Комментарии 29
Неужели доступ к порту 80/tcp на wan-интерфейсе открыт по умолчанию? Сколько ни встречал домашних маршрутизаторов (не так уж много на самом деле) — у всех его нужно было включать вручную, т.к. все порты на wan-интерфейсе обычно закрыты файрволом. Если так уж нужно управлять снаружи, vpn нет, то может хотя бы повесить сервис на нестандартный порт с номером где-нибудь в районе 50000 или это невозможно в данной модели?
При настройке любого подобного устройства я исхожу из концепции, что оно уже скомпрометировано, просто я об этом еще не знаю. Поэтому никаких по умолчанию открытых портов на внешних интерфейсах оставлять нельзя, тем более в диапазоне 0-1024.
При настройке любого подобного устройства я исхожу из концепции, что оно уже скомпрометировано, просто я об этом еще не знаю. Поэтому никаких по умолчанию открытых портов на внешних интерфейсах оставлять нельзя, тем более в диапазоне 0-1024.
Да нет, просто кто-то криворукий открыл дверь и положил ключи под коврик, а виноват тп-линк.
Поэтому никаких по умолчанию открытых портов на внешних интерфейсах оставлять нельзя, тем более в диапазоне 0-1024.Чем вдруг плох SSH на стандартном порту с авторизацией по ключу? Параноики могут ещё разложить грабли типа port knocking (главное, чтобы на них наступал злоумышленник, а не сам владелец).
Тем, что в таких роутерах зачастую крутится не openssh, а другие реализации, которые порой имеют дыры. Ну а простукивание по портам — в soho железках это кажись редкость, если вообще есть(mikrotik не рассматриваем).
Я тоже так думал, пока не открыл security.log своего маршрутизатора. Теперь задумался и в целях исключить хотя бы паразитный траффик ограничил доступ к SSH из вне фильтром файрвола по IP. так спокойнее.
НЛО прилетело и опубликовало эту надпись здесь
Вы абсолютно правы — по умолчанию веб-доступ с WAN закрыт. И да, действительно, на данных моделях можно и порт сменить, и разрешенный хост прописать. Правда только один (либо все). Вообще, у тп-линка самая негибкая настройка удаленного доступа которая мне известна.
Я отвечу вам так: данное устройство абсолютно не подходит (из коробки), если вы хотите доступ на роутер из разных мест и, желательно, максимально просто — без запоминания на каком порту это вот всё, например.
Я отвечу вам так: данное устройство абсолютно не подходит (из коробки), если вы хотите доступ на роутер из разных мест и, желательно, максимально просто — без запоминания на каком порту это вот всё, например.
Не понимаю, что плохого в открытом 80-м порту, особенно если еще можно сменить и сам номер порта. Проблема ведь в другом, что какой бы у тебя пароль не стоял, злоумышленник может получить доступ и это проблема именно кривой прошивки производителя.
Вы же сами себе ответили на свой вопрос — проблема не в самом порту как таковом, а в том, что устройство может быть уязвимым, а вы об этом можете не знать, в отличие от злоумышленников и их ботов, которые как раз и ожидают найти этот сервис на стандартном порту. Как раз этот сценарий и описан в данной статье. Сменил порт на нестандартный и тем самым уже отсек ботов. Впрочем, Вы это и сами понимаете, раз уж написали: «если еще можно сменить и сам номер порта».
К сожалению, в коде ничего не понимаю, но читается статья как детектив. Спасибо.
давно советую tp-link т.к. это дешево, просто в настройке и относительно надежно, но похоже надо продвигать зиксели и асусы. там хоть есть автоапдейт прошивки.
Archer C60 (AC1350) сбрасываются настройки (купили их 100 штук), техподдержка не помогла. За месяц использования таких случаев было около 20
печально. сначала слились д-линки, теперь это. из просто и наджно не ясно что выбрать. склоняюсь к зикселям. функционал на две головы выше, стоимость нормальная.
Ну у Archer AC1200 (вроде как C50) все нормально, возможно у C60 какая-то специфичная бага. Но мы не готовы вот взять купить их еще раз, в надежде что они поправили ошибку.
Ну зиксели надежные, спору нет. С другой стороны, у них кнопка управления WiFi находится на верху корпуса. Абоненты часто думая, что это кнопка питания нажимают на нее и остаются без беспроводной сети (это про Lite III и подобных
Ну зиксели надежные, спору нет. С другой стороны, у них кнопка управления WiFi находится на верху корпуса. Абоненты часто думая, что это кнопка питания нажимают на нее и остаются без беспроводной сети (это про Lite III и подобных
стоимость нормальнаяСтоимость конская. Keenetic Giga — 7490 руб.
Весьма похожий по железу Xiaomi 3G (ну да, нет SFP и второго USB, да портов поменьше), который спокойно прошивается OpenWrt — 2500 руб.
Сравнили, простите, тёплое с мягким… Это не только разный ценовой сегмент, но и разный сегмент пользователей. Giga — считай флагман. Не спорю — стоимость у зухелей завышена, но поддержка и обновления ПО этого, всё же, стоят. У меня сейчас первая ультра — и на последней бете — она, за малым, кофе не варит. Причём поддерживается репозиторий пакетов не хуже, чем у openWRT, да и, при желании, туда даже дебиан второй системой ставится (ну почти полноценный, справедливости ради, он в chroot).
> да портов поменьше
Меньше 4+1? Тогда точно смысла нет.
PS. прочитал 2+1. Однозначно не имеет смысла. Жаль что в бытовых не бывает хотя бы 6. А вот модем наоборот, не нужен.
Меньше 4+1? Тогда точно смысла нет.
PS. прочитал 2+1. Однозначно не имеет смысла. Жаль что в бытовых не бывает хотя бы 6. А вот модем наоборот, не нужен.
Не хотите ли вы поговорить немного о боге микротике? :)
Тоже не без греха они. Статистика по уязвимостям у данного вендора. Хотя из дешевых я сам предпочитаю именно микротики.
А вы при этом смотрели статистику прочих? Тот же TP-Link (https://www.cvedetails.com/vendor/11936/Tp-link.html) просто ужасен, например. Как и Asus. Как и Cisco. Статистика Микротика там — одна из лучших.
Хорошо когда можно перешить роутер в wrt. Даже когда на родной прошивке тплинк ужасно глючит, в wrt проблем не наблюдается.
Надо продвигать модели, на которые ставится OpenWRT, среди TP-Link'ов таких достаточно.
Как-то давно встречался вирус, который попав в систему пробовал подключится к маршрутизатору путем перебора стандартных пар логин-пароль. Если ему это удавалось, он подменял dns и на всех устройствах сети при доступе к интернету происходила попытка скачивания этого же вируса. И спустя какое-то время на всех зараженных устройствах запускался блокировщик экрана.
Доброго здоровья, SuLX, извините, можно ли перезалить скрины на другой хостинг?
Похоже, что picshare.ru на данный момент доступен лишь в Германии, и то только из 2 точек.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
По следам взлома tp-link