[Harmoonia]

Tegin elioni ühendusele portscanni ja selgus et port 23 on avatud, kuid mingit infot sealt läbi liigutada ei andnud.
Google andis vastuseks, et sel mingi tihe seos telnetiga, kuid rohkemate ei tea. annab keegi mingit infot miks see port vaba on ja miks selle pordi peal midagi jooksutada ei saa.
Portscanni tegin: http://www.irc-security.de/?go=onlineportscan

[lauri]

23 ongi Telneti port.

[Silver?!]

no siis on järelikult telneti teenus püsti. Muidugi võib see olla ka midagi muud mis port 23 kasutab. Vaata üle müüri seadistused. Aitaks ka kui kirjutaksid millise müüri ning millise arvutajaga on tegemist.

[Harmoonia]

Modem/ruuteriks on Zyxel Prestige 660R seal taga on 2 AP'd kus taga asuvad kliendid. kindel on see et keegi klientidest seda 23 porti ei kasuta. Modemit ise näppida ei saa kuna ühendus pandi püsti ja admin on kadunud. mis tähendab et telneti teenus on püsti?

[darcen]

Telneti kaudu käibki Zyxeli administreerimine. Endal on ühes kontoris kasutusel elioni äri internet ja Prestige 660R ruuter. Kui tahtsin NAT-i peale ümber teha siis kõne elioni...sealt mingi vend kobis telneti kaudu ruuterisse sisse ja tegi vajalikud muudatused.

[Harmoonia]

Kas seda modemit ei saagi ise confida? Kui mul vaja siis porti avada pean elioni helistama? Mis andmeid nad küsivad et muudatusi teha?

[OFFF]

[Silver?!]

Elion kasutab telneti rendiseadmete haldamiseks? USKUMATU. Oled sa selles nagu 110% kindel? Fikseeri kindlasti antud fakt kuidagimoodi( ma küll ei ole kindel kuidas ilmselt mingi legaalse online portscanneri raportist peaks piisama). Päri esimesel võimalusel Elionist aru miks nad nii teevad? Kas sama seadmega pakuvad nad ka tulemüüri vms teenust?

Samas võiks ju siin mõlgutada väikse mõtte suvalise riigi suvalisest internetiteenuse pakkujast (kõik seosed ülalpool toodud reaalsete ettevõtete jms on juhuslikud)
ISP'il on vaja tagada (suht kriitiliste) võrguseadmete haldus - kuna on aga vaja saavutada konkurentsieelis tuleb pakkuda võimalikult head teenust hästi odavalt.
Selleks pakutakse koos ühendusega ka rendi marsruuterit/müüri jne. Kuna aga sellistel klientidel kes selliseid seadmeid ise osta ei taha nii kui nii raha ei ole, siis järelikult peavad need seadmed olema odavad.
Odavate seadmetega on aga tihti ikaldus ja samuti on klientidel koguaeg igasugused soovid. Selleks on neid vaja pidevalt hallata. Odavama otsa asjadel aga SSH'd ei ole... Samas on aga telnet või veebiliides...... tehtud mõeldud.

Ega tegelikult ei olegi see ju nii väga hull......
Eeldame et neid seadmeid hallatakse ainult ISP'i managment võrkudest ning tõenäosus et keegi paketinuhiga paroolid välja nuhib on praktilisel olematu. Aga kui siiski selleks on mingi võimalus. See on alati olemas kui sellel võrgul on ühendus välja. Näiteks mingi samas segmendis programmerija teise abi kommentaaride alal arvutisse sokutatud pahalane kes vaatab mis toimub ning saadab kõik soovitavad telneti paketid kuskile soojama saarele. OK ka see ei ole väga tõenäoline sest iga korralik viirusetõrje, müür, IDS jne avastab sellise katse juba eos.

Kahjuks ei saa, mis iganes põhjustel, sulgeda ISP nende võrkude telneti porti väljapoole oma võrku. St teoreetiliselt eksisteerib võimalus et nendele seadmetele on võimalik ligi saada ükskõik kust kohast.
Selliste otsa purkidel ei ole tavaliselt mingeid täiendavaid meetmeid toore jõuga paroolimurdmise vastu...
Samuti on ka kasutajanimi suht teada. Asja teeb lihtsaks veel see et ISP ise reklaamib ka suht aktiivselt milliseid seadmeid ta pakub Ei ole ju raske helistada müügiinimestele ning teeselda huvi antud teenuse ostmise kohta ning nagu muuseas küsida et millise seadmega on tegemist. Keerulisemaks teeb jälle asja see et ega kõik need seadmed ühesugused ei ole... Kui aga piisavalt kaua tuhnida antud riigi nutu ja hala foorumites on list üsna ruttu koos.

