 Ja, ich bin Chaosmaster. Willkommen bei meinem Talk Hacking Docsis oder How to Get Free Internet. Vielleicht warte ich nochmal ganz kurz, bis sich hier ein bisschen beruhigt hat. Ja, wunderbar. Kurz zur Vorgeschichte. Also ich hatte schon früher mal ein bisschen mit den DSL Fritzboxen rumgespielt und irgendwie kam ich dann in die Gelegenheit, dass mir jemand eine Kabel Fritzbox mal in die Hand gedrückt hat und da ich irgendwie gelesen hatte, dass das da irgendwie alles unmöglich ist und kommt nicht drauf und gibt kein Telnet und so weiter. Das hat mich dann irgendwie gereizt, dass ich mich mal ein bisschen mehr damit beschäftigt habe und einfach mal ein bisschen rumgespielt habe. Ja, und so hat das Ganze angefangen und da machen wir dann auch gleich weiter. Was denn da passiert? So, ja, kurz zur Übersicht. Ja, genau. Erst mal Bootloader angeschaut. Dann, wie kriegen wir Code Execution hin? Netcut, U-Telnet D und so weiter. Ja, im Vergleich zu den DSL Fritzboxen sind die Kabel Fritzboxen halt stark freiskastriert. Bei den DSL Fritzboxen war das früher ganz üblich. Da gab es eine offizielle Methode, wie man Telnet aktivieren konnte über ein Telefoncode oder andere Mittel. Das ging alles bei den Kabel Fritzboxen nicht, weil sich die Provider natürlich, die gab es natürlich auch erstmal gar nicht im Handel so zu kaufen, sondern die gab es nur über die Provider als Leigeräte und die hatten natürlich die Herrschaft darüber und wollten natürlich nicht, dass ihre Kunden dann an den Boxen rumspielen und vielleicht irgendwelche bösen Sachen damit anstellen. Vielleicht haben sie ja damit auch recht gehabt, das werden wir dann auch sehen. Ja, also es ist kein eigenständiges Firmware-Upgrade möglich bei diesen Boxen. Es ist kein standardmäßiger Zugriff per Telnet möglich. Ja, genau. So, es ist möglich, also die Fritzboxen verwenden ein Bootloader, der nennt sich E-Fahr, das ist irgendwie aus dem Fog von dem Adam Bootloader von Texas Instruments, glaube ich, entstanden. Auf den kann man auch zugreifen bei der Fritzbox-Kabel. Das geht über Netzwerk per FDP. Die antwortet darauf auch, allerdings kann man damit leider keine Partitionen dampen. Man kann sie zwar flaschen, aber eben nicht dampen. Die serielle Konsole ist auch vorhanden und wenn man da was dran hängt, dann kriegt man auch ein bisschen Output, aber dann das System, also der Bootloader sprucht ein bisschen was aus, sobald dann aber das System kommt, ist stiller auf dem. Also das war dann erst mal nicht der Weg, den ich weiterverfolgt habe. Ich bin dann einen anderen Weg gegangen, ich habe mich aus meiner Zeit mit den DSL Fritzboxen an eine so schöne Möglichkeit erinnert, dass es gab einen Script, das nannte sich Calllock, was standardmäßig auf den Boxen nicht existiert, was man aber anlegen konnte und wenn es existiert, dann wird das vom System aufgerufen, sobald ein Telefonanruf eingeht. Also sobald ein Telefonanruf angeht, wird dieses Calllock Script aufgerufen. Als Parameter kriegt es dann die angerufene Nummer und den Anrufenden übergeben. Und das hatte ich damals seinerzeit dafür verwendet, um so ein Wake on Call zu machen. Also wenn ich mit dem Handy dann zu Hause auf meinem Festnetz angerufen habe, dann ist mein Rechner hochgefahren. Also im Endeffekt war das einfach dieses Calllock Script, was dann ein Wake on alarm gemacht hat. Und daran habe ich mich halt erinnert. Die schöne Sache dazu ist, die Fritzbox haben so einen Einstellungs-im- und Exportfunktion und über diese Einstellungs-In- und Exportfunktionen ließ sich eben auch dieses Calllock anlegen und bearbeiten. Also wie gesagt, dieses Script existiert standardmäßig nicht. Wenn man normalerweise ein Export macht, dann taucht dieser Bereich auch gar nicht auf. Wenn man diesen Bereich aber anlegt und das Ganze wieder zurück in die Fritzbox spielt, hat man auf einmal dieses Calllock und es wird auch ausgeführt. Und dann dachte ich mir, na ja, vielleicht gibt es dieses Script ja oder vielleicht kann man das ja auch bei der Kabel Fritzbox benutzen. Dafür einfach den Einstellungen Export gemacht. Den gibt es eben auch bei der Kabel Fritzbox. Diesen Calllock, das Calllock Script eingefügt. Und dann muss man eben noch mit Fritzchecksamen oder mit anderen Tools. Also früher ging es auch, dass man glaube ich, no checks gleich yes gesagt hat. Und dann hat die einfach die Checksumme nicht überprüft. Aber es gibt eben auch Möglichkeiten einfach diese Checksumme neu zu berechnen und dann wird diese überarbeitete Exportdatei auch angenommen. Ja, also zuerst stellte sich, stellte sich dann raus, dass es scheinbar kein Telnet vorhanden ist. Ich sag deswegen scheinbar, weil ich dann später festgestellt habe, dass es eben nicht, also die haben es nicht komplett ausgebaut. Also die benutzen eine Busybox. Da war zwar ein Telnet drin. Die haben da aber irgendwas reingepatched, dass das Telnet nur funktioniert, wenn Simlink unter einem bestimmten Fahrt existiert auf die Busybox. Also das musste dann nicht mal über diesen Fahrt aufgerufen werden, sondern sobald dieser Fahrt existiert, ließ sich Telnet starten. Das hatte ich allerdings erst hinterher herausgefunden. Ich bin zu dem Zeitpunkt erst mal davon ausgegangen, dass es kein Telnet auf der Box gibt. Also nächster Versuch mit NetCAD. Hier ganz einfaches Core Lock Script, was einfach ein NetCAD aufmacht auf Port 1, 2, 3, 4. Ich bin SH darauf startet. Und ja, das Ganze hat dann auch ganz gut funktioniert. Ich kam auf die Box, konnte mich ein bisschen umschauen, aber das war ein bisschen unkomfortabel mit dem, keine Topcompletition und so weiter. Und irgendwie ich kannte das mit dem Telnet, auch wenn man ja eigentlich Telnet nicht unbedingt will, aber in dem Fall war mit Telnet dann lieber. Und ja, dann dachte ich mir, dann gibt es doch den U-Telnet D. Der ist schön klein, den kann man vielleicht cross-compilen und den packen wir dann auf die Box