Názory k článku
Dostat se do mnoha ADSL routerů je hračka
-
BobTheBuilderStříbrný podporovatelADSL dostane zákazník od svého ISP nakonfigurovaný, a pokud vůbec zná heslo, tak málokdo o tom cokoliv tuší. Tovární nastavení je leckdy taky tragické. Měl jsem Edimax, ale stejný firmware jsem našel i v jiných značkách, a ten měl ve výchozím nastavení povolený přístup z WAN na cokoliv, omezit se to muselo v ACL - to laik není schopen udělat vůbec. Obávám se, že i změna hesla pro správu je neřešitelný problém (a druhý hned následuje: aby si to heslo někde zaznamenal). Pro zabezpečení WiFi platí totéž, ještě velmi nedávno bylo výchozí zabezpečení WEP - tedy v konfiguraci od ISP.
-
-nedostanete vždy ADSL modem nakonfigurovaný
-jaké je výchozí zabezpečení je možné zjistit z manuálu. ADSL modemů totiž mají operátoři omezené množství typů.
-změna hesla bývá taková, že při výchozí konfiguraci na vás vyskočí dialog na změnu hesla admina kde rozhodně tlačíto přeskočit není.. to samé zabezpečení wifi atd...
Trochu si aktualizujte jak to je. Samo to není žádné HC bezpečné a neprolomitelné. Ale nerovnějte to s routery s technologií před 5 lety.
Jinak to "vzrůšo", které se "najednou" objevilo je xlet stará chyba na x let starých ADSL\ethernet routerech kde byla povolená vzdálená. Na tom se také zakládalo ono "dekódování" hesla admina.
Zatím není známo, že by docházelo k masivním průnikům na nové routery. nebo dokonce na nové routery s vypnutou správou z vnějšku.
-
snehulak (neregistrovaný)
Vlastní router, vlastní nastavení DNS, vypnutá administrace z WAN, zakázaná všechna příchozí spojení z venku (teda většina). A ta spojení, která jsou povolena, jdou přes NAT do DMZ na můj servřík, kterému firewall blokuje zas pro změnu všechna odchozí spojení, takže není možné se z něj dostat na router, ani se prokousat do domácí sítě.
-
Typek (neregistrovaný)
Podobne to mam aj ja, ale nemozem si zabezpecit router silnym heslom. Uzasny Airlive N450R umoznuje len 9 znakove admin heslo. NA WiFi uz obmedzenie ma na 24 ci 32 znakov, ale na administraciu len 9?!?! Pisal som im na tech support aj na klasicku podporu pred 4mi mesiacmi a nic...
-
Petr M (neregistrovaný)
Router je ještě relativně sranda, znám v tuzemsku jednu banku, která používá pro přístup k bankovnictví číslo účtu a vygenerovaný PIN, který se nedá změnit. Sice po třetím zadání se to na nějakou dobu blokne, ale pokud ve skriptu nastavím jeden čtyřmístný PIN a k němu zkusím náhodně násobky čísla 11 se správnou délkou jako username, tak se tabulka číslo účtu - heslo - jméno majitele - adresa celkem rychle zaplní :Q Potom je celý slavný, bankou vychvalovaný, https jenom na ozdobu...
A u mojí banky (se kterou se asi brzo rozloučím) zase můžu používat jako hesla jenom čísla, písmena a pomlčku. Chci tam i znaky jako &*$#%^, ale banka si hraje na mrtvýho brouka...
-
Kokos99 (neregistrovaný)
Paranoa je hrozná věc co? I bez speciálních znaků dokážeš udělat bezpečné heslo bez problémů. To samé 9 znaků do routeru (tam můžeš speciální znaky předpokládám) taky uděláš heslo, který by bruteforce útokem zabralo stovky let, když budeš počítat minimálně 2000 možností na 1 znak.
-
Petr M (neregistrovaný)
Bohužel, tohle není paranoia.
pokud někdo povolí jenom anglický písmena (malý a velký), čísla a pomlčku ve standardu ASCII, je to 63 možností na jeden znak. To je u osmimístnýho hesla 248.155.780.267.521 kombinací.
Brute force tři hádání, pět minut blokace:
Na projítí všech kombinací je potřeba 82.718.593.422.507 iterací.
Při 12 iteracích za hodinu je to 6,893,216,118,542,25 hodin
To je 287217338272,5 dne
Nebo 7.868.966.817 roků - ALE ZA PŘEDPOKLADU, ŽE HESLO TREFÍM AŽ JAKO ÚPLNĚ POSLEDNÍ KOMBINACI.V praxi můžu na heslo natrefit kdykoliv. Pravděpodobnost nalezení hesla je funkce závislá na čase! Nikde není psáno, že se nepodaří uhádnout heslo už za týden...
