Beantwortet

Wieso gibt es noch die PPPoE Einwahl mit Zugangsdaten?


Benutzerebene 7
Abzeichen +8
Wieso gibt es noch die PPPoE Einwahl mit eigenen Zugangsdaten für jeden Kunden?
Im Endeffekt wird die Kundenzuordung eh nur noch über die Last Mile ID gemacht.
Bei dem jetzigem Design werden diese Zugangsdaten über den ACS auf das Modem gespielt. Der ACS ordnet das Modem über "die Telefondose" zu. (Datentechnisch sieht es so aus, als würde dies über die IP vom dem MGMT Interface irgendwie dem Kunden zu geordnet werden. Auf dem Interface hat jeder eine Statische Private IP. Bei GPON wird der "Port" über das GPON Passwort im ONT zugeordnet, bei DSL über den Port am MSAN/DSLAM)
Für mich sieht es nur nach unnötigem Aufwand aus.
Bei den Kabelanbietern funktioniert das doch auch ohne Einwahl. Da werden die Kunden über ein Zertifikat identifiziert, vergleichbar mit dem GPON Passwort.
Wenn man bei PPPoE bleiben möchte, könnte man das so wie O2 machen, wo Einwahluser und Passwort "O2" ist. ( https://www.o2.cz/osobni/techzona-modemy-pro-adsl-vdsl/273154-ostatni_modemy_nikoli_od_o2.html?article=550534 )
icon

Beste Antwort von jo93 8 October 2018, 11:30

Original anzeigen

12 Antworten

Benutzerebene 5
Abzeichen +2
Soweit ich das sehe, schützen die Zugangsdaten immer noch davor, dass irgendjemand (nicht der Anschlussinhaber) seine eigene Hardware an einem fremden Anschluss anstöpselt und damit Unfug treibt. Eine Telefondose ist in den seltensten Fällen komplett unzugänglich montiert.

Und im Business Bereich verhindert es jegliche fremde Hardware. Dort bekommt man ja glaube ich gar keine Zugangsdaten ausgehändigt... 😃 🙂
Benutzerebene 7
Abzeichen +8
Guter Ansatz.

Aber, aktuell kann ich z.B. ein VV2220 neben und dieses an jeder A1 Telefondose bzw Doppeladler, wo ein Privater Internetanschluss hinterlegt ist, anhängen und die Zugangsdaten würde automatisch eingetragen werden. Aus dem Modem könnte ich diese dann auslesen. Somit bietet es (fast) keinen Schutz.
Sprich ich bin online UND habe dann die Zugangsdaten.
Bzw ist sogar eine Schwachstelle mehr, da man sich mit diesen in Mein A1 einloggen kann. Das ist mit Kunden unabhänigen PPPoE Zugangsdaten nicht möglich.
(Ich habe das bei mir zuhause probiert. Ich borgte mir ein ADB Modem eines Freundes aus, hab es angesteckt und war online.)

OK, dafür kann man nicht jedes Modem verwenden, aber die A1 Modems wo dies funktioniert bekommt relativ leicht.
Benutzerebene 5
Abzeichen +2
Aber, aktuell kann ich z.B. ein VV2220 neben und dieses an jeder A1 Telefondose bzw Doppeladler, wo ein Privater Internetanschluss hinterlegt ist, anhängen und die Zugangsdaten würde automatisch eingetragen werden. Aus dem Modem könnte ich diese dann auslesen. Somit bietet es (fast) keinen Schutz.
Autsch… 🤐

Ok, ich habe nichts gesagt. Vergiss meinen vorherigen Beitrag! 😅
Benutzerebene 5
Abzeichen +2
btw: Wenn das wirklich so funktioniert, würde es allerdings auch bedeuten, dass diese Passwörter ebenfalls im Klartext vorliegen. Nicht, dass mich das nach den letzten Tagen noch wundern würde, aber ich mein ja nur... 😞
Benutzerebene 7
Abzeichen +8
Es gibt einen anderen ISP beim VoIP Passwort, jedes mal wenn sich das Modem neu einrichtet, neu würfelt wurde. Wobei das Verfahren hat dieser dann eingestellt. (Schweiz)
Benutzerebene 7
Abzeichen +8
Vielleicht ist es mehr Aufwand, das gesamte System von Zugangsdaten abzuschaffen, als es einfach so weiter laufen zu lassen.

Stört doch niemanden wirklich, wie du sagst, werden eh automatisch in die CPE´s provisioniert...
Benutzerebene 7
Abzeichen +8
Vielleicht ist es mehr Aufwand, das gesamte System von Zugangsdaten abzuschaffen, als es einfach so weiter laufen zu lassen.

Stört doch niemanden wirklich, wie du sagst, werden eh automatisch in die CPE´s provisioniert...

Wobei dann wäre es Sinnvoll wenn man sich mit den Einwahldaten nicht im Mein A1 Einloggen kann.
Benutzerebene 7
Abzeichen +8
Grundsätzlich stimme ich dir zu, sehe hier aber keinen praktischen Angriffsvektor, der mich unruhig schlafen lassen würde...
Benutzerebene 5
Abzeichen +4
Hallo @@jo93, vielen Dank für deine Anregung. Wir haben das Thema intern weitergeleitet und werden den Verbesserungsvorschlag mit unseren DSL Experten besprechen. Als Info kann ich euch noch geben das ein DSL Login mit fremden Daten nicht möglich ist, weil die Daten standortgebunden sind. LG Mathias
Benutzerebene 7
Abzeichen +8
Als Info kann ich euch noch geben das ein DSL Login mit fremden Daten nicht möglich ist, weil die Daten standortgebunden sind. LG Mathias
Das ist auch nicht unser diskussionspunkt.

Aber man könnte sich damit bei "Mein A1" einloggen, und dort seine Schindluder im Online-Shop treiben. Zugegeben, es gibt einfachere Wege mit weniger Potential geschnappt zu werden, aber dass ist denke ich jo´s Hauptsorge in der Hinsicht.
Benutzerebene 7
Abzeichen +8
Naja, beim Mein A1 kann ich mich von überall aus mit den DSL Zugangsdaten einloggen.
(Habs gerade von der Schule aus probiert. Internet vom Kabelanbieter)
Gestern habe ich zur Kontrolle das Passwort aus meinem Modem ausgelesen. Es war genau das selbe wie im Willkommens-Brief. Das Modem hatte ich zuvor resettet.

Grundsätzlich stimme ich dir zu, sehe hier aber keinen praktischen Angriffsvektor, der mich unruhig schlafen lassen würde...
Das Szenario wäre, Gäste WLAN ohne VPN und mit Aktiven Autologin oder Zugriffsmöglichkeit auf das Modem über das Gäste WLAN.
Beide Variante sind mir schon untergekommen.
Ich weiß, wie ich das Modem so absichern kann, dass man die PPPoE Zugangsdaten nicht mehr auslesen kann und mein Gäste WLAN leitet den Traffic über ein VPN ins Internet.

Edit: es muss ein passendes Modem dazu bei der Leitung im Einsatz sein.
Benutzerebene 7
Abzeichen +8
Als Info kann ich euch noch geben das ein DSL Login mit fremden Daten nicht möglich ist, weil die Daten standortgebunden sind.
Sprich die PPPoE Server prüfen ob die Zugangsdaten zur lastmile passen?
Da könnte man doch prüfen, darf die last Mile ins internet und die Zugangsdaten einfach ignorieren. Bzw nur den realm auswerten.

Antworten