Alte Hardware an aktuellem Router angreifbar?

[crt]

Hallo!

Stellen veraltete Netzwerkgeräte (zB ein 15 Jahre altes Internetradio) hinter einem aktuellen Router ein Sicherheitsproblem dar?

Ist es dabei egal, ob per Wlan oder Lan verbunden?

Lassen diese sich halbwegs sicher betreiben? Gibt wohl managed Switches mit VLAN Funktion. Wäre man damit dann "sicher", wenn man den ganzen alten Krempel so auslagert?

Wie würde sowas angegriffen werden?

Danke!

 

[Bartmensch]

Ja. Sie sind ein Sicherheitsrisiko.
Die meisten BS dieser Geräte beruhen auf Linux, können also auch kompromitiert werden da es dafür keine Updates mehr gibt. Zeitgleich gab und gibt es eine Menge WLAN Sicherheitslücken, die für solchen alten Geräte nicht mehr gefixt werden.
Offline Verwenden - Kein Problem.

 

[scooter010]

Zu viele unbekannte Faktoren für eine Aussage. Und zu wenig Kenntnisse beim TE.

Ja, das Konzept des "Perimeterschutzes" ist veraltet und verwundbar. Alte Internetgeräte/IoT sind ein Einfallstor. Heute setzt man im professionellen Bereich auf Updates, Zero Trust und wo legacy betrieben werden muss, spezielle Applikation Firewalls, die auf die legacy-Anwendung konfiguriert werden. So viel zur Theorie in Konzernen. KMU/SoHo schon eher Perimeterschutz.

Nach all dem Text: Ist dir IT-Sicherheit wichtiger als Umweltschutz und die Kosten für ein neues Gerät (vielleicht auch schicker/schneller) egal, ersetze es.
Ist dir Umweltschutz und gewohnte Bedienung wichtiger, lass es bleiben.

P.S. Wenn du das Gerät nicht ersetzt, hilft dir dein Router nichts. In den alllermeisten Fällen lag der Fehler 60-90cm vor dem Monitor. Aber auch das ist zu einfach.
Es bleibt dabei: Egal wie modern der Router ist: Er schützt dein Radio nicht mehr oder weniger als ein modernes Gerät wie ein Smartphone oder PC. LAN/WLAN nicht so wichtig.

 

[crt]

Offline Verwenden - Kein Problem.

Wie verwendet man ein Internetradio offline?

 

[Bartmensch]

Mit der meisten vorhanden USB Schnittstelle?
Einfach nur als Abspielgerät.

 

[gaym0r]

Ja. Sie sind ein Sicherheitsrisiko.

Ja, wie denn? Sie sind von außen nicht erreichbar und bauen auch keine dubiosen Tunnel zwecks Fernsteuerung via Cloud auf.
Wir reden hier anscheinend von einem Privathaushalt.

Mit der meisten vorhanden USB Schnittstelle?

Weißt du was ein Internetradio ist?

 

[crt]

Nach all dem Text: Ist dir IT-Sicherheit wichtiger als Umweltschutz und die Kosten für ein neues Gerät (vielleicht auch schicker/schneller) egal, ersetze es

Würde mal behaupten, dass die meisten neuen Internetradios nicht wirklich sicherer sind. Einfach weil den Herstellern das egal ist.

 

[Bartmensch]

@gaym0r Jedes Internet Gerät baut über dieselben Ports Verbindungen auf. Sind also auf diesem Weg durchaus angreifbar. Zudem wenn sie per veraltetem WLAN Sicherheitsstandard verbunden werden.

Und ja, ich besitze ein WLAN Radio von Medion, welches sich Offline wie beschrieben nutzen lässt.
Oder meinst Du ich schreibe sowas nur aus Jux und Dallerei?

 

[Sykehouse]

Es gibt im Grunde 2 Einfallstore, manipulierte Webstreams, die eine Vulnerability ausnutzen oder Zwang zu Fallback auf veraltete WLAN und WPA Versionen.

Vor ersterem würde ich mir nicht gross Sorgen machen, wenn du eh nur deine paar üblichen Sender hörst und für das konkrete Gerät auch keine Sicherheitslücken bekannt sind.

