Ist das wirklich so mit der Verschlüsselung zwischen dem Modem und dem CMTS? Ich dachte immer bei Docsis handelt es sich um ein geteiltes Medium ohne weitere Sicherheitsmaßnahmen. Ich bekomme auf logischer Ebene ja auch eine IP in einem /24er Block von Vodafone. Mal angenommen jemand benutzt ein manipuliertes Modem oder ähnliches, sind dann keine Man in Middle Attacken wie bei Ethernet (ARP Poisoning etc.) in meinem Netzwerksegment denkbar?

Hi,

da die Kabelmodems zertifiziert und besonders abgesichert werden müssen, ist es sehr schwierig, ein manipuliertes Kabelmodem in Betrieb zu bekommen. Die Datenpakete werden mit der MAC-Adresse des Kabelmodems zwangsweise verschlüsselt, da diese ja an jedem Anschluss des Segmentes empfangbar sind.

Aber ja, es gab da schon Sicherheitsvorfälle z. B. den eines Berliner Routerherstellers 😉

Ok danke dafür, das ist ja mal eine Horizonterweiterung 🙂 !

Sprich die Modem MAC ist quasi der Common Name von dem Zertifikat mit dem sich meinetwegen eine FritzBox am CMTS autorisiert. Die CA teilen dann in dem Fall AVM und Vodafone und Vodafone verifiziert so das Zertifikat des Modems oder wie darf man das verstehen?

Nicht ganz... Das Modem besitzt ein eigenes Zertifikat, welches mit dem Herstellerzertifikat signiert wurde. Dieses Herstellerzertifikat wiederum wurde von einer gemeinsamen Root-Zertifizierungsstelle signiert.

Wenn nun also das Modem sich am CMTS anmelden will, muss es sein eigenes (mit dem Herstellerzeritifikat unterschriebenes) Zertifikat zur Verifikation an das CMTS schicken und dieses kann das Zertifikat dann gegen das öffentliche Rootzertifikat sowie herausgegebene Sperrlisten vergleichen.

Daraufhin handeln CM und CMTS dann die Verschlüsselungsparameter für die DOCSIS-Schicht (56 bit DES resp. 128 bit AES) aus. Sämtliche Unicasts zwischen CM und CMTS sind damit verschlüsselt, während Multicasts (CMTS an alle CM) unverschlüsselt übertragen werden.

Solange also dein Nachbar nicht zufällig den DES/AES-Schlüssel kennt, kann er deine Datenpakete nicht lesen.