drauf. Und dann habe ich meinen eigenen Telnet. Das hat auch ganz gut geklappt. Also den Telnet dann kompiliert und auf die Box gepackt. Hier sehen wir, was mir da zuerst ein bisschen strichdurch die Rechnung gemacht hat. Ich kannte halt die ganzen alten Systeme, die waren auch arm. Ich habe dann halt einfach da ein U-Telnet D mit den alten cross-compile-Tools gebaut. Und das ging nicht. Und dann habe ich halt eben über den Net-Cut mir dann mal ein binary angeguckt und stellte fest, hat einen Moment gedauert, bis ich es gesehen habe, dass es hier ein MSB executable ist und die alten Boxen alle LSB, also Least Significant Byte und das Most Significant Byte, also Big Indian, Little Indian. Das habe ich halt im ersten Moment einfach übersehen und sobald ich dann die richtige Toolchain verwendet habe, hat das da auch auf Anheb geklappt. Also wie gesagt, einfach cross-compile, hatte ich mein U-Telnet D, so wie kriegen wir den jetzt auf die Box? Ich habe ja nur dieses Core-Lock-Script, jetzt will ich ja irgendwie mein binary da auf die Box kriegen. Also zu diesem Zeitpunkt habe ich ja noch keine Möglichkeit da irgendwie per SSH oder FDP oder sonst wie, was auf die Box zu kopieren. Also ist ein kleines Script gebastelt. Hier sehen wir schon, das macht folgendes. Also unten sehen wir Payload. Da drunter wäre jetzt sozusagen noch das binary, wo die Cut einfach dran gehängt wird. Das Script kopiert sich dann selbst in einem anderen Speicherbereich, weil der Bereich war Flash-Core-Lock, also wo dieses Core-Lock abgelegt ist, ist so ein spezielles Flash-File-System von AVM und da lassen sich keine normalen Datei-Operationen, also ich kann da kein Copy und so weiter machen. Cut funktioniert, aber ich kann halt nicht mittendrin eine Datei springen. Insofern einfach erst mal ins Temp kopiert und dann suche ich einfach in meinem Script nach dem Payload und den Payload kopiere ich mir dann in dem Fall nach data.fbox.utale.netd und dann habe ich dort, also das ist noch mit gzip verpackt und dann habe ich mein UTale.netd einfach unter data.fbox liegen und kann das auch ausführen. Dieses Sbin AR7-Lock in das ist noch, also das ist ein Standard-Tool von AVM, was dann einfach dafür sorgt, dass beim Telnet-Zugriff nach dem Web- Oberflächenpasswort gefragt wird. Das hätte man sich auch sparen können, also ich hätte natürlich jetzt auch einfach direkt den UTale.netd starten können hätte ich einfach direkt Zugriff ohne Passwortabfrage. Aber so ist das irgendwie dann doch nochmal mit Respects Passwortabfrage und so weiter irgendwie bisschen schöner. Auf jeden Fall das Ganze hat ganz gut funktioniert, also man sieht einfach das Script drauf hinten, das Binary dran gehängt das Ganze dann in die Export-Datei um das Ganze natürlich reinzukriegen, weil wir können natürlich nicht wie der Dateien einfach in diese Text-Datei tun. Was AVM da macht ist, dass die das einfach als Base64 in die Export-Dateien als Base64 da reinpacken. Dafür ein kleines Convert-Script, was im Endeffekt genau das macht, also das nimmt Alterscript entgegen, konvertiert das mit Base64 und dann habe ich halt kommt dabei dann so etwas raus, also das ist nur ein Ausschnitt von oben, also in der Mitte fehlt der, aber so sieht das aus und so kann ich das dann genau in die Export-Datei übernehmen. Also binnenfall Corelock, da weiß Fritzbox-System schon, welche Datei gemeint ist, da ist die Warflash-Corelock gemeint, die legt er dann an und in dem Moment sobald ich dann, also natürlich muss ich dann erstmal auch noch dieses Script ausführen, damit ich dann auch tellnet Zugriff habe. Wie machen wir das? Weil ich habe ja eine Box, die ist nicht provisioniert und ich habe kein Internet und ich kann die nicht anrufen, die hat keine Telefonie eingerichtet, ist aber auch alles gar kein Problem. Legen wir einfach so ein Dummy-Account auf der Box an, hier sieht man die IP-Adresser 1.1.1 und so weiter, irgendwelche Dummy-Daten eingetragen und das Schöne ist, die Fritzbox reagiert dann da drauf, wenn man sich da per SIP dann drauf anruft. Dafür habe ich dann Linfone verwendet, hab einfach mal per tellnet auf die Box angerufen und siehe da plötzlich gegen tellnet. Wunderbar, schauen wir doch mal auf die Box, was sich dann so auf der Box befindet. Ja, und da kommen wir dann zum nächsten Teil, das ist schon Fritzbox-Kiebel, also gucken wir mal ins Datei-System. So, dann sieht man erstmal so ein paar interessante Dateien, also hier CMZR, CM-Key, PRIVPIN und so weiter. Also dabei handelt es sich dann erstmal, da muss man wissen, im Kabelnetz wird BPI-Plus verwendet für die Autifizierung. Das heißt, jede Box hat ein Schlüsselpaar, ein Private-Key und passendes Zertifikat dazu. Das Zertifikat ist vom Hersteller signiert, da wiederum von der COURODOXIS-ROOT-ZEA signiert wurde. Das heißt, das Modell meldet sich dann damit gegenüber dem CMTS an und authentiziert sich damit und das CMTS, also das Kabelmodel im Termination-System, das sozusagen das Endstück auf der anderen Seite beim Provider vergleichbar vielleicht mit bei DSL dem DSLem, wobei das Ganze nochmal ein bisschen anders ist, da ja Kabel im Shared-Medium ist. Aber grundsätzlich, das ist halt das Gegenstück, was beim Provider steht und der überprüft halt eben, wenn sich das Modell meldet auf das Zertifikat, ob dieses Zertifikat auch vom Hersteller unterschrieben ist, ob das gültig ist und so weiter, in dem Zertifikat im Common Name steht dann die MAC-Adresse des Modems, also dass die MAC-Adresse dann auch zur MAC-Adresse des Modems passt, also dass man nicht einfach die MAC-Adresse tauschen kann, auf die MAC-Adresse vom Nachbarn ändern kann und dann eben plötzlich den Internetanschluss vom Nachbarn nutzen kann, weil das soll das genau unterbinden, weil ich brauche dann eben auch den Private-Key so. Ja, dann folgen wir doch, dann sind wir noch hier die MFG-Zer-Zer, das ist, MFG steht in dem Fall für Manufacturer