@Elastan:
Die anderen FRITZ!Boxen haben (in neuen OS-Versionen) eben auch keinen Telnet-Zugang mehr ... da, wo es bei DSL-Boxen (und bei LTE, wobei ich nicht genau weiß, wie dort das "baseband"-Modul gesichert ist, ich würde mal annehmen, daß es ähnlich wie bei einem UMTS-Stick ziemlich gut abgeschottet is) noch der Wille von AVM ist (und gegen den kann/will/soll man auch nach wie vor "opponieren"), da ist es bei den DOCSIS-Geräten eben etwas anderes.
Würde z.B. der gesamte eCM-Kram auf dem (abgeschotteten) ARM-Core arbeiten und der komplette eRouter auf dem x86-Core, wäre ich der Letzte, der irgendwelche Bauchschmerzen damit hätte, sofort einen Weg zum Eindringen in den eRouter zu veröffentlichen ... das von mir immer wieder gerne zitierte "Chapter 9.2" bezieht sich eben nur auf einen "console port", der die Möglichkeit zur Einwirkung auf das eCM eröffnet (und dazu gehören reine Abfragen der Spezifikation nach auch noch nicht).
Das ist aber bei der AVM-Implementierung eben nicht der Fall ... was die KNB in ihre Spezifikationen bzgl. der "Unveränderbarkeit" der Firmware schreiben, interessiert mich auch nur genau bis zum CMCI nach der DOCSIS-Spezifikation.
Danach geht das auch einen KNB schlicht nichts mehr an und wenn Vodafone sich in der Beschreibung für den pNTP dazu hinreißen läßt, auf Seite 2 im zweiten Satz zu verkünden:
Insbesondere ist das Einspielen veränderter Firmware wirksam zu unterbinden.
dann bezieht sich das hoffentlich nur auf den Teil des Gerätes, welcher der "Netzseite" so eines eDOCSIS-Gerätes (und das ist eben das eCM) zuzuordnen ist. Ansonsten wird es für VF auch schnell sehr dunkel, denn das ist (wenn man es auf die komplette Software so eines Gerätes bezieht) schon mal eine Forderung, die in ziemlichem Widerspruch zur GPL und den dort eingeräumten Lizenzen steht. Wenn aber alle Geräte für die Benutzung an einem pNTP, die ihrerseits auf einem Linux-Kernel basieren, der Schnittstellenbeschreibung schon per se nicht entsprechen (dort wird eben ausdrücklich das Recht auf Veränderungen der Software eingeräumt) könnten, würde es vermutlich gar keine Geräte mehr geben, die der KNB an seine eigenen Kunden weitergeben könnte.
Da ist es mir also ganz deutlich sowas von egal, wie die "Wunschvorstellungen" von Vodafone oder irgendeinem anderen KNB aussehen ... aber man muß auch nicht wissentlich oder willentlich irgendwelche finsteren Gestalten beim Mißbrauch von Kabel-Anschlüssen unterstützen.
Trotzdem gibt es eben in den FRITZ!Boxen (unabhängig vom verwendeten Medium) inzwischen gar keinen Telnet-Zugang mehr, was ich auch beim "normalen Kunden" mehr als begrüße ... noch bei einer Version 06.1x konnte eben auch ein beliebiger Angreifer aus dem LAN die Box komplett übernehmen. So ein Telnet-Zugang ist eben auch aus Sicherheitssicht ein absoluter Witz ... noch unverschlüsselter und im Netzwerk jederzeit mitzulesen, geht ja kaum. Andere Dienste (dropbear, SIAB) wären zwar sicherer, aber wofür bräuchte der "normale Nutzer" diese eigentlich? Selbst wenn man mal unterstellt, daß diese nicht angegriffen werden könnten, was fängt denn Hr. Müller damit an, der schon Probleme hat, sich einen WLAN-Key auszudenken, wo sich die Wörterbuch-Attacke nicht nach dem Testen der häufigesten 500 WLAN-PSKs vor Lachen krümmt, weil der nächste "Kunde" mit einem höchst "unique password" gefunden wurde?
So jemandem gibt man eben keinen Shell-Zugang in die Hand ... er könnte damit schlicht nichts anfangen und jemand, der damit umgehen kann, der muß eben die kleine zusätzliche Mühe (wie gesagt, nicht bei den DOCSIS-Modellen) auch noch in Kauf nehmen und ihn erst einmal einrichten.
