Jump to content



Οικιακοί routers ευάλωτοι σε επιθέσεις


chroma

Recommended Posts

Δημοσιεύτηκε

Hacking and Rooting SOHO Home Routers

Δοκιμή έκανε η ομάδα ISE (independant security evaluators) σε διάφορους οικιακούς router για γνωστές και μη επιθέσεις και καταρίπτει την λανθάνουσα αίσθηση ασφάλειας που έχουμε πολλές φορές από αυτές τις συσκευές. Δοκιμάστηκαν μάρκες όπως linksys, belkin, tp-link ,d-link, netgear και άλλες που δεν έχουν κοινοποιηθεί ακόμα. Η ομάδα επικοινώνησε και με τον εκάστοτε κατασκεύαστη ώστε να γνωστοποιήσει τα προβλήματα.

Αν ο router σας δεν είναι στη λίστα δε σημαίνει οτι δεν υπάρχουν ελαττώματα και exploits στο firmware που τον καθιστούν ευάλωτο σε επιθέσεις όπως το να πάρει κάποιος τον έλεγχο απομακρυσμένα τόσο από την πλευρά του LAN αλλά και του WAN.

Κάποιες τυπικές κινήσεις ασφαλείας μπορεί να σας προστατέψουν από ενδεχόμενες επιθέσεις:

Aλλαγή των default username/password με κλειδιά τυχαία πχ. &([)k#{!Sv4X όπως και προεπιλεγμένων κλειδιών για ασύρματο. WPA2 αντι για WEP ή WPA.

Απενεργοποίηση περιττών λειτουργιών, πολλά router έρχονται με ενεργές υπηρεσίες NAS, FTP κλπ. Απενεργοποιώντας αυτά μειώνεται τα σημεία που μπορεί να κάποιος να εκμεταλευτεί (συχνά αναφέρεται ως attack surface).

Αν υπάρχει HTTPS επιλογή για διαχείρηση να χρησιμοποιείται αντι της HTTP. Το ίδιο ισχύει και για telnet, κλειστό και επιλογή ssh αν υπάρχει. Πολύ σημαντικό αν υπάρχει πρόσβαση από την μερια του WAN, αν δεν υπάρχει ανάγκη για απομακρυσμένο έλεγχο καλύτερα να απενεργοποιηθεί εντελώς.

Αλλαγή από τις συνηθισμένες dhcp ρυθμίσεις τύπου 192.168.1.x σε κάτι λιγότερο διαδεδομένο όπως 172.27.45.x.

Προφανώς αναβάθμιση λογισμικού αν και στο άρθρο τα router είχαν ήδη αναβαθμιστεί στο τελευταίο.

Προσωπικά στο δίκτυο μου έχω ένα tp link WR1043N που υπάρχει στο άρθρο αλλά τρέχει dd-wrt, το έχω ασφαλίσει με όλα τα παραπάνω και βάλε και αναβαθμίζεται όσο συχνά γίνεται.

Καλό σερφάρισμα :)

Εγω εχω κλεισει τα πάντα στο huawei του οτε. Η ΙΡ του ασχετη, μεταξυ lan και router υπαρχει συσκευή με pfSense και προωθημενες 2 πόρτες μονο (πανω απο το 45.000 και οι δυο)

Και παλι εχω μια αίσθηση ότι δεν είμαι και ιδιαίτερα ασφαλής...

Sent from my GT-N7100 using Tapatalk 2

To pfsense είναι στο πρόγραμμα, δεν έχω αποφασίσει μεταξύ κάποιου mini pc ή κάτι σε τύπου alix ακόμα.

για το pfsense μένει η πλατφόρμα και σε μένα. στο 1043 ddwrt πολύ αναβάθμιση τους 2 τελευταίους μήνες. πριν 5 μέρες νέο built 21286.

[MENTION=35]chroma[/MENTION] το 30/30/30 πρέπει να γίνει υποχρεωτικά;

Νομιζω δεν παιζει στο μουρο λογω χαμηλης μνήμης.