Järgmine probleem on paroolidega. Kuna purke on päris palju, on ütleme et mingi 1000, siis ei ole eriti reaalne et kõik purgid omavad juhuslikult genereeritud piisava pikkusega parooli. See on muidugi võimalik aga siis peab eksisteerima kuskil mingi nimekiri kus need kõik ilusasti kirjas on. Kui selline nimekiri on juba olemas on seda alati võimalik saada, iseküsimus on ainult kui kallis selle saamine on.
See on kõige parem variant ning ilmselt ei peakski reaalselt ei peakski muretsema.....

Kui aga selle valdkonna adminnid on pisut laisemad olnud on nad kasutanud paroolide genereerimiseks mingit loogikat. Näiteks aadress, teenuse sisselülitamise kuupäev, kliendinumber, ühenduse installinud montööri ämma nimi või mis veel hullem teenuse tellija nimi. On asi juba pisut kurvem.

Kui adminnid on aga eriti laisad olnud ei kasutagi nad muud kui ainult mingi kogus kindlaid paroole, mis on näiteks seotud seadme või paketi nimega. See on juba päris kurjast.

Tavaliselt aga ei pööratagi sellise taseme võrguseadmete turvale nii suurt tähelepanu, sest mis siis nagu ikka on......... ega sellest otseselt midagi ei ole...... No tegelikult ikka on küll....

Nüüd võiks nagu mõelda mida peaks tegema hüpoteetiline andmevaras...
Kellelgi on põhjendatud huvi saada kätte mingit vajalikud andmed. Näiteks klientide nimekiri mingi suure hanke pakkumine, raamatupidamine jne.
Hullem veel kui tehakse seda kavatsusega midagi otseselt varastada, näiteks raha pangakontolt vms.

1- Info kogumine.
IP aadress(tavaliselt on selliste pakettide aadress staatiline). Kõige lihtsam on see siis kui firmal on avalik domain ning ta hostib oma veebi enda ühenduse tagant. Kui seda ei oleks siis saab ju alati sekretärile MSN’is keele kõrva ajada. (seal oli ju ka miski tore käsk mis teisele poolele su IP saadab või saadab ta kohaliku võrgu IP). No on ka teisi paremaid võimalusi aga see ei olegi nii tähtis......
ISP’i teada saamine ei ole ka väga suur probleem....
Rohkem infot võib saada kui helistada kõige soojemal suvepäeval, jõululaupäev, vms iganes ajal ISPi helpdeski ning öelda et ma olen nooremraamatupidaja/praktikant(hästi haledalt, jne) mul on vaja teha väga kiirelt ülekandeid aga internet ei tööta..... appi appi mis nüüd saab mind lastakse ju lahti, kõik ülemused on ka rannas/peol jne. Kui hästi läheb saab isegi teada teenuse paketi ning lõppseadme margi.
Üldiselt on see tehtav.

Kõik see oleks suht mõttetu kui meil ei oleks piisavalt lihtsat võimalust kliendi võrku pääseda.

Kuna aga ISP kasutab seadmete jaoks „odavaid“ kaughaldusvõimalusi on sellega ka see probleem lahendatud. Vaja ainult brute forcega või pisut mõtlemist kasutades saada password ning ongi asi ants.

See mis edasi saab ei olegi enam antud juhul tähtis

Kuna on täielik kontroll kliendi müüri logimiskoha jne üle ei ole eriti keeruline ka sealt oma jäljed kaotada.

Loomulikult ei ole ma ise mitte kunagi midagi sellist teinud ning ei kavatse ka teha, antud näide on lihtsalt hüpoteetiline ja üldhariv.
Samuti ei kutsu ma kedagi üles mittemingisugusele ebaseaduslikule tegevusele ning ise taunin sellist käitumist täielikult.

[darcen]

to harmoonia: nagu OFFF mainis siis rendiseadet sa üldjuhul jah ise confida ei tohiks. Sõltuvalt paketist saad ise valida millist varianti soovid, kas NAT-i või kõik pordid laiali.

PS: arvestama pead asjaoluga, et juhul kui lased NAT-i kaudu mingit porti suunata või ükskõik mis asja seal toimetada siis "raiped" kipuvad iga liigutuse eest kõvasti raha küsima.

to Silver: haldamine käib kindlasti telneti pordi kaudu. Kuna ise omasin vägagi negatiivset kogemust kus 3x üritati elioni poolt konfida ja 2x pidin seda juhendamise peale ise tegema siis sain suht hästi sotti mis ja kuidas toimub. Paroolide osa oli üldse nali omaette.. peast enam ei mäleta milline täpselt oli aga kasutati täiesti standard paroole.. a'la tehase poolt vaikimisi jäetud. Seega turvalisust sealt poolt loota ei maksa ja arvatavasti standard paketiga keegi otseselt kliendi turvalisuse peale aega ja resursse kulutama ka ei hakka. Parem variant oleks olnud kindlasti võtta avalik - kõik pordid avatud variant ja modemi sappa vastav raudvara sokutada. Endal aga käis aeg turjapeale ja seega piirdusin esialgu NAT-i ja tarkvaralise kaitsega.

