Já to sice nechtěl původně rozmazávat, ale budiž...
Zkusil jsem stáhnout rom-0 a vyextrahovat hesla z asi ~1000 náhodně vybraných routerů. Z toho 30 mělo heslo "PortablePwned". A jedno z těch míň nápadných hesel (nějaká číselná kombinace, teď nevím která) se tam opakovalo 116x. Vícenásobě opakujících-se hesel bylo dohromady asi 300, takže z toho vzniklo tvrzení, že "30% routerů je napadených".
Takze jaky domaci ADSL/VDSL router se vyplati poridit?
To je jedno, hlavne at to podporuje OpenWRT - a pak co nejrychleji preflashnout.
Jedná se o ADSL modemy a na ty OpenWRT nenainstaluješ.
No právě, tam je spousta boxů, co jen někdo otevřel a zjistil, že to je nějaká exotika a s OpenWRT nikterak nepokročil. :-(
Mám dojem, že opravdu slušně fungující OpenWRT s podporou ADSL2+ je jen na SoCech Lantiq, ale nikdy se mi nepovedlo dostat k tomuhle HW. A pokud jde o VDSL, tak mám pocit, že ani Lantiq ještě není funkční, i když se na tom snad pracuje.
Rád se nechám poučit: Máte tu někdo funkční instalaci OpenWRT na ADSL2+/VDSL2 routeru, pochopitelně s funkčním *DSL?
Nevím jestli se to úplně počítá, ale my máme DrayTek Vigor 2750n (http://www.draytek.cz/cz/vdsl-routery/346-vigor-2750n) VDSL funguje a když jsem se tam podíval před SSH, tak na mě vykouklo logo OpenWRT a co jsem se tam tak rozhlížel, tak se to i jako OpenWRT chovalo.
Taky DrayTek Vigor 2750n není lowcost soho router\modem.
Jeho cena je často rovná tomu co by měl připojit. Stále mezi lidma je generace sestav Pentium 4 a spol. Těm lidem to na Internet stačí...
Koupit cokoliv, co umí bridge a spojeni vytáčet až z routeru za nim. Mikrotiku nebo openwrt
Což ale řeší jenom zrovna tuhle chybu a jí podobné. I v softwaru zařízení, které bude přepnuté do bridge módu, může být taková chyba nebo backdoor, která umožní nějaký jiný útok. Pravda, pokud se budete moci spolehnout alespoň na DNS resolver v tom bezpečném routeru, budete na tom o něco lépe.
Jo, to by bylo, aby NSA nepamatovala na vsechny alternativy. A na smejdy, co si prepinaji routery do bridge a za ten pak davaji vlastni, NSA neosetreny router, je obzvlaste treba si posvitit, protoze urcite maji co skryvat.
Ano, funguje. Treba ponastavovat rozne veci ako napr. vymenit ANNEX A za ANNEX B. Je to stary DLInk DSL-G684T. Wifi nepouzitelna, driver uz nikto nevyvija a preto pozna max. WEP. Urcite lepsia alternativa ako sice novy, ale neopatchovatelny ZyXEL. ADSL2+ je od O2 CZ. Linka je pouzivana ako zalozna a je vceku stara, rychlost pripojenia 517/8195 ale touto rychlostou sa pripajal aj ZyXEL.
Na tom co napsal to nic nemění
Srovnejte si tu tabulku stím co je aktuálně na trhu. Podpora prehistorických ADSL routerů nikoho nevytrhne. Ten problém je aktuální a je třeba ho řešit pomocí aktuálního HW nebo SW.
Jedno jaký WRT opravdu naaktuální xDSL modemench a Docsis modemech\routerech nefunguje. Hlavně už vidím jak Franta uživatel demontuje mainboard a flasuje přes COM port nový firmware
Úspěšně jsem Openwrt používal na D-Link DSL 584T.
a tym si dobrovolne znizit rychlost? Dakujem neprosim, co som skusal rozne klony wrt nikdy router nedosahoval povodnu rychlost ci uz na LAN alebo wifi...rychlosti boli cca polovicne.
Obcas je totiz ten HW tak nabastleny do kernelu, ze radeji pomalejsi rychlost, nez udelat podobnou prasarnu.
Vyskusal som to na firemne cisco a ako som predpokladal tuto chybu nema lebo ma iny os. Mozno uz aj nejaky teraz vyrabany dlink by presiel, v tom clanku sa pise o starsich typoch.
