Zranitelnosti Wi-Fi routerů: desítky zranitelností aplikací i jáder

"až na výjimku AVM všichni výrobci zareagovali" - to neni dobra zprava. Presneji neni dobra zprava, ze reagovali az na skandal ve veci kterou mohli/meli udelat sami.
Tohle je jen dalsim dukazem, ze svet SOHO routeru je prodej a zapomen. Reseni jsou mozne pouze dve. I domu kupovat routery pro "profesionalni" pouziti (Unify, mikrotik, a podobne). Nebo kupovat pouze routery s moznosti instalace OpenWRT, bez ohledu ze nekdo ten formware nechce nahrazovat hned. Potiz je se soucasnym stavem podpory OpenWRT na AX routerech.

Já si tedy "prodej a zapomeň" představuji trochu jinak, než pravidelné bezpečnostní aktualizace software routeru i po 5 letech od uvedení routeru.

Pravidelne bezpecnostni aktualizace u SOHO routeru? A kde se vyskytuje takova bila vrana? Nevim, ptam se.

Projekt Turris

Turris je OpenWRT s modifikaci a nadstavbou. A spise nez do kategorie SOHO patri do profesonalnich zarizeni. Rozhodne si ho domu krome profesionalu jen tak nekdo neporidi.

Routery Synology?

7. 12. 2021, 10:54 editováno autorem komentáře

Osobně používám Mikrotik. Nejsem extra náročný uživatel, většinou jedno AP.
Dříve měli nějakou limitaci na upgrady (level úrovně), ale to už je pár let minulost, takže teď to nění omezeno.

Jeden box tu mám cca od léta 2014 a stále jej lze aktualitovat.
Druhý je možná ještě starší, snad 2012.

S.A.F.E. politics :-)

Když byla poslední "aféra" u routerů, postihlo to i ten můj. Psal jsem tehdy výrobci, jak to bude řešit a odpovědí bylo, že nijak, že zařízení už není podporováno a je EoL. Takže jediná možnost bylo openwrt. Smutné na tom bylo, že zařízení bylo v té době pořád v dvouleté záruce od českého eshopu, ale víceméně to nic neznamenalo.

Ale nejde jen o SOHO routery, zrovna včera jsem se díval po nějakém nejlevnějším smartphonu a nevěřili by jste, že se pořád prodávají věci s Andoidem 4.1... vůbec tahle kategorie byla dost výživná.

Takže ano, pokud chce člověk aktualizace, asi musí jít do "dražších" zařízení a záměrně je to v uvozovkách protože někdy platíte jen za kvalitu HW, ale SW stojí za nic..

Bohuzel.
A tyka se to i renomovanych vyrobcu jako Cisco. Viz chyba, kterou nebudou opravovat protoze EOL CVE-2021-34730

Dražší routery? :D Hah...
Víte jak se tomu vyhejbaj? Třeba takovej tp-link ksindl dává za značky V1 ... V2.... V3... V4...
Prakticky nemusí staré aktulizovat, protože stále podle směrnic států a EU mají náhradu, sice na tom routeru není žádná změna, ale je to rozdělené verzemi.. a tam už pravidla končí..
Asus? První dva roky se snaží a pak už nic. A je jedno kolik to stojí
Atd...
Vždy se najde výmluva a je jedno kolik to mělo cenovku ;)

@Jakub Lobodas

Aky presne Asus?
Mam skusenost s niektorymi modelmi od Asusu a podpora Asusu zdaleka nekoncila po dvoch rokoch. Nejednalo sa o ziadne drahe zariadenia. Kedze pouziva rovnaku platformu, tak to bude platit pre vecsinu jeho zariadeni.
Priklad Asus RT-N18u. Vydany tusim v roku 2014. Posledny update v polovici minuleho roku. 6 rokov mi pride slusna doba.

BTW: "TP-Link WR1043ND" na trh sel v pulce 2011... (zatim) posleni update OpenWRT 21.02 na nej vysel letos v zari + chodel minimalne 1x/tejden aktualizace nekterejch balicku... 10.5 roku take neni spatne ;-)

Máme Asus z vyšší střední třídy, který je stále v prodeji, a má aktualizace i po pěti letech.

@Jiri Dobry.
To plati aj pre top znacky ako Cisco, Juniper a podobne.

Unify?
Unify by som nespominal ako etalom kvality.
S nimi mam skusenost, ze hned po vidani sa neoplati kupovat ich zariadenia. Maju slusne zabugovany firmware a chvilu to trva kym to vyladia.
Rovnako radi nastavia EoL na zariadeniach, ktore si este pred nedavnom vedel kupit.
V spojeni s controllerom, kde mas zaveseny aj novsi HW mas problem na svete. Kvoli novsiemu updatu potrebujes novsiu verziu controllera ale ta uz nepodporuje EoL HW a bud budes mat separatny cotnroller pre EoL HW alebo kupis novy HW, hoci ten stary moze byt kludne estev zaruke. Aj to som zazil.

S mikrotikom nemam skusenost. Ak sa da, tak pouzivam OpenWRT ale ako spominas, tak tam je limitom podpora noveho HW.

