Pages:
Author

Topic: Безопасность - роутер - page 2. (Read 17225 times)

sr. member
Activity: 550
Merit: 272
Любопытный способ проникновения из "роутерной" тематики:

Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений безопасности от Microsoft обе уязвимости были устранены.

«Подобные уязвимости эксплуатируются следующим образом. Злоумышленник настраивает на своем компьютере DHCP-сервер, который будет отвечать на запросы сетевой конфигурации умышленно поврежденными пакетами, — поясняет эксперт Positive Technologies Михаил Цветков. — В некоторых сетях атаковать можно с мобильного телефона или планшета. Далее злоумышленнику требуется дождаться момента, когда уязвимый компьютер на базе Windows 10 запросит обновление аренды IP-адреса (что происходит обычно раз в пару часов), и отправить нелегитимный ответ, позволяющий получить права анонимного пользователя на компьютере жертвы».

Подробнее: https://www.securitylab.ru/news/498445.php


Для взломаного роутера можно было на самом роутере ставить "полхой" DHCP-сервер, либо настраивать DHCP Relay для получения сетевых параметров от внешнего DHCP-сервера.

Любителям пользовать Win XP через виртуалку через общий LAN тоже можно так проблем доставить.

Обещают, что саму уязвимость в ОС закрыли.
sr. member
Activity: 550
Merit: 272
February 10, 2019, 08:21:18 PM
https://www.grc.com/x/ne.dll?bh0bkyd2

По данной ссылке можно проверить состояние портов, провести тест Universal Plug n'Play (UPnP) Internet Exposure Test. Сайт на английском, но понять можно что к чему.

Также на главной странице можно почитать интересную информацию по безопасности веб-сёрфинга (английский) https://www.grc.com/default.htm
member
Activity: 188
Merit: 67
December 04, 2018, 01:37:13 AM
...Исследователи пишут, что преступники эксплуатируют технику UPnProxy...

Когда-то у меня был роутер, в инструкции к которому прямо было написано, что службу Universal Plug and Play (UPnP) в роутере следует отключить (если точнее не включать, в том роутере она по умолчанию была выключена с завода), т. к. стандарт сырой, дырявый и ненужный. Поэтому смело выключайте, разницы никакой и безопасней без неё.
Здесь наверное лучше дополнить - службы выключить, а те приложения которые уже прописаны прописать вручную.
Например тот же скайп, торрент и т.д - опять же отфильтруете ненужные приложения которые смотрят в инет.
full member
Activity: 256
Merit: 102
December 03, 2018, 10:38:40 PM
...Исследователи пишут, что преступники эксплуатируют технику UPnProxy...

Когда-то у меня был роутер, в инструкции к которому прямо было написано, что службу Universal Plug and Play (UPnP) в роутере следует отключить (если точнее не включать, в том роутере она по умолчанию была выключена с завода), т. к. стандарт сырой, дырявый и ненужный. Поэтому смело выключайте, разницы никакой и безопасней без неё.
hero member
Activity: 952
Merit: 518
December 03, 2018, 01:26:37 AM
Хакеры открывают SMB-порты роутеров, чтобы использовать против них эксплоиты АНБ

Специалисты компании Akamai предупредили о новой вредоносной кампании EternalSilence, направленной на массовую компрометацию роутеров. Злоумышленники целенаправленно открывают SMB-порты роутеров, чтобы добраться до устройств, расположенных за ними.

Исследователи пишут, что преступники эксплуатируют технику UPnProxy, о которой впервые стало известно в апреле 2018 года. Данный метод подразумевает эксплуатацию уязвимых UPnP-сервисов и последующую модификацию таблиц NAT (Network Address Translation). Так атакующие создают кастомые правила, позволяющие, например, обращаться к публичному IP-адресу роутера по определенному порту, чтобы затем произошла автоматическая переадресация на другой IP-адрес и порт.

Но если в апреле UPnProxy применялась для проксирования трафика, то теперь эксперты Akamai обнаружили новый вариант применения этой техники. Теперь атакующие модифицируют таблицы NAT таким образом, чтобы иметь возможность извне подключиться к SMB портам (139, 445) и устройствам, расположенным за роутером.

По подсчетам исследователей, перед подобными атаками уязвимы порядка 277 000 роутеров, и 45 113 из них уже подверглись компрометации. Так, один атакующий или одна и та же хак-группа внесли в NAT пострадавших устройств запись «galleta silenciosa». Специалисты считают, что взлом такого количество роутеров привел к компрометации множества других устройств за ними, и оценивают число пострадавших девайсов примерно в 1,7 млн.

