SuLX Aug 2 2018 at 19:57

По следам взлома tp-link

4 min

28K

Network hardware

From sandbox

+26

Comments 29

ooptimum Aug 2 2018 at 20:14

Неужели доступ к порту 80/tcp на wan-интерфейсе открыт по умолчанию? Сколько ни встречал домашних маршрутизаторов (не так уж много на самом деле) — у всех его нужно было включать вручную, т.к. все порты на wan-интерфейсе обычно закрыты файрволом. Если так уж нужно управлять снаружи, vpn нет, то может хотя бы повесить сервис на нестандартный порт с номером где-нибудь в районе 50000 или это невозможно в данной модели?

При настройке любого подобного устройства я исхожу из концепции, что оно уже скомпрометировано, просто я об этом еще не знаю. Поэтому никаких по умолчанию открытых портов на внешних интерфейсах оставлять нельзя, тем более в диапазоне 0-1024.

Demon_i Aug 2 2018 at 21:10

Да нет, просто кто-то криворукий открыл дверь и положил ключи под коврик, а виноват тп-линк.

-3

ranzhe Aug 3 2018 at 03:48

Я согласен с тем, что открывать веб-интерфейс управления наружу для всех — не самая хорошая идея, вот только «дверь» была закрыта, а ключи под коврик положил производитель двери.

dartraiden Aug 3 2018 at 00:05

Поэтому никаких по умолчанию открытых портов на внешних интерфейсах оставлять нельзя, тем более в диапазоне 0-1024.

Чем вдруг плох SSH на стандартном порту с авторизацией по ключу? Параноики могут ещё разложить грабли типа port knocking (главное, чтобы на них наступал злоумышленник, а не сам владелец).

JerleShannara Aug 3 2018 at 04:38

Тем, что в таких роутерах зачастую крутится не openssh, а другие реализации, которые порой имеют дыры. Ну а простукивание по портам — в soho железках это кажись редкость, если вообще есть(mikrotik не рассматриваем).

SuLX Aug 3 2018 at 11:41

В исходниках прошивки есть dropbear, но в интерфейсе роутера нигде ssh не включить.

Tufed Aug 9 2018 at 12:48

Я тоже так думал, пока не открыл security.log своего маршрутизатора. Теперь задумался и в целях исключить хотя бы паразитный траффик ограничил доступ к SSH из вне фильтром файрвола по IP. так спокойнее.

UFO just landed and posted this here

ooptimum Aug 3 2018 at 23:36

Еще бы настройки файрвола посмотреть, чтобы ответить на этот вопрос. Почти наверняка там доступ извне все же закрыт. Сервис-то может ожидать соединения отовсюду, да кто же ему даст.

SuLX Aug 3 2018 at 09:47

Вы абсолютно правы — по умолчанию веб-доступ с WAN закрыт. И да, действительно, на данных моделях можно и порт сменить, и разрешенный хост прописать. Правда только один (либо все). Вообще, у тп-линка самая негибкая настройка удаленного доступа которая мне известна.

Я отвечу вам так: данное устройство абсолютно не подходит (из коробки), если вы хотите доступ на роутер из разных мест и, желательно, максимально просто — без запоминания на каком порту это вот всё, например.

JustLuckyGuy Aug 3 2018 at 12:39

А зачем нужен доступ на роутер из разных мест? Всегда считал, что единственно верное решение в таких случаях — vpn, это не так?

AmoN Aug 3 2018 at 11:33

Не понимаю, что плохого в открытом 80-м порту, особенно если еще можно сменить и сам номер порта. Проблема ведь в другом, что какой бы у тебя пароль не стоял, злоумышленник может получить доступ и это проблема именно кривой прошивки производителя.

ooptimum Aug 3 2018 at 23:45

Вы же сами себе ответили на свой вопрос — проблема не в самом порту как таковом, а в том, что устройство может быть уязвимым, а вы об этом можете не знать, в отличие от злоумышленников и их ботов, которые как раз и ожидают найти этот сервис на стандартном порту. Как раз этот сценарий и описан в данной статье. Сменил порт на нестандартный и тем самым уже отсек ботов. Впрочем, Вы это и сами понимаете, раз уж написали: «если еще можно сменить и сам номер порта».

zcross Aug 2 2018 at 20:25

К сожалению, в коде ничего не понимаю, но читается статья как детектив. Спасибо.