Cisco ma jine "delikatesy" ;o) http://news.hitb.org/node/34897 ale ten backdoor je "lawfull" takze se vlasten neni ceho bat........ :o)))) aneboi zeby preci?? http://news.softpedia.com/news/Cisco-quot-Concerned-quot-with-NSA-Building-Backdoors-Into-Its-Products-412777.shtml
http://www.jupiterbroadcasting.com/57397/nsa-collect-it-all-unfilter-97/ (sroluj dolu na ty slides)
koukam do logu a
217.31.48.30 - - [18/May/2014:02:31:13 +0200] "HEAD /rom-0 HTTP/1.1" 404 0
ignum fajn
ale skouselo to i spousta jinejch :-)
Přesně tak. Chodí to dost z Toru, ale nejen odsud. Já si na to udělal pastičku, že nabízím soubor rom-0 o velikosti 100 GB. (Je to pochopitelně sparse file.) A pár skript kiddies se mi na to už chytlo, že to fakt začli stahovat a viseli na tom.
IP adresu routeru, když ji řada poskytovatelů přiděluje dynamicky?
Nekteri operatori (minimalne o jednom vim) to delaji takto. Beznemu BFU davaji IP adresu dynamicky dle potreb operatora a na takove adresy je zakazano navazovan IP spojeni. Pokud to nejakemu zakaznikovi vadi, muze si pozadat o tzv. statickou IP adresu (to muze byt zpoplatneno) a na tu zminene restrikce neplati. Zakaznik ma jako bonus vyzdy stejnou IP adresu a je na nem aby si ohlidal zarizeni co k tomu pripojuje.
Jop, to je uzasny reseni, takze 80% aplikaci nebude fungovat a to tak ze vubec ... to bych asi ispcku misto placeni velmi rychle slapnul do usmevu....
Předpokládám že u zařízení v bridgi se takováhle chyba neprojeví, jelikož veřejná je mimo problémový modem?
Přesně tak.
Ačkoliv *DSL modemy mají někdy více navázaných PVC pro různé služby (Internet, TV, VOIP...) a některý z nich může být v PPPoA/PPPoE mode a né v bridged mode. V různých zemích jsou vidět různé věci. U nás je, AFAIK, i O2 TV bridged. Každopádně se hodí zkontrolovat to, že aktivní je jen PVC pro internet a že ten je bridged.
Jo, jak já bych chtěl turris, ale CZ.NIC furt nic :(
Já bych teda turris nechtěl ani za nic. Ať si velký bratr CZ.NA.NIC táhne do haj*lu!
https://www.pfsense.org/ snad dokazes nainstalovat i z Ceska ne? a routovani to zvlada taky (RIP, OSPF, BGP....) staci si jen najit cas a trochu chtit.
Kdyby jste měl platit plnou cenu tak nevím jestli by jste ho chtěl.
A i tak vyřešil by jste to vy a kde je ale řešení k tématu článku. Turis neřeší low cost SOHO modem\router , ethernetový\router , kabelový\router.
Bude v tom CZ.NIC nějak pokračovat? Moc se mi nelíbí představa, že výrobci teď zjistí, že se jim nic nestalo a že pouze uvědomělejší uživatelé vyhodili staré routery a koupili nové, takže pro výrobce je to čistý zisk (a příště se postará, aby se svět o podobné zranitelnosti dozvěděl dřív, aby měli rychlejší obrátku zboží).
Pokud by něčeho chtěl dosáhnout jeden koncový uživatel, nezmůže nic. Ale nevím o nikom v ČR, kdo by byl z tohoto pohledu v lepším postavení než CZ.NIC – uvažujete o nějakém spojení se zahraničními organizacemi, které se také zabývají bezpečností? Myslím, že by bylo správné teď se pokusit výrobce donutit alespoň k vydání záplaty a nějaké její propagaci.
Bude v tom CZ.NIC nějak pokračovat? Moc se mi nelíbí představa, že výrobci teď zjistí, že se jim nic nestalo a že pouze uvědomělejší uživatelé vyhodili staré routery a koupili nové, takže pro výrobce je to čistý zisk (a příště se postará, aby se svět o podobné zranitelnosti dozvěděl dřív, aby měli rychlejší obrátku zboží).
Jenze v takovem pripade si novy router od *stejneho* vyrobce koupi jen blb. Myslici clovek zkusi neco od vyrobce, o jehoz vyrobcich neni znamo, ze by trpeli timto problemem.
Mam na siti Linksys, TP-Link a Netgear, ani jeden tim netrpi. Zda se, ze novejsi TP-Linky jsou take ciste, ale proc podporovat bastlire a nekoupit jinde?
Vzhledem k tomu, že tam ten samý systém cpou různí výrobci, moc to nepomůže. Navíc tady nejde jenom o tenhle jeden případ, který se provalil. Jde o princip, že výrobce bude ručit za bezpečnost svého zařízení, že na něj bude vydávat záplaty po dobu, kdy ho uživatelé používají, a to záplatování proběhne, aniž by uživatel musel sám sledovat, co má kde záplatovat. A v tomhle jsou na tom všichni výrobci stejně. Nebo ne?
