Ny Router svaghed - Blackhat Proxies via NAT Injections

#0

Korrekt. UPnP bør slås fra i alle routere, da det udgør en for stor sikkerhedsrisiko. Udover UPnP, har jeg også slået SSH i routeren fuldstændigt fra. Det er alt for risikabelt, at bruge SSH udenfor LAN, især hvis man ikke lokalt har sørget for, at sætte sshd_config med PermitRootLogin NO.

I øvrigt vil jeg også slå et slag for mac-adresse blokering i routeren også. Og selvfølgelig stærke firewall-regler og stærk WPA2 WIFI adgangskode.

#1

Jeg er, vel ikke overraskende, helt enig.

For værdien af lidt yderligere information. Har man en router, hvor fx en printer og/eller medie server er tilsluttet, så kan det få konsekvenser at deaktivere UPnP i routeren.

Brugere der benytter andre løsninger i henhold til sådanne services, vil ikke opleve forringelser ved at deaktivere UPnP i routeren.

For dem der synes det er sjovt at nørde, de kan sætte en hardware Firewall op foran routeren.

Dem der synes sådan noget ikke er morsomt og har en svagelig router, de bør enten kikke efter opgraderet firmware (hvis muligt), eller mere enkelt købe en ny router, efter at have sikret sig den ikke er sårbar.

Måske er det også aktuelt at nævne, bruger man ikke trådløst WLAN (WPA2 m.f.), så deaktiver funktionen, både i routeren og i maskinernes netværkskort. Tillad mig at mene at mine naboer indenfor en radius af ca 100 meter, kan være glade for jeg ikke er ondskabsfuld. En radius der teknisk kan udvides til en kilometer med det rette trådløse hardware ...

Mere overordnet, så tjek om den eksterne IP adresse til netværket er stealth (om ondskabsfulde kan se om dit netværk, med et initialiserene masscan, eksisterer på internettet): https://www.grc.com/x/ne.dll?bh0bkyd2

Hvad er masscan? https://www.google.dk/search?q=masscan&oq=masscan&aqs=chrome..69i57j69i…

Er der andre tilsvarende scan-værktøjer? Ja, og har det interesse, så spørg for helvede ... ;)

Måske er det også aktuelt at nævne, bruger man ikke trådløst WLAN (WPA2 m.f.), så deaktiver funktionen, både i routeren og i maskinernes netværkskort. Tillad mig at mene at mine naboer indenfor en radius af ca 100 meter, kan være glade for jeg ikke er ondskabsfuld.

I tilfælde af effektiv mac-adresse blokering med whitelist, lad mig lige spørge dig:

Hvordan vil din nabo kunne koble sig på din WPA2? Selvom vedkommende skulle kende din WIFI-adgangskode, vil vedkommende slet ikke kunne koble sig på, da vedkommendes enhed ikke er på mac-adresse-listen i routerindstillingerne.

#3:
I tilfælde af effektiv mac-adresse blokering med whitelist, lad mig lige spørge dig:
Hvordan vil din nabo kunne koble sig på din WPA2?

Man kan ikke længere forbinde til andre maskiner med kun mac-adressen. Det kunne man før i tiden, men det er ikke længere muligt. Hvis du forsøger, så resulterer det i et loop til maskinen du sidder ved.

WPA2 hacking værktøjer, der tillader adgang til WLAN man ikke burde have adgang til, forudsætter brug af værktøjer, der forudsætter svagheder beskrevet i eksempelvis Kali Linux og handler primært om kontinuerlig sniffing.

Klart, jeg havde ikke tænkt på exploits. Uden exploit er det dog ikke muligt, at koble på WPA2 med mac-adresse blokering.

#5: Uden exploit er det dog ikke muligt, at koble på WPA2 med mac-adresse blokering.

Det er korrekt.

Men et exploit afhænger af sårbarheder i routerfirmwaren, der afslører lyttende daemons, såsom avahi, ssh osv. Stealth hjælper ikke noget, hvis der er sårbarheder.