Für zweiteres, wenn möglich per LAN Kabel betreiben.

 

[scooter010]

Wenn du davon aus gehst, warum fragst du dann überhaupt?
Tendenziell haben modernere Geräte ein modernere Kernel. Dass trotzdem Schwachstellen drin sein können, klar.

 

[crt]

Und ja, ich besitze ein WLAN Radio von Medion, welches sich Offline wie beschrieben nutzen lässt

Dann kannst du dein Handy direkt an einen Lautsprecher mit vermutlich besserer Qualität anhängen.

Ergänzung (11. März 2025)

Wenn du davon aus gehst, warum fragst du dann überhaupt?
Tendenziell haben modernere Geräte ein modernere Kernel. Dass trotzdem Schwachstellen drin sein können, klar.

Weil das nix an der Frage ändert. Also ob unsichere Geräte hinter einem aktuellem Router angreifbar sind. (Und wie genau)

 

[scooter010]

@Bartmensch das mit den Ports ist Blödsinn. Jeder Heimrouter lässt Pakete nur rein, nachdem von innen eine Verbindung aufgebaut wurde. Und dann auch nur die Pakete der Gegenstelle.

Ergänzung (11. März 2025)

@crt
Ganz einfach: Ein unsicheres Gerät ist nicht von außen direkt attackierbar. Ob das WLAN eine Sxhwachstelle ist, kommt auf die Version und das Passwort an. WPA2 ist Minimum, WPA3(only) sollte so langsam die Regel werden.

Jedoch können dem Gerät im Rahmen des normalen Betriebs (Abruf Senderliste, Stream des Radios) Daten untergeschoben werden, die es zur Ausführung bösen Codes zwingen.
Das ist letztlich vom Prinzip nicht viel anders als das Öffnen eines bösartigen Email-Anhangs.

Bei deinem Radio muss ein potenzieller Angreifer wahrscheinlich nur einen Exploit für einen oder zwei Codes als Radiosender ausspielen und hat damit viele Geräte unter seiner Konteolle, da die sich in der Software zum Abspielen letztlich kaum unterscheiden werden.

 

[Nero FX]

Das Problem ist das die Internetradios Verbindungen zu Dienstleister herstellen die dann Senderlisten und co. bereitstellen.

Wenn der Dienstleister über die Jahre verschwunden ist könnte die Domain übernommen wurden sein und per Sicherheitslücke das Radio infiziert werden.

Ein weiterer Weg sind manipulierte "Sender" also, man schafft es bei einem Dienstleister in die Senderliste mit einem Fakesender (der funktioniert, aber vorher infiziert er das Radio).

Man müsste das Radio einfach aus dem "privaten" LAN ausschliessen, bei AVM z.B. per Gastnetzwerk.
Das verhindert Zugriff aufs LAN, Botnetze können trotzdem weiterhin aktiv sein.

 

[Bartmensch]

@crt Du hast nach eine Anwendung gefragt, das wäre eine. Ob sie sinnvoll ist, steht hier nicht zur Debatte. Genauso wenig macht es ja Sinn, unsichere Geräte in einem Netztwerk mit Internet Anbindung zu betreiben.
Wäre dem nicht so, könnte ich ja meinen Windows XP Retro Rechner ohne Probleme an meinen Moderne Fritzbox hängen, die ist ja aktuell. Nein kann ich nicht.

Versteh mich nicht falsch, ich mag alte Hardware. Darum habe ich Retro Rechner mit Win9x, XP und Co. Aber ich würde sie eben nicht am Internet Router betreiben. Höchstens als VM auf einem PC um zu beweisen, wie schnell man infiziert wird.

 

[Grimba]

das mit den Ports ist Blödsinn. Jeder Heimrouter lässt Pakete nur rein, nachdem von innen eine Verbindung aufgebaut wurde. Und dann auch nur die Pakete der Gegenstelle.