Jeste jsem nevidel router, u ktereho by se vyrobce za neco zarucil, krome poruchy v dobe zaruky, k cemuz ho nuti zakon. Urcite pak se nezaruci za bezpecnost a za to, ze budou zaplatovat po dobu, po kterou ten jejich krap pouzivam. A automaticky update firmware jsem zatim videl jen u jednoho zarizeni od Netgear. Vsude jinde se to muselo pekne rucne stahnout a nahrat.
Ale to je právě potřeba změnit. Protože drtivá většina koncových uživatelů si to nemůže nijak ohlídat. A nemůžeme mít k internetu připojeny desítky milionů zařízení, které budou rozesílat spam, účastnit se DDoS útoků a umožňovat okrádat a vydírat uživatele. To by ten internet byl k ničemu.
A jirsak to vsechno plati ... beru...
Tak to jsem tedy ziskuchtivy, kdo a jak to zmeni. Ledaze by EU vyhlasila zakon a vyrobce by za kazdy modem skladal kauci, ktera by my byla vracena pri sesrotovani.
BTW, miliony zarizeni, ktere rozesilaji spam a DDoSuji, uz pripojene mame. Rika se tomu PS s Widlemi. Na tyto ucely jsou tato zarizeni mnohem vhodnejsi, nez nejake soho krabicky s nesourodym HW, mozna nekompatibilnimi verzemi OS, pomalym CPU a malo pameti. Neni nad to, kdyz muzete v malware vyuzit komfort vyssich programovacich jazyku, jako VB, Javascript... Usetri vam to patlani s kompilaci pro nezdokumentovany OS na MIPSu. Ovsem pro NSA jsou tyto soho krabicky bozskou mannou. Takze dnes, i kdyz jste za firewallem v soho pixle, mejte firewall i na kazdem stroji za ni. Poklud tedy na to nemate dedikovany stroj.
myslim, ze v dnesnom svete sa toto bude menit dost casto. princip vyroby cinskych SOHO (teda 99% krabiciek od uplne najlacnejsich az po uplne najdrahsie) zariadeni je v tom, ze v case, ked sa to cloveku dostane na trh, firma, ktora vyrobila povodny kremik, ho uz davno nepodporuje. firma, ktora osadila kremik na nejaky referencny design dosky zariadenia prave jeho vyrobu ukoncuje (cim pada podpora, pretoze jej vyvojove oddelenie sa uz sustredi na novy kremik vyssie uvedenej firmy). firma, ktora pre tento referencny design vytvorila SDK prave vydala poslednu verziu SDK, ktora tuto dosku bude podporovat (a aj tak nepodporuje vsetky jej funkcie a je polofunkcne) a firma, ktora to cele zaskatulkovala to predava ako brand new high performance zariadenie.
fakticky je to zariadenie v podstate obsolete uz v dobe, ked sa dostava na trh. pri troche stastia je postavene na SoC / referencnom designe, ktory nejaky ten cas vydrzi a pojde nanho zohnat nejake aktualizacie FW, obvykle toto ale nikto neriesi. cinania vydavaju SDK uplne hala bala sposobom tak, ze featury HW sa sem tam stavaju podporovane davno po tom, co uz dany HW nie je podporovany ako celok. a vyrobcom sa moc nechce buildovat ten isty software na povedzme 5tich roznych verziach SDK z ktorych kazde je opatchovane inou sadou hackov, pretoze im to par rokov po realnom skonceni predaja zariadenia nikto nezaplati. a dobre meno spolocnosti v dnesnej dobe tiez nic neznamena, ked prve a najdolezitejsie pri kupe zariadenia cez e-shop je zotriedit podla ceny, vzostupne.
U spousty cinskeho HW je to jeste horsi. Vyrobce kremiku vytvori referencni design desky a nejaky firmware a tim z jeho pohledu veskery support konci (casto tim konci i dokumentace).
Ovšem, s tím vývojovým cyklem máte celkem pravdu i když tak dramatické to přece jen není. :-)
U těch routerů je navíc výhoda, že nepotřebují každých půl roku zdvojnásobit výkon, protože linky, na kterých sedí, se zrychlují jednou za pár let generační obměnou typu ADSL2+ -> VDSL2.
A model, který umožňuje dlouhodobou podporu a provoz starého HW tu máme - komunitní podporu OSS. U normálních počítačů to funguje skvěle. V mém okolí bylo poslední dobou několik domácích počítačů běžných uživatelů přeinstalováno z WinXP (když teď skončila podpora) na Ubuntu nebo LinuxMint a vyvolalo to opatrné nadšení a nebo tiché uspokojení. Opravdu. :-)
Tak máme rok 2014 a jaký je stav v routerech pro domácí použití?
Kolik jich má:...
-1000 Mbit switch a to i do WAN
-2.4 GHz a 5 GHz
-Nkovou Wifi na 300
-IPv6 i s firewalem
-podporu USB 2.0 nebo rovnou 3ku
-DLNA a uPNP atd...
