DOCSIS Config File auslesen

[c.wuensch]

Weiß jemand, wie ich den Inhalt des von Vodafone aufgespielten DOCSIS Config Files auslesen kann?
(Keine Sorge, ich möchte es nur LESEN! Ich habe nicht vor, irgendeinen Schindluder damit zu betreiben und es zu verändern)

Ziel ist es, ggü. Vodafone nachzuweisen, dass ihre netzseitigen Portsperren (z.B. Ports 445, 135, 139) übers Config-File implementiert werden, und ihnen aufzeigen zu können, welche Zeile(n) sie verändern müssten.

 

[Peter_Lehmann]

Hallo @c.wuensch!

Ich versuche zu verstehen, was du mit deiner Absicht, die providerseitige Sperrung dieser drei Ports zu verhindern, bezweckst.
Du möchtest doch nicht etwa dein Netz über diese SMB-Ports der Allgemeinheit zur Verfügung stellen.
Ich frage ja nur...

vy 73 de Peter

 

[c.wuensch]

Es geht um AUSGEHENDE Portsperren!
Das hat nichts damit zu tun, dass ICH mein Netz für irgendjemanden bereitstellen möchte, sondern es bedeutet, dass Vodafone aktiv verhindert, dass man von ihren Kabelanschlüssen aus auf öffentlich nutzbare Cloudspeicher-Anbieter, die z.B. den Port 445 verwenden, zugreifen kann.
Dies stellt einen Verstoß gegen die Netzneutralität (Art. 3 Abs. 3 TSM-VO) dar.
Auch die Bundesnetzagentur hat sich hier meiner Argumentation angeschlossen, und Vodafone hat ggü. der Bundesnetzagentur zugesagt, die ausgehende netzseitige Portsperre für Port 445 aufzuheben.
Allerdings "glauben" sie mir nicht, dass diese sich nicht nur in ihren Routern befinden, sondern auch im DOCSIS Config-File.

 

[Peter_Lehmann]

OK, damit ziehe ich meine Frage zurück.

 

[frank_m24]

Also ich glaube nicht, dass Portsperren über ein Docsis File gemacht werden. DOCSIS ist Physcal layer. Portsperren sind Layer 3 oder 4. Also SEHR weit weg von physical.

Das hat nichts damit zu tun, dass ICH mein Netz für irgendjemanden bereitstellen möchte, sondern es bedeutet, dass Vodafone aktiv verhindert, dass man von ihren Kabelanschlüssen aus auf öffentlich nutzbare Cloudspeicher-Anbieter, die z.B. den Port 445 verwenden, zugreifen kann.

Sowas gibt es nicht wirklich, oder?

Allerdings "glauben" sie mir nicht, dass diese sich nicht nur in ihren Routern befinden, sondern auch im DOCSIS Config-File.

Ich glaube das auch nicht.

 

[chrsto]

Der Menüpunkt

Internet -> Filter -> Listen -> Globale Filtereinstellungen -> NetBIOS-Filter aktiv

ist aber bekannt und auch kontrolliert?

 

[c.wuensch]

Korrekt, der Menüpunkt ist bekannt.
Es sind spezielle Einträge im Config-File vorhanden. Ich weiß das, weil wir es abhängig vom Config-File entweder geht oder nicht geht. Und weil die entsprechende Einstellung bekannt ist.
Aber um das zu überprüfen wäre es einfach super, wenn man das Config-File mal einsehen könnte.
Kommt man da in der FritzBox (z.B. via Telnet) irgendwie dran?

 

[frank_m24]

Ich weiß das, weil wir es abhängig vom Config-File entweder geht oder nicht geht.

Dann müsste ihr die Config Files ja haben, denn wie wollt ihr sonst diesen Schluss ziehen? Wenn ihr einfach nur unterschiedliche Router oder Boxen habt, und mal geht es, und mal nicht, dann können ja auch noch anderen Dinge anders sein, nicht nur das Config File.

Aber um das zu überprüfen wäre es einfach super, wenn man das Config-File mal einsehen könnte.