Что именно злоумышленники делают с пострадавшими устройствами далее, не совсем ясно, однако специалисты убеждены, что дальнейшая вредоносная активность связана с использованием знаменитого эксплоита EternalBlue. Напомню, что данный эксплоит был похищен у АНБ и после опубликован в свободном доступе, а его работа направлена на эксплуатацию уязвимости в протоколе SMB. В частности, он использовался для распространения шифровальщика WannaCry в мае 2017 года, а также в ходе атак малвари NotPetya.

Более того, аналитики Akamai считают, что в данной вредоносной кампании задействован также и эксплоит EternalRed – это вариация EternalBlue, предназначенная для заражения Linux-систем и работающая с Samba.

Quote
«Главной целью здесь являются не таргетированные атаки. Это попытка выгодно использовать уже проверенные и готовые к работе эксплоиты, закидывание большой сети в сравнительно маленький водоем, в надежде, что удастся собрать пул из ранее недоступных девайсов»
, — резюмируют исследователи.

Источник: https://xakep.ru/2018/11/29/eternalsilence/
newbie
Activity: 12
Merit: 0
September 26, 2018, 02:14:45 PM
Вам это не поможет, со своей машины вообще нельзя ничего делать
member
Activity: 188
Merit: 67
September 26, 2018, 02:03:20 PM
Чуть обновлю ветку - много полезной информации про настройку, проверку и действующие днс сервера можно почитать здесь
https://www.bootdev.ru/2018/04/DNS-Server-list.html
Есть скрины должно быть понятно.
full member
Activity: 644
Merit: 145
При покупке в магазине смотреть, чтобы коробка была запечатанной, без следов вскрытия.

Но это уже перебор. Может еще и продавца проверить, что он не сотрудник спец служб.
Ровно как и так трепетно относиться к обновлению прошивки. Качайте ее с официального сайта и на этом все.

Меры, которые описаны в постах (ссылки ниже) легко применимы и даже избыточны, но их использование не только оберегает от взлома, но и воспитывает в Вас привычку заботиться о безопасности
https://bitcointalksearch.org/topic/m.30241748
https://bitcointalksearch.org/topic/m.30819504
newbie
Activity: 69
Merit: 0
При условии прямых рук, конечно можно всё настроить должным образом
member
Activity: 188
Merit: 67
Тут точной информации никто не предоставит

А что насчет перспективы сделать собственный роутер? Не пробовали?
По настраиваемости-то вариант, пожалуй, даже Микротику не переплюнуть. Самое то должно быть для совсем уж параноиков.
Можно и самому реализовать микротик на старом ПК (какой нибудь Пень 3 пойдет),скачиваем Microtik RouterOS,записываем ну скажем так на что нибудь (флэшка, диск,жесткий небольшого обьема) и вперед, инструкции по настройке и как поломать лицензию в инете есть.
Если хочется полного тоталь с извращениями тогда Pfsense - подробнее тут https://habr.com/post/257787/
full member
Activity: 364
Merit: 100
nu i huli
На самом деле это только один из многих взломов, о которых мы даже еще не знаем. В любом случае, даже после таких процедур, мошенники не будут спать и будут думать как дальше продолжать обкрадывать народ.
full member
Activity: 331
Merit: 100
Спасибо автору за тему,кому то будет полезно наперед знать,что и как.Свой роутер прошивал и настраивал сам нО!подключать  в телефонном режиме провайдер отказались Huhсекретная информация! приехали порты при мне свои прописали и все)))я думал денег возьмут,Нет! ) зачем сии выезды были!?
hero member
Activity: 504
Merit: 732
Тут точной информации никто не предоставит

А что насчет перспективы сделать собственный роутер? Не пробовали?
По настраиваемости-то вариант, пожалуй, даже Микротику не переплюнуть. Самое то должно быть для совсем уж параноиков.
hero member
Activity: 952
Merit: 518
При покупке в магазине смотреть, чтобы коробка была запечатанной, без следов вскрытия.
member
Activity: 188
Merit: 67
Тут точной информации никто не предоставит.
Если по порядку
1 Микротик - многофункциональный роутер который позволяет работать далеко не с одним и даже не парой днс, можно скриптом настроить проверку адреса сайта от разных днс, расширенные функции в плане безопасности, файрволл можно настроить вплоть до параноидальной реакции.Аналогично можно подключить 2 провайдера и работать с 2мя днсами провайдера с проброской к внешним днс сервисам и жесткой привязкой маршрута.Также можно вывести рабочий пк в отдельную подсеть.
Минус - сложность настройки.
2 Cisco - основной упор делают на бесперебойность работы, также позволяет реализовать отдельный влан.
Минусы - зачастую бюджетные модели режут скорость и в плане безопасности нужно самостоятельно следить за обновлениями ПО
3 Linksys - подразделение Cisco для домашнего пользования, особых отличий от обыкновенных роутеров незамеченно.
4 Zyxel - Давно зарекомендовавший себя производитель, в большинстве вланить умеет только гостевую сеть беспроводных устройств, безопасный интернет реализовывает через днс яндекса ( дальше я думаю можно нерассказывать), в плане взлома аналогичен тп-линку.

hero member
Activity: 2142
Merit: 758
NO WAR ! Glory to Ukraine !
Ну увидят ресурсы мной посещаемые, неприятно но не кретично. Каким образом подмена DNS открывает доступ к настройкам роутера?
Для взлома моего Wi-Fi хакеру придется приехать на адрес моего места жительства, не много сложновато ехать куда-то ради неизвестно чего. Не находите? Я кстати Wi-Fi не использую, у меня провод.
провайдер видит ресурсы, где вы сидите. Преступник это узнает и приезжает с утюгом.