Takže jo, teoreticky omezený heslo chvíli odolá, ale je to jenom otázka času. Kdežto pokud dám řekněme UTF-8 a útočník čeká ASCII, může klidně hádat jenom v základní ASCII a pár znaků mu bude chybět. Nebo rozpozná ze stránky, že se jedná o UTF-8, ale nepadne ho do hesla na stránce v češtině vyzkoušet řekněme tři řecký znaky? Nejlepší obrana je ne prodlužovat dobu na uhodnutí, ale použít něco, co útočníka ennapadne, nebo nemá vodítko co použít.
Projít komplet UTF-8 už je trochu náročnější...
-
snehulak (neregistrovaný)
Tak lidi bez servříku vynechají tu část, kde povídám o NAT a přesměrování některých příchozích spojení do DMZ a jednoduše zakážou všechna příchozí spojení a hotovo.
Můžete namítnout, jak se pak připojím zvenku. Inu nepřipojím, o to jde. Stejně lidi, co nemají servřík těžko budou mít veřejnou IP, na kterou by se mohli chtít připojit.
A to je vše, přátelé.
-
... (neregistrovaný)
Existuje nejaky duvod, proc tyto a jine krabicky maji otevrene administracni rozhrani i do WANu (do Internetu) ?
Nebo proste je vyvoj a vyroba techto krabicke natolik vzdalena tem co to nakupuji a pouzivaji (operatori a jejich zakaznici), ze v ramci tlaku na minimalizaci ceny to vymysli a programuje nejaky nestatnik za tak malo penez, ze neni mozne ocekavat, aby mu tydle "detaily" dochazely.
-
student (neregistrovaný)
ISP na nich chcu typicky vzdialene updatovat firmware, takze by tam malo byt nejake rozhranie s okolitym svetom.
Horsie je, ze jeden konkretny router od T-Comu (slovensky najvacsi DSL provider) mal povolene prihlasenie admina len z WAN a heslo bolo trivialne. To si clovek mohol na svojom uzivatelskom ucte viditelnom len zvnutra zabezpecovat, co chcel... Firmware samozrejme upraveny tak, aby bezny uzivatel weboveho rozhrania nemohol poznat, ze je tam este druhy ucet.
-
Bavíme se o routerech s firmaware který je x let starý tedy za morální životností. Není informace že napadnutelnost je i v nových zařízeních.
Byla by tak vzrušující informace, že Windowss XP bez SP a AV jsou tak jednoduše napadnutelné? No nebyla, u routerů které bereme jako outoffthebox věc je to trochu senzachtivá informace\spekulace.
Rozhodně se to hodí niccézet jako PR voda na mlýn pro jejich router, ipv6 a DNS sec . I když reálně oni soho koncový uživatelů nemají tolik co nabídnout.
-
Karel (neregistrovaný)
Svého času to bylo povolené proto, že vám technik modem zapojil, zatelefonoval "na ústřednu", kde nahlásil MAC adresu a tamní technik router vzdáleně nakonfiguroval.
Navíc uživatelé dost často něco pokazili a tak to pak technik opravoval/resetoval vzdáleně. Proto ta administrace z WAN.
Jestli i dnes je toto ten důvod, to už netusím, cca 5 let jsem s tím nepřišel do styku.
-
Nox (neregistrovaný)
Hruzu jmenem ADSL nastesti nemam, ale muj router a kazdy, ktery jsem kdy nastavoval ma unikatni netrivialni heslo a vypnutou vzdalenou spravu, pokud ta moznost v nastaveni byla.
Pokud provideri dodavaji prednastavene ADSL routery, meli by to delat poradne. Spatne je, ze vetsina routeru nema automaticke aktualizace. Jak casto vyrobci opravuji bezpecnostni chyby radeji ani nechci vedet. -
Petr M (neregistrovaný)
ADSL a nejlepší možnost? Tahle možnost je stejně sci-fi jako ta optika a navíc cenově mimo realitu.
Koupil jsem barák, nevedly tam dráty, ale telecomácký sloup cca 3m od baráku. No tak instinktivně za kyslíkářema, objednal jsem ADSL. "Jo, můžete mít max. 6Mbit, je to daleko od ústředny, agregace bude 1:12. Pošleme firmu, ať vám tam natahá gáble." Za dva týdny se ozval boreček, že by to teda jeko namontoval, ale že se jako díval na katastr, ale že tam nejsem jako majitel a že bude potřebovat podpis majitele nemovitosti. Protože na přepis bylo 30 dní a tohle bylo nějak 25. den té lhůty, domluvil jsem se, že se ozve za týden. Neozval se, po telefonu kyslíkáři sdělili, že "objednávka byla odmítnuta ze strany objednatele". Takže jsme furt jeli na UTP kabel natažený od souseda.
Jak byla za měsíc trocha času, zkusli jsem to znovu. Na zákaznickým centru zaregistrovali objednávku a za tři dny volali, že už nemají volný fous na ústředně a jestli bych počkal tři měsíce, že pak budou přidávat další kartu. Tomu jejich tajtrlíkovi jsem vysvětlil, že pokud tam nabude tak karta do týdne, tak si ji místo do racku může strčit do nejmenovanýho tělesnýho otvoru.