Jeg kan, som jeg altid anbefaler med software, anbefale, at man har en router, der jævnligt opdateres til seneste firmware. Seneste version eliminerer kendte sårbarheder, og minimerer angrebsfladen betydeligt. Zero days kan man dog ikke gøre noget ved. Men så har man også gjort alt.

#7: Men et exploit afhænger af sårbarheder i routerfirmwaren, der afslører lyttende daemons, såsom avahi, ssh osv. Stealth hjælper ikke noget, hvis der er sårbarheder.

Der eksisterer ikke noget der kan kaldes 100% sikkerhed, kun transparent opdatering.

Hvis man ikke er tilhænger af transparens, så har man et transparent problem.

Så vil jeg sådan set skide på hvilken ideologisk (og i særdeleshed religiøs) holdning individet har. Det er kun varianter over undskyldninger for ikke at ønske licenser, og proprietær beslutningsproces, hen hvor peberet gror ...

Der eksisterer ikke noget der kan kaldes 100% sikkerhed.

Det ved vi alle. Jeg angriber problematikken fra en teknisk vinkel i forhold til, hvad man kan gøre for, at minimere problemet teknisk.

Det er kun varianter over undskyldninger for ikke at ønske licenser, og proprietær beslutningsproces, hen hvor peberet gror

Skulle vi ikke dreje det hen på pure tekniske problematikker og hvilke løsninger, der kan komme deraf? Vi er ikke uenige, men brugerne lærer mere af, at få nogle værktøjer til, at forhindre dataindbrud rent konkret.

#9:
Det ved vi alle. Jeg angriber problematikken fra en teknisk vinkel i forhold til, hvad man kan gøre for, at minimere problemet teknisk.
Det er kun varianter over undskyldninger for ikke at ønske licenser, og proprietær beslutningsproces, hen hvor peberet gror
Skulle vi ikke dreje det hen på pure tekniske problematikker og hvilke løsninger, der kan komme deraf? Vi er ikke uenige, men brugerne lærer mere af, at få nogle værktøjer til, at forhindre dataindbrud rent konkret.

Jo, hvis det er realistisk. Lad mig først mene at det er muligt at henholde sig til de rent tekniske beskrivelser, og løsninger, men også at det besværliggøres at magthavernes eneret til beslutningsprocessen.

Når folk, der ingen anelse har om konsekvenserne om deres beslutningsproces, tillader sig at forhindre reformering af samme, så sker status på deres præmisser. Det sker på godt og ondt, inklusiv manglen på ressourcer varetaget af OpenSource.

Jeg kan godt lide BSD projekterne. Det er der flere årsager til. En af dem er BSD-licensen og tanken bag gratis øl.

En anden er fokusset som er så stærkt forankret i tekniske løsninger og tankegang, indenfor sikkerhed og performance, men også skalering og pragmatik. Jeg kunne aldrig drømme om, at anfægte GPL eller FSF ideologier, men det der irriterer mig i Linuxbaserede communities, er ofte, at når samtalen går på rent tekniske problematikker, så kommer det hurtigt til, at handle om de gode og de onde, i stedet for rent pragmatisk at forholde sig til config-filer og mitigationsværktøjer, LibreSSL eller andet godt.

#11: Jeg kan godt lide BSD projekterne. Det er der flere årsager til. En af dem er BSD-licensen og tanken bag gratis øl.

Gratis øl, er godt ;)
Lidt alvorligt, så kan det ikke nytte noget at en lille folkevalgt forsamling, fortsat styrer hele befolkningen. Det er latterligt at kalde det folkestyre ..

Indtil anden beslutningsproces indføres og formentlig også efter, så er det brugernes eget ansvar at sikre deres integritet. De kan starte med at holde deres router opgraderet, eller kontrollere at deres ISP forstår at varetage deres kunders interesser.

Lidt alvorligt, så kan det ikke nytte noget at en lille folkevalgt forsamling, fortsat styrer hele befolkningen. Det er latterligt at kalde det folkestyre ..

Vi er ikke uenige, men jeg vil altså meget hellere diskutere Unix sikkerhed og routerindstillinger, end politik. Ganske vist hænger alt sammen i en større sammenhæng, men skulle vi ikke være lidt mere konkrete nu?

