhängen und die Zugangsdaten würde automatisch eingetragen werden. Aus dem Modem könnte ich diese dann auslesen. Somit bietet es (fast) keinen Schutz.
Sprich ich bin online UND habe dann die Zugangsdaten.
Bzw ist sogar eine Schwachstelle mehr, da man sich mit diesen in Mein A1 einloggen kann. Das ist mit Kunden unabhänigen PPPoE Zugangsdaten nicht möglich.
(Ich habe das bei mir zuhause probiert. Ich borgte mir ein ADB Modem eines Freundes aus, hab es angesteckt und war online.)

OK, dafür kann man nicht jedes Modem verwenden, aber die A1 Modems wo dies funktioniert bekommt relativ leicht.
Benutzerebene 4

Hier siehst du, wie gut die Beiträge von Killerbees19 durch andere bewertet wurden

Abzeichen
jo93 schrieb:

Aber, aktuell kann ich z.B. ein VV2220 neben und dieses an jeder A1 Telefondose bzw Doppeladler, wo ein Privater Internetanschluss hinterlegt ist, anhängen und die Zugangsdaten würde automatisch eingetragen werden. Aus dem Modem könnte ich diese dann auslesen. Somit bietet es (fast) keinen Schutz.


Autsch… 🤐

Ok, ich habe nichts gesagt. Vergiss meinen vorherigen Beitrag! 😅
Benutzerebene 4

Hier siehst du, wie gut die Beiträge von Killerbees19 durch andere bewertet wurden

Abzeichen
btw: Wenn das wirklich so funktioniert, würde es allerdings auch bedeuten, dass diese Passwörter ebenfalls im Klartext vorliegen. Nicht, dass mich das nach den letzten Tagen noch wundern würde, aber ich mein ja nur... 😞
Es gibt einen anderen ISP beim VoIP Passwort, jedes mal wenn sich das Modem neu einrichtet, neu würfelt wurde. Wobei das Verfahren hat dieser dann eingestellt. (Schweiz)
Benutzerebene 7

Hier siehst du, wie gut die Beiträge von w1-net durch andere bewertet wurden

Abzeichen +2
Vielleicht ist es mehr Aufwand, das gesamte System von Zugangsdaten abzuschaffen, als es einfach so weiter laufen zu lassen.

Stört doch niemanden wirklich, wie du sagst, werden eh automatisch in die CPE´s provisioniert...
w1-net schrieb:

Vielleicht ist es mehr Aufwand, das gesamte System von Zugangsdaten abzuschaffen, als es einfach so weiter laufen zu lassen.

Stört doch niemanden wirklich, wie du sagst, werden eh automatisch in die CPE´s provisioniert...


Wobei dann wäre es Sinnvoll wenn man sich mit den Einwahldaten nicht im Mein A1 Einloggen kann.
Benutzerebene 7

Hier siehst du, wie gut die Beiträge von w1-net durch andere bewertet wurden

Abzeichen +2
Grundsätzlich stimme ich dir zu, sehe hier aber keinen praktischen Angriffsvektor, der mich unruhig schlafen lassen würde...
Benutzerebene 5

Hier siehst du, wie gut die Beiträge von A1_Mathias durch andere bewertet wurden

Hallo @jo93, vielen Dank für deine Anregung. Wir haben das Thema intern weitergeleitet und werden den Verbesserungsvorschlag mit unseren DSL Experten besprechen. Als Info kann ich euch noch geben das ein DSL Login mit fremden Daten nicht möglich ist, weil die Daten standortgebunden sind. LG Mathias
Benutzerebene 7

Hier siehst du, wie gut die Beiträge von w1-net durch andere bewertet wurden

Abzeichen +2
A1_Mathias schrieb:

Als Info kann ich euch noch geben das ein DSL Login mit fremden Daten nicht möglich ist, weil die Daten standortgebunden sind. LG Mathias


Das ist auch nicht unser diskussionspunkt.

Aber man könnte sich damit bei "Mein A1" einloggen, und dort seine Schindluder im Online-Shop treiben. Zugegeben, es gibt einfachere Wege mit weniger Potential geschnappt zu werden, aber dass ist denke ich jo´s Hauptsorge in der Hinsicht.
  • Beantwortet
    Diese Frage wurde bereits gelöst.
  • Autor
    jo93 ist der Autor dieses Themas und hat den ersten Beitrag dazu verfasst.
  • 1.566 Antworten
Naja, beim Mein A1 kann ich mich von überall aus mit den DSL Zugangsdaten einloggen.
(Habs gerade von der Schule aus probiert. Internet vom Kabelanbieter)
Gestern habe ich zur Kontrolle das Passwort aus meinem Modem ausgelesen. Es war genau das selbe wie im Willkommens-Brief. Das Modem hatte ich zuvor resettet.

w1-net schrieb:

Grundsätzlich stimme ich dir zu, sehe hier aber keinen praktischen Angriffsvektor, der mich unruhig schlafen lassen würde...


Das Szenario wäre, Gäste WLAN ohne VPN und mit Aktiven Autologin oder Zugriffsmöglichkeit auf das Modem über das Gäste WLAN.
Beide Variante sind mir schon untergekommen.
Ich weiß, wie ich das Modem so absichern kann, dass man die PPPoE Zugangsdaten nicht mehr auslesen kann und mein Gäste WLAN leitet den Traffic über ein VPN ins Internet.

Edit: es muss ein passendes Modem dazu bei der Leitung im Einsatz sein.

Antworten