chroma Δημοσιεύτηκε Απρίλιος 19, 2013 #1 Κοινοποίηση Δημοσιεύτηκε Απρίλιος 19, 2013 Hacking and Rooting SOHO Home Routers Δοκιμή έκανε η ομάδα ISE (independant security evaluators) σε διάφορους οικιακούς router για γνωστές και μη επιθέσεις και καταρίπτει την λανθάνουσα αίσθηση ασφάλειας που έχουμε πολλές φορές από αυτές τις συσκευές. Δοκιμάστηκαν μάρκες όπως linksys, belkin, tp-link ,d-link, netgear και άλλες που δεν έχουν κοινοποιηθεί ακόμα. Η ομάδα επικοινώνησε και με τον εκάστοτε κατασκεύαστη ώστε να γνωστοποιήσει τα προβλήματα. Αν ο router σας δεν είναι στη λίστα δε σημαίνει οτι δεν υπάρχουν ελαττώματα και exploits στο firmware που τον καθιστούν ευάλωτο σε επιθέσεις όπως το να πάρει κάποιος τον έλεγχο απομακρυσμένα τόσο από την πλευρά του LAN αλλά και του WAN. Κάποιες τυπικές κινήσεις ασφαλείας μπορεί να σας προστατέψουν από ενδεχόμενες επιθέσεις: Aλλαγή των default username/password με κλειδιά τυχαία πχ. &([)k#{!Sv4X όπως και προεπιλεγμένων κλειδιών για ασύρματο. WPA2 αντι για WEP ή WPA. Απενεργοποίηση περιττών λειτουργιών, πολλά router έρχονται με ενεργές υπηρεσίες NAS, FTP κλπ. Απενεργοποιώντας αυτά μειώνεται τα σημεία που μπορεί να κάποιος να εκμεταλευτεί (συχνά αναφέρεται ως attack surface). Αν υπάρχει HTTPS επιλογή για διαχείρηση να χρησιμοποιείται αντι της HTTP. Το ίδιο ισχύει και για telnet, κλειστό και επιλογή ssh αν υπάρχει. Πολύ σημαντικό αν υπάρχει πρόσβαση από την μερια του WAN, αν δεν υπάρχει ανάγκη για απομακρυσμένο έλεγχο καλύτερα να απενεργοποιηθεί εντελώς. Αλλαγή από τις συνηθισμένες dhcp ρυθμίσεις τύπου 192.168.1.x σε κάτι λιγότερο διαδεδομένο όπως 172.27.45.x. Προφανώς αναβάθμιση λογισμικού αν και στο άρθρο τα router είχαν ήδη αναβαθμιστεί στο τελευταίο. Προσωπικά στο δίκτυο μου έχω ένα tp link WR1043N που υπάρχει στο άρθρο αλλά τρέχει dd-wrt, το έχω ασφαλίσει με όλα τα παραπάνω και βάλε και αναβαθμίζεται όσο συχνά γίνεται. Καλό σερφάρισμα Link to comment Share on other sites More sharing options...
YDinopoulos Απρίλιος 20, 2013 #2 Κοινοποίηση Απρίλιος 20, 2013 Εγω εχω κλεισει τα πάντα στο huawei του οτε. Η ΙΡ του ασχετη, μεταξυ lan και router υπαρχει συσκευή με pfSense και προωθημενες 2 πόρτες μονο (πανω απο το 45.000 και οι δυο) Και παλι εχω μια αίσθηση ότι δεν είμαι και ιδιαίτερα ασφαλής... Sent from my GT-N7100 using Tapatalk 2 Link to comment Share on other sites More sharing options...
chroma Απρίλιος 20, 2013 Author #3 Κοινοποίηση Απρίλιος 20, 2013 To pfsense είναι στο πρόγραμμα, δεν έχω αποφασίσει μεταξύ κάποιου mini pc ή κάτι σε τύπου alix ακόμα. Link to comment Share on other sites More sharing options...
suboy Απρίλιος 20, 2013 #4 Κοινοποίηση Απρίλιος 20, 2013 για το pfsense μένει η πλατφόρμα και σε μένα. στο 1043 ddwrt πολύ αναβάθμιση τους 2 τελευταίους μήνες. πριν 5 μέρες νέο built 21286. [MENTION=35]chroma[/MENTION] το 30/30/30 πρέπει να γίνει υποχρεωτικά; Link to comment Share on other sites More sharing options...
chroma Απρίλιος 20, 2013 Author #5 Κοινοποίηση Απρίλιος 20, 2013 [MENTION=2033]suboy[/MENTION] οχι πάντα αλλά αν δω προβλήματα το κάνω. Link to comment Share on other sites More sharing options...
GeorgeVasil Απρίλιος 20, 2013 #6 Κοινοποίηση Απρίλιος 20, 2013 Σε Raspberry Pi παίζει OK το pfsense? Link to comment Share on other sites More sharing options...
chroma Απρίλιος 20, 2013 Author #7 Κοινοποίηση Απρίλιος 20, 2013 Δεν έχει γίνει port και αν γίνει πιθανόν δε θα λέει τίποτα σε απόδοση. Έχουν γίνει διάφορα θέματα στα pfsense φόρα. Raspberry possible use with of sense Link to comment Share on other sites More sharing options...
YDinopoulos Απρίλιος 20, 2013 #8 Κοινοποίηση Απρίλιος 20, 2013 Νομιζω δεν παιζει στο μουρο λογω χαμηλης μνήμης. Εγω σε alix 2d13 το εχω κανα χρονο. Επισης μια καλη distro είναι και το ipfire... Sent from my GT-N7100 using Tapatalk 2 Link to comment Share on other sites More sharing options...
