Sikkerhedshul, SagemCom


På Sagemcom FAST3890_TDC_50.10.12.T0
Har jeg oprettet portward med angivelse af sourceip. Desværre ignorerer routeren souceip og forwarder porten for alle source ip'er. Det er et kæmpe problem, specielt fordi det ikke er muligt at firewall'e på den anden side af routeren. Routeren ændrer nemlig sourceip på alle pakker til routerens WAN-adresse.


22 Kommentarer

Omdømme 3
Badge
Du kan sætte din Sagencom i bridge mode, så fungerer den kun som modem, så kan du håndterer din firewall i en router bag ved din FAST3890. dette gør jeg og har så tilsluttet en router med LEDE/OpenWrt som firewall.

Du skal bare være opmærksom på, at du skal ind og aktiverer din forbindelse igen da det nu er din Router som ses af Yousee på forbindelsen.
Jeg er klar over muligheden for at skifte mode i routeren. Det kræver dog indkøb af ekstra firewall og formentlig tab af muligheden for at benytte routerens wifi.
Det vigtigste i mit opslag løser det dog ikke:
Der er tilsyneladende et sikkerhedshul i routeren fordi port forwardning ikke begrænses til de anvendte source ip'er.

Kan det passe, at yousee ignorerer det?
Omdømme 7
Badge +7
At routeren ændrer source IP til WAN adressen er blevet påpeget før, og jeg vil tro der kommer en opdatering som løser dette.
En løsning på den uhensigtmæssige ændring af source IP vil være fint - men løser jo ikke den manglende respekt for angivelsen af source ip. Derfor betragter jeg sidstnævnte som et væsentligt sikkerhedshul
Omdømme 3
Badge
For at kunne bruge en anden source IP end din WAN IP, vil det kræve at du har tilkøbt ekstra IP adresse(r), ellers vil det ikke kunne virke, og de fleste billige routere vil altid bruge wan adressen som source ip i deres NAT opsætning. Hvis man har behov for og råd til at have flere ip adresser, har man vel også råd til at købe en extra router der har de muligheder. NAT hvor source IP = WAN ip vil dække de fleste brugeres behov.
Routeren bør under ingen omstændigheder ændre i source ip i pakker den port-forwarder. Den bør bevare den "fremmede" klients sourceip. Ellers vil det jo ikke være muligt at lave nogen form for logning/firewall'ing el lign. på serveren der modtager de forwardede pakker - da alle pakker ser ud til at komme fra WAN-ip. Det virker udemærket med den fleste billige routere - i hvert fald hvis man kører openwrt eller lede på dem.

Men det andet problem jeg beskriver er noget værre: Når man har mulighed for at angive eksternal port, protocol og source-ip under port forwardning, skal routeren selvfølgelig kun forwarde de pakker, der opfylder alle 3 betingelser. Som min router opfører sig, forwarder den alle pakker der opfylder de to første betingelser, ligemeget om den sidste betingelse er opfyldt eller ej. De brugere, der ikke er klar over den fejl i routeren, har blottet deres bagvedliggende server for alle fjendtlige maskiner - og det var nok ikke hensigten, hvis de har ulejliget sig med at konfigurere port forwardning med angivelse af sourceip.
Omdømme 1
Hej

Ved YouSee, om den omtalte fejl i tråden her er rettet på Sagemcom FAST3890V3, og hvis nej, hvornår der så forventes en opdatering frigivet?

YouSee Support ved intet herom - derfor spørger jeg her i forum, i håb om, at YouSees moderatorer af forum kan tage spørgsmålet højere op i systemet. Det her er lidt teknisk - men YouSees udstyr må ikke have sådanne sikkerhedshuller. Personligt har jeg en NAS, men har ikke opsat portforwards til denne endnu. Dette gør jeg heller ikke, før end den omtalte fejl er løst af YouSee/Sagemcom.

Bemærk, at Sagemcom selv henviser til YouSee, eftersom jeres firmware er specielt modificeret til jeres routere.

Følgende firmware er installeret:
FAST3890_TDC_50.10.12.T0
---

På forhånd tak for svaret.