Da es ja offenbar unterschiedliche Config Files gibt, müsste es ja dann auch noch das richtige sein.

Es ist meines Erachtens erheblich einfacher für den Provider, die Ports im Router zu sperren.

 

[c.wuensch]

Seht ihr... Vodafone "glaubt" das ja auch nicht.
Und solange ich das ConfigFile nicht HABE, kann ich es nicht nachweisen.

Ich bin aber gerne bereit, mit jedem hier um ein sehr großes Eis zu wetten, dass das Config-File einen sehr bestimmten Eintrag enthält.

SnmpMibObject docsDevFilterIpDestPortLow.4 Integer 445 ;
SnmpMibObject docsDevFilterIpDestPortHigh.4 Integer 445 ;

Also nochmal die Frage: Angenommen, man kommt per Telnet auf die FritzBox - kann man das DOCSIS Config-File dann lesen?

 

[KunterBunter]

Ja, wenn man mit telnet auf die Box kommt, kann man das File /var/tmp/docsis_config.bin lesen. Ob man da etwas Sinnvolles herauslesen kann, ist die nächste Frage.

 

[c.wuensch]

Vermutlich kann man das File damit untersuchen:

SNMP MIB Editor from SimpleSoft – SimpleSoft

www.simplesoft.com

oder damit:

SnmpB

Download SnmpB for free. SnmpB is an SNMP MIB browser written in QT. It supports SNMPv1, SNMPv2c & SNMPv3.

sourceforge.net

 

[KunterBunter]

Das glaube ich dir nicht. Eher wohl mit dem Excentis Cable Modem Config File Editor oder diesem DOCSIS tool.

 

[c.wuensch]

Gut möglich! Da ich noch nie an ein Config File herangekommen bin, weiß ich nicht, wie die von innen aussehen.
Deine Tools scheinen auf jeden Fall besser geeignet zu sein.
Jetzt müssen wir nur noch drankommen!

 

[frank_m24]

Das Binärfile wurde ja durch einen Compiler geschickt. Ist der HW unabhängig? Sonst kann man das Decompilieren wohl vergessen.

Die Einträge kannst du übrigens vergessen. Im RFC 2669 von 1999 waren sie noch drin, in dem von 2006 (RFC 4639) sind sie schon deprecated. Selbst wenn die noch in irgendeinem Config File drinstehen sollten, dann kommen sie heute garantiert nicht mehr zur Anwendung, sondern werden ignoriert. Jedenfalls in allen Geräten, die nach 2006 zugelassen wurden.

RFC 2669: DOCSIS Cable Device MIB Cable Device Management Information Base for DOCSIS compliant Cable Modems and Cable Modem Termination Systems

This memo defines a portion of the Management Information Base (MIB) for use with network management protocols in the Internet community. In particular, it defines a basic set of managed objects for SNMP-based management of DOCSIS 1.0 compliant Cable Modems and Cable Modem Termination Systems...

datatracker.ietf.org

RFC 4639: Cable Device Management Information Base for Data-Over-Cable Service Interface Specification (DOCSIS) Compliant Cable Modems and Cable Modem Termination Systems

This memo defines a portion of the Management Information Base (MIB) for use with network management protocols in the Internet community. In particular, it defines a basic set of managed objects for Simple Network Management Protocol (SNMP)-based management of Data Over Cable Service Interface...

datatracker.ietf.org

Darüber werden eure Ports garantiert nicht gesperrt.

 

[NDiIPP]

Sowas gibt es nicht wirklich, oder?

https://www.strato.de/faq/cloud-spe...ve-mit-smb-als-netzlaufwerk-einbinden/#router
https://learn.microsoft.com/de-de/azure/storage/files/storage-how-to-use-files-windows#prerequisites

Zum eigentlichen Thema/Frage:

Das Binärfile wurde ja durch einen Compiler geschickt. Ist der HW unabhängig? Sonst kann man das Decompilieren wohl vergessen.

