www.fabiankeil.de/blog-surrogat/2006/02/03/d-link-suche-mit-nmap.html

D-Link-Suche mit nmap

Der Netzwerkscanner nmap ist vor ein paar Tagen in Version 4.0 erschienen, eine gute Gelegenheit zum Testen. Einmal wollte ich die Betriebssystem-Erkennung testen, hauptsächlich aber prüfen, ob sich der zum Hub degradierte D-Link DSL-G664T nach dem Reset eventuell nur eine nicht dokumentierte IP-Nummer besorgt hat.

Gescannt habe ich 192.168.0.0/16, also den für kleinere private Netze reservierten Raum, der im Internet nicht geroutet wird werden soll. RFC 1918 ist eindeutig:

Because private addresses have no global meaning, routing information about private networks shall not be propagated on inter-enterprise links, and packets with private source or destination addresses should not be forwarded across such links. Routers in networks not using private address space, especially those of Internet service providers, are expected to be configured to reject (filter out) routing information about private networks.

Und weiter unten:

It is strongly recommended that routers which connect enterprises to external networks are set up with appropriate packet and routing filters at both ends of the link in order to prevent packet and routing information leakage. An enterprise should also filter any private networks from inbound routing information in order to protect itself from ambiguous routing situations which can occur if routes to the private address space point outside the enterprise.

Der RFC ist aus dem Februar 1996, die Idee wird noch deutlich älter sein und sollte sich inzwischen rumgesprochen haben.

Ungebetene Gäste?

Mit dem Scan gedachte ich nur das lokale Netz abzudecken und staunte daher nicht schlecht, als am Ende drei mir unbekannte IP-Nummern auftauchten:

Initiating SYN Stealth Scan against 3 hosts [1672 ports/host] at 12:20
Completed SYN Stealth Scan against 192.168.120.149 in 27.36s (2 hosts left)
Completed SYN Stealth Scan against 192.168.120.148 in 27.57s (1 host left)
The SYN Stealth Scan took 27.57s to scan 5016 total ports.
Completed SYN Stealth Scan against 192.168.120.149 in 27.36s (2 hosts left)
Completed SYN Stealth Scan against 192.168.120.148 in 27.57s (1 host left)
The SYN Stealth Scan took 27.57s to scan 5016 total ports.
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Host 192.168.120.148 appears to be up ... good.
Interesting ports on 192.168.120.148:
(The 1671 ports scanned but not shown below are in state: closed)
PORT     STATE    SERVICE      VERSION
1720/tcp filtered H.323/Q.931 
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint:
SInfo(V=4.00%P=i386-portbld-freebsd6.0%D=2/3%Tm=43E33CAB%O=-1%C=1)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=N)
T7(Resp=N)
PU(Resp=N)

Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Host 192.168.120.149 appears to be up ... good.
Interesting ports on 192.168.120.149:
(The 1671 ports scanned but not shown below are in state: closed)
PORT     STATE    SERVICE      VERSION
1720/tcp filtered H.323/Q.931 
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint:
SInfo(V=4.00%P=i386-portbld-freebsd6.0%D=2/3%Tm=43E33CB4%O=-1%C=1)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=N)
T7(Resp=N)
PU(Resp=N)

Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Host 192.168.120.150 appears to be up ... good.
Interesting ports on 192.168.120.150:
(The 1671 ports scanned but not shown below are in state: closed)
PORT     STATE    SERVICE      VERSION
1720/tcp filtered H.323/Q.931 
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint:
SInfo(V=4.00%P=i386-portbld-freebsd6.0%D=2/3%Tm=43E33CBC%O=-1%C=1)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=N)
T7(Resp=N)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)

Nmap finished: 65536 IP addresses (6 hosts up) scanned in 1263.280 seconds
               Raw packets sent: 274636 (9.43MB) | Rcvd: 10784 (473KB)

Zuerst vermutete ich ein paar ungebetene Gäste, da der Netgear DG632B jedoch nur 192.168.0.0/8 routen soll, würden die Rechner mit ihren Netzadressen (hoffentlich) nicht ins Internet kommen und könnten lediglich den Access Point (Netgear WGT624) mit nutzen – uninteressant.

Zudem müsste erst die Verschlüsselung gebrochen werden, bei WEP 104-Bit sicher keine Meisterleistung, das dazu benötigte Wissen würde ich dennoch nicht in der Nachbarschaft erwarten – zum War-Driving wird sich niemand nach Rott verirren.

traceroute sorgte für Aufklärung:

fk@TP51 ~ $traceroute 192.168.120.150
traceroute to 192.168.120.150 (192.168.120.150), 64 hops max, 40 byte packets
 1  * * *
 2  rtsl-koln-de02.nw.mediaways.net (213.20.23.78)  53.752 ms  53.635 ms  52.633 ms
 3  rmwc-koln-de02-gigaet-0-0.nw.mediaways.net (213.20.17.130)  53.407 ms  54.675 ms  56.029 ms
 4  rmwc-koln-de01-pos-2-0.nw.mediaways.net (213.20.16.229)  67.195 ms  65.738 ms  68.919 ms
 5  rmwc-frnk-de02-so-0-1-1-0.nw.mediaways.net (195.71.254.117)  73.138 ms  63.048 ms  59.315 ms
 6  rmwc-frnk-de01-so-1-0-0-0.nw.mediaways.net (195.71.254.105)  60.294 ms  59.329 ms  58.349 ms
 7  rmwc-gtso-de01-pos-1-0.nw.mediaways.net (195.71.254.121)  64.025 ms  66.275 ms  66.567 ms
 8  rmws-gtso-de18-gigaet-0-0.nw.mediaways.net (195.71.225.9)  65.047 ms  64.543 ms  66.615 ms
 9  rmwc-gtso-de01-gigaet-0-0.nw.mediaways.net (195.71.225.1)  64.435 ms  64.689 ms  63.749 ms
10  xmws-gtso-de01-vlan-3.nw.mediaways.net (217.188.58.203)  63.602 ms  64.054 ms  62.980 ms
11  192.168.120.150 (192.168.120.150)  64.163 ms *  66.163 ms

