@SuLX2 авг 2018 в 16:57

По следам взлома tp-link

4 мин

34K

Сетевое оборудование

Из песочницы

+23

Комментарии 29

@ooptimum 2 авг 2018 в 17:14

Неужели доступ к порту 80/tcp на wan-интерфейсе открыт по умолчанию? Сколько ни встречал домашних маршрутизаторов (не так уж много на самом деле) — у всех его нужно было включать вручную, т.к. все порты на wan-интерфейсе обычно закрыты файрволом. Если так уж нужно управлять снаружи, vpn нет, то может хотя бы повесить сервис на нестандартный порт с номером где-нибудь в районе 50000 или это невозможно в данной модели?

При настройке любого подобного устройства я исхожу из концепции, что оно уже скомпрометировано, просто я об этом еще не знаю. Поэтому никаких по умолчанию открытых портов на внешних интерфейсах оставлять нельзя, тем более в диапазоне 0-1024.

@Demon_i 2 авг 2018 в 18:10

Да нет, просто кто-то криворукий открыл дверь и положил ключи под коврик, а виноват тп-линк.

@ranzhe 3 авг 2018 в 00:48

Я согласен с тем, что открывать веб-интерфейс управления наружу для всех — не самая хорошая идея, вот только «дверь» была закрыта, а ключи под коврик положил производитель двери.

@dartraiden 2 авг 2018 в 21:05

Поэтому никаких по умолчанию открытых портов на внешних интерфейсах оставлять нельзя, тем более в диапазоне 0-1024.

Чем вдруг плох SSH на стандартном порту с авторизацией по ключу? Параноики могут ещё разложить грабли типа port knocking (главное, чтобы на них наступал злоумышленник, а не сам владелец).

@JerleShannara 3 авг 2018 в 01:38

Тем, что в таких роутерах зачастую крутится не openssh, а другие реализации, которые порой имеют дыры. Ну а простукивание по портам — в soho железках это кажись редкость, если вообще есть(mikrotik не рассматриваем).

@SuLX 3 авг 2018 в 08:41

В исходниках прошивки есть dropbear, но в интерфейсе роутера нигде ssh не включить.

@Tufed 9 авг 2018 в 09:48

Я тоже так думал, пока не открыл security.log своего маршрутизатора. Теперь задумался и в целях исключить хотя бы паразитный траффик ограничил доступ к SSH из вне фильтром файрвола по IP. так спокойнее.

НЛО прилетело и опубликовало эту надпись здесь

@ooptimum 3 авг 2018 в 20:36

Еще бы настройки файрвола посмотреть, чтобы ответить на этот вопрос. Почти наверняка там доступ извне все же закрыт. Сервис-то может ожидать соединения отовсюду, да кто же ему даст.

@SuLX 3 авг 2018 в 06:47

Вы абсолютно правы — по умолчанию веб-доступ с WAN закрыт. И да, действительно, на данных моделях можно и порт сменить, и разрешенный хост прописать. Правда только один (либо все). Вообще, у тп-линка самая негибкая настройка удаленного доступа которая мне известна.

Я отвечу вам так: данное устройство абсолютно не подходит (из коробки), если вы хотите доступ на роутер из разных мест и, желательно, максимально просто — без запоминания на каком порту это вот всё, например.

@JustLuckyGuy 3 авг 2018 в 09:39

А зачем нужен доступ на роутер из разных мест? Всегда считал, что единственно верное решение в таких случаях — vpn, это не так?

@AmoN 3 авг 2018 в 08:33

Не понимаю, что плохого в открытом 80-м порту, особенно если еще можно сменить и сам номер порта. Проблема ведь в другом, что какой бы у тебя пароль не стоял, злоумышленник может получить доступ и это проблема именно кривой прошивки производителя.

@ooptimum 3 авг 2018 в 20:45

Вы же сами себе ответили на свой вопрос — проблема не в самом порту как таковом, а в том, что устройство может быть уязвимым, а вы об этом можете не знать, в отличие от злоумышленников и их ботов, которые как раз и ожидают найти этот сервис на стандартном порту. Как раз этот сценарий и описан в данной статье. Сменил порт на нестандартный и тем самым уже отсек ботов. Впрочем, Вы это и сами понимаете, раз уж написали: «если еще можно сменить и сам номер порта».