Inteno laver gode routere. Jeg bruger Kviknet herhjemme og har en forbindelse på 70/30. Det er udmærket. Men jeg er glad for, at de prioriterer sikkerhed så højt og opdaterer deres routere så ofte. Jeg har brugt TDC HomeBox i mange år, i mangel af bedre muligheder, og de er rent sikkerhedsmæssigt en kæmpe katastrofe, både rent indstillingsmæssigt, men også angående opdateringer og firewall.

#13:
Vi er ikke uenige, men jeg vil altså meget hellere diskutere Unix sikkerhed og routerindstillinger, end politik. Ganske vist hænger alt sammen i en større sammenhæng, men skulle vi ikke være lidt mere konkrete nu?

Det vil jeg også helst, på et forum som dette. Er der et mere konkret spørgsmål du gerne ser belyst? Min router ser ikke ud til at være berørt.

Jeg vil lidt mene at hvis ingen har noget konkret teknisk at indvende, så er der plads til mere overordnede politiske spørgsmål, der involvere årsagerne til at source code hemmeligholdes og hvorfor sådan noget ikke præventivt offentliggøres.

Jeg vil lidt mene at hvis ingen har noget konkret teknisk at indvende, så er der plads til mere overordnede politiske spørgsmål, der involvere årsagerne til at source code hemmeligholdes og hvorfor sådan noget ikke præventivt offentliggøres.

Det jeg fisker lidt efter, er, at binde det sammen med dette emne, såsom "at TDC har misbrugt routerfirmwaren openwrt, ved, ikke at gøre source code tilgængelig." Der har været en sag om brud på GPL for nylig. Jeg har desværre ingen dokumentation, men det du siger kunne godt flettes konkret sammen med, at man skal være opmærksom på udbydernes brug af openwrt + brug af GPL licenseret software i routere.

Ja og det har TDC med flere jo lov til.

Men hvem har afgjort deres beslutningsproces og noget mere alvorligt, hvor længe har beslutningstagerne ellers misligeholdt deres beføjelser?

Jeg ved naturligvis det ikke kun handler om teknik, men teknik fortsætter stigende med at influere på hvem der bestemmer.

Hvorfor skal der være kriminelle og antidemokrater, der tvinger beslutningstagerne til at offentligøre deres sourcecode? Det er squ da lidt til grin ...

Så vil jeg sådan set skide på hvilken ideologisk (og i særdeleshed religiøs) holdning individet har. Det er kun varianter over undskyldninger for ikke at ønske licenser, og proprietær beslutningsproces, hen hvor peberet gror

Men så siger du:

Hvorfor skal der være kriminelle og antidemokrater, der tvinger beslutningstagerne til at offentligøre deres sourcecode? Det er squ da lidt til grin ...

GPL, OpenSource/Free Software, som du er fortaler for, også i beslutningsproces. Det er jo licensen, der kræver transparens, som du også selv støtter. Det er det TDC har brudt.

Nu siger du at det er antidemokrater, der gennemtvinger åbning af source code.

Jeg er forvirret. Hvad mener du egentlig?

#17: Nu siger du at det er antidemokrater, der gennemtvinger åbning af source code.

Det jeg mener er at når først kriminelle beviser at vedtagne love ikke fungerer, ved at bryde dem, så får establishment travlt med, dels at ændre dem og dels at bortforklare at de ikke allerede var advaret forinden. Det tvinger dem til at indrømme de har taget fejl.

Det handler jo ikke kun om teknik. Alene den her hvidvaskningssag i banksektoren, kriminel indvandring og mange tilsvarende, vidner om at beslutningstagerne ikke aner hvem og hvad de har med at gøre ...

I henhold til IT sikkerhed, så dokumentere finanssektoren selv omfanget af netbanksindbrud. https://finansdanmark.dk/toerre-tal/institutter-filialer-ansatte/krimin…

Det er idioter der sidder på beslutningsprocessen ...

Der kan nemt gå 40 år før de her politiske halvhjerner indrømmer noget overhovedet. Det koster det det røde ud af øjnene for borgeren, der enten på den ene eller anden måde skal betale for tåbelighederne.