Εγω σε alix 2d13 το εχω κανα χρονο.

Επισης μια καλη distro είναι και το ipfire...

Sent from my GT-N7100 using Tapatalk 2

ναι ρε κουμπάρε δεν μας λένε όμως και τπτ από πληροφορίες

τι setup είχαν αυτά που χτύπησαν?

χτύπησαν τα default passes?

γτ άμα είναι αυτό ντάξει

και το ξαδερφάκι μου μπορεί να το κάνει :rofl:

[φίδια mode on]

Υπάρχει φθηνότερο καλύτερο με 300άρι Ν και gigabit ethernet που να παίζει καλά με χχχ-WRT από το TP-LINK WR1043ND (45Ευρώ) ? Τι θα προτείνατε ?

Επίσης η φθηνότερη λύση για pfsense ποιά είναι ? Σε NAS (arm) υπάρχει add-on pfsense, ώστε πέρα από ftp/cloud/storage/media server/torrents/κτλ να κάνει και το firewall ? Ξερω ότι παίρνει squid αλλά αυτό δεν είναι μόνο caching proxy ?

[φίδια mode off]

το 1043 ειναι μονόδρομος σε αυτά τα λεφτά. είναι κάπως παλιό και λίγο χαμηλά σε throughput. Ξέχωρα από το ddwrt και το μαμα fw δεν είναι άσχημο.

Την ίδια δουλειά κάνουν. Εξαρτάται από σένα αν θα τα βάλεις σε σειρά για κάποιο λόγο, αλλά τυπικά δε χρειάζονται.

Να πώ την αλήθεια, πέρα από ασφάλεια WPA2 και έναν δύσκολο κωδικό, δεν έχω πάρει παραπάνω μέτρα για την ασφάλεια του δικτύου.

Το σπίτι είναι στην εξοχή και το ασύρματο εκπέμπει μέσα στο σπίτι (μονοκατοικία) και σε ελάχιστα σημεία μέσα στον κήπο. Δεν υπάρχουν γείτονες within range του Wifi.

Ο μόνος τρόπος που μπορώ να σκεφτώ είναι η παραβίαση από έναν φιλοξενούμενο ή αν στηθεί κάποιος με το αμάξι του και ένα laptop έξω από το σπίτι.

Τώρα για το διαμέρισμα είναι άλλη ιστορία...

Ξέρει κανείς πως απενεργοποιείται η διαχείρηση μέσω WAN; Δεν έχω δει κάποια ρύθμιση σε όσα modem έχω δουλέψει.

...Κάποιες τυπικές κινήσεις ασφαλείας μπορεί να σας προστατέψουν από ενδεχόμενες επιθέσεις:...

Από τους πιό διαδεδομένους τρόπους και εύκολος:

In May, 2012, it was disclosed that WiFi Protected Setup (WPS) uses an eight-digit PIN for authentication, and an attacker can determine if the first four digits of an attempted PIN are correct, without regard to the last four. Worse, as this CERT vulnerability disclosed, many home routers fail to implement any rate limiting after successive incorrect PIN attempts.

Οι περισσότεροι το έχουν ανοικτό από μαμά και επειδή οι χρήστες δεν ξέρουν καν τι είναι, αφήνουν το default PIN. Για να μην αναφερθώ και σε τεχνικούς τύπου πΟΤΕ που όταν έχεις θέμα η πρώτη επιλογή τους είναι να σου πουν να κάνεις reset το router... :whip:

Archived

This topic is now archived and is closed to further replies.

×
×
  • Δημιουργία...

Important Information

Ο ιστότοπος theLab.gr χρησιμοποιεί cookies για να διασφαλίσει την καλύτερη εμπειρία σας κατά την περιήγηση. Μπορείτε να προσαρμόσετε τις ρυθμίσεις των cookies σας , διαφορετικά θα υποθέσουμε ότι είστε εντάξει για να συνεχίσετε.