Mvh Anders.
Det virker ikke som om, Yousee på nogen måde tager problemet alvorligt. Min konklusion er også, at de heller ikke tager sikkerhed alvorligt. Om det skyldes inkompetance - så de ikke forstår problemet, har jeg ingen idé om.

Jeg fik allerede 24. juli - altså inden der var gået 3 måneder fra jeg rapporerede fejlen nedenstående mail.

Der er ikke noget der tyder på, at det er lykkedes mig at få en eller anden i YouSee der interesserer sig for sikkerhed til at se på sagen. Gad vide, hvor mange huller intetanende privat- og erhvervskunder har konfigureret som følge af denne fejl?

Tak, fordi du tog dig tid til at skrive til os.



Jeg har undersøgt din sag, og har fundet ud af det er noget vi ved der er et problem, men der er ikke nogen løsning på de ti vores modem i nu.



Det du skal gøre er at sætte vores i brigde mode og tilslutte eget modem det vil lige nu være den eneste løsning på problemet.



Hvis du har andre spørgsmål, er du velkommen til at kontakte mig eller mine kolleger.

Du kan enten besvare denne mail eller ringe på 70703050. Vi har åbent mandag og tirsdag 8.00 - 17.00 samt onsdag til fredag mellem kl. 8.00 og 15.00.



Jeg skal bede dig oplyse dit sagsnummer XXXXXXXXX, så kan vi finde din sag frem hurtigst muligt.



Venlig hilsen



Martin

Kundekonsulent

YouSee

Redigeret af Stefan 130818 - fjernet fuldt navn på medarbejder
Omdømme 1
Hej igen

Tak for svaret.

1. Ja, underligt, og kritisabelt, at YouSee har udstyr stående hos kunder med sikkerhedshuller, og tilsyneladende ikke tager henvendelser seriøst om fejl på indersiden af routeren - men "kun" koncentrerer sig om ydresiden - altså forbindelsen fra centralen og frem til kunden. Jeg vil da mene, at YouSee har sikkerhedsfolk ansat. Som tidligere nævnt lægger Sagemcom "bolden" over til YouSee, da routeren er modificeret med jeres egen firmware.

Derfor:
1.1. Er der en medarbejder fra YouSee, som venligst kan svare mig på, om I har sikkerhedsfolk ansat, som tager kundehenvendelser, i stil med den her i tråden seriøst, samt om der er nogen ny dato for en opdatering af firmwaren til jeres routere fra Sagemcom, så sikkerhedshullet kan lukkes???

1.2. Jeg vil også gerne have svar på, hvorfor YouSee undlader at melde noget mere officielt ud om dette sikkerhedshul til kunderne???
Der sidder altså "nørdede" kunder rundt omkring, som benytter jeres udstyr til andre formål end blot almindelig internetforbindelse fra mobiltelefonen og den bærbar computer.

1.3. I har netop udsendt Sagemcom 3890 V3 - boksen er fysisk mindre, men hvad med den installerede firmware - er denne magen til firmwaren i Version2?

2. Til tboege - er det underordnet, hvilken en anden router jeg sætter bagved YouSees Sagemcom - så længe, at routeren fra YouSee kører i bridge-tilstand, hvis jeg vil lukke sikkerhedshullet?

Jeg har en helt ny AirPort Express liggende.

Mvh Anders.
Til Anders - ang. pkt 2.
Hvis du sætter routeren i bridge mode, vil din egen router få en ip direkte på "det store" internet, og der vil være adgang til ydersiden på routeren uden nogen begrænsninger (som jeg er bekendt med). Så det er dit ansvar at sørge for, at din egen router er i sikkerhedsmæssig forsvarlig stand - eller i hvert fald ikke ringere end YouSee's. Derudover skal routeren understøtte NAT, da du formentlig kun har en offentlig ip. Det ser ud til, at AirPort Express undersøtter NAT.
En lille opdatering på sagen. Nedenfor dagens mailudveksling med YouSee:

"Tak for din henvendelse til YouSee vedrørende source ip problematik ved portforwarding.