Die Rechner kommen alle aus dem Internet, dürften also bei mir gar nicht zu sehen sein. Alle zehn Zwischen-Stationen sind fehlkonfiguriert, für neun davon ist die Telefónica Deutschland GmbH verantwortlich – beeindruckend.

Bei dem super-fett getarnten schwarzen Loch an Position 1 der Liste handelt es sich um den Netgear DG632B. Eine Pappnase bei Netgear scheint zu glauben, Sabotage-Versuche von Diagnose-Mitteln würden einen positiven Einfluss auf die Netzwerk-Sicherheit haben.

Die Fehlfunktion, keine ICMP-Meldung TIME_EXCEEDED beim Ablauf der TTL zu schicken, kann ich im Webinterface ebenso wenig regeln wie die Ignoriere-RFC-1918-Option.

Drei in Zwei

Hinter den drei fremden IP-Nummern scheinen sich nur zwei Rechner zu verbergen, nicht nur dass die ersten beiden Fingerabdrücke identisch sind, wegen einer weiteren Fehlkonfiguration bestätigt traceroute diese Ansicht:

fk@TP51 ~ $traceroute 192.168.120.148
traceroute to 192.168.120.148 (192.168.120.148), 64 hops max, 40 byte packets
 1  * * *
 2  rtsl-koln-de02.nw.mediaways.net (213.20.23.78)  139.065 ms  54.128 ms  135.963 ms
 3  rmwc-koln-de02-gigaet-0-0.nw.mediaways.net (213.20.17.130)  90.475 ms  122.363 ms  54.427 ms
 4  rmwc-koln-de01-pos-2-0.nw.mediaways.net (213.20.16.229)  90.665 ms  97.195 ms  110.066 ms
 5  rmwc-frnk-de02-so-0-1-1-0.nw.mediaways.net (195.71.254.117)  62.643 ms  140.883 ms  59.267 ms
 6  rmwc-frnk-de01-so-1-0-0-0.nw.mediaways.net (195.71.254.105)  149.241 ms  61.084 ms  66.744 ms
 7  rmwc-gtso-de01-pos-1-0.nw.mediaways.net (195.71.254.121)  66.577 ms  64.760 ms  66.066 ms
 8  rmws-gtso-de18-gigaet-0-0.nw.mediaways.net (195.71.225.9)  64.495 ms  65.281 ms  63.289 ms
 9  rmwc-gtso-de02-gigaet-0-0.nw.mediaways.net (195.71.225.4)  63.559 ms  64.362 ms  64.597 ms
10  xmws-gtso-de02-vlan-3.nw.mediaways.net (217.188.58.204)  63.233 ms  64.582 ms  63.250 ms
11  192.168.120.149 (192.168.120.149)  64.289 ms *  71.130 ms

D-Link DSL-G664T bleibt vorerst Hub

Im Netzraum 192.168.0.0/16 ist der DSL-G664T nicht aufgetaucht, die Suche in 10.0.0.0/8 musste verschoben werden, da sich die wesentlichen Dienste des Netgear DG632B reproduzierbar aufhängten, ich aber in der Zwischenzeit weiter surfen wollte. Kinderspielzeug.

Netgears Scheunentore

Kleines Sahnehäubchen des Netzscans:

Der Netgear WGT632B hat FTP offen, ohne dass ich das irgendwo deaktivieren könnte. Meine Benutzername-Passwort-Kombination für das Webinterface wird nicht angenommen, das schließt natürlich nicht aus, dass ein mir unbekanntes Default-Passwort existiert.

Der WGT624 hat Telnet offen, obwohl Fernwartung laut Webinterface deaktiviert ist. Eine Verbindung wird zwar direkt wieder unterbrochen, dennoch ein unötiges Risiko und ein weiterer Grund, Netgear auf die Liste der zu meidenden Router-Hersteller zu setzen, auf der Cisco/Linksys, D-Link und SMC schon warten.

Überwiegend Nieten gezogen

nmaps Betriebssystem-Erkennung hat mich nicht direkt umgehauen. Africanqueens FreeBSD 6.0 wird gar nicht erkannt, das FreeBSD 6.0 auf dem Laptop wird für FreeBSD 5.2 - 5.3 gehalten.

Der Netgear WGT624 läuft meines Wissens wie der WGT632B unter einem GNU/Linux-Derivat, bei dem Netgear ein halbreifes Webinterface sowie ein paar Bugs ergänzt hat. nmap hält das Betriebssystem für Compaq Inside Management Board, Phillips ReplayTV 5000 DVR.

Der Netgear WGT632B läuft laut nmap unter Linux 2.4.6 - 2.4.26 or 2.6.9, das könnte hinhauen.