Takže je pravda, že nepotřebují každých půl roku zdvojnásobit výkon. Není to jen o výkonu. Ale většina těch routerů technologický 5-10let stará. Takže jsou zralé na výměnu, už víc než před 2ma léty.
Jenze proc by je kdo menil, kdyz to funguje? Koupit dneska router asi nebude zadne terno, protoze podpora ipv6 asi bude stale ponekud pofiderni. Odladit to neni na cem, protoze ipv6 se v podstate nezavadi, i kdyz nam porad dochazi ipv4 adresy a to tak, ze pry uz dosly.
- Gigabit do WAN? K čemu?
- N-ková wifi? Pán dělá marketing pro výrobce těch 300/600Mbps nesmyslů, co jsou reálně pomalejší než G?
- USB/DLNA - jo, to je terno, na těch krabicích to vytáhne až nějakejch 6MB/s, na ukládání dat vyloženě "ideální"
- UPnP? Ty tam těch bezpečnostních děr máš málo?
"Gigabit do WAN? K čemu?"
Na připojení pevnou linkou nebo do UPC, přeci.
"USB/DLNA - jo, to je terno, na těch krabicích to vytáhne až nějakejch 6MB/s, na ukládání dat vyloženě "ideální""
A proto by to ta krabice měla vytáhnout výš, proto volání po USB3...
USB2 dokaze fungovat v realu na 30MB/s, cili problem nebude ve vlastnim USB a prechod na USB3 nic nezmeni. Ale neco by se s tim delat melo, ono ani bezne lacina NAS nani zadny rychlik, ikdyz se do nej da 100MB/s disk a pripoji se na 1000Mbit Ethernet.
No v realu ted dochazi k vyhnivani G routeru a jejich nahrazivani 150Mbit skoroN variantama.
Co z toho potřebuje 95% uživatel, který si tak přečte mejl, koukne na novinky a pustí nějaký porno? Odpovím vám - vůbec nic. Tak proč by si to měl pořizovat?
V okruhu mých (neprofesních) známých jsem za boha jen tím, že umím připojit k počítači televizi - i na to normální BFU kouká jako tele na nové vrata. Tak k čemu jim bude ta hromada zkratek, co jste tam napsal? Pro ně to jsou stejně jen nesmyslné shluky písmen.
90% uzivatelu nic z toho co jsi jmenoval nepotrebuje, nebo o tom aspon nevi. A router, kterej by zvladal DLNA ... NEEXISTUJE - pokud tedy za router neprohlasis neco se 4jadrovou I5tkou, to pak jo. Protoze DLNA je predevsim o remuxu a rekompresi. Pokud tvoje zobrazovadlo umi ... je daleko vhodnejsi pouzit neco jinyho.
"Rychla" wifi je pak uplne stejna chimera ... PR zvast ... mel sem na stoje vedle sebe dve Gcka, konektly na 54mbit ... linksys takze zadnej vylozenej shit ... a dalo se z toho vyzdimat neco kolem 30Mbit ... halfduplex samo. Na zhruba kilak to dava neco kolem 5ti.
S Nkem je to presne totez, fyziku nevochcijes.
Aha, takže jen netušíte nic on updatech pomocí TR-069 ..
Pro info - pár měsíců zpět O2 zákazníkům upgradovala firmware v jednom starém modelu Huawei dsl modemu (takové bílé silo na výšku) cca 20 tisícům zákazníků. A v příštích 14 dnech se bude upgradovat Comtrend. :)
A v příštích 14 dnech se bude upgradovat Comtrend. :)
To budou mít zákazníci radost. Zvlášt když se ten shit po každém upgradu resetne do defaultní konfigurace. Ale jinak už zbývá jen pár set tisíc zařízení, pro které žádný aktualizovaný FW neexistuje a bude to v cajku. :-P
Ne, netusim. Na Wikipedii pisi, ze to slouzi vzdalene sprave, ne updatu.
Nicmene vim, ze existuji zarizeni, ktera nejak jsou ISP na dalku updatovana. Ovsem jedna se o zarizeni, ktera ISP dodava zakaznikum, casto s jeho vlastni verzi firmware, ktera je casto jakousi znacne dokurvenou verzi puvodniho firmware.
To se netyka zarizeni, ktera si sam koupite v krame a popravde receno, si to dost dobre nedovedu predstavit. Predstavte si nejakeho velkeho vyrobce soho pixel, jak mu domu porad volaji modemy, aby mu rekli, kde jsou, protoze nejsou nekde na jedne siti, jako u ISP, ale jsou rozptyleny po tisicich sitich, casto i za nekolika NATy. A neni jich 20 tisic, ale 20 milionu nebo take 200 milionu. A chudak vyrobce to ma na dalku updatovat. A kdyz se nepovede, tak si zakaznik vleze do letadla, zaleti do Ciny a modem si necha vymenit, jako by zasel treba v Praze do pobocky O2, kdyz mu O2 updatem dokurvi modem.