A cenově? První rok domluvená cena ze smlouvy, další rok to vyletí o 50%, "aby to pokrylo skutečný náklady" :Q Nejsou snad náklady na službu nejvyšší první rok, kdy se tahají dtáty, konfiguruje nastavení ústředny,...?
Takže nic jinýho než WiFi v reálu nezbývá.
-
Koukam, ze od dob Telecomu se moc nezmenilo. Akorat, ze tehdy neco zacali delat rok po podani zadosti na zavedeni telefonu. Pak jich prijelo nejmin sest v jednom aute a dvou nakladacich. Jeden kopal, druhy mu podaval vercajk a ostatni na to cumeli za plotem. Kdyz se dostali az ke zdi baraku a tahli kabel, tak zjistili, ze nekdo slohnul vrtak. Nastesti meli jeste jeden mensi. Protahli kabel s tim, ze to prijde nekdo ozivit nasledujici den. Prijeli, ale nepovedlo se. Nemohli najit, do ktere budky na kandelabru ten kabel vede. A to si tam pustili VF signal a objeli vsechny budky v okoli. No, neprecetli si dokumentaci, kde bylo napsano, ze kabel vede rovnou do ustredny. Takze dalsi den prijeli dalsi dva manici a pak uz to jelo.
-
Nox (neregistrovaný)
Kde je soucasna infrastruktura vime vsichni. Ovsem vrazenim penez do novejsich verzi ADSL cesta taky nevede, o kapacite wifi ani nemluvim. Nebo snad vite o necem lepsim, nez o dratu, at jiz optickem nebo jinem? Elektrickou sit take musel nekdo vybudovat. A ta v soucasnosti taky nebezi se stejnosmernym proudem jako v pocatcich. Stejne tak sit dalnic a silnic je neskutecne daraha a sama se nepostavi.
-
Lol Phirae (neregistrovaný)
Hmmm... Přehání se to tak, že např. O2 kvůli těmhle dírám již drahnou dobu blokuje příchozí DNS/SNMP. Protože pro ten jejich čínský šrot s nulovou podporou, kterým trh zásobují od počátků DSL v Česku, jaksi nikdo žádný opravený FW neudělá a výrobce se k těm šmejdům vůbec nehlásí.
-
Ten jejich čínský šrot je ten samý čínský šrot co nabízejí operátoři v Německu, Britanii, Francii. Ono nových routerů pro domácí použití které nejsou šrot je asi jako prstů na ruce nešikovného pyrotechnika.
Ten problém je nafouknutá bublina, která stejně pomine výměnou HW. Prostě nová krabka má vyšší zabezpečení out-off-the-box. Většina wifirouterů a ADSL routerů s wifi půjde pryč protože, přes to Gčkové wifi nezvládnou HD video. Ty nové nkové budou dál.
Rozhodně příchod mesiáše v podobě "Turis do každé rodiny" se konat nebude, Stejně řešením není nějaký WRT firmware , který prostě masy nezasáhne, podobně jako alternativní ROM Androidích telefonů.
-
Petr M (neregistrovaný)
To je pravda, ale všechno je to o tom, že BFU neví, co chtít. Potom
- O routeru rozhoduje, co BFU zná - cena. Pak výrobce seká náklady - žádná podpora, vynechají se bezpečnostní audity před výrobou,...
- Nikdo netlačí providery do nasazování IPv6, protože xichtknížka přece jede...
- Nikdo nenabízí kvalitní síťový železo (a když, tak za 15 litrů) a člověk musí přestavět starý PC, když chce router - "přece platbu do banky zadám i za skrz krabičku za pětikilo" a to se pak s cenou použitelnýho železa na 2000 nikdo nedostane.
- Většina instalací od wifinářů, pokud nemají anténu na hromosvodu, tak aspoň omotá UTP kabely kolem svodu - centrum.cz se načetlo, lamu víc nezajímá
- Půl vesnice jede skrz natovaný nat za natem, protože ISP je samouk, který se naučil kdysi na domácím WiFi routeru, že ven stačí jedna IP adresa a router si to rozdělí. On je pan podnikatel, jezdí v drahé káře a ostatní jsou jenom prudiči...
- Slovy manželky: "Na co by nám byla optika? Musela bych znovu sázet kytičky před domem, žádný kopání nebude. Internet přece většinou jede..."Ale to neznamená, že musí člověk hodit flintu do žita. Začít je potřeba ua sebe a vysvětlovat v okkolí, tlačit na ISP, v obchodech spamovat dotazy na železo s určitým výkonem... Jak se s levnou krabkou objeví problém, hned s tím do recenze a do diskusí! Jinak se nikdy nic nezmění...
-
Běžný Franta Uživatel právě moc dobře ví co chce. Jenže chce něco jiného než geek a má jiné priority.
Ono té většině opravdu absence iPv6 nevadí. Nevadí jim ani násobný NAT. Protože nepotřebují server, VPn, voip, nebo remonte desktop.... ...finnace mají také omezené.
Takže se jim můžete snažit vymluvit díru dohlavy , ale je tedy majoritní část světa nezměníte.