Yoshi Απρίλιος 20, 2013 #9 Κοινοποίηση Απρίλιος 20, 2013 pfsense η squid για cache box σε lan με 10 pc? Link to comment Share on other sites More sharing options...
Guest Απρίλιος 20, 2013 #10 Κοινοποίηση Απρίλιος 20, 2013 ναι ρε κουμπάρε δεν μας λένε όμως και τπτ από πληροφορίες τι setup είχαν αυτά που χτύπησαν? χτύπησαν τα default passes? γτ άμα είναι αυτό ντάξει και το ξαδερφάκι μου μπορεί να το κάνει Link to comment Share on other sites More sharing options...
chroma Απρίλιος 20, 2013 Author #11 Κοινοποίηση Απρίλιος 20, 2013 Το link δε το άνοιξες καν υποθέτω. Link to comment Share on other sites More sharing options...
TifoziF1 Απρίλιος 21, 2013 #12 Κοινοποίηση Απρίλιος 21, 2013 [φίδια mode on]Υπάρχει φθηνότερο καλύτερο με 300άρι Ν και gigabit ethernet που να παίζει καλά με χχχ-WRT από το TP-LINK WR1043ND (45Ευρώ) ? Τι θα προτείνατε ?Επίσης η φθηνότερη λύση για pfsense ποιά είναι ? Σε NAS (arm) υπάρχει add-on pfsense, ώστε πέρα από ftp/cloud/storage/media server/torrents/κτλ να κάνει και το firewall ? Ξερω ότι παίρνει squid αλλά αυτό δεν είναι μόνο caching proxy ?[φίδια mode off] Link to comment Share on other sites More sharing options...
suboy Απρίλιος 21, 2013 #13 Κοινοποίηση Απρίλιος 21, 2013 το 1043 ειναι μονόδρομος σε αυτά τα λεφτά. είναι κάπως παλιό και λίγο χαμηλά σε throughput. Ξέχωρα από το ddwrt και το μαμα fw δεν είναι άσχημο. Link to comment Share on other sites More sharing options...
TifoziF1 Απρίλιος 21, 2013 #14 Κοινοποίηση Απρίλιος 21, 2013 ok και κάτι άλλο, είναι απαραίτητο το pfsense αν υπάρχει μπροστά του xxx-wrt ? Link to comment Share on other sites More sharing options...
trendy Απρίλιος 21, 2013 #15 Κοινοποίηση Απρίλιος 21, 2013 Την ίδια δουλειά κάνουν. Εξαρτάται από σένα αν θα τα βάλεις σε σειρά για κάποιο λόγο, αλλά τυπικά δε χρειάζονται. Link to comment Share on other sites More sharing options...
TifoziF1 Απρίλιος 21, 2013 #16 Κοινοποίηση Απρίλιος 21, 2013 οκ πάω σε 1043 και το τωρινό modem/router θα γίνει χαζο-access point -> http://www.thelab.gr/internet-and-networking/adsl-modem-router-san-wifi-access-point-121959.htmlκαμιά γνώμη για αυτό ? Link to comment Share on other sites More sharing options...
Jerry007 Απρίλιος 21, 2013 #17 Κοινοποίηση Απρίλιος 21, 2013 Να πώ την αλήθεια, πέρα από ασφάλεια WPA2 και έναν δύσκολο κωδικό, δεν έχω πάρει παραπάνω μέτρα για την ασφάλεια του δικτύου.Το σπίτι είναι στην εξοχή και το ασύρματο εκπέμπει μέσα στο σπίτι (μονοκατοικία) και σε ελάχιστα σημεία μέσα στον κήπο. Δεν υπάρχουν γείτονες within range του Wifi.Ο μόνος τρόπος που μπορώ να σκεφτώ είναι η παραβίαση από έναν φιλοξενούμενο ή αν στηθεί κάποιος με το αμάξι του και ένα laptop έξω από το σπίτι.Τώρα για το διαμέρισμα είναι άλλη ιστορία... Ξέρει κανείς πως απενεργοποιείται η διαχείρηση μέσω WAN; Δεν έχω δει κάποια ρύθμιση σε όσα modem έχω δουλέψει. Link to comment Share on other sites More sharing options...
Wizard! Απρίλιος 22, 2013 #18 Κοινοποίηση Απρίλιος 22, 2013 ...Κάποιες τυπικές κινήσεις ασφαλείας μπορεί να σας προστατέψουν από ενδεχόμενες επιθέσεις:... Από τους πιό διαδεδομένους τρόπους και εύκολος: In May, 2012, it was disclosed that WiFi Protected Setup (WPS) uses an eight-digit PIN for authentication, and an attacker can determine if the first four digits of an attempted PIN are correct, without regard to the last four. Worse, as this CERT vulnerability disclosed, many home routers fail to implement any rate limiting after successive incorrect PIN attempts. Οι περισσότεροι το έχουν ανοικτό από μαμά και επειδή οι χρήστες δεν ξέρουν καν τι είναι, αφήνουν το default PIN. Για να μην αναφερθώ και σε τεχνικούς τύπου πΟΤΕ που όταν έχεις θέμα η πρώτη επιλογή τους είναι να σου πουν να κάνεις reset το router... Link to comment Share on other sites More sharing options...
trendy Απρίλιος 23, 2013 #19 Κοινοποίηση Απρίλιος 23, 2013 Με router αν πας σε vdsl αλλάζεις μόνο το modem. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.