Tak to uz si predstavuji spise to, co jsem videl v Netgearu: Ve web rozhrani kliknu na tlacitko pro vyhledani updatu firmware. Netgear si najde update a pak se snad i sam zupdatuje. O dost lepsi, nez jinde, kde clovek prehrabuje hafo souboru se skoro stejnymi nazvy na FTP serveru nejakeho bordelarskeho vyrobce a nikdy si nemuze byt na 100 % jisty, ze stahl spravny firmware a muze jen doufat, ze pokud ne, ma tam vyrobce nejakou kontrolu pro pripad omylu, protoze ne vzdy tomu tak je.
Ovsem jedna se o zarizeni, ktera ISP dodava zakaznikum, casto s jeho vlastni verzi firmware, ktera je casto jakousi znacne dokurvenou verzi puvodniho firmware.
No vždyť. Co se týče DSL modemů vod kyslíků, tak se k nim obvykle výrobce vůbec nehlásí a tváří se, že nic takového nevyrábí. Ono při objednané odpadní konfiguraci (např. v rámci úspor vynechané antény na wifi) a celkově shitóznímu HW (víceméně odpad) se není co divit. No, a k tomu dodá na zakázku jednu verzi FW a tím obvykle padla. Když nastane velký průser, tak provider jednou za uherský rok zaplatí nový FW. Pokud se jedná o menší průsery, tak provider zákazníka vyfuckuje a když hodně otravuje, tak mu vrátí 1Kč za zařízení zaplacenou.
Není ale problem implementovat dotazování na server, zda je k dispozici update a potom stažení pomocí zabezpečeného potokolu. Zvládlo by to I velké množství zařízení během krátké doby.
To asi mluvite o trochu jinych zarizenich. V tech cinckych krabickach nejake SSL asi nikdy nikdo nevidel. Krome toho vy mate par tisic zariceni, asi na siti, kterou znate a kterou jste si mozna i postavili a muzete modifikovat. Vyrobce krabicek by mel take miliony zarizeni, ruzne modely, ruzne HW revize a na vselijakych sitich, o kterych vi leda to, co se docte ve whois. Situace toho vyrobce je tedy ponekud jina.
Představte si takový thermostat, co je připojený do cloudu a pravidelně se ptá na změny nastavení od uživatele a mezi tím dostane info, že vyšel nový firmware? To by nebyl žádný traffic navíc.
Aha, wifi termostat. To kdyz nekdo potrebuje zmenit teplotu, tak se pres webove rozhrani vaseho serveru prihlasi do sveho uctu, tam si nastavi pozadovanou teplotu, eventuelne jeji prubeh v case, napriklad utlumeni za pul hodiny.... Vas server pak zavola termostatu vaseho zakaznika a nastavi teplotu. Vyhodou pak je, ze zakaznik nemusi zvednout prdel a jit otocit knoflikem nebo mackat cudliky.
Jinak kdyz byste se na ta zarizeni vykaslali a akorat davali updaty firmware na nejaky zaprasenymi pavucinami pokryty FTP server, tak byste asi docela katovali kosty, coz prave ti Cinani asi delaji. Ne, ze by to jinak neslo, ale o prachy jde az v prvni rade a nejakou firmu, ktera se za rok uz bude jmenovat jinak, to nezajima.
No, někdy to "zvednout prdel" znamená dojet 100 km (náš případ).
Kdysi byly doby, kdy se zařízení neptalo do nekonečna na změny konfigurace, ale naopak při změně konfigurace se kontaktovalo (jednou) to zařízení. Přijde mi úsměvné mluvit o úspoře trafficu za situace, kdy je ten traffic vyplýtván na neustálé zbytečné dotazy na server (nehledě na procesorový výkon).
Ale ty moznosti! NSA ma prehled, ak doma kdo topi. Z toho muze usuzovat, jestli je doma. A kyz zkrachuje firma, tak predstavte si vsechny ty lidi, co si uz nenastavi termostat.
Vyrobce ti rad takovej support proda, zadnej problem ... na 5 let za 5x cenu HW ... beres? Zrovna mam pred sebou nabidku na prodlouzeni supportu na serveroveh HW ... za nejakych 50k/rok ... jelikoz se za 50k da ten HW koupit celej (jetej na ebay) tak nejsem magor abych to platil ...
BTW: Automobilka by mohla rucit za auto dokud snim budu jezdit, beru ... s radosti ...
automobilky onehda davali zaruky aj na vyse 10 rokov :) co sa pamatam, tak na prelome tisicroci sa hovorilo, ze mergl ruci za to, ze motor sa bude tocit nejakych 500k km a styri kruhy o 10 rokov skor davali zaruku na koroziu karoserie bud 10, alebo az 15 rokov.
