www.fabiankeil.de/blog-surrogat/2006/02/03/d-link-suche-mit-nmap.html
Der Netzwerkscanner nmap ist vor ein paar Tagen in Version 4.0 erschienen, eine gute Gelegenheit zum Testen. Einmal wollte ich die Betriebssystem-Erkennung testen, hauptsächlich aber prüfen, ob sich der zum Hub degradierte D-Link DSL-G664T nach dem Reset eventuell nur eine nicht dokumentierte IP-Nummer besorgt hat.
Gescannt habe ich 192.168.0.0/16, also den für kleinere private Netze reservierten Raum,
der im Internet nicht geroutet wird werden soll.
RFC 1918 ist eindeutig:
Because private addresses have no global meaning, routing information about private networks shall not be propagated on inter-enterprise links, and packets with private source or destination addresses should not be forwarded across such links. Routers in networks not using private address space, especially those of Internet service providers, are expected to be configured to reject (filter out) routing information about private networks.
Und weiter unten:
It is strongly recommended that routers which connect enterprises to external networks are set up with appropriate packet and routing filters at both ends of the link in order to prevent packet and routing information leakage. An enterprise should also filter any private networks from inbound routing information in order to protect itself from ambiguous routing situations which can occur if routes to the private address space point outside the enterprise.
Der RFC ist aus dem Februar 1996, die Idee wird noch deutlich älter sein und sollte sich inzwischen rumgesprochen haben.
Mit dem Scan gedachte ich nur das lokale Netz abzudecken und staunte daher nicht schlecht, als am Ende drei mir unbekannte IP-Nummern auftauchten:
Initiating SYN Stealth Scan against 3 hosts [1672 ports/host] at 12:20 Completed SYN Stealth Scan against 192.168.120.149 in 27.36s (2 hosts left) Completed SYN Stealth Scan against 192.168.120.148 in 27.57s (1 host left) The SYN Stealth Scan took 27.57s to scan 5016 total ports. Completed SYN Stealth Scan against 192.168.120.149 in 27.36s (2 hosts left) Completed SYN Stealth Scan against 192.168.120.148 in 27.57s (1 host left) The SYN Stealth Scan took 27.57s to scan 5016 total ports. Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Host 192.168.120.148 appears to be up ... good. Interesting ports on 192.168.120.148: (The 1671 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 1720/tcp filtered H.323/Q.931 Too many fingerprints match this host to give specific OS details TCP/IP fingerprint: SInfo(V=4.00%P=i386-portbld-freebsd6.0%D=2/3%Tm=43E33CAB%O=-1%C=1) T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=N) T7(Resp=N) PU(Resp=N) Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Host 192.168.120.149 appears to be up ... good. Interesting ports on 192.168.120.149: (The 1671 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 1720/tcp filtered H.323/Q.931 Too many fingerprints match this host to give specific OS details TCP/IP fingerprint: SInfo(V=4.00%P=i386-portbld-freebsd6.0%D=2/3%Tm=43E33CB4%O=-1%C=1) T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=N) T7(Resp=N) PU(Resp=N) Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Host 192.168.120.150 appears to be up ... good. Interesting ports on 192.168.120.150: (The 1671 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 1720/tcp filtered H.323/Q.931 Too many fingerprints match this host to give specific OS details TCP/IP fingerprint: SInfo(V=4.00%P=i386-portbld-freebsd6.0%D=2/3%Tm=43E33CBC%O=-1%C=1) T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=N) T7(Resp=N) PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E) Nmap finished: 65536 IP addresses (6 hosts up) scanned in 1263.280 seconds Raw packets sent: 274636 (9.43MB) | Rcvd: 10784 (473KB)
Zuerst vermutete ich ein paar ungebetene Gäste, da der Netgear DG632B jedoch nur 192.168.0.0/8 routen soll, würden die Rechner mit ihren Netzadressen (hoffentlich) nicht ins Internet kommen und könnten lediglich den Access Point (Netgear WGT624) mit nutzen – uninteressant.
Zudem müsste erst die Verschlüsselung gebrochen werden, bei WEP 104-Bit sicher keine Meisterleistung, das dazu benötigte Wissen würde ich dennoch nicht in der Nachbarschaft erwarten – zum War-Driving wird sich niemand nach Rott verirren.
traceroute
sorgte für Aufklärung:
fk@TP51 ~ $traceroute 192.168.120.150 traceroute to 192.168.120.150 (192.168.120.150), 64 hops max, 40 byte packets 1 * * * 2 rtsl-koln-de02.nw.mediaways.net (213.20.23.78) 53.752 ms 53.635 ms 52.633 ms 3 rmwc-koln-de02-gigaet-0-0.nw.mediaways.net (213.20.17.130) 53.407 ms 54.675 ms 56.029 ms 4 rmwc-koln-de01-pos-2-0.nw.mediaways.net (213.20.16.229) 67.195 ms 65.738 ms 68.919 ms 5 rmwc-frnk-de02-so-0-1-1-0.nw.mediaways.net (195.71.254.117) 73.138 ms 63.048 ms 59.315 ms 6 rmwc-frnk-de01-so-1-0-0-0.nw.mediaways.net (195.71.254.105) 60.294 ms 59.329 ms 58.349 ms 7 rmwc-gtso-de01-pos-1-0.nw.mediaways.net (195.71.254.121) 64.025 ms 66.275 ms 66.567 ms 8 rmws-gtso-de18-gigaet-0-0.nw.mediaways.net (195.71.225.9) 65.047 ms 64.543 ms 66.615 ms 9 rmwc-gtso-de01-gigaet-0-0.nw.mediaways.net (195.71.225.1) 64.435 ms 64.689 ms 63.749 ms 10 xmws-gtso-de01-vlan-3.nw.mediaways.net (217.188.58.203) 63.602 ms 64.054 ms 62.980 ms 11 192.168.120.150 (192.168.120.150) 64.163 ms * 66.163 ms
Die Rechner kommen alle aus dem Internet, dürften also bei mir gar nicht zu sehen sein. Alle zehn Zwischen-Stationen sind fehlkonfiguriert, für neun davon ist die Telefónica Deutschland GmbH verantwortlich – beeindruckend.
Bei dem super-fett getarnten schwarzen Loch an Position 1 der Liste handelt es sich um den Netgear DG632B. Eine Pappnase bei Netgear scheint zu glauben, Sabotage-Versuche von Diagnose-Mitteln würden einen positiven Einfluss auf die Netzwerk-Sicherheit haben.
Die Fehlfunktion, keine ICMP-Meldung TIME_EXCEEDED beim Ablauf der TTL zu schicken, kann ich im Webinterface ebenso wenig regeln wie die Ignoriere-RFC-1918-Option.
Hinter den drei fremden IP-Nummern scheinen
sich nur zwei Rechner zu verbergen, nicht nur dass die ersten beiden Fingerabdrücke
identisch sind, wegen einer weiteren Fehlkonfiguration bestätigt traceroute
diese Ansicht:
fk@TP51 ~ $traceroute 192.168.120.148 traceroute to 192.168.120.148 (192.168.120.148), 64 hops max, 40 byte packets 1 * * * 2 rtsl-koln-de02.nw.mediaways.net (213.20.23.78) 139.065 ms 54.128 ms 135.963 ms 3 rmwc-koln-de02-gigaet-0-0.nw.mediaways.net (213.20.17.130) 90.475 ms 122.363 ms 54.427 ms 4 rmwc-koln-de01-pos-2-0.nw.mediaways.net (213.20.16.229) 90.665 ms 97.195 ms 110.066 ms 5 rmwc-frnk-de02-so-0-1-1-0.nw.mediaways.net (195.71.254.117) 62.643 ms 140.883 ms 59.267 ms 6 rmwc-frnk-de01-so-1-0-0-0.nw.mediaways.net (195.71.254.105) 149.241 ms 61.084 ms 66.744 ms 7 rmwc-gtso-de01-pos-1-0.nw.mediaways.net (195.71.254.121) 66.577 ms 64.760 ms 66.066 ms 8 rmws-gtso-de18-gigaet-0-0.nw.mediaways.net (195.71.225.9) 64.495 ms 65.281 ms 63.289 ms 9 rmwc-gtso-de02-gigaet-0-0.nw.mediaways.net (195.71.225.4) 63.559 ms 64.362 ms 64.597 ms 10 xmws-gtso-de02-vlan-3.nw.mediaways.net (217.188.58.204) 63.233 ms 64.582 ms 63.250 ms 11 192.168.120.149 (192.168.120.149) 64.289 ms * 71.130 ms
Im Netzraum 192.168.0.0/16 ist der DSL-G664T nicht aufgetaucht, die Suche in 10.0.0.0/8 musste verschoben werden, da sich die wesentlichen Dienste des Netgear DG632B reproduzierbar aufhängten, ich aber in der Zwischenzeit weiter surfen wollte. Kinderspielzeug.
Kleines Sahnehäubchen des Netzscans:
Der Netgear WGT632B hat FTP offen, ohne dass ich das irgendwo deaktivieren könnte. Meine Benutzername-Passwort-Kombination für das Webinterface wird nicht angenommen, das schließt natürlich nicht aus, dass ein mir unbekanntes Default-Passwort existiert.
Der WGT624 hat Telnet offen, obwohl Fernwartung laut Webinterface deaktiviert ist. Eine Verbindung wird zwar direkt wieder unterbrochen, dennoch ein unötiges Risiko und ein weiterer Grund, Netgear auf die Liste der zu meidenden Router-Hersteller zu setzen, auf der Cisco/Linksys, D-Link und SMC schon warten.
nmaps
Betriebssystem-Erkennung hat mich nicht direkt umgehauen. Africanqueens
FreeBSD 6.0 wird gar nicht erkannt, das
FreeBSD 6.0 auf dem Laptop wird
für FreeBSD 5.2 - 5.3
gehalten.
Der Netgear WGT624 läuft meines Wissens wie der WGT632B unter einem
GNU/Linux-Derivat, bei dem Netgear
ein halbreifes Webinterface sowie ein paar Bugs ergänzt hat. nmap
hält das Betriebssystem für Compaq Inside Management Board, Phillips ReplayTV 5000 DVR
.
Der Netgear WGT632B läuft laut nmap
unter Linux 2.4.6 - 2.4.26 or 2.6.9
,
das könnte hinhauen.