Certificate, das ist sozusagen, also das Intermediate-Zertifikat von AVM, dann sind wir MFG-Key-PUB, also der Public Key von AVM, der ja eigentlich auch im Zert drin steht, aber trotzdem hier nochmal extra und Root-PUB-Key, in dem Fall das Root-Zertifikat der Eurodoxys, ja, so die, das ist ein Sim-Link auf EDC-Doxys Security, also schauen wir doch einfach nochmal rein, was sich vielleicht in EDC-Doxys Security befindet und da sehen wir auch wieder eine ganze Reihe an verschiedenen Zertifikaten und PEM und Keys und so weiter. Ja, da sieht man ja schon irgendwie, also wir haben Euro-MFG-Zert, wir haben Euro-MFG-Key, wir haben Euro-MFG-Key-PUB, also Moment, wir haben Key-PUB und wir haben Key-Pem, ja, komisch, schauen wir doch mal rein. Ja, wir sehen Beginn, RSR, Private Key, ich habe jetzt mal hier nicht den gesamten Key, aber der eine oder andere wird sich vielleicht schon denken können, dass das vielleicht ein bisschen problematisch ist, na ja, ja, ich hatte das ganze so Anfang letzten Jahres mich damit beschäftigt, irgendwie, als ich mir das dann aufgefallen bin, habe ich mich dann mal an Heise gewandt, ob die dann nicht vielleicht mal bei AVM und bei den ganzen deutschen Providern anklopfen würden und denen mal sagen würden, dass es da vielleicht ein Problem gibt, na ja, die haben das natürlich erstmal alles klein geredet und kein Problem und warten sie noch und, also wie man sieht, im Juli ungefähr, glaube ich, habe ich mich dann bei Heise gemeldet, die hatten das dann weitergeleitet, dann AVM haben ein bisschen Zeit gegeben. Im November haben sie dann was dazu veröffentlicht, AVM entweicht der geheime Fritzbock-Schlüssel, na ja, der Titel kann man drüber streiten, aber gut. Ja, genau, also nochmal zusammengefasst. AVM liefert den privaten Schlüssel für ihre Intermide-CA auf dem Kabelrouter aus, der beim Kunden zu Hause steht. Die Intermide-CA ist von der Eurodoxys-CA unterschrieben, das heißt, erst mal generell jeder, der der Eurodoxys-CA vertraut, der vertraut auch dieser Intermide-CA. Wie sich später herausgestellt hat, gibt es dann auch noch auf der Box sich CM Zertgen, was wohl scheinbar verwendet wurde. Nach einem Werks-Reset hat sich die Box dann einfach ein neues Zertifikat generiert und hat es halt auch gleich unterschrieben, ist ja kein Problem. Sie hat ja den Private Key. Also, ja, warum nicht? Na ja, und dann meldeten sich bei mir, ich hatte beim Kongress letzten Jahr einen kleinen Lightning-Talk dazu gehalten und das ist dann von Cable Labs, das ist die Verwalter der Doxxys, also es gibt immer Doxxys, das ist das, was in USA verwendet wird und dann gibt es Eurodoxys, was fast sonst überall verwendet wird. Grundsätzlich unterscheiden die sich eigentlich nicht, die haben nur eine andere Zertifikatinfrastruktur, also eine andere PKI, sind aber eigentlich technisch fast das Gleiche. Auf jeden Fall meldeten sie sich dann von Cable Labs, der CEO bei mir, der CEO Ralph Brown und kurz Zeit später auch von Accentus, also das sind die, die die Eurodoxys CA verwalten, Luke Martens, die mir sagten, ja, ja, das ist alles kein Problem und wir haben das Zertifikat jetzt zurückgezogen und das betrifft ja sowieso nur Eurodoxys und na ja, ist alles halb so schlimm. Ich bin mir halt nicht so ganz sicher, aber wenn man sich dann mal so die Dokumentation von den CMTS-Systemen, wie gesagt, Eurodoxys und Doxxys unterscheidet sich technisch, das heißt, die ganzen CMTS unterstützen natürlich beide Standards und man kann natürlich davon ausgehen, dass sie dann in der Default-Konfiguration auch beide Rout-CAs installiert haben und wenn der Admin jetzt nicht manuell da hingegangen ist und das Eurodoxys CA in den USA aus dem CMTS geschmissen hat, könnte man davon ausgehen, dass das vielleicht auch dort akzeptiert wird. Na ja, genau, also vermutlich von vielen CMTS weltweit akzeptiert, weil eben das Vertrauen gegenüber der Eurodoxys Rout-CAs besteht. Aber wie gesagt, sie sagten, das ist revoked und als alles kein Problem, könnte man ja davon ausgehen, dass das dann auch so ist, wenn das revoked ist. Hier nochmal ein Überblick, wie diese Zertifikatsinfrastruktur aussieht. Also wir haben oben die Eurodoxys CA, beziehungsweise bei Doxxys dann die Doxxys CA, dann gibt es die Manufacturer CAs, also das sind dann von Cisco oder von AVM oder wie auch immer, die Intermediates CAs, die haben dann alle eine eigene, die von Eurodoxys signiert ist und die wiederum unterschreiben dann die Device-Zertifikate, damit das CMTS auf der anderen Seite auch wieder sicherstellen kann, dass das Gerät mit dieser MAC-Adresse und diesen Zertifikat auch wirklich vom Hersteller so ausgeliefert wurde und nicht jemand irgendwie die MAC-Adresse getauscht hat, um irgendwie einen Internetanschluss zu klauen. Also das ist die Struktur, wie man es halt kennt, so eine PKI-Infrastruktur. So, genau. Ja, wie fragt man sich natürlich, wie ist das mit MAC-Adressen? Also grundsätzlich, ich kann ja jetzt, wenn ich diesen Private Key habe, kann ich ja ein beliebiges Zertifikat erstellen und kann in den Kommentaren reinschreiben, was ich will. Das heißt aber trotzdem, ich brauche natürlich damit das Ganze dann auch Sinn macht, eine MAC-Adresse, die auch beim Provider registriert ist und die auch funktioniert. Wo kriegt man eine MAC-Adresse her? Hier ist mein Auszug aus dem Environment der Fritzbox, da stehen ein paar Daten drin. Vielleicht fällt ja dem einen oder anderen was auf, wenn er sich die MAC-Adressen anguckt. Also gehen wir jetzt mal davon aus, dass die ganzen Excel identisch sind bei allen MAC-Adressen. Wenn man sich mal MAC-Wlan anguckt und MAC-DSL fällt da jemandem was auf. Ja, also plus eins, ne? Das heißt War-Driving kennt man, es gibt auch so schöne Online-Datenbanken, wo man mal reinschauen kann und da gibt es jede Menge Wlan und gerade bei den Fritzboxen zum Beispiel in der Default-Konfiguration wenn dann das Wlan irgendwie Fritzbox 