A kolik měsíčních výplat stálo tehdy auto?
Ad za 50k da ten HW koupit celej (jetej na ebay) tak nejsem magor abych to platil - když si koupíte podporu HW, za jak dlouho bude v případě HW problému ten server zaručeně znovu funkční? A za jak dlouho v případě že si objednáte přes ebay náhradní HW (pokud ho zrovna někdo bude nabízet)? A jak velké finanční a jiné ztráty přinese odstavení serveru na hodinu, den, týden?
Samotný poměr ceny jetého HW a ceny roční podpory nemá valnou vypovídací hodnotu.
„Jenze v takovem pripade si novy router od *stejneho* vyrobce koupi jen blb.“
No jo, ale co si mám koupit, když to mají úplně všichni výrobci? (možnost odpojit se od Internetu neberu)
„Mam na siti Linksys, TP-Link a Netgear.“
No to sis pomohl.
http://thehackernews.com/2014/04/router-manufacturers-secretly-added-tcp.html
http://sekurak.pl/tp-link-httptftp-backdoor/
No jo, ale co si mám koupit, když to mají úplně všichni výrobci? (možnost odpojit se od Internetu neberu)
Např.. Co si tam nainstaluješ je na tobě.
Jenže to pořád narazíte na problém, jak to připojit k Internetu přes broadband WAN. *DSL i CATV znamená, že potřebujete modem, kde běží full-scale OS.
Upřímně žádný problém nemám. Podobné šmejdy od providera slouží výhradně jako zcela tupý bridge.
A kde máte záruku že ten bridge na nějaké magické pakety nebude reagovat sám místo toho aby je tupě přeposílal?
A s čím jako bude reagovat? Mě zajímá interní síť a ochrana dat a přístupu k ní, bridge ať si magicky posílá, co chce, žádné informace tam nejsou.
Mně to přijde jako připomínka toho, že lze tak i ten prvek v bridgi nějak napadnout.
I bridge se musí nějak do toho bridge módu dostat, mít možnost upgrade FW, nastavení při změně ze strany poskytovatele... Takže na 100% na "něco" reagovat bude. Teď jde jenom o to, aby to "něco" fungovalo jenom po bezpečné lince, kde se to nedá napadnout (uvnitř routeru, router se zakázaným portem na to "něco" a nutností napřed rozlousknout router, který se zase musí dát konfigurovat jenom zevnitř z portu, který je blokovaný na všech strojích uvnitř sítě... atd.
Takže ta zranitelnost rom-0 vás netrápí, klidně budete router nebo modem s touto chybou provozovat (také tam nejsou žádné informace, ať už to znamená cokoli). Tady se ale řeší problém, že i bridge může klidně způsobit to samé, co způsobuje rom-0 zranitelnost (tedy únos DNS dotazů pocházejících z vnitřní sítě).
Tot otazka. V routeru/ADSL modemu mate DNS server. Tomu zmenite adresu vnejsiho serveru na podvodnou a jste v suchu.
V bridgi zadny DNS server nemate. Musel byste tam presmerovat provoz na DNS port na vas server. Umi to bridge nebo byste tam musel dohackovat vasi binarku, kterou byste horko tezko bastlil, protoze nezdokumentovanu OS a ktera by asi neprezila reboot?
Když ten router / DASL modem přepnete do bridge módu, ten DNS server tam nejspíš zůstane. A firewall, který umožní přesměrovat DNS pakety, v těch zařízeních také bývá.
Ty vaše námitky by platily tehdy, pokud byste měl ADSL modem nebo třeba WiFi klienta, který by na úrovni IP opravdu nic jiného než bridge neuměl (ani by neměl IP adresu). Takové zařízení byste dnes těžko sháněl, trend je spíš opačný, čím dál tím levnější switche mají IP…
Ano, fyzicky tam zustanou binarky firewallu a DNS serveru. Ale cekal bych, ze kdyz to spustim v bridge modu, budou minimalne vypnute. Otazka je, jak moc s tim pripadny cyberlump muze komunikovat a jestli se mu treba podari si spustit, co mu ke stesti chybi.
i bridge může klidně způsobit to samé, co způsobuje rom-0 zranitelnost (tedy únos DNS dotazů pocházejících z vnitřní sítě).
Od té doby, co provozuju vlastní rekurzivní DNS servery, jsem celkem klidný. (Zdravíme soudruhy cenzory našich ISP.)
Aha. A jak byste to delal, kdyz vam ISP presneruje odchozi provoz na port 53 na svuj cenzurovany a i jinak dokurveny DNS server? Tlacil byste to nekam jinam pres VPN? To se nam ta konfigurace male domaci site ale komplikuje....