Krylaty Aug 2 2018 at 22:09

давно советую tp-link т.к. это дешево, просто в настройке и относительно надежно, но похоже надо продвигать зиксели и асусы. там хоть есть автоапдейт прошивки.

Dvlbug Aug 2 2018 at 22:21

Archer C60 (AC1350) сбрасываются настройки (купили их 100 штук), техподдержка не помогла. За месяц использования таких случаев было около 20

Krylaty Aug 2 2018 at 22:34

печально. сначала слились д-линки, теперь это. из просто и наджно не ясно что выбрать. склоняюсь к зикселям. функционал на две головы выше, стоимость нормальная.

Dvlbug Aug 2 2018 at 22:44

Ну у Archer AC1200 (вроде как C50) все нормально, возможно у C60 какая-то специфичная бага. Но мы не готовы вот взять купить их еще раз, в надежде что они поправили ошибку.
Ну зиксели надежные, спору нет. С другой стороны, у них кнопка управления WiFi находится на верху корпуса. Абоненты часто думая, что это кнопка питания нажимают на нее и остаются без беспроводной сети (это про Lite III и подобных

INSTE Aug 3 2018 at 16:03

В настройках можно отключить реакцию на эту кнопку, равно как и повесить на нее любое другое действие. Не перенастраивается только кнопка сброса.

dartraiden Aug 3 2018 at 00:16

стоимость нормальная

Стоимость конская. Keenetic Giga — 7490 руб.
Весьма похожий по железу Xiaomi 3G (ну да, нет SFP и второго USB, да портов поменьше), который спокойно прошивается OpenWrt — 2500 руб.

N0Good Aug 3 2018 at 02:41

Сравнили, простите, тёплое с мягким… Это не только разный ценовой сегмент, но и разный сегмент пользователей. Giga — считай флагман. Не спорю — стоимость у зухелей завышена, но поддержка и обновления ПО этого, всё же, стоят. У меня сейчас первая ультра — и на последней бете — она, за малым, кофе не варит. Причём поддерживается репозиторий пакетов не хуже, чем у openWRT, да и, при желании, туда даже дебиан второй системой ставится (ну почти полноценный, справедливости ради, он в chroot).

roscomtheend Aug 9 2018 at 14:05

> да портов поменьше

Меньше 4+1? Тогда точно смысла нет.

PS. прочитал 2+1. Однозначно не имеет смысла. Жаль что в бытовых не бывает хотя бы 6. А вот модем наоборот, не нужен.

lokkiuni Aug 3 2018 at 11:05

Не хотите ли вы поговорить немного о ~~боге~~ микротике? :)

ooptimum Aug 3 2018 at 23:52

Тоже не без греха они. Статистика по уязвимостям у данного вендора. Хотя из дешевых я сам предпочитаю именно микротики.

DaemonGloom Aug 6 2018 at 06:03

А вы при этом смотрели статистику прочих? Тот же TP-Link (https://www.cvedetails.com/vendor/11936/Tp-link.html) просто ужасен, например. Как и Asus. Как и Cisco. Статистика Микротика там — одна из лучших.

rt3879439 Aug 2 2018 at 23:18

Хорошо когда можно перешить роутер в wrt. Даже когда на родной прошивке тплинк ужасно глючит, в wrt проблем не наблюдается.

TheBasta Aug 3 2018 at 08:52

Надо продвигать модели, на которые ставится OpenWRT, среди TP-Link'ов таких достаточно.

computerix Aug 3 2018 at 08:52

Как-то давно встречался вирус, который попав в систему пробовал подключится к маршрутизатору путем перебора стандартных пар логин-пароль. Если ему это удавалось, он подменял dns и на всех устройствах сети при доступе к интернету происходила попытка скачивания этого же вируса. И спустя какое-то время на всех зараженных устройствах запускался блокировщик экрана.

VaKonS Aug 4 2018 at 14:21

Доброго здоровья, SuLX, извините, можно ли перезалить скрины на другой хостинг?

Похоже, что picshare.ru на данный момент доступен лишь в Германии, и то только из 2 точек.

www.host-tracker.com/ru/InstantCheck/3/0c04943a-d397-e811-bce5-0003ff7328cc

Only those users with full accounts are able to leave comments. Log in, please.