6320 Cable Wlan heißt und man die MAC-Adresse dann entsprechend auch hat, dann ist es auch nicht so ein Problem dann auf die Cable MAC zu schließen. Und wenn man dann auch noch diesen Private Key hat, dann kann man sich halt ein gültiges Certificat dafür erstellen. Aber es ist ja revoked, das ist kein Problem. Das sehen wir ja jetzt gleich. Also AVM verwendet nämlich seit 2015 neue und verbesserte Zertifikate. Alles kein Problem. Die deutschen ISPs arbeiten gemeinsam mit AVM daran eben die neuen Zertifikate dann auf die Boxen zu kriegen damit sie das alte Zertifikat sperren können. Und das sollte laut den Providern bis Ende November 2016 also letzten Jahres abgeschlossen sein. Also zumindest die letzten Provider wollten glaube ich Ende November fertig sein. Ich kann zumindest für einen Provider sagen dass das immer noch funktioniert. Ja, und was ist mit dem Rest der Eurodoxeswelt? Also wenn ich ja jetzt den Leuten nicht sag dass das Zertifikat irgendwie gesperrt werden muss oder dann wird es halt nach wie vor akzeptiert. Hier sehen wir nochmal also das ist das Zertifikat um das es geht also das ist nicht das gesamte aber so der interessante Teil, wir sehen die Seriennummer die betroffen ist wir sehen dass das ein 2048 Bitpublici hat Signature Algorithm Char1 plus RSR encryption so und jetzt gibt's das neue verbesserte Zertifikat. Ich weiß ja nicht was ist denn ja vor allem also Char1 immer noch, also beim neuen Zertifikat dazu muss man sagen das ist natürlich jetzt nicht die Schuld von AVM das Zertifikat wird ja nicht von AVM ausgestellt sondern eben von der von Accentes die die RUCA verwalten wo man sich dann aber schon fragt wenn sie dann hier 2015 13. März 2015 wurde dieses Zertifikat ausgestellt und es verwendet eben immer noch Char1 für die Signature ja aber das ist verbessert und neu ja auch mit dieser Veröffentlichung durch Heiser hat dann Accentes sich entschlossen ein Artikel zu veröffentlichen wie man dann jetzt damit umgeht und dass eben dieses Zertifikat zurückgezogen wurde und was man denn damit macht da hab ich mal aus diesem Artikel da geht also was heißt relativ lang, also sind ein paar Details wie man damit umgeht da hab ich mal ein paar Zitate raus also einmal eben die ganz wichtige Frage mein CMTS benutzt eigentlich gar keine AVM Geräte ich bin nicht davon betroffen natürlich trotzdem weil es kann ja trotzdem jemand dieses Zertifik dieses Ki benutzen um irgendeine beliebige Mac-Adresse zu unterschreiben und weil das eben von Eurodoxis signiert ist wird das das CMTS auch akzeptieren weil da gibt es ja keine Unterscheidungen zwischen Herstellern und so es gibt eben die haben Eurodoxis-Theat drin und alles was von Eurodoxis signiert ist ist erst mal in Ordnung und dem wird vertraut also insofern man ist auch nicht dann sicher wenn man keine AVM Geräte verwendet ja und dann zum Thema Revocation two central light method are defined in the specifications CRL and OCSP none of these are required to be supported no public CRL or OCSP for Eurodoxis exists what also um das nochmal zusammenzufassen das hat bedeutet letztendlich wenn jemand dafür sorgen will dass in seinem Netz diese gefälschten Zertifikate nicht funktionieren dann muss er manuell in jedem CMTS oder vielleicht auch automatisiert bei all seinen CMTS vielleicht wird er seine Möglichkeit haben mitteilen dass er bitte doch dieses Zertifikat dieses eine nicht mehr vertrauen soll das heißt aber wiederum der Betreiber des Netzes muss auch Bescheid wissen was dieses Zertifikat zu sperren ist weil das passiert ja nicht automatisch es gibt eben keine CRL die dann automatisch sagt so dieses Zertifikat ist jetzt ist jetzt nicht mehr vertrauenswürdig weil der Key dafür ist bekannt und ab sofort gilt es nicht mehr sondern sie müssen hingehen wissen dieses Zertifikat ist nicht vertrauenswürdig und müssen das eben manuell sperren so wenn man in Deutschland ist, dann die Provider haben es mitgekriegt, allein durch Heise und so weiter, aber Eurodoxis und DOCSIS wird eben nicht nur in Deutschland verwendet und deshalb gehe ich davon aus dass es noch sehr viele Provider geben wird wahrscheinlich dieses Zertifikat immer noch akzeptieren und das wird vermutlich auch noch eine längere Zeit so bleiben so ja und das ist auch noch mal ein Zitat aus dieser Seite, also das ist der Befehl mit dem sie den Provider nahe legen dieses Zertifikat doch zu sperren also da wird dann der Trust für diese Zertifikats irgendwo steht es genau also da wird dann das Zertifikat einfach das Hextring das komplette Zertifikat als Hexadezimale Darstellung und da wird einfach der Trust entzogen mit der SNMP das ganze ja ich hatte eben schon mal kurz gesagt dass AVM sich dann in Deutschland mit den Provider zusammengetan hat und sich überlegt hat, naja wie gehen wir jetzt damit um weil die ganzen Boxen die im Umlauf sind die haben halt alle das Zertifikat und das ist wahrscheinlich auch mit eine Begründung warum man sich entschieden hat eben keine CRL keine automatisierte Möglichkeit der Sperrung zu machen weil das natürlich auch ein hohes Dospotential hat wenn man dann so ein Zertifikat sperrt dann kommen natürlich die ganzen Modems die dieses Zertifikat sperren auf einmal nicht mehr ins Internet das wollen die der Provider natürlich auch nicht also insofern müssen sie es ja irgendwie schaffen entweder die ganzen Modems auszutauschen oder irgendwie eine Methode zu finden wie sie auf dem Modem die Zertifikate austauschen bevor sie die alten Zertifikate sperren sonst haben die ja wieder kein Internet und können sich auch kein neues Zertifikat also das ist irgendwie so ein bisschen Hennerei-Problem was AVM dann gemacht hat die haben dann angefangen beim Firmware Update noch ein Binary mit drauf zu pushen das sieht man hier, das nennt sich CMDL Zert 1,3 Megabyte groß und dieses Binary soll dafür sorgen dass das Zertifikat ein neues Zertifikat auf die Box kommt jetzt