Např. OpenDNS jede i na portu 5353. Ale ano, není problém to tunelovat jinam.
ono spis jde o to, ze pokud ten bridge i presto ze je to bridge bude na nejake prichozi pakety odpovidat a komunikovat, tak jej lze ovladnout ... a trebas ho donutit k uprave nejakych paketu - trebas prave DNS odpovedi.
A ze to delat nebude je spis otazka viry nez otazka reality ...
Otázka víry? To je spíš to, co se děje u ISP.
Když jsem u známých zkusil jenom tak ze srandy tracert, nestačil jsem se divit, kolik toho bylo po cestě, kolikrát se měnila IP adresa,... NAT v routeru, NAT v APčku pro připojení, NAT v APčku na straně poskytovatele, NAT na vstupu k poskytovateli,... Počítám cestou ještě další zařízení jako mail servery, managovaný switche,... Vechno to může být děravý.
Je fajn, když můj stroj je bezpečný a nedostanou se ven moje lokální data, ale prasárny u ISP člověk neovlivní. Ale pokud na agregované lince 1:10 visím s osmi zavirovanýma routerama od BFU a spustí to DDoS, tak jsem bez připojení i já, nebo mám minimálně omezený / zpomalený přístup... A pokud něco u ISP saturuje spoj do NIXu, je vymalováno.
Vymenit "ISP" ? Zaplatit si internet? Ono je to tezky, kdyz nekdo zije v bludu za za 300 dostane 100Mbit ...
zas takovej blud to neni.......zalezi jakyho ISP si clovek vybere (a taky trochu v jaky zemi) -> https://parknet.dk/internet/ jen na vysvetleni 65dkr = cca 240kc/mes, za tu cenu je GARANTOVANYCH MINIMALNE 50/50Mbps PRO KAZDEHO uzivatele = ZADNA AGREGACE A PODOBNE nesmysly, lze vsak dosahnout i na rychlosti 80 ci 500Mb -zalezi podle bydliste. Cena je vzdy stejna= flat rate a mnozstvi prenesenych dat NENI NIJAK OMEZENO ci Xtra zpoplatneno. Ja mam standartne 95/95 a kolega z prace ma rovnou 1 Gbit :o) To co predvadej ISP v Cesku je saskarna za nekrestansky $.
Taky dobre. Ale aspon to je zadarmo, z elektrosrotu. ;-) Ale koukam, ze jedinou cestou je pouzit tyhle routery akorat tak jako adsl modem a za to si hodit linuxovy stroj jako router + nejakou jinou krabici jako AP. To je asi nejbezpecnejsi kombinace, co clovek muze mit, ale kdo do toho ma platit elektriku?
Obavam se, ze ani jedno z toho neni krabka za dve-tri kila ... a to je tak maximum co za to franta da ...
http://securityaffairs.co/wordpress/20941/hacking/netgear-linkys-routers-backdoor.html udelali to jednou udelaji to znovu......... jen blb se spali 2x na tom samym
TD-W8951NB/TD-W8961NB jsou aktuálně prodávané typy, tak snad tplink opravu vydá co nejdřív.
Už je pátá revize HW stojí měně než 1000,- s DPH tak proč by to dělali. Otázka zní poslední revize a FW má tenhle problém? Já netuším
Ale co je jistota je že určitě cílová skupina nemá za tím server a nepotřebuje to spravovat přes wan.
Právě že poslední revize V5 s posledním firmwarem.
Jestli to chápu dobře, stačí zablokovat vzdálenou správu routeru a problém je vyřešen?
Jedině pokud jste si jistý, že na ten router nezaútočí žádný počítač ve vnitřní síti. Třeba přes webový prohlížeč.
Zkuste to. U ZyXELu máte docela dobrou možnost, že to má Váš router opravené. Pokud jsem viděl, tak to měli jen v hodně historických verzích. Jiní výrobci jsou na tom hůř.
Novější Zyxel VDSL routery (např. P-870H) na mě dělají dojem, že jedou na Linuxu.
Ano... Ono je to celé takové babrání v historii. Nakonec původ všech těch firmwarů je nejasný, ale to jsem naznačoval opakovaně v článku. A platí, co jsem psal na konci: Uživatelé si představují životnost routerů jinak, než výrobci. Já měl donedávna doma taky modem/router z roku 2007, který neměl už pár let žádnou podporu. :-(
Otazka je, jaka by ta zivotnost mela podle vyrobcu vlastne byt. Pochybuji, ze to nekde oficialne zminuji. A pokud ano, tak to bude asi naivni predstava jako "uzivateli, vymen vse 1x rocne". A kdo si to muze dovolit? Ted nemyslim jen router, ale i veskere ostatni zarizeni domacnosti tezko budu neustale menit, ucit se nove ovladani, atd.
