Sikkerhedshul, SagemCom


  • Deltager
  • 4 kommentarer
På Sagemcom FAST3890_TDC_50.10.12.T0
Har jeg oprettet portward med angivelse af sourceip. Desværre ignorerer routeren souceip og forwarder porten for alle source ip'er. Det er et kæmpe problem, specielt fordi det ikke er muligt at firewall'e på den anden side af routeren. Routeren ændrer nemlig sourceip på alle pakker til routerens WAN-adresse.


9 Kommentarer

Omdømme 3
Badge
Du kan sætte din Sagencom i bridge mode, så fungerer den kun som modem, så kan du håndterer din firewall i en router bag ved din FAST3890. dette gør jeg og har så tilsluttet en router med LEDE/OpenWrt som firewall.

Du skal bare være opmærksom på, at du skal ind og aktiverer din forbindelse igen da det nu er din Router som ses af Yousee på forbindelsen.
Jeg er klar over muligheden for at skifte mode i routeren. Det kræver dog indkøb af ekstra firewall og formentlig tab af muligheden for at benytte routerens wifi.
Det vigtigste i mit opslag løser det dog ikke:
Der er tilsyneladende et sikkerhedshul i routeren fordi port forwardning ikke begrænses til de anvendte source ip'er.

Kan det passe, at yousee ignorerer det?
Omdømme 7
Badge +7
At routeren ændrer source IP til WAN adressen er blevet påpeget før, og jeg vil tro der kommer en opdatering som løser dette.
En løsning på den uhensigtmæssige ændring af source IP vil være fint - men løser jo ikke den manglende respekt for angivelsen af source ip. Derfor betragter jeg sidstnævnte som et væsentligt sikkerhedshul
Omdømme 3
Badge
For at kunne bruge en anden source IP end din WAN IP, vil det kræve at du har tilkøbt ekstra IP adresse(r), ellers vil det ikke kunne virke, og de fleste billige routere vil altid bruge wan adressen som source ip i deres NAT opsætning. Hvis man har behov for og råd til at have flere ip adresser, har man vel også råd til at købe en extra router der har de muligheder. NAT hvor source IP = WAN ip vil dække de fleste brugeres behov.
Routeren bør under ingen omstændigheder ændre i source ip i pakker den port-forwarder. Den bør bevare den "fremmede" klients sourceip. Ellers vil det jo ikke være muligt at lave nogen form for logning/firewall'ing el lign. på serveren der modtager de forwardede pakker - da alle pakker ser ud til at komme fra WAN-ip. Det virker udemærket med den fleste billige routere - i hvert fald hvis man kører openwrt eller lede på dem.

Men det andet problem jeg beskriver er noget værre: Når man har mulighed for at angive eksternal port, protocol og source-ip under port forwardning, skal routeren selvfølgelig kun forwarde de pakker, der opfylder alle 3 betingelser. Som min router opfører sig, forwarder den alle pakker der opfylder de to første betingelser, ligemeget om den sidste betingelse er opfyldt eller ej. De brugere, der ikke er klar over den fejl i routeren, har blottet deres bagvedliggende server for alle fjendtlige maskiner - og det var nok ikke hensigten, hvis de har ulejliget sig med at konfigurere port forwardning med angivelse af sourceip.
Hej

Ved YouSee, om den omtalte fejl i tråden her er rettet på Sagemcom FAST3890V3, og hvis nej, hvornår der så forventes en opdatering frigivet?

YouSee Support ved intet herom - derfor spørger jeg her i forum, i håb om, at YouSees moderatorer af forum kan tage spørgsmålet højere op i systemet. Det her er lidt teknisk - men YouSees udstyr må ikke have sådanne sikkerhedshuller. Personligt har jeg en NAS, men har ikke opsat portforwards til denne endnu. Dette gør jeg heller ikke, før end den omtalte fejl er løst af YouSee/Sagemcom.

Bemærk, at Sagemcom selv henviser til YouSee, eftersom jeres firmware er specielt modificeret til jeres routere.

Følgende firmware er installeret:
FAST3890_TDC_50.10.12.T0
---

På forhånd tak for svaret.

Mvh Anders.
Det virker ikke som om, Yousee på nogen måde tager problemet alvorligt. Min konklusion er også, at de heller ikke tager sikkerhed alvorligt. Om det skyldes inkompetance - så de ikke forstår problemet, har jeg ingen idé om.

Jeg fik allerede 24. juli - altså inden der var gået 3 måneder fra jeg rapporerede fejlen nedenstående mail.

Der er ikke noget der tyder på, at det er lykkedes mig at få en eller anden i YouSee der interesserer sig for sikkerhed til at se på sagen. Gad vide, hvor mange huller intetanende privat- og erhvervskunder har konfigureret som følge af denne fejl?

Tak, fordi du tog dig tid til at skrive til os.



Jeg har undersøgt din sag, og har fundet ud af det er noget vi ved der er et problem, men der er ikke nogen løsning på de ti vores modem i nu.



Det du skal gøre er at sætte vores i brigde mode og tilslutte eget modem det vil lige nu være den eneste løsning på problemet.



Hvis du har andre spørgsmål, er du velkommen til at kontakte mig eller mine kolleger.

Du kan enten besvare denne mail eller ringe på 70703050. Vi har åbent mandag og tirsdag 8.00 - 17.00 samt onsdag til fredag mellem kl. 8.00 og 15.00.



Jeg skal bede dig oplyse dit sagsnummer XXXXXXXXX, så kan vi finde din sag frem hurtigst muligt.



Venlig hilsen



Martin

Kundekonsulent

YouSee

Redigeret af Stefan 130818 - fjernet fuldt navn på medarbejder
Hej igen

Tak for svaret.

1. Ja, underligt, og kritisabelt, at YouSee har udstyr stående hos kunder med sikkerhedshuller, og tilsyneladende ikke tager henvendelser seriøst om fejl på indersiden af routeren - men "kun" koncentrerer sig om ydresiden - altså forbindelsen fra centralen og frem til kunden. Jeg vil da mene, at YouSee har sikkerhedsfolk ansat. Som tidligere nævnt lægger Sagemcom "bolden" over til YouSee, da routeren er modificeret med jeres egen firmware.

Derfor:
1.1. Er der en medarbejder fra YouSee, som venligst kan svare mig på, om I har sikkerhedsfolk ansat, som tager kundehenvendelser, i stil med den her i tråden seriøst, samt om der er nogen ny dato for en opdatering af firmwaren til jeres routere fra Sagemcom, så sikkerhedshullet kan lukkes???

1.2. Jeg vil også gerne have svar på, hvorfor YouSee undlader at melde noget mere officielt ud om dette sikkerhedshul til kunderne???
Der sidder altså "nørdede" kunder rundt omkring, som benytter jeres udstyr til andre formål end blot almindelig internetforbindelse fra mobiltelefonen og den bærbar computer.

1.3. I har netop udsendt Sagemcom 3890 V3 - boksen er fysisk mindre, men hvad med den installerede firmware - er denne magen til firmwaren i Version2?

2. Til tboege - er det underordnet, hvilken en anden router jeg sætter bagved YouSees Sagemcom - så længe, at routeren fra YouSee kører i bridge-tilstand, hvis jeg vil lukke sikkerhedshullet?

Jeg har en helt ny AirPort Express liggende.

Mvh Anders.

Besvar

    • :D
    • :?
    • :cool:
    • :S
    • :(
    • :@
    • :$
    • :8
    • :)
    • :P
    • ;)