guckt man sich mal ein bisschen das Binary an machen wir mal ein Strings drüber also das ist jetzt auch wieder nur ein Auszug mit so den interessanten Strings vielleicht fällt im ein oder anderen schon was auf Application, XWWW Form URL encoded, Content Length man sieht ja so ein Servername irgendwie so was was so aussieht wie Parameter die eventuell irgendwie eine URL übergeben werden können ganz unten sehen wir noch was von NOVETAR file downloaded also da kann man schon eine ganze Menge draus schließen also im Prinzip kann man damit ja fast schon erraten vielleicht wie das ganze aussehen könnte aber um nochmal sicher zu gehen also wir sehen ja HTTPS das heißt ich kann auch nicht einfach mitschneiden was da passiert aber um nochmal sicher zu gehen was das Ding wirklich macht haben wir halt habe ich halt folgendes gemacht einfach mal also wir sehen ja hier die URL da steht dann der Servername drin wenn ich da einfach mal meinen eigenen Server und dann sehen wir irgendwo in Zeile 15 genau war CA-Pam da ist dann die CA-Zertifikate drin die eben den Server Public Key enthalten bzw. eine CA die diesen signiert hat so wenn wir jetzt einfach mal den Servername austauschen und die CA-Pam Datei austauschen mit unserer eigenen und dann sozusagen man in the middle bzw. ich sage jetzt mal man at the end weil mich ja eigentlich nur interessiert hat wie sieht dieser Request aus also mir ging es ja nicht darum dann wirklich den Request auch an AVM oder wie auch immer weiter soll ich wollte ja nur mal sehen stimmt meine Vermutung mit dem Request wie man den schon erraten kann also nenn ich mal man at the end weil im Endeffekt die Anfrage dann an meinen Server geht und dann aber nicht mehr weiter geht aber im Endeffekt kann ich dann in die SSL Verschlüsselung reingucken und sehe wie der Request aussieht und die Folge davon ist dieser schöne Heinzeiler ich weiß nicht warum man dafür 1,3 Megabyte braucht gut man muss sagen Sie haben da glaube ich auch einen SSL Statisch reingelinkt aber es ist trotzdem dynamisch gelinkt also ich weiß auch nicht was sie da gemacht haben aber dieser Heinzeiler in Köln hat es auch getan wie wir hier unten sehen kommt dann da ein Datei raus ein Tafall ungefähr 10k groß also wir sehen die Vermutung die wir schon mit Hilfe von Strings hatten derweise dieser Request aussieht hat sich bestätigt also das ist einfach ein HTTPS Post Request wo ein paar Parameter übergeben unter anderem die Hardware ID die MAC Adresse für die das Zertifikat zum runterladen ist OEM was dann in dem Fall so was wie Unity ist oder LGI bei den neueren Modellen oder KDG bei den Kabel Deutschland beziehungsweise Vodafone Modellen oder eben einfach AVM wenn es ein Retail Gerät ist wobei die Retail Geräte grundsätzlich schon mit den neuen Zertifikaten ausgestattet sind ja und dann noch Version also das sind alles Sachen die man daraus kriegt aus der Box also das sind alles Infos die bekannt sind wobei sich auch irgendwie relativ schnell herausgestellt hat dass es eigentlich völlig egal ist was man in diese ganzen Felder reinträgt es geht eigentlich nur um die MAC Adresse also vermutlich werden die ganzen anderen Daten halt irgendwie wahrscheinlich gelockt damit man irgendwie später eine Statistik hat was für Modelle jetzt und von welchen Provider aber im Endeffekt haben wir hier wieder eigentlich das Problem soweit ich die MAC Adresse kenne kann ich halt mir das Zertifikat ziehen gut ganz so einfach ist es halt auch nicht ach genau hier können wir noch mal reinen also das ist dann was in dem Tafel letztendlich drin ist also sehen wir hier haben ein neues Zertifikat einmal das Modem Zertifikat und dann nochmal das neue Manufacturer Zertifikat also das neue Intermediate Zertifikat was natürlich ausgetauscht wurde und den passenden Public Key und wir sehen jetzt auch gleich schon das werden neuen Private Key natürlich jetzt nicht der Private Key für die Intermediate CA aber einen neuen Private Key für das Modem wo man sich natürlich auch fragen kann muss das jetzt sein dass der Provider mir meinen Private Key also warum kann nicht die Box irgendwie selber einen Private Key bereitstellen und dann irgendwie über ein certificate Sign-In Request oder sonst wie also warum muss der Provider überhaupt meinen Private Key kennen beziehungsweise der Hersteller aber hier sehen wir er gibt mir einfach einen komplett neuen Satz inklusive Private Key und Public Key und so weiter und das landet dann auf der Box sondern ist die Box mit neuen Zertifikaten ausgestattet ja dazu kommen wir gleich so da hast du eine Antwort also das geht nicht aus dem Public Internet weil der Download Server einfach nur aus den IP Ranges also es geht schon aus dem Public Internet aber eben nur aus den IP Ranges der Kabelnetze wenn ich an einem DSL von der Telekom oder irgendwie was gibt es da noch O2 Telefoniker Hänge dann antwortet der Server einfach nicht wenn ich aber beziehungsweise inzwischen antworte der glaub ich sowieso gar nicht mehr ich glaub der ist inzwischen abgeschaltet aber als er noch geantwortet hat hat er eben nur innerhalb der Kabelnetze geantwortet die weitere Sicherheitsvorkehrung ist das eben ein Download pro Mekka Dressel nur einmal möglich ist also wenn die Box dann aus irgendeinem Grund die Zertifikate runtergeladen hat und dann irgendwie da gab es zum Beispiel alte Firmware-Versionen die halt was auch der Grund war warum dieses TMZ nach dem Werks Reset ein neues generiert hat weil die Zertifikate eben in einem Speicherbereich lagen der beim Werks Reset gelöscht wurde und wenn man da den falschen Firmware-Stand hatte und das Firmware-Reset abgelöscht gab es auf jeden Fall schon Wohlfälle das sieht man auch in Foren dass dann halt irgendwie jemand das Zertifikat schon runtergeladen hatte dann Werks Reset und dann war es weg und beim nächsten mal ist das Update fehlgeschlagen weil es kein Zertifikat mehr runterladen konnte