Jein, denn dann würde NAT Hole Punching nicht funktionieren, was heute die allermeisten Kommunikationstools verwenden. Dabei wird der Port eben über die Gegenstelle einem anderem Client bekannt gemacht, der sich dann damit verbindet, obwohl er eben nicht die Gegenstelle ist. Ist natürlich komplexer, sich bösartig auf sowas aufzuschalten, als über die Standardports, die zweifelsohne zu sind wie beschrieben, aber deshalb ist deine Erklärung nicht ganz zutreffend, da ein Einfallstor nicht ganz ausgeschlossen werden kann.

 

[Tuetensuppe]

ich besitze ein WLAN Radio von Medion, welches sich Offline wie beschrieben nutzen lässt.

Da kauft man sich besser einen Brüllwürfel für 50 Euro und bedient es per Smartphone ;-)

Ein sog. Internetradio, das man nur mehr offline benutzt, ist kein Internetradio mehr.

 

[scooter010]

Kurz in den Wiki-Artikel geschaut mit dem Ergebnis: Auf Layer3/4 bleibt meine Aussage in Bezug auf die statefull Firewall (Router) korrekt. Warum ein Client einr Verbindung her stellt ist hier irrelevant und ich sagte bereits: Nachdem er eine Verbindung angefragt hat, kommen auch Antworten zurück.
Edit: Beim Hole Punching gibt es nur einen dritten Server, der zwei Clients jeweils gegenseitig sagt, wohin sie Daten schicken sollen. Dann kommen die Anfragen auch an.
Edit2: Dann müsste das Radio bereits kompromittiert sein.
Ich kann den Router nicht dazu bringen, von außen eine Verbindung zu einem anderen Gerät im LAN her zu stellen. Zumindest nicht ohne MAC-spoofing, was root/admin-rechte auf einem anderen Gerät im LAN benötigt.

 

[Helge01]

Jein, denn dann würde NAT Hole Punching nicht funktionieren

NAT ist ja auch keine Firewall.
In der Regel existiert ja noch im Router eine Stateful Firewall und damit geht es dann nicht mehr.

 

[Grimba]

Es ging mir mehr um den Punkt, man nimmt nur von der Gegenstelle Pakete entgegen. Das kann man erzwingen, ja, aber eben wegen dem Hole Punching, mit dessen Hilfe heute vieles arbeitet, ist das in aller Regel in Consumer Routern nicht so voreingestellt, damit der Nutzer nicht ständig vor eine Wand läuft. Convenience eben. Damit ist dann eben nicht sicher, dass nur Pakete der Gegenstelle angenommen werden. Aber ich gebe zu, das war etwas pingelig von mir.

 

[scooter010]

Hole Punching ist keine Angriffstechnik. Und Hole Punching ist auch nichts "Krasses", es baut nur auf der normale Funktion von statefull Firewalls auf. Dir Initiale Verbindung muss immer zuerst von innen ausgehen, auch beim Hole Punching muss für jedes " hole" von innen ein Paket geschickt werden. Somit besteht dann eine Verbindung (man möge mir diese Ungenauigkeit bzgl. der Aussage "Verbindung" im Kontext UDP verzeihen) und die Firewall ist dann in beiden Richtungen durchlässig, aber nur zwischen dem einen Gerät im LAN und der angefragten Gegenstelle über den einen verwendeten Port. Mehrere Holes -> Mehrere Gegenstellen und/oder Ports.

Beim Online-Gaming kann das ein tatsächlich ein Problem sein. Das liegt aber nicht am Hole-Punching sondern daran, dass die IP der "Mit-/Gegenspieler" durch den direkten Versand an die Teilnehmer der Spielrunde bekannt gemacht werden und dann deren Rechner auf Schwachstellen gescant oder das Spiel zum Absturz gebracht werden kann.
Aber auch das hat nicht direkt was mit hole-Punching zu tun, sonder mit dem Einsatz von P2P Protokollen bei Online-Games. Hole Punching ist nur eine mögliche Technik, die den breiten Einsatz von P2P Protokollen hinter verbreiteten NAT Anschlüssen ermöglicht.
Eine weitere Technik könnte die Verwendung von VPNs sein.