In gewisser Weise ist das sogar eine Art "natürlicher Schutz" ... wer das Eindringen nicht auf die Reihe bekommt, sollte vielleicht auch nicht auf der Kommandozeile irgendetwas eintippen können, was er im schlechtesten Falle nicht einmal wirklich verstanden und nur aus irgendeinem Beitrag im Internet kopiert hat.
Beispiele für solche "Vögel" (ist nicht mal böse gemeint, ist mehr eine Sammelbezeichnung für Leute, die es meist nicht einmal schaffen, das deutliche "BEISPIEL" in "bold" und mit großer Schrift so weit zu verinnerlichen, daß es eben keine Vorlage für C&P ist) findest Du hier häufig genug ... das ist also nicht so ganz aus der Luft gegriffen.
Bleibt für mich also die Frage übrig, was man an so einer Firmware denn "beeinflussen" will. Der größte Teil der Einstellungen ist über ein GUI erreichbar, einiges kann man zusätzlich über die Export-Datei noch verändern. So ganz 100% ist das Engagement von AVM bei der "Abdichtung" an dieser Stelle ja auch nicht ... selbst wenn es für einige Einstellungen (bei der 6490 m.W. für die TV-Konfiguration in der dvb.cfg) inzwischen "CRYPTEDBINFILE" als neues Format gibt.
Aber hier wäre natürlich auch eine viel rigorosere Sperre gegen eigene Änderungen denkbar, das geht bei der (verschlüsselten) Speicherung eines Hash-Wertes anstelle der doch recht einfachen CRC32-Prüfsumme los ... ältere Einstellungen (auch von anderen Modellen) könnte man ja immer noch mit der alten Prüfsumme (selektiv) importieren und trotzdem die neue Absicherung gegen Änderungen verwenden, wenn es um die "eigene" Exportdatei einer Box geht. Da einfach noch eine Signatur mit dem privaten Schlüssel irgendwo im Kopf hinterlegt und Programme wie der FBEditor (oder auch die FRITZ!Box-Tools) fallen bei einer 6490 ziemlich schnell auf die Nase.
Bisher ist m.W. von solchen Aktionen aber noch nichts zu sehen und so kann man im Prinzip auch noch diesen Weg als eine Art "Expertenkonfiguration" ansehen.
Jenseits dieser Wege sind es dann vielleicht noch 5 Promille der FRITZ!Box-Besitzer, die ein wirklich legitimes Interesse daran haben, in ihrer FRITZ!Box zusätzliche Software laufen zu lassen. Nachdem diese ganzen Hobby-Projekte aber eigentlich alle auf MIPS-Basis bisher gearbeitet haben und nur eine wirklich sehr kleine (nicht mal unbedingt elitäre) Minderheit irgendwelche ARM-/x86-Lösungen haben dürfte, die vielleicht einen "Bestandschutz" beanspruchen könnten, ist es wieder nur logisch, wenn man gar nicht erst damit anfängt, diese Geräte "aufzubohren". Irgendein Einplatinen-Computer frißt heutzutage auch nicht mehr so viel Strom, daß dessen Einsparung durch die Verwendung einer "ohnehin immer laufenden" Box erheblich ins Gewicht fallen würde und der (potentielle) Verlust der Integrität des Routers, der eben auch aus unsachgemäßen Änderungen der Firmware resultieren kann, wäre (meine Meinung) schon für sich alleine ein "no go".
Wenn jemand der Firmware des Herstellers und dem Wirken seines Providers so lange nicht traut und ihnen auf die Finger schauen will, solange es ein "Zwangsrouter" war, verstehe ich das auch wieder ... wenn jemand diesen Standpunkt für ein Gerät einnimmt, das er selbst freiwillig erworben hat und verwendet und wo der Hersteller auch viele der Zugriffsmöglichkeiten für den Provider stillgelegt hat (und das hat AVM getan), dann hat er vielleicht das falsche Gerät erworben.