Для повернутых на безопасности есть способ обойтись совсем без DNS. Способ довольно неудобный и подходит только для ограниченного списка важных сайтов типа MEW, биржи, банки и т.д. Открываем в windows файл hosts и для нужного домена прописываем его ip. Теперь при открытия данного сайта не будет делаться запрос к DNS-серверу, а сразу откроется указанный ip-адрес. В качестве бонуса вы получите чуточку более быструю загрузку.
Сложность в том, что у крупных популярных сайтов обычно множество ip-адресов, а в hosts можно прописать только один. Даже если у сайта только один ip, он может со временем измениться. Поэтому если сайт не загрузится, придется выяснять актуальные ip для этого домена и снова править hosts файл.
Можете разъяснить почему Др.Веб постоянно на этот файл ругается?
А способ занятный. Реально для тех у кого куча бабла и паранойи.
инсталяторы краденных прог прописывают туда нулевые айпи по адресам обновления/проверки лицензии для этих прог. По сути это вмешательство, с прописывание ложных айпи.
поэтому заходите и проверяйте глазками, там все понятно.
(данная информация не является руководством к действию и предоставлена только в ознакомительных целях, лично я категорически осуждаю установку нелицензионного краденного ПО)

мое мнение - лучше использовать ДНС не от Гугла, а ОпенДНС, которым владеет Циско.
https://ru.wikipedia.org/wiki/OpenDNS)
или от Комодо
https://ru.wikipedia.org/wiki/Comodo#Comodo_Secure_DNS[32]
и точно не от Яндекса.

P.S. народ, есть ли рейтинг роутеров по безопасности ?
на ру-источниках находил такой список: MikroTik, Linksys и Zyxel.
Может кто владеет инфой.
И верно ли я понимаю, что сейчас следует избегать моделей, на которые можно ставить софт ?
member
Activity: 188
Merit: 67
Как вариант можно еще себя обезопасить прошив роутер альтернативной прошивкой dd-wrt или opewnwrt
Почитать с чем его едят здесь
https://ru.wikipedia.org/wiki/DD-WRT
https://ru.wikipedia.org/wiki/OpenWrt

Прошивки брать здесь
https://openwrt.org/
и здесь  https://dd-wrt.com/


legendary
Activity: 2044
Merit: 1231
В современные роутеры имеют функцию автообновления.

Что то я так подумал и... чёрт его знает, как оно там обновляется, по шифрованному каналу или по открытому. И чем лучше админ (на сервере) техника? Лучше подписаться на новости или проверять периодически. И ставить вручную.
sr. member
Activity: 550
Merit: 272
Конкретный пример:

Похоже на воровство куки

Стащил чего-то?

Только почту почитал

Дело в том, что настройки такие, что пароля нет. Вход через ЯндексКлюч. Т. е. это не кража пароля. Свежая ось. Лицензия. Прог мало. Роутер нормальный. Читает почту. Бабло не крадёт Smiley

Роутер таки не нормальный. Контрольные суммы файла прошивки на роутере и на сайте производителя отличаются, хотя должны быть одинаковы:

https://www.virustotal.com/#/file/8b536a5d26be21d472038a7e2e6992e5d817d1d40fe65209e0db5a1953a86dbf/detection

https://www.virustotal.com/#/file/dd8adb9c2811c3405ec81649d36c110058168deb02c0e020e01bc125418ef57e/detection

То то я вспомнил, что одно время он автообновляться никак не хотел, хотя новая версия была.

sr. member
Activity: 550
Merit: 272
Обновление первого поста (выделено красным):

Для тех, кому лень много читать сразу напишу, что в основном необходимо следить за двумя вещами в роутере, через который подключаетесь к Интернету:
  • в настройке DNS не должно стоять левой херни;
  • должно быть обеспечено, чтобы никто не мог прописать херню в настройке DNS;
  • желательно, чтобы файл прошивки роутера был такой же, как файл прошивки на сайте производителя (проверять по контрольным суммам).

По-поводу прошивки - могут загрузить левую, при этом настройки в веб-конфигураторе будут правильными, но перехват траффика будет происходить.

Pages:
Jump to: