1. Telnet auf 6360 ->
http://www.ip-phone-forum.de/showthread.php?t=278703
2. SNMP != Fernzugriff per TR-069 -> letzterer läßt sich deaktivieren (über GUI oder Editieren der ar7.cfg, je nach Branding), ersterer nicht; da geht nur das "Abschießen" des SNMP-Agents oder man verwirrt ihn so, daß er sich an das falsche Interface bindet (dann ist aber i.d.R. auch der Internetzugriff flöten gegangen)
3. Wer sich gebraucht eine rechtmäßig erworbene FRITZ!Box 6360 zulegt, kann diese ohne Probleme über EVA "entbranden" und hat dann bei AVM-Branding auch die Chance, sie im "LAN1-Modus" hinter einem DOCSIS-Modem o.ä. zu betreiben.
Punkt 3 unterliegt dann entsprechenden Beschränkungen, denn auch mit AVM-Branding gibt es erst mal kein Telnet und auch die Frage zukünftiger Updates (eine LAN1-Box ist hinter einem Modem ja wieder direkt aus dem Internet erreichbar) ist dann erst einmal ungeklärt.
Und da braucht man auch kein "Psst..." und irgendwelches "scheu über die Schulter schauen", ob da auch niemand zuhört ... wenn die Provider nicht spätestens bei der geplanten freien Routerwahl entsprechende Vorkehrungen treffen in ihren Netzen, wird das sicherlich tatsächlich zum Problem werden, wenn man einfach eine beliebige MAC-Adresse, die irgendwo beim Provider in einer Datenbank liegt, mehrfach aus verschiedenen Netzsegmenten verwenden kann, ohne daß da irgendwelche Kontrollmechanismen etwas dagegen unternehmen. Da ist es sogar wichtig, daß die möglichen Probleme im Vorfeld schon klar sind, damit sich die Provider dagegen wappnen können.
Denn tatsächlich ist ein wild gewordenes CM in einem Segment ein potentieller Störer ... dafür bieten aber die dort verwendeten SoC z.B. beim Puma6 auch die Möglichkeit der Trennung der Funktionen in verschiedene virtuelle Maschinen. Wenn das der Gerätehersteller sauber umsetzt, kann auch ein eingedrungener Kunde nur noch den "Kern" des Systems manipulieren und der DOCSIS-Teil stellt sich (was die Konfiguration anbelangt) als Blackbox dar.
Aus:
http://newsroom.intel.com/community...powers-comcast-s-new-xfinity-wireless-gateway
Intel's hardware-based virtualization technology allows service providers to deploy a single gateway to support multiple services in a secure and stable environment, eliminating the need and cost of multiple, dedicated devices.
Es muß also Aufgabe der Hersteller sein, entsprechende Geräte auch so zu konzipieren und umzusetzen, daß sie entweder tatsächlich keine Lücken enthalten, über die ein Kunde in das Gerät eindringen und die Konfiguration verändern kann (in meinen Augen ein aussichtsloses Unterfangen, zumindest wenn man wie AVM auf einer bestehenden Software aufbaut, die diesen Punkt eben nicht im Auge hatte) oder indem man dafür sorgt, daß der DOCSIS-Teil so weit vom Rest des Systems abgeschottet ist, daß der Kunde dort gar nichts verändern kann und der Telnet-Zugang (oder was auch immer das am Ende ist) eigentlich keine Rolle mehr spielt. Auch sind entsprechende Sicherungsmechanismen (gegen "fraud") theoretisch bereits in der DOCSIS3-Spezifikation angelegt, sie müssen halt funktionieren und auch benutzt werden.
Eine Sicherheit, die nur darauf aufbaut, daß da schon niemand einen Zugriff auf das Gerät überhaupt erlangen kann, ist nur ein schöner Schein ... ich habe nicht genau mitgezählt, wieviele Generationen z.B. Apples iOS jetzt gebraucht hat, um (im Moment meines Wissens jedenfalls) halbwegs sicher gegen "öffentliche Jailbreaks" zu sein (und da waren definitiv mehr Leute auf der Jagd nach Lücken, als bei FRITZ!OS) ... von 0day-Exploits rede ich da gar nicht, die existieren bei den entsprechenden Brokern garantiert auch für aktuelles iOS.
Den zweiten Weg halte ich wieder - rein persönliche Meinung - für den erfolgsversprechenderen Ansatz, denn das ist ein überschaubares Gebiet, wo man die Schnittstellen zur "Außenwelt" (also zum Rest des Systems) noch im Auge behalten kann. Das gesamte FRITZ!OS ist hingegen so ein Konglomerat, daß sich aus mangelnder LAN-seitiger Absicherung (die eben nie so richtig im Fokus stand, wenn ich mir diese Vermutung mal erlauben darf) eigentlich immer wieder ein Ansatzpunkt für den "Angriff" auf die Kommandozeile finden läßt (zumindest derzeit noch, denn AVM bessert bei diesen Boxen offenbar tatsächlich fleißig nach). Und das ist nicht nur "Blabla" und Orakeln, das kann ich beweisen ... vielleicht nicht gleich heute, aber zumindest irgendwann im Nachhinein, wenn gemeldete Lücken beseitigt sind.
Zwar kann man das forensisch anhand der AVM-Firmware nur schwer einschätzen, wie das tatsächlich "organisiert" wird, aber eine gewisse Trennung ist schon deshalb logisch, weil es die AVM-Boxen ja eben auch mit DSL- oder LTE-"Anschluß" gibt und damit auch von diesen Schnittstellen abstrahiert wird (ebenso wie von der DOCSIS-Schnittstelle), um den Rest des Systems so einheitlich wie möglich zu halten.
Die "monolithische" Bauweise des FRITZ!OS ist auch ziemlich einmalig (und wohl auch nur bei der beschränkten Modellpalette von AVM umsetzbar) in diesem Marktsegment. Wenn man sich größere Hersteller ansieht, dann wechselt da die Firmware schon innerhalb derselben Produktkategorie (z.B. WLAN-APs) deutlich häufiger als bei AVM, wo eigentlich überall dieselben "Komponenten" (in Form von Software-Modulen) zum Einsatz kommen. Wie sich das bei "ausfasernder Modellpalette" dann auswirkt, erlebt man aber auch gerade bei AVM, je nach Betroffenheit als positive oder negative Erfahrung - ernste I14Y-Probleme zwischen den Geräten dieses Herstellers sind ja auch nicht mehr ganz wegzudiskutieren.
Und was das dann erst wird, wenn sich zwei Hersteller gegenseitig "die Schuld" an Problemen zuschieben können, erleben wir auch gerade beim AVM-VPN und "lifetime expired".