Ich gehe mal davon aus, daß hier auch Leute unbedingt in
ihre FRITZ!Box wollen, die bei
ihrem iPhone gar nicht auf die Idee kämen, es dem Risiko des "Jailbreak" mit einem chinesischen (closed source-)Tool auszusetzen ... weil sie Apple bei dessen Firmware "vertrauen". Das sollte man dann als "freiwilliger Käufer" einer 6490 eben auch tun ... es wird mir hoffentlich niemand ernsthaft einreden wollen, er würde seinerseits nur einen "Sicherheitstest" der Firmware machen wollen. Ist das wirklich so und derjenige ist zu einem solchen Test tatsächlich in der Lage, kommt er auch nach wie vor in eine 6490 ... wer also der Meinung ist, er müsse da jetzt "rein", denn es ist schließlich sein Gerät, der kann das ja noch einmal unter dem Aspekt eines iPhones oder eines Telekom-MediaReceivers (für die WinCE-basierten) oder seiner Motor-/Abgassteuerung im Auto mit mir diskutieren. Bei einigen davon geht es nicht und bei der Motorsteuerung oder gar bei Steuergerät für den Airbag würden sicherlich die wenigsten darüber diskutieren, daß es sich ja schließlich im
ihre Hardware handelt.
Da die Einschränkungen so einer DOCSIS-FRITZ!Box auch lange bekannt waren, wird auch das Argument, man habe das ja nicht wissen können, eher nicht verfangen ... wer tatsächlich davon "überrascht" ist und der Meinung war, er würde auf einem DOCSIS-Gerät jetzt freiwillig einen Zugriff auf den Telnet-Daemon erhalten, nur weil er die Box jetzt im Einzelhandel erworben hat, der hat eben einen Fehlkauf getätigt und wenn er mit der auf diesem Weg erworbenen FRITZ!Box nicht zufrieden ist (ich gehe vom Versandhandel aus, wer das persönlich irgendwo kauft und ein so wichtiges Merkmal wie den funktionierenden Telnet-Zugang nicht vorher mit dem Verkaufspersonal bespricht, hat auch selbst einen Fehler begangen), der gibt sie eben in der gesetzlich vorgesehenen Frist zurück. Will er sie (aufgrund anderer Qualitäten) dann behalten, muß er halt mit dem "ohne Telnet-Zugang" leben.
Es gibt tatsächlich einige wenige Funktionen einer FRITZ!Box, die auch ich schmerzlich vermisse ... wenn ich bei solchen "fehlenden Funktionen" in irgendwelchen IPPF-Threads den Leuten erkläre, wie sie solche Sachen umsetzen könnten (und das bei den DSL-Boxen, wo man problemlos zum Telnet-Zugang kommen kann), dann ist in aller Regel auch die Reaktion "zu kompliziert, zu viel Aufwand, wollte nur mal wissen ..." - die Zahl derer, die wirklich auf ihrer Box per Telnet-Zugang (und außerhalb von Freetz, denn das ist wieder weniger eigene Arbeit als die Nachnutzung fremder Anstrengungen) eigene Skript-Dateien ausführen lassen oder gar eigene Binaries für diese Boxen erstellt haben (mit eigener Toolchain und ohne Download von irgendjemand anderem), dürfte auch nicht merklich ins Gewicht fallen.
Wer unbedingt andere Sachen wie OpenVPN, dnsmasq oder was auch immer braucht (dropbear bei den meisten ja auch schon nur noch als "Telnet-Ersatz"), der ist eben mit einer FRITZ!Box 6490 schlecht beraten ... das wird sich mit einer 6590 vermutlich auch nicht ändern. Also greift er entweder zum Provider-Router im Bridge-Mode und hängt dahinter seine eigene (modifizierbare) FRITZ!Box oder er lebt mit dem, was die Firmware bietet. Ich bin mir nicht ganz sicher, wieviele Diskutanten tatsächlich in der Lage wären, sich eine eigene Toolchain für die Modifikation der Box auch zu bauen ... die Unterstützung der (eigentlich abgeschotteten) Puma6-Geräte in Freetz, was man auf einfache Weise nachnutzen könnte, würde sicherlich auch dann noch auf sich warten lassen, wenn man die Firmware "offiziell" erhalten würde und eine Installation einer eigenen Firmware problemlos möglich wäre.