weil der Download eben nur einmal möglich ist in den neueren Versionen haben sie das gepatched also da stellen sie eben sicher dass beim Firmware-Reset dieser Bereich nicht gelöscht wird wo das Zertifikat abgelegt wird die liegen immer in Enforam und da stellt dann einfach gibt es eine Datei die heißt Enforam Don't Remove und da steht dann halt der Fahrt drin und beim Firmware-Reset wird dann halt geguckt dass die nicht gelöscht werden also aber so das ist halt dann die Sicherheitsvorkehrung aber wenn dann jemand natürlich die MAC-Adresse kennt und irgendwie schneller ist als der dem das Modem gehört hat er halt Pech gehabt und man hat ein neues gültiges Zertifikat mit dem neuen Private Key unterschrieben und was dann natürlich auch wieder funktioniert bis natürlich die MAC-Adresse gesperrt wird weil der Kunde eben nicht mehr online kommt und wahrscheinlich ein neues Modem zugeschickt kriegt also kann man mal davon ausgehen ja genau hatte ich ja eben schon mal angesprochen es scheint nur die MAC-Adresse wirklich relevant zu sein bei diesem HTTPS-Request die anderen Daten die landen wahrscheinlich irgendwie im Lock-File also das sind alles Vermutungen aber letztendlich scheint es relativ egal zu sein was da drin steht also auch obwohl man davon ausgehen könnte die und die MAC-Adresse das Gerät haben wir vielleicht an Unity gegeben also muss der OEM Unity sein aber so eine Überprüfung schennt nicht statt also wenn man da einen anderen OEM angibt dann klappt das trotzdem so kommen wir zum letzten Teil one more thing Uncapping da muss ich jetzt nochmal dazu sagen das ist jetzt ein kleiner Schnitt weil das mit dieser ganzen Zertifikatsgeschichte eigentlich so nichts zu tun hat das ist aber irgendwie in dem Zuge entstanden ich hab halt dann mit der Box rumgespielt und als das dann alles irgendwie ging dachte man was kann man dann vielleicht noch machen also da nochmal zu sagen hier war jetzt auch zwar immer noch die Fritzbox dann mein Werkzeug der Wahl weil ich da einfach ein Linux-System drauf habe und mit rumspielen kann und alle Möglichkeiten da ist jetzt aber an dem was jetzt kommt da kann man jetzt AVM oder auch der Euro-Docs-STA nichts anlasten weil das einfach ich vermute ein Problem des Doxys an sich ist weil das ja eben ein Shared-Medium ist dazu muss man sagen bei Doxys, also Kabel-Internet ist es ja so das ja an einem Kabelstrang mehrere Tausend Haushalte und Kunden hängen könnten also beim DSL da hab ich ja meinen Port am DSL und dann geht meine Kupfer-Doppelader bis zu mir und das ist mein Anschluss und da hängt niemand anderes dran bei Kabel-Internet, beim CMTS das hat dann ein paar Radiointerfaces und pro Radiointerface geht dann Kabel raus und das teilt sich dann in so einer Baumstruktur auf und da hängen dann ganz viele Haushalte an also wenn dann letztendlich Daten auf dem Radiointerface ankommen lässt sich jetzt erstmal nicht nachvollziehen wo die wirklich von welchem Anschluss in welcher Wohnung die wirklich herkommen das Identifizierungsmerkmal im Kabelnetz das haben wir ja gesehen und das heißt letztendlich aber auch, dass diese ganze Konfiguration und Bandbreiten und so weiter das passiert eben alles auf dem Modem das heißt wenn ich jetzt einen Anschluss mit 10 Mbit gebucht hab dann lädt sich das Modem eine Datei runter wo eine Konfiguration drinsteht du hast nur 10 Mbit also das ist auch schwierig das anders zu lösen das ist natürlich technisch schon irgendwie das Sinnvollste das dann beim Kunden schon zu beschränken die Bandbreite weil sonst würde das ja wieder bedeuten dass der Provider dann irgendwie wieder Pakete droppen muss und so weiter also letztendlich was gemacht wird das Modem hat die ganze Einstellung wie viel Daten jetzt durch die Leitung gehen dürfen also genau die Docksys Konfiguration wird vom Modem per TFTP runtergeladen also das Modem macht am Anfang die HCP Request im DHCP Request wird dann gesagt hier hol dir mal da dein vom TFTP Server, Entschuldigung, deine Konfigurations Datei und da stehen dann verschiedene Einstellungen drin also nicht unter anderem eben auch die Bandbreite ja genau und um diese ganze Konfiguration das ist ein Binärformat, da gibt es aber Open Source Tools die kann man auch, ich glaube im Debian Repository ist das sogar drin ansonsten hier unten nur sind wir GitHub gibt es das auch Docksys Config Encoder und der kann diese Datei dann in der Text Datei umwandeln und umgekehrt und jetzt stellt sich natürlich die Frage ob wir das auch bearbeiten also hier mal so ein Auszug wie so eine Konfiguration aussieht also so fängt die dann an da sehen wir zum Beispiel MaxCPE2 also das heißt bis zu zwei öffentliche IPs würden vom Provider an dieses Modem gegeben und dann sehen wir, ich habe jetzt mal die zwei unteren Zahlen mit drin gelassen weil vielleicht der ein oder andere diese beiden schon mal gesehen hat also die stehen auch in der Konfig die sind jetzt für die Fritzbox nicht relevant aber für andere Modems, ich glaube EPC oder so die verwenden das dann als Passwort und Benutzer also diese ganzen Sachen stehen halt alles in der Konfig drin und dann kommt so ein Abschnitt, haben wir upstream service flow downstream service flow und dann sehen wir hier so zwei Zeilen also einmal in Zeile 5 nee was haben wir doch Zeile 6 MaxRateSustained in upstream service flow und dann haben wir unten im downstream service flow nochmal eine MaxRateSustained und das ist die Geschwindigkeit die das Modem einstellt also ich kriege, was weiß ich ich glaube in dem Fall war es ich glaube ein 150er Anschluss also downstream 150 upstream weiß ich gar nicht, was ist dann 50 mbit glaube ich ja und was ist denn jetzt wenn man da einfach mal so was reinschreiben versuchen wir es mal so einfach ist es dann doch nicht also wenn ich dann einfach da die Werte austausche und das mit dem DOCSIS Config Encoder wieder in binärer Format packe und das dann auf das Modem und