->
https://www.ip-phone-forum.de/threa...83-beachtet-werden-sollte.294518/post-2223735
https://www.ip-phone-forum.de/threa...83-beachtet-werden-sollte.294518/post-2223796

 

[_jan_]

Die Einträge kannst du übrigens vergessen. Im RFC 2669 von 1999 waren sie noch drin, in dem von 2006 (RFC 4639) sind sie schon deprecated. Selbst wenn die noch in irgendeinem Config File drinstehen sollten, dann kommen sie heute garantiert nicht mehr zur Anwendung, sondern werden ignoriert. Jedenfalls in allen Geräten, die nach 2006 zugelassen wurden.

Da steht aber auf Seite 46 auch das:

Note that some devices are required by other specifications (e.g., the DOCSIS OSSIv1.1 specification) to support the legacy SNMPv1/v2c docsDevFilter mode for backward compatibility.

Bis DOCSIS 3.0 ist die Unterstützung vorgeschrieben (siehe DOCSIS OSSIv3.0 Abschnitt F.1.3):

The CM MUST support the SNMP table docsDevFilterIpTable for all interfaces. The CM MUST support a minimum of 64 IP filter rules.

Bei DOCSIS 3.1 ist die Unterstützung tatsächlich nicht mehr zwingend (DOCSIS OSSIv3.1 Annex B), aber es gibt mit Upstream Drop Classifiers einen Ersatz, der auch schon bei DOCSIS 3.0 unterstützt wird:

DOCSIS 3.0 CMs supported two packet filtering/classification methods consisting of the legacy IP filtering
mechanism specified in [RFC 4639] and Upstream Drop Classifiers (UDCs). A DOCSIS 3.1 CM is only required to
support UDCs and is no longer required to support legacy [RFC 4639] IP and LLC filtering mechanisms.

 

[frank_m24]

Sag ich ja. Sind die neuen Einträge denn auch drin in eurem Config File?

 

[c.wuensch]

@frank_m24 Nein, du hast das Gegenteil gesagt:

Darüber werden eure Ports garantiert nicht gesperrt.

Wie @_jan_ mit seinen hervorragenden Quellenangaben nachgewiesen hat, sind
(a) diese entsprechende Portfilter-Zeilen TATSÄCHLICH in dem von VF verwendeten Config-File enthalten, und
(b) mein DOCSIS 3.0 Router MUSS diese gemäß Spezifikation auch umsetzen, und
(c) selbst ein DOCSIS 3.1 Router kann diese ebenfalls umsetzen - oder die entsprechenden Nachfolge-Kommandos, die evtl. inzwischen zusätzlich im Config-File enthalten sind.

M.M. ist es damit fast als gesichert zu betrachten, dass die Ports über genau diesen Weg gesperrt werden,

 

[Flole]

Ich bin aber gerne bereit, mit jedem hier um ein sehr großes Eis zu wetten, dass das Config-File einen sehr bestimmten Eintrag enthält.

SnmpMibObject docsDevFilterIpDestPortLow.4 Integer 445 ;
SnmpMibObject docsDevFilterIpDestPortHigh.4 Integer 445 ;

Das Eis nehme ich gerne Port 445 ist ausgerechnet nicht gesperrt Aber ja, für die anderen gibt's entsprechende Einträge (135 und 137-139). Bringt man das Modem dazu diese Einträge zu ignorieren funktionieren die Ports auch, das ist also der einzige Schutz.

Wobei ich den Vorgang sowieso etwas seltsam finde: Vodafone hat diese Sperren (angeblich) mit Erlaubnis der BNetzA eingerichtet (siehe https://www.vodafone.de/business/hilfe-support/eu-transparenz-verordnung.html), also warum sollte dieselbe BNetzA nun die Sperre für illegal erachten? Das ergibt irgendwie keinen Sinn.

 

[chrsto]

Vodafone hat diese Sperren (angeblich) mit Erlaubnis der BNetzA eingerichtet

In dem verlinkten Dokument steht:

Wir sperren diese Ports zu Ihrer Sicherheit, damit sie aus dem Internet nicht zu erreichen sind.

Es geht aber um ausgehenden Datenverkehr.