Vlákno názorů k článku CSIRT varuje před útoky na Ubiquiti jednotky. Virus kosí Wi-Fi sítě v Česku od ludva - Za prvé se za profíka nepovažuji ... a...
-
Za prvé se za profíka nepovažuji ... a za druhé nejde ani tak o mě, jako spíš o cestující techniky, kteří (co si budeme nalhávat ...) jsou líní a pokud něco není na jeden klik, tak řvou.
Nemluvě o těch historických souvislostech, kde se nikomu prostě síť předělávat nechce.
A ač nejsem profík, tak moje síť nelehla. Ač jednu nákazu měla a upgradovali jsme asi 700 zařízení.
-
fd (neregistrovaný)
Nezbyva nez konstatovat, ze jste vazne "profik". Ono totiz se prihlasit na stanici urcenou pro management je strasny problem ... staci k tomu totiz streba ssh, ze. A funguje to zcela odkudkoli, pricemz zaroven pri pouziti klicu i velice bezpecne.
Striktne oddeleny managemnet bych pak ocekaval prave proto, ze velmi casto ani nelze udrzovat aktualni firmware. A to se tyka zcela vseobecne vsech zarizeni, vcetne cisco. Pomerne bezne totiz novy firmware rozbiji pouzivanou funcionalitu.
Naopak, s tim ze zabezpeceni managementu je derave se pocita vzdy a vsude.
-
M. (neregistrovaný)
Vím, že staré firmwary a VLANy jsou neslučitelné pojmy.
Nicméně jde ta ochrana dělat i jinak, než jen oddělením vysloveně do VLAN.
Např mám model, že UBQT jsou jen rádiové bridge a mezi nima jsou drátové routery na Mikrotikách, na routerech nejblíže k zákazníkům je firewall, který nedovolí na prvky sítě nic jiného, než ping. Pokud jdu někam a hrozí, že budu potřebovat lézti přímo, tak si na daném routeru firewall předem deaktivuji (ať už z kanclu nebo se do kanclu spojím odkudkoliv VPNkou, klidně od zákazníka přes jeho linku nebo mobilní připojení, a z ní pak se se dostanu kam potřebuji). Těch technik je vícero. Ale uznávám, že vše je o trochu práce navíc.
Zrovna chyba, že může selhat ověření beru u low costu už za standard.Že bych to měl nějak řešit říká obecně i ZoEK v části bezpečnost a integrita veřejných komunikačních sítí. Ale je pravda, že ČTU nevydal nikdy příslušný minimální standard (aka síťový plán), takže to je o obecné rovině, ale i tak může na neštastníky poštvat bezpečnostní audit za peníze daného neštastníka. Vím, každý na to kašle, stejně jako asi ani nedodrží, že při větším výpadku z důvodů jak je to popsáno mám povinnost informovat ČTU (ale asi si opět ještě nestihl vydat vyhlášku o tom jak a v jakém rozsahu, takže bude mít smolík). V tomhle směur zanou časem kopat kolem sebe až NKCB, až se zacvičí a získají na sebedůvěře, zatím se spíše plaše rozhlíželi a uili, ale začínají už vystrkovat růžky, tak uvidíme, kdy to přeztaví do legaslativy...
-
A teď si do toho zahrň, že staré firmwary vůbec neumožňovaly vlany ... nemáš to jak oddělit naprosto vůbec. No a spousta míst tak prostě zůstala. Proč se hrabat v něčem, co funguje.
Já to, že to není od věci nepopírám ... Jen tvrdím, že je to takový opruz i z hlediska prostého používání, že se to moc nedělá. Není to jen o tom, že se tam rozumně nedostanu od klienta, ale ani z jiných míst. V korporátu je možná definovaná kultura, kanceláře, VPNky ... ale v našem malém prostředí člověk sedí prostě pokaždé jinde, u jiných počítačů, atp. Ve výsledku tak často potřebuje přístup "z blízka", že by si za přeomezenou VLAN prostě nakopal.
Takže se s tím musí žít ... Obejití autentifikace managementu je prostě fail, co nesmí vzniknout už u výrobce. S tím se nepočítá. -
M. (neregistrovaný)
Nu, oddělovat management koncových domácích routerů od internetového provozu u normálních wifistů bych nečekal (tam po zkušenostech spíše čekám, že domácí router má otevřen management na WAN a bez hesla nebo s default heslem, je přece za NATem) a ani nedělal (pomíjím chytřejší krabičky s TR-069 na samostatné VLANě a podobné, což je spíše až doména DOCSIS/FTTH sítí).
Ale mít oddělenou vlastní infrastrukturu od zákazníků není od věci a pokud by to tak bylo, tak sice napadnou koncové routery doma, pokud jsou na veřejkách (nebo za NAT1:1), ale nepadne mi na tom moje infrastruktura.
Jistě, ta používaná technika od Mikrotiku nebo UBQT s tímto modelem moc nepočítá a dosáhnout uspokojivě toho stavu je slušná pruda... -
Ano, to máš pravdu ... definovat management síť je otrava, jen to obtěžuje a často člověk ani neví, že mu to nefunguje jen proto, že tam prostě nemá přístup. Není to úplně správné, ale je to prostě tak.
Oddělit management u koncáků v těch případech ani jednoduše nejde. Nejde tam totiž naklikat firewall na input ... musí se to scriptovat. A VLAN je pro koncového uživatele nemožné použít. A pro technika následně také, neskutečné otravování s něčím, co by to umělo a mohl se tam připojit.
No a pak stačí, aby bylo na síti stovky potenciálně nakazitelných zařízení a o zábavu je postaráno, když stačí jedno jediné s veřejnou IP.
-
M. (neregistrovaný)
Upřimně řečeno, myslím, že naprostá většina menších wifi ISP neprovozuje nic na styl oddělené management sítě od uživatelského provozu (vycházím ze zkušenosit z řady sítí, do kterých vidím). Ono je to pohodlné, že přijdu k zákazníkovi a dostanu se na jakýkoliv svůj prvek snadno a poladím napřímo co potřebuji...
A pak na takový útok stačí, aby měl koncový zákazník doma router na AirOS s veřejkou na WAN portu (např AirRouter) s neblokovaným přístupem zvenčí na porty 80/443 a už jde tato krabička zvenku infikovat, pokud má správný firmware, pak už naskenuje tento AirRouter zvnitřku infrastrukturu a napadne....
Takže ve "výhodě" u tohoto červa jsou "pseudoISP", co nemají veřejné IPv4 adresy, aby je dávali koncovým zákazníkům. :-)