Auch hier gilt dann m.E. wieder, daß jeder mit der Fähigkeit zur Umsetzung so eines Vorhabens dann auch den Weg in die Box alleine findet ... einen wirklich guten Grund, warum man nun genau in die (absichtlich gesicherte) Firmware einer DOCSIS-FRITZ!Box eindringen muß, habe ich bisher auch noch nicht gelesen - geht mich zwar auch nichts an, was die Motivation sein mag bzw. ich habe mir kein Urteil darüber anzumaßen, aber wer so ein Ziel hat, der muß es dann eben auch mit aller Kraft und aus eigener Kraft verfolgen, wenn es ihm wirklich wichtig genug ist. Wer nicht einmal richtig lesen kann, sollte m.E. gar nicht auf die Idee gebracht werden, einen Telnet-Zugang überhaupt zu benötigen.
Selbst beim anderenorts heiß diskutierten Thema der Zertifikate nutzt ja der Telnet-Zugang offenbar nichts ... wer der Meinung ist, mit einem Telnet-Zugang könne er schon irgendwie sein eigenes Zertifikat erstellen, der hat eben das Prinzip einer PKI gar nicht verstanden. Wenn man ohnehin bei AVM "anfragen" will, würde ich persönlich den Brief mit der Rechnungskopie für den erfolgversprechenderen Weg halten ... aber stop, das sind ja alles gar keine "Retail-Boxen", die vor diesem Problem stehen. Warum ist das wohl so? Klar, die Leute installieren wie die Blöden die aktuelle Firmware ... das führt aber immer noch nicht dazu, daß jetzt AVM irgendwie "verpflichtet" wäre, den Leuten auch noch die Zertifikate nachzuwerfen.
Und wer ohnehin noch nicht richtig versteht, wie das früher bei den Aktualisierungen gelaufen ist (und nicht lesen kann), der wird auch mit einem Telnet-Zugang (noch dazu, wenn er den irgendwie "nachbauen" muß, weil er gar nicht genau versteht, was da eigentlich passiert, dann bräuchte er ja keine "Vorlage") mit einiger Sicherheit nicht einen Schritt weiterkommen.
Vielleicht bin ich ja auch nur zu skeptisch und habe bisher die Erfolgsmeldungen der ganzen 6490-Besitzer überlesen, die sich endlich ihren Traum erfüllt haben und nun auf dem x86-Core der 6490 (und wenn die nur im LAN1-Mode hinter dem CISCO EPC3212 hängt) den OpenVPN-Client laufen lassen, den sie selbst mit einer uClibc für den x86-Core übersetzt haben - so etwas wäre tatsächlich für mich ein valides Vorhaben und ein Szenario, welches ich nachvollziehen kann. Offenbar ist das aber (zumindest bisher) den Leuten vollkommen egal, die einen Telnet-Zugang haben ... bleibt halt die Frage, wofür sie den eigentlich genau verwenden.
Außer zur Installation der nächsten Version, die einen Telnet-Daemon enthält, damit man auch bei der Installation des nächsten Updates wieder eine Version mit einem Telnet-Daemon installieren kann, denn man will ja bei der nächsten Update-Installation auch noch einen Telnet-Daemon haben ... und genau wegen solcher "Daueränderungen" (die sich aber auf deutlich mehr als nur die Freischaltung eines Telnet-Daemons erstreckten, das war nur ein einzelnes Beispiel, wofür man es verwenden konnte) habe ich irgendwann mal "modfs" angefangen.
Vielleicht ist es mir ja entgangen oder derjenige will noch etwas im Stillen vor sich hinprogrammieren ... aber bisher habe ich irgendwie außer dem Telnet-Zugang als Selbstbefriedigung noch nichts so richtig gelesen, was die Leute damit angefangen haben.
Mein (persönliches) Fazit: Wer wirklich einen Telnet-Zugang braucht, kriegt auch einen ... nur als "nice to have" ist das alles andere als ein Spaß und da, wo sich Leute bei anderen Geräten nur selbst schaden können (was auch nicht so ganz richtig ist, irgendwo habe ich gestern erst wieder etwas von der Erhöhung der WLAN-Sendeleistung gelesen, was ziemlich eindeutig auch eine "Ordnungswidrigkeit" ist, die deutlich zu selten geahndet wird und wesentlich höhere Geldstrafen nach sich ziehen sollte), sieht das eben beim BK-Netz schon wieder anders aus.