[OFFF]

Paraku on k6ik see mida Silver?! kirjutab 6ige ja enamgi veel, nagu ytleks kod. Ma"nnike. Tegelikkuses on olukord justnimelt nii hull v6i veel natukene hullem. M6inikord kombineeruvad purgikonffijate "na"pukad" odavate purkide firware bugidega ja"ttes nood purgid ikka jumala lahti. Sellegipoolest palun k6iki, kellel asjaga kogemusi on - palun a"rme laskume detailidesse (nimed, mudelid, IP-vahemikud, ta"pne tehnoloogia). Muidu noored "2kkerid" hakkavadki proovima noid Elioni rendipurke maha v6tma (kardetavasti edukalt). Rendipurkide kui potentsiaalsete turva-aukude hingelust v6iks edasi arutada turvafoorums.

A.

[tahanteada]

Muide - juba vähemalt "mitukümmend aastat" esineb maailmas "kaughaldus" ja sellise paratamatusega tuleb lihtsalt harjuda ja sellega koos elada

Ise olen küll rahul, et ISP-d saavad teha kaugelt-eemalt vajalikud muudatused, mitte ei tule iga väiksema asja tagant mulle ukse taha, "Et ole nüüd hea ja lase meid seadmete ligi"

[OFFF]

[tahanteada]

OFF: Pole hullu - Elioni serverid ja süsteeme rünnatakse nagunii kogu aeg- ehk siis kontrollitakse, et kas saab kusagile ligi või mitte Ja nii on siinse võrgu ruuter ka kindlasti selle tõttu kellegi huvi orbiidis Tõsi - võrk uhab ilma igasuguste probleemideta nii 3,5 aastat - ju pole osatud (või suudetud) ligi pääseda 8)

Meenus, et kunagi oli mingil kanalil dok-film AT&T-st ja siis mingi turvaülem rääkis üsna ausalt, et "üks häkkerite rünnak järgneb teisele"

[Silver?!]

Kõike rünnatakse koguaeg. Minu kodust ühendust ründavad ka "kurjad 2kkerid" kogu aega. Aga ma olen neile asja pisut keerulisemaks teinud. Ning ega tegelikult mul kodus suurt vahet ei ole. Kõige suurem mure on see kui keegi mu pugid OWNIB ning neid muude purkide ründamiseks kasutab. Tee siis pärast ametimeestele selgeks et mina olin puu otsas kui pauk käis.

Äriklientidega on hoopis teine asi.............

Keegi võiks aga tõesti selle teeema turvafoorumisse tõsta ning ka pealkirja vastavaks muuta. Sest ega see õnnetu port 23 selles süüdi ei ole.

[OFFF]

T6stsin ringi. Muide, mul kodus 0wniti puhkuse ajal masin la"bi WordPressi xmlrpc augu a"ra. Ka"pardlikult ja roboti poolt 6nneks. Samuti oli see purk proxyva Apache taga ja muud kui veeb va"lisilma ei paistnud. Seega ei saadud asja loodetavasti ka "zombina" kasutada. Niiet - KOGU aeg kammivad. Robotid. Kui saavad siis 0wnivad ja pyyavad "omanikule" teada anda.

Kuid tulles tagasi Elioni purke juure. Mind isiklikult segab see, et eksisteerib ta"iesti arvestatav v6imalus, et keegi Kuri Inimene[tm] korjab jupphaaval kokku erinevate Elioni purke "augukesed" ja paneb paari-kolme "zombikasti" ka"ima mingi skripti, mis võtab noid purke ja"rjest maha ja kasv6i resetib konffi. Ja"rsku hakkavad inimeste ja ettev6tete yhendused massiliselt "pimedaks" minema. Suht valus laks meile k6igile. Senikaua kui vihatud E-l6vi "tuld kustutab" siis jooksev klienditeenindus enam-va"hem seisab.

A.