Chtelo by to neco realne pouzitelneho pro neznale uzivatele i pro firmy. V pripade ADSL routeru, ktere dodava poskytovatel internetu by to mela byt starost firmy.
Právě jsem se popsaným mechanizmem naboural do routeru jednoho známého, který si stěžoval na nefunkční Seznam a Google, opravil nastavení DNS a nastavil ACL, aby přístup z WAN nadále nebyl možný.
Možná by se taková oprava dala zautomatizovat :)
Jj, Zyxely mívaj firewall a dá se to tak nastavit, tuším celkem na 6-8 řádků příkazů, s příhlášením a odhlášením ...
Jasně, že by to šlo... Ale na to teda fakt nemám odvahu. :-) V Alžíru to, tuším, někdo udělal a pochlubil se tím na blogu. Jenže oni měli jeden jediný modem, který dával jejich telecom. Celosvětově to je mnohem heterogennější prostředí.
V principu stačilo, když jsem tohle potřeboval ošéfovat, tj. vypnout WAN přístup ... tohel mít v clipboardu ...
heslo_do_routeru
24
8
config edit firewall active no
config save firewall
exit
99
heslo_do_routeru
24
8
config delete firewall set rule 8
config save firewall
exit
99
těch 24 a 8 je příkazový řádek z menu ... bylo nutno upravit jedno pravidlo a zapnout firewall, občas se kousnul, když jsem to dělal tuším na zapnutém firewallu.
Pokud máte lokální přístup, tak se neni čeho bát, opravíte si to.
http://www.gnucitizen.org/blog/router-hacking-challenge/#comment-115540
---
February 24, 2008 at 9:12 pm
btw guys, Kender has been working on a quite neat ZyXEL reverse
engineering project. He wrote a tool that allows you to read the admin
password from the config file (rom-0) in the clear, which is not possible by
default. Sweet!
---
Sweet indeed.
A co modem Huawei EchoLife HG520i, který O2 dodává nebo alespoň dlouho dodávala co vím... Nemáte někdo nějaké info?
Bílá čínská pomsta? I jako bridge to stálo za lejno, jako AP nepoužitelné, válí se mi to někde na půdě. Příšerný krám. Jinak tuším, že je tam permanentní backdoor na 7547/TCP.
To není přímo backdoor. To je port Connection Requestu k už zmiňovanému TR-069. Teoreticky by to mělo být i s autorizací, prakticky myslím u tohodle modemu není, ale i tak by to bylo využitelné leda na reflected DoS - kdyby ovšem byl zbytek zabezpečený pořádně.
Ano trpi, mam ho doma , stiahol som rom subor a je to bila cinska pomsta.
Záleží (asi) na verzi FW, ale nějaké HG520 jsem našel taky děravé, né ale přímo ten Váš typ. Konkrétně mám třeba tohle:
Product Name EchoLife HG520s
Physical Address xxxxxxxxxxxxx
Software Release V100R001B026
Firmware Release 3.7.9.98-1.0.7.0
Takže: Zkuste to... Je to snadné a stačí na to prohlížeč.
Huewei HG5201i: včera jsem to zkoušel, se starším firmwarem je děravý - soubor rom-0 umožní stáhnout bez hesla. S firmwarem V100R001B028 (datum 2012/08/17) zdá se už je to ok, pro přístup k /rom-0 chce jméno/heslo.
Ne už ho nedodávají
Ten modem nemá N-kovou wifi, proč jste do neposlal už do elektro-odpadu? Ikdyby nemel chybu ( jako že jich měl dost) je morálně zastaralý a jedna člověko-hodina stojí víc než je jeho zbytková cena.
Treba proste nechce vyhazovat funkcni vec ... ja vim, vyrobce musi neskutecne srat, kdyz ma doma nekdo CRT telku uz 30let ... a porad mu funguje ... ;D, pravda, ted uz tak nejak polovicate a z naprosto udesnym vysledkem (ale tomu nova telka nepomuze, protoze holt 2Mbity/kanal ...jsou tak nejak podstatne min nez 5-8MHz analogu).
Existuji stabilni adsl2 pci karty co jedou v linuxu? Ma nekdo odzkouseno?
Hádám, že pokud ano, tak za dost vysokou cenu. Poptávka po takovém zařízení bude téměř nulová, když můžete koupit levný modem s cdc-ether na usb, nastavit mu bridge mód, a máte prakticky stejnou funkcionalitu. Z venku by se na to měl dostat teoreticky jen váš ISP a tomu musíte beztak věřit (že není zkompromitovaný ani ten jeho konec DSL přípojky). Zevnitř to chce mít za tím skutečný zabezpečený router, který bude filtrovat provoz směřující z vnitřní sítě na IP toho modemu tak, aby neprošel nežádoucí paket z nějakého prohlížeče nebo flashe spuštěného ve vnitřní síti.