Mere konkret iht TDC, så har de ikke brudt regler for hvad angår OpenSource, ganske enkelt fordi TDC aldrig har erklæret sig OpenSource ...

Nu mente jeg bare, at det ikke var for smart af TDC, at benytte GPL, for så derefter, at bryde den.

Mere konkret iht TDC, så har de ikke brudt regler for hvad angår OpenSource, ganske enkelt fordi TDC aldrig har erklæret sig OpenSource ..

Øhm, når du bruger OpenWRT som routersoftware, så er du påkrævet, at gøre source code til OpenWRT tilgængelig ifølge GPL.

Javist. Der er mange lignende vildledninger, men bundlinjen er stadig at befolkningen bliver politisk røvrendt med løgnen at styreformen er folkestyre.

Version2-artikel-angående-TDC-sagen

Se her. Der står sort på hvidt, at de kvajede sig. Og det er ikke første gang, de kvajer sig. Det gør de også med deres inkompetente firma og kundeservice. Men det er en ganske anden sag.

#20:
Øhm, når du bruger OpenWRT som routersoftware, så er du påkrævet, at gøre source code til OpenWRT tilgængelig ifølge GPL.

Det har jeg ikke undersøgt nærmere, men overordnet så skal al kode, der er baseret på GPL, være offentlig tilgængelig.

Din henvisning til Version 2 i #22 er glimrende ...

Jeg forstår at TDC benytter sig af OpenSource, og ikke overholder betingelserne og også at TDC som firma, ikke er OpenSource.

Hvem taler om misbrug og vildledning af beslutningsproces og hvem laver lovene...? Lad mig blot konstatere at befolkningen er sat på et sidespor.

Hvem taler om misbrug og vildledning af beslutningsproces og hvem laver lovene...? Lad mig blot konstatere at befolkningen er sat på et sidespor.

Det er vi meget enige om.

Du har ganske enkelt ret. TDC har brudt loven ved at benytte OpenSource uden at overholde betingelserne. Det er en kriminel handling. Det tvinger dem til at indrømme fejltagelsen.

At TDC ofte benytter Sagemcom routere er nok ikke så dumt, men det er en lidt anden ting.

Det er en indrømmelse man ikke finder fra organiserede IT kriminelle, inklusiv anti-demokrater fra resten af denne, i stigende grad, overbefolkede verden.

Spørg jer selv om sådan noget er midlertidigt eller om det bliver værre ... Spørg jer selv om i overhovedet forstår hvad der er ved at ske ...

I henhold til trådemnet, hvor der er risiko for at kompromitere routeren ved bare at besøge en hjemmeside (der fx kan handle om VPN Proxy), så kan det være nødvendigt at resette routeren efterfølgende. Eventuelt med et såkaldt 30/30/30 reset.

Info i den henseende afhænger af routeren, men overordnet handler det om at firmware flashe routeren. Det er ikke ufarligt. Gør man det forkert, risikere man at rendere routeren ubrugelig. Det svarer lidt til forkert at flashe BIOS på en desktop maskine, så device ikke længere er andet end en bunke jern ...

Har nogle brug for at resette routeren, så skal man læse og kontrollere al information om routeren flere gange, før man forsøger.

Lidt initialiserende forståelse: https://www.youtube.com/watch?v=zgR7gXx0BJE

Under en mere politisk kontekst, så tillad mig at mene at Lars Løkke (inklusiv Mogens Lykketoft) er antitransparente tåber, kun overgået af Radikale Venstre, Alternativet, Liberal Alliance, SF og Enhedslisten. Socialdemokraterne forstår heller ikke hvad demokrati/populisme betyder => folkestyre/Open Source, iht beslutningsproces.

I henhold til at deaktivere yderlige funktioner i routeren, alt efter hvad den tillader, så er det muligvis en ide at forholde sig til:

Remote Config Management - der standard bør være deaktiveret
SIP ALG - der formentlig gør mere skade end gavn og du sandsynlig ikke har brug for.

Ipsec PassThrough - du kan eksperimentere med
PPTP PassThrough - du kan eksperimentere med

For mere info om emnerne, så søg eventuelt på begreberne ...