Bohuzial pri HW za par eur sa neda cakat nejaka extra podpora. To nieje problem len routrov ale vseobecne vecsiny tovaru v najnizsej cenovej kategorii.
Na jednej strane je to dobre, lebo k danemu tovaru maju pristup aj ludia, ktory by si drahsie enmohli dovolit ale na druhej strane to vedie aj k plytvaniu.

Nieje jednoducha cesta ako z toho vonku.

Ja by som napriklad privital si za rozsirenu podporu zaplatit. A to nielen v pripade routrov.

Unify a profi? To je zhruba stejně profi jako garážovky, co ten šrot používají. Hned bych je za pár věcí majzl duralovou tyčí přes zátylek.

Když jsme stěhovali firmu, tak tam nějaký starý APčka zbyly a po dohodě se šéfem jsem si s tím poladil WiFi doma a v dílně. Poznatky:
1) Profesionál ctí standardy. Proč , když je k dispozici switch s 802.3at, musím mít ještě injektory 24V/0.5A a riskovat, že přehodím kabel a u něčeho odpálím LANku? Tomu se říká PRASATA a normálně bych se tomu obloukem vyhnul.
2) Strašně tomu pískají zdroje a zvuk se mění podle trafficu. Až bude chvíle, zkusím mikrofon a osciloskop, třeba uvidím data...
3) Člověk, co se nám stará o síťařinu, nesnáší OpenWRT, ale v tomhle už bylo od něj naflashováno. Takže původní SW mu musel vadit ještě o hodně víc...

Unify a profi?
Jestli profi znamená že firma se živí prodejem konektivity, tak budiž. Jinak ale Unifi běhá ve spoustě hotelů a firmách, které se prodejem konektivity neživí. Nevím jak je to s bugy, ale pro BFU je ovládání celkem příjemné.

Proč , když je k dispozici switch s 802.3at, musím mít ještě injektory 24V/0.5A a riskovat, že přehodím kabel a u něčeho odpálím LANku?
Ano, ty jejich 24V verze a různě nekompatibilní držáky k APčkům mi také vadí. Pokud to však nebudete napájet injektorem z olověné baterie, tak trochu inteligentní zdroj to bude jen oťukávat ale odpálit by to neměl (aspoň se mi to zatím nepodařilo).

Pre BFU a ovladanie prijemne?

Pre mna je to ich UI neuntitivne a predci ho len SAP. Ak v tom chvilu nerobim, tak normalen tapam kde a co nastavit. Niektore veci idu krkolomne nastavit, niektore veci im chybaju.
Co nechapem(alebo som to len nenasiel), ze neviem v GUI jednoducho urobit instant backup ked potrebujem.

Výše zmíněné jsou drobnosti. S pískajícím zdrojem jsem se setkal jen jednou a s vrčícím AP taky jednou (Unifi AP Pro první generace). PoE 24V pasivních naopak může být výhodou, protože se AP pak dají napájet z Mikrotiku CSS106, což je nejlevnější a nejmenší switch, který umí VLAN, PoE a SFP.

Novější modely AP umějí jak pasivní tak aktivní PoE, případně jen aktivní.

Největším problémem Unifi je mizerná kvalita firmware. Některé verze firmware nefungovaly s klienty Apple. Notoricky mají problémy s DHCP a wireless uplinkem (u DHCP někdy pomůže, když se na serveru nastaví, aby posílal odpovědi vždy jako broadcast) atd. Novější fw obvykle něco rozbije.

Ne, 24V PoE je vždycky problém. Ethernet má oddělovací trafo, středy strany u konektoru jsou standardně propojeny skrz 75R rezistory do jednoho bodu a pak kondíkem na kostru. Pokud do toho vrazím 24V, teče tam 160mA. To jsou 2W na odpor ( SMD 0603 dá max. 0.1W ) jak se spečou, 0.5A spolehlivě usmaží trafo... Takže riziko poškození normálního zařízení je celkem velký.

A pokud jde o injektor, tak třeba https://www.czc.cz/tp-link-tl-sg1005lp/294469/produkt zabere tolik místa, jako dva injektory od Ubiquity, ale nakrmil by čtyři APčka, není k tomu potřeba ještě další switch, jedna obsazená zásuvka místo pěti, úspora je i na straně patch kabelů a cenově to vychází o chlup líp.

Standardní řešení pro napájení po Ethernetu je 802.3af / 802.3at. Nepoužít to je jak mít auto, do kterýho nemůžu normálně natankovat benzín, ale musím ho míchat s naftou a izpopropanolem v poměru 3:1:2.447, jinak nejede.

Moje peněženka má hlasovací právo a říká těmhle zmetkům NE. Akorát vymaštění garážoví "IT profíci" to neřeší, nakupují zmetky a pak přijedou něco opravovat, vytáhnou notebook, zapojí USB síťovku a stěžují si, že Ethernet v NTB nic nevydrží.

„A pokud jde o injektor, tak třeba https://www.czc.cz/tp-link-tl-sg1005lp/294469/produkt ...“

Možná mi něco ušlo, ale předřečník požadoval i SFP a VLAN.

IoT je na tom s bezpečností bídně, ale tenhle test není tak horký, jak to vypadá. Řve to kritickou zranitelnost ve staré verzi nějaké libky... Jo, je tam, ale nikdy se nepoužívá ke zpracování nedůvěryhodných dat... Atd.

„jáder“
Že by měl Babiš v oprašování českoslovenštiny následovníky?