[Harmoonia]

Selline küsimus veel, et lasin siis elionil ühe pordi enda arvutile suunata, kuid ei saa ikkagi ühendust selle pordiga.
1. Kas on võimalik, et ei saa sellepärast ühendust, kuna modem/ruuter asub vahemikus 192.168.0.1-0.254 aga minu arvuti asub veel ühe ruuter/Ap taga mis asub vahemikus 192.168.1.1-1.254? kõik seaded peaksid õiged olema, nii arvutis, kui ka teises ruuteris.
2.Kui ma palusin pordi suunata ainult teatud sisearvuti ip peale, mis asub teises ip vahemikus, kas siis online port scanner näeb seda avatud porti? igatahes ei näita et port avatud oleks.
teab keegi midagi sellest arvata?

[airm]

Sul peab olema toimuinud kahekordne pordisuunamine.
Elion suunab sinu "ruuter/Ap" peale, sina oma "ruuter/Ap"-st suunad edasi.

Ja pordiscanner vastab siis midagi, kui keegi vastu karjub.
Vastasel juhul on kas pordid kinni või ei ela midagi vastava pordi peal.

[Harmoonia]

Proovisin sedasi ka aga ikkagi ei saa porti kätte.
Kas on võimalik nii, et ruuter/AP IP on modem/ruuteri arvates 192.168.0.5 ja wifi poolne lan on 192.168.1.1-1.254 ja modem/ruuter lihtsalt ei näe seda wifi võrku ja ei anna kuhugi seda edasi suunata?
Teab keegi kuidas WRT54g teha wifi võrku LAN'i nähtavaks? Või pole see võimalik kuna wifi asub teises ip vahemiikus?

[OFFF]

[Harmoonia]

Jätkasin lihtsalt oma alustatud teemat. Aga mis seal ikka teen siis uue.

[mega]

Lisan ka omalt poolt kogetu...
Kui kasutate Ericsson HN294dp wifi-ruuter-modemit, siis olge valmis netikatkestuseks!
Huvitav milline see fw ver. seal originaalis sees on? Eile õhtul kutsus üks klient välja, et nett otsas ja tuled sellsamusel eeru karbil kuidagi naljakalt põlevad: koos toite tulukesega süttib ka ADSL tuluke + diagnostika tuluke... Modem oli käigus olnud vaevalt nädala. Asja kontrollima ja mis ma leidsin - dhcp ei tööta ja jõuga ip arvutile pannes avaneb tavalise seadistamise lehe asemel Recovery leht, kus kirjas, et miski on rikkunud flash mälu sisu ja laadige us fw. Eeru enda fw netis ei ole (loe: ei õnnestunud leida), aga sobib ka Dynalink RTA300W (testitud, töötab) ja Siemens SANTIS 50 (pole testinud ise).
See turvaviga avastati juuli lõpu poole. Mina praeguse seisuga loen selliste modem-ruuterite müüki elioni poolt suht pahatahtlikuks (vähemalt 4.2.8.0 fw-ga, mis on OEM ver.). Kuna netis sellele uuendust ei leia, siis soovitan neil, kes selle purgi on juba soetanud, uuema fw pealelaadimist garantii koras. Kui muud üle ei jä siis mõne muu nime all oleva karbi fw, aga siis võib muidugi kaotada garantii. Kui kellelgi on huvi, võin kuhugile üles riputada Dynalink'i fw (koosneb kolmest imagest, mis tuleb õiges järjekorras purki laadida).

Siin on sellest turvaaugust juttu:
http://www.securenetwork.it/advisories/

Jaksu!

[indrpo]

ma sooviksin kogu selle pika jutu peale, et uppuja päästmine on uppuja enda asi nö. turvalisuse eest oma arvutites ja võrgus peab ikka selle omanik ise hoolitsema, see, et Elioni rendiseadmetel on telnet lahti on siiski vajalik kliendi enda heaoluks, rikke lahendamine võib teinekord kokku hoida päris pika aja ning seda default paroolide asja ma kohe mitte ei usu, ise paigaldan neid, ning paroolid on piisavalt head, kui keegi ka kogemata selle peale panemata unustas, siis soovitan sellel kliendil, kes selle avastas kasvõi omalt poolt sinna parool peale panna.

[Silver?!]

[Dirty Harry]

Kui sa võtad Elionilt näiteks vkontori/äriinterneti puhul rendiseadme siis pannakse sulle "must kast", mille hinge-elusse sa ei pea süvenema. Vastupidi, kui ma ei eksi, siis on lausa lepingus kirjas, et see purk on Elioni oma, nemad konfivad selle ära, panevad parooli peale ja kui on vaja midagi ära muuta siis teevad seda nemad mitte sina. Iga sinupoolset häkkimist, "parooli peale panemist" jms võidakse tõlgendada lepingu rikkumisena. Kui tahad ise seda purki adminida siis palun väga - osta välja või pane enda oma. Aga kui rendid siis hoia näpud eemale.

[indrpo]