Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Offene Ubiquiti-Device-Discovery-Dienste

Netzwerkgeräte des Herstellers Ubiquiti verfügen über einen "Device Discovery"-Dienst, welcher standardmäßig aktiv ist und auf Port 10001/udp lauscht.

Problem

Ist der "Device Discovery"-Dienst offen aus dem Internet erreichbar, können Angreifer dies ausnutzen, um Informationen über das interne Netzwerk auszuspähen oder den Dienst für DDoS-Reflection/Amplification-Angriffe gegen IT-Systeme Dritter zu missbrauchen.

Prüfung

Dieser Abschnitt beschreibt, wie Sie Ihr System auf einen offenen Dienst prüfen können. Es existieren üblicherweise mehrere Wege, dies zu testen. Das hier beschriebene Verfahren ist eines davon. Für alle hier beschriebenen Testverfahren werden Programme verwendet, die in gängigen Linux/Unix-Distributionen enthalten sind. Um zu überprüfen, ob ein Dienst offen aus dem Internet erreichbar ist, sollte die Prüfung nicht auf dem System selbst oder im lokalen Netzwerk erfolgen, sondern von einem anderen System im Internet, zum Beispiel an einem Kabel/DSL-Internetzugang. In allen Beispielen muss 192.168.45.67 durch die IP-Adresse des Systems ersetzt werden, welches geprüft werden soll.

Um zu überprüfen, ob sich unter einer IP-Adresse ein offen aus dem Internet erreichbarer "Device Discovery"-Dienst befindet, kann das Programm "netcat" wie folgt verwendet werden:

$ echo -ne "\x01\x00\x00\x00" | netcat -u 192.168.45.67 10001 | hexdump -C

Ein offen erreichbarer "Device Discovery"-Dienst liefert eine Antwort wie die folgende zurück:

00000000  01 00 00 8e 02 00 0a XX  XX XX XX XX XX 50 95 fb  |.......MACADR...|

00000010  67 02 00 0a 44 d9 e7 XX  XX XX c0 a8 37 01 01 00  |g...D.......7...|

00000020  06 44 d9 e7 XX XX XX 0a  00 04 00 28 f5 ca 0b 00  |.D.........(....|

00000030  0f XX XX XX XX XX XX XX  XX XX XX XX XX XX XX XX  |...DEVICE_NAME..|

00000040  0c 00 03 4c 4d 35 0d 00  XX XX XX XX XX XX XX XX  |...LM5....ESSID.|

00000050  0e 00 01 02 03 00 20 58  XX XX XX XX XX XX XX XX  |.......FIRMWARE.|

Lösung

Wenn der "Device Discovery"-Dienst nicht benötigt wird, sollte er deaktiviert werden.
Andernfalls sollte der Zugriff auf vertrauenswürdige Clients beschränkt werden, zum Beispiel durch die Blockierung eingehender Verbindungen auf Port 10001/udp auf der Firewall.

Weitere Informationen

FAQ

Ähnliche Themen

Zurück zu HowTo

Kurz-URL:
https://www.bsi.bund.de/dok/12300170