dann geht nix kommen Fehlermeldungen und er akzeptiert die Konfig nicht dann guckt man ein bisschen weiter da gibt es dann ganz am Ende diese zwei Zeilen da gibt es einmal die CMMIC und einmal die CMTS MIG MIG steht für Message Integrity Check Summe über die Konfiguration über die gesamte und die CMTS MIG ist eine Check Summe über die CMMIC und ein sogenanntes Dynamic Share Secret das findet man wenn man sich in Francisco in die Dokumentation reinguckt für die CMTS da wird das beschrieben also das ist letztendlich ein zufällig generiertes eine zufällig generierte Kombination die eben nur dem CMTS bekannt ist die kennt das Modem nicht das heißt ich kann mit dem Docsis Config encoder die CMMIC berechnen weil das ist ja letztendlich einfach nur eine Check Summe über das ganze Ding aber da das Dynamic Share Secret eben nur den CMTS bekannt ist kann ich die CMMIC nicht neu berechnen also ich kann die CMMIC neu berechnen weil die ändert sich ja wenn ich was in der Konfiguration ändere und dementsprechend müsste sich auch die CMTS MIG ändern weil die ja auch wiederum von der CMMIC abhängt aber da ich das Share Secret nicht kenne kann ich sie nicht berechnen jetzt wenn man nochmal zurück überlegen wie das Netz aufgebaut ist und wie das ganze funktioniert stellt sich natürlich die Frage wenn das Modem die CMMIC nicht kennt kann es ja letztendlich auch gar nicht überprüfen also bzw. das Modem und das Share Secret nicht kennt kann das Modem ja letztendlich auch überhaupt nicht überprüfen ob die CMMIC gültig ist oder nicht weil er kennt ja das Share Secret nicht muss einfach davon ausgehen dass es gültig ist das heißt letztendlich muss es da wieder ein Mechanismus geben hinterher nachdem das Modem schon die Konfiguration übernommen hat überprüft ob die CMMIC auch wirklich die richtige ist ich vermute also so genau habe ich mich dann damit nicht mehr befasst ich vermute dass dann per SNMP bestimmte Abfragen gestellt werden ob die CMMIC auch entsprechend gesetzt wird bzw. dass das vielleicht so passieren soll wenn man jetzt aber mal mit so einem Skript hier also was das macht ist letztendlich also auf der Box also habe ich ja schon gesagt das wird per TFTP die Datei runtergeladen dafür gibt es ein Binary das heißt TITFTP das lädt die Datei dann irgendwo nach Wartemp legt es die ab und die wird dann verwendet so jetzt will ich ja meine eigene Konfiguration verwenden und die Idee die ich hatte war was passiert denn jetzt wenn ich meine eigene also angepasste Konfiguration mit berechneter CMMIC die kann ich ja berechnen nehme und dann jetzt da einfach mal die CMTS-MIC dran hänge die mir der Provider in seiner Konfiguration gegeben hat also das ist genau das was dieses Skript macht also ich habe einfach das TITFTP woanders hingelegt habe da meinen Rapper hingelegt der dann im Prinzip auch wieder das originale TITFTP aufrührt um die original Datei des Providers runter zu laden die aber dann woanders abzulegen dann also dann ist ein bisschen hier mache ich noch dann hinten das weil die mit nullbytes gepadet ist die schmeiße ich dann hinten noch weg und dann ziehe ich mir die letzten 17 bytes genau genommen sind es eigentlich 16 bytes also die CMTS-MIC ist 16 bytes lang und dann habe ich noch ein byte davor was sagt so was ein Fleck setzt so hier kommt jetzt ein CMTS-MIC wahrscheinlich ich hätte auch einfach nur die letzten 16 bytes nehmen können und selber aber in dem Fall ich habe 17 bytes genommen und wir sehen also ich hänge dann einfach die 17 bytes von der Provider-Konfiguration an meine Konfiguration hinten dran und ja ja das ist was dann die Box anzeigt natürlich habe ich dann jetzt keine 1337 MBIT in beide Richtungen letztendlich kann ich da auch einen beliebigen Wert reinschreiben der wird dann dastehen aber das was das Netz dann hergibt an diesem Knotenpunkt würde dann theoretisch auch durchgehen weil die Box jetzt keine Limitierung mehr macht also die alles was bis 1337 MBIT hier sind wir auch das ist noch eine alte Fritzbox 20 ich glaube die kann gar nicht so viel aber das würde genauso auch bei den neuren Boxen funktionieren also letztendlich ist jetzt diese komplette Beschränkung weg und man hätte auch einfach 0 reinschreiben könnten was so viel bedeutet wie unlimited also alles was das Netz hergibt da lassen sich natürlich dann auch spekulieren dass man vielleicht auch andere Spiele sein mit dieser Konfiguration also was wir dann haben ja dann auch irgendwie wenn wir mal zurückgehen da stehen ja dann auch so was wie CoAS-Param und mit Flow References drin und so wenn man sich überlegt da läuft ja auch Voice Over IP und dann diese ganze Hotspot Geschichte und da haben sie natürlich dann eigene Service Flows für damit habe ich mich nicht befasst aber wenn man den Gedanken weiterspint vielleicht dann hat man dann plötzlich Internet und die ganzen Nachbar nicht mehr weil man halt eine höhere Priorität hat also ja gut ja und bin ich ein bisschen früher fertig haben wir noch ein bisschen Zeit für ein paar Fragen ja vielen Dank Danke dieses MIG ist das ein kryptografischer Hesch oder mehr so eine Checksam? dieses MIG ist das ein kryptografischer Hesch oder mehr so eine Checksam? dann könntest du ja mal versuchen einfach den Konfig-File so zu padden dass die MIG genauso ist wie vorher und schauen selbst wenn sie dann noch irgendein Check einbauen auch geht ja, könnte man sich natürlich mal überlegen also das Ding ist natürlich, wie gesagt dieses Dynamic Share Secret beziehungsweise die CMTS MIG bei jedem Verbindungsaufbau wird die neu generiert also es ist nicht, ich kann mir nicht einfach einmal die Konfig holen mit die CMTS MIG rauskopieren sondern das wird halt bei jedem Verbindungsaufbau ist die neu, weil es halt ein neues Dynamic Share Secret gibt soweit Plau, du hattest ja gesagt die CMTS MIG wird dann aus der vorherigen MIG und dem Secret berechnet dass die vorherige MIG aufs Gleiche rauskommt