Vlákno názorů k článku Miliony zařízení sdílí privátní klíče k HTTPS a SSH od kljwero - Zaujimalo by ma ci je toto osetrene na...
-
Lol Phirae (neregistrovaný)
Error code: ssl_error_unsupported_version - ddwrt na wrt54g.
Na tom 4MB šrotu používá webserver jakýsi microssl, kde TLS není vůbec podporovaný. Měnit to kvůli milovníkům starožitností nikdo nebude.
-
Lol Phirae (neregistrovaný)
Zaujimalo by ma ci je toto osetrene na DD-WRT, Open-WRT, Tomato a podobnych 3rd party FW pre routre.
V DD-WRT je to "ošetřené" tak, že si certifikát a klíč nacpeš do startup skriptu, GUI ani nic jiného nevedeme.
echo "-----BEGIN RSA PRIVATE KEY----- ... -----END RSA PRIVATE KEY-----" > /tmp/ssl/key.pem echo "-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----" > /tmp/ssl/cert.pem chmod 0600 /tmp/ssl/key.pem grep -q -e "/etc/cert.pem" /proc/mounts || mount -o bind /tmp/ssl/cert.pem /etc/cert.pem grep -q -e "/etc/key.pem" /proc/mounts || mount -o bind /tmp/ssl/key.pem /etc/key.pem stopservice httpd startservice httpd
V OpenWrt si tam buď nainstaluješ px5g a ten ti vyflusne klíč a self-signed certifikát podle nastavení v /etc/config/uhttpd, nebo si tam nacpeš certifikát a klíč vlastní.
config uhttpd 'main' ... option cert '/etc/uhttpd.crt' option key '/etc/uhttpd.key' ... config cert 'px5g' option days '730' option bits '2048' option country 'CZ' option state 'Czech Republic' option location 'Vidlakov' option commonname 'router.example.com' -
ldx (neregistrovaný)
Tak to je vtipný dotaz. Spíš bych se ptal jesli to má ošetřené Tenda, D-Link, TP-link a podobné, ještě obskurnější značky. A jestli na tom jsou podobně i UBNT tak potěš koště. Naposled kvůli jejich ignorační chybě popadala půlka wifi sítí ve světe i v této malé republice. Bohužel i já jsem byl postižen přes mého ISP (zaplaťpánbůh že jsem měl založní připojení).
-
Filip JirsákStříbrný podporovatelPokud si dobře pamatuju, byla to spíš ignorace ze strany správců těch UBNT zařízení, protože v aktuálních verzích firmwaru byla chyba opravena.
-
Muki (neregistrovaný)
Ono v pripade ubnt jde taky trochu o to, ze novejsi firmware sice opravi nejaky bezpecnostni problem, ale velmi casto uvede sit do nepouzitelneho stavu. Diky povinne zaplemu DFS a falesnym detekcim radaru je pak zarizeni prakticky nepouzitelne.
Takze ne vzdy ma na hlave maslo jen ISP. Reseni (zatim) existuje, ale je stale komplikovanejsi a je otazkou, zda je zcela koser. A je take nejspis mimo schopnosti klikacich adminu.
Pouziti starsich firmwaru koser zcela jiste je a problemy s DFS netrpi.
Primarnim problemem je neschopnost tech zarizeni odlisit radarovy puls od interferenci vzniklych hustym provozem v CR. Otazkou muze byt i to, zda EU regulatorni pozadavky na dfs jsou rozumne. Treba takove naslouchaci zpozdeni 10 minut mezi zapnutim boxu s provozem je take chutovka. Ve starsich firmwarech neni.
Jaky firmware byste pouzil Vy v roli ISP?
-
Neexistuje. Není to zase až tak dávno, co jsem dělal pro jednoho malého ISPíka. Téměř každý nový firmware v UBNT přinesl nějaký nový problém, dokud se daly stáhnout zdrojáky, kompiloval jsem vlastní firmware, když to zatrhli, byla to pokaždé loterie. Když se člověk koukl do changelogu, okamžitě se mu chtělo upgradovat, ale když to pak vyzkoušel v praxi, okamžitě ho to zase přešlo. Různé country fičury se řešili nastavováním různých zemí, oblíbená byla třeba Aruba, jinak s nastavením na CZ se to nedalo použít. Samozřejmě, že se kraviny ČTU nedodržovaly, protože to prostě nešlo. ČTUčko nikdy moc volný pásma neřešilo, buzerace přišla hlavně s příchodem LTE - divná náhodička :) Raději jsem se na to vykašlal a našel si jinou práci, protože snaha zlikvidovat malé poskytovatele je zcela evidentní a tímhle tempem se jim to dříve, nebo později, povede. Očekávám, že slavnej zákon o loteriích tomu má taky částečně pomoct :D
-
ldx (neregistrovaný)
No v takovém případě by se měly hledat alternativy jiných firem, možnost komunitního sw a hw (například s OpenWRT nebo jeho specializovaným forkem) atd.
Házet flintu do žita kvůli nějaký americký firmě, která na evropský trh a tímvíc malý český kašle, se mi zdá poněkud zbabělé... Navíc Ubiquiti byla dosud konkurenční především cenou, ale s tímto chováním se vlastně prodražuje na úroveň konkurence.