@zcross 2 авг 2018 в 17:25

К сожалению, в коде ничего не понимаю, но читается статья как детектив. Спасибо.

@Krylaty 2 авг 2018 в 19:09

давно советую tp-link т.к. это дешево, просто в настройке и относительно надежно, но похоже надо продвигать зиксели и асусы. там хоть есть автоапдейт прошивки.

@Dvlbug 2 авг 2018 в 19:21

Archer C60 (AC1350) сбрасываются настройки (купили их 100 штук), техподдержка не помогла. За месяц использования таких случаев было около 20

@Krylaty 2 авг 2018 в 19:34

печально. сначала слились д-линки, теперь это. из просто и наджно не ясно что выбрать. склоняюсь к зикселям. функционал на две головы выше, стоимость нормальная.

@Dvlbug 2 авг 2018 в 19:44

Ну у Archer AC1200 (вроде как C50) все нормально, возможно у C60 какая-то специфичная бага. Но мы не готовы вот взять купить их еще раз, в надежде что они поправили ошибку.
Ну зиксели надежные, спору нет. С другой стороны, у них кнопка управления WiFi находится на верху корпуса. Абоненты часто думая, что это кнопка питания нажимают на нее и остаются без беспроводной сети (это про Lite III и подобных

@INSTE 3 авг 2018 в 13:03

В настройках можно отключить реакцию на эту кнопку, равно как и повесить на нее любое другое действие. Не перенастраивается только кнопка сброса.

@dartraiden 2 авг 2018 в 21:16

стоимость нормальная

Стоимость конская. Keenetic Giga — 7490 руб.
Весьма похожий по железу Xiaomi 3G (ну да, нет SFP и второго USB, да портов поменьше), который спокойно прошивается OpenWrt — 2500 руб.

@N0Good 2 авг 2018 в 23:41

Сравнили, простите, тёплое с мягким… Это не только разный ценовой сегмент, но и разный сегмент пользователей. Giga — считай флагман. Не спорю — стоимость у зухелей завышена, но поддержка и обновления ПО этого, всё же, стоят. У меня сейчас первая ультра — и на последней бете — она, за малым, кофе не варит. Причём поддерживается репозиторий пакетов не хуже, чем у openWRT, да и, при желании, туда даже дебиан второй системой ставится (ну почти полноценный, справедливости ради, он в chroot).

@roscomtheend 9 авг 2018 в 11:05

> да портов поменьше

Меньше 4+1? Тогда точно смысла нет.

PS. прочитал 2+1. Однозначно не имеет смысла. Жаль что в бытовых не бывает хотя бы 6. А вот модем наоборот, не нужен.

@lokkiuni 3 авг 2018 в 08:05

Не хотите ли вы поговорить немного о ~~боге~~ микротике? :)

@ooptimum 3 авг 2018 в 20:52

Тоже не без греха они. Статистика по уязвимостям у данного вендора. Хотя из дешевых я сам предпочитаю именно микротики.

@DaemonGloom 6 авг 2018 в 03:03

А вы при этом смотрели статистику прочих? Тот же TP-Link (https://www.cvedetails.com/vendor/11936/Tp-link.html) просто ужасен, например. Как и Asus. Как и Cisco. Статистика Микротика там — одна из лучших.

@rt3879439 2 авг 2018 в 20:18

Хорошо когда можно перешить роутер в wrt. Даже когда на родной прошивке тплинк ужасно глючит, в wrt проблем не наблюдается.

@TheBasta 3 авг 2018 в 05:52

Надо продвигать модели, на которые ставится OpenWRT, среди TP-Link'ов таких достаточно.

@computerix 3 авг 2018 в 05:52

Как-то давно встречался вирус, который попав в систему пробовал подключится к маршрутизатору путем перебора стандартных пар логин-пароль. Если ему это удавалось, он подменял dns и на всех устройствах сети при доступе к интернету происходила попытка скачивания этого же вируса. И спустя какое-то время на всех зараженных устройствах запускался блокировщик экрана.

@VaKonS 4 авг 2018 в 11:21

Доброго здоровья, SuLX, извините, можно ли перезалить скрины на другой хостинг?

Похоже, что picshare.ru на данный момент доступен лишь в Германии, и то только из 2 точек.

www.host-tracker.com/ru/InstantCheck/3/0c04943a-d397-e811-bce5-0003ff7328cc

Зарегистрируйтесь на Хабре, чтобы оставить комментарий