also es ist möglich dass sie so implementiert haben ok, danke senden und empfangen die Modems, die im gleichen Kabelsegment liegen denn im gleichen Spektrum oder wird durch das Spektrum vielleicht vom Provider kommt auch die Bandbreite begonnen also ich glaube die Abschriemkanäle das wird dann aufgeteilt irgendwie aber kannst du noch mal die Frage sagen, die Spektrum aufgeteilt liegen da alle Modems im gleichen Bereich und wenn dann per TDMA oder sowas aufgeteilt, wer dann senden darf oder so genau weiß ich das nicht ich glaube das gibt einfach einen bestimmten Bereich, der für Abstream vorgesehen ist und das wird dann über die Konfig eben also die Box wenn sie sich verbindet sucht sie sich erstmal den Downstream Kanal und über den kriegt sie dann die Konfiguration, wo dann letztendlich die ganzen Parameter drin stehen, welche Frequenzen sie zu verwenden hat und welche Kanäle immer dass das dann irgendwie unterschied, also dass dann nicht alle Modems genau die gleichen Frequenzen aber das kann ich jetzt nicht beantworten Tracked in der Provider wie viele Daten übertragen wurden in der Zeit, also dass sie das dann merken dass das zu schnell war also letztendlich müssten sie es merken können weil klar, sie kriegen ja natürlich haben ja irgendwie auch ein Logging System aber ob da jetzt, ob die da irgendwie das auswerten oder nicht aber theoretisch klar könnten die das natürlich sehen und theoretisch wäre es natürlich auch möglich, dass der Provider eben auf der CMTS Seite auch einfach da nochmal per QOS oder wie auch immer da nochmal verhindert das einfach mehr das würde natürlich dann aber auch wieder zufolge haben, dass dann Pakete gedroppt werden und dann habe ich wieder TCP retransmission also so Probleme wie man sie aus dem Mobilfunknetz kennt was sie wahrscheinlich auch eigentlich nicht wollen weswegen das nicht gemacht wird So, hi genau, der Upload ist tatsächlich bei den Boxen mit TDMA die benehmen sich also relativ gut alle auf dem Kabel, die haben den Bereich von 0 bis um die 68 MHz benehmen sie sich alle ganz gut, wenn eine Box amok läuft, kann die auch das ganze Netzlamm legen das ist auch ganz lustig wenn eine Box amok läuft, kann sie auch das ganze Netzlamm legen, das ist auch ganz lustig also wenn sie Dauerträger sind quasi und die andere Sache ist aber der Downstream der ist ja auch bei allen anliegend und es gibt da so ein Trick mit einem DVBC Empfänger, normales TV-Karte da kann man den ganzen Downstream sehen der ist natürlich gekrüptet, aber da sieht man auch alle Mekadressen, allen Abtreffig, alles von allen anderen Leuten und gerade wenn man dann so die Private Keys hat, dann kann man ja mal das ist ganz interessant, also da musst du mir vielleicht dazu sagen die Fritzbox ist ja ein Linux-System und da kann man, also bei den alten Film-Versionen war es sogar schon mit drin für neue kann man sie natürlich cross-compilieren, TCP-Dump draufpacken also die DS11-Boxen haben das sogar über das Web-Interface und Capture-Feature im Fall auch die ganzen Broadcast und von den Nachbarn die Mekadressen, das siehst du halt alles auch da, müsste man sich natürlich mal angucken, ob man die vielleicht irgendwie ein Promiscus-Mode kriegt, dass man da ein bisschen mehr, vielleicht uns halten wir uns nochmal ja Hallo, du sagtest, dass das Kali-Netz ist aufgebaut wie so eine Baumstruktur, haben die Providers eine einfache Möglichkeit rauszufinden wo die Box steht, die jetzt die Fehler auf die Signale schickt? Also ich könnte mir höchstens vorstellen, dass er da ist, es ist halt eine Baumstruktur und normalerweise natürlich wissen sie halt wenn sie einem Kunden an der Adresse das Modell mit der Mekadresse verkaufen dann wissen sie wo das Modell steht, aber auch wenn man hier ein legitimer Kunde ist und das Modell mit der Mekadresse hat und es provisioniert, dann kann ich das Ding auch von Frankfurt nach Offenbach nehmen und anschließend wird dort genauso funktionieren. Man könnte sich zum Beispiel auch vorstellen, dass sie das dann auf die CMTS einschreiben, also dass die dann sagen Mekadresse darf sich eben nur an dem CMTS anmelden, aber genau das wird halt nicht gemacht, weil sonst würde das ganze ja auch gar nicht, also das Ding ist ja, wenn ich zweimal die gleiche Mekadresse am gleichen CMTS betreiben wollen würde würde das nicht funktionieren, weil dann habe ich Kollisionen, wenn ich aber die gleiche Mekadresse an zwei verschiedenen CMTS betreibe, funktioniert das problemlos und die kriegt eine IP und ja hinten ist noch eine Frage. Du hast dir einen beliebigen Upstream gegeben, haben sie das mittlerweile geäußert? Wie bitte? Du konntest dir den Upstream beliebig setzen, patchen sie das, haben sie dich sich dazu geäußert? Also, soweit ich weiß nicht, nein. Gut. Ich habe so verstanden, dass du eine bestimmte Anzahl Kanäle für den Up und den Downstream kriegst, die eine maximale Bandbreite haben. Das heißt, wenn du irgendwie 150 Megabit-Bus hast, hast du vielleicht 3 mal 50, das müsste dann eigentlich ja egal sein, ob du jetzt sagst, du musst wahrscheinlich nicht über die 150 rauskommen, oder? Also, ich krieg eine bestimmte Anzahl an Kanälen, aber es ist so, glaube ich, dass die, also in dem Fall haben wir jetzt, geht es nicht, okay. Also, die neueren Boxen mit der gleichen Konfiguration, wenn man das mit einer 6490 macht, dann siehst du auch immer, dass die auch direkt schon mehr Kanäle haben. Also, soweit ich das verstanden habe, wird das eben nicht, also, die kriegt halt die Kanäle, die da sind und dann geht da auch die Bandbreite drüber, die über die Kanäle geht, das wird eben dann nur über die Konfiguration eingeschränkt. Du hast gesagt, man könnte eine Meckadresse an nur einem CMTS, also... Pro CMTS? Genau. Kann man sich dann die Boxen im Prinzip klonen und an verschiedenen CMTSen sich einen Internetanschluss teilen oder sowas? Alles klar. Dann nochmal vielen Dank. Ja, danke.