Jeg kan godt forstå, at du bekymrer dig omkring den beskrevne problemstilling, omkring portforwarding problematik. Jeg kan bekræfte, at YouSee også bekymre sig omkring denne. YouSee arbejder for tiden på en løsning af problemet.

I forbindelse med at jeg skriver denne mail har jeg kontaktet relevante personer hos YouSee for at hører om der findes en dato på, hvornår en opdatering af modemmet findes. I skrivende stund findes en sådan dato ikke.



Venlig hilsen

Ronni "

Mit svar:
Det aktuelle problem har jeg jo selv opdaget og taget forholdsregler imod. Det er bekymrer mig, er at Yousee tilsyneladende ikke foretager sig noget (hurtigt), selvom I kender problemet og må formode, at andre af jeres kunder i god tro har konfigureret port forwardning fra en specifik ip, uden at have opdaget at de derved har åbnet for hele internettet til de specifikke porte.

Det mindste I burde gøre var at advare de pågældende kunder.

Den væsentligste bekymring for min egen del er, at jeg må formode, at I sagtens kan være flere måneder om at rette store sikkerhedsbrist, og at jeg ikke skal forvente at blive advaret i mellemtiden.

Jeg er fortsat i tvivl om, hvorvidt Yousee har forstået alvoren i denne sikkerhedsbrist.


mvh"
Omdømme 7
Badge +3
Jeg har lavet et par forsøg, hvor det ganske som tidligere beskrevet i denne tråd, viste sig at selv om source IP var udfyldt med en adresse, der burde gælde som filter, så var der adgang udefra med en enhed, der havde en helt anden ekstern IP-adresse. Der blev brugt en iPad med wi-fi frakoblet, således at den kun var på det mobile 4G-netværk. Den fik adgang uden videre, men burde jo være blokeret.

Der synes også at være problemer med routerens firewallindstillinger. Der mangler valgmulighed til at slå firewall fra eller til, så det vides ikke om den er slået til. Men er den slået til skulle indgående IP-trafik være blokeret undtagen hvis der er opsat filter for tilladt IP-trafik. Man kan indtaste en værdi for tilladt IP-trafik, men dette ignoreres, da trafik fra anden ekstern IP-adresse får adgang. Dette problem synes nært beslægtet med den manglende sikkerhed for portforwarding.

Firewallfilteret for udgående IP-trafik synes at virke, så man kan blokere for en enheds adgang til internet.

Firewallfilteret for MAC-adresser er temmelig uklart, da man ikke hverken kan se eller vælge mellem indgående eller udgående trafik, eller mellem tilladt eller blokeret.

Hvis man har lavet en portforward er sikkerheden fuldstændig afhængig af den sikkerhed, der er installeret på den enhed, der forwardes til. Har enheden ingen adgangskontrol har alle internetbrugere i hele verden uhindret adgang til det, som den pågældende port giver adgang til.
Omdømme 7
Badge +3
Har fundet ud af at der kan forekomme IP-spoofing, således at source-IP kan være falsk. Det betyder at man ikke kan basere sikkerheden ved portforwarding alene på source-IP, selv om YouSee skulle få filterfunktionen til at virke, medmindre routeren kan verificere ægtheden af den pågældende source-IP (tvivlsomt om dette kan gøres).

Altså er det sandsynligvis nødvendigt at have en sikkerhedsanordning i den enhed, der portforwardes til, afhængig af hvad der gives adgang til gennem pågældende port. Se mere på wikipedia.org (brug den engelske version), søg på “spoofing”.
Omdømme 1
Hej

1. Til tboege, tak for svaret angående egen router bagved YouSees router fra Sagemcom.

2. Kan vi på nogen måde presse YouSee til at tage sådanne sikkerhedshuller/mangler i routerne, her i blandt firewall-konfigurationen mere seriøst?

Jeg ved ikke om det hjælper at dele dette indlæg på YouSees egen Facebook-side. Måske informationen kommer ud til flere end her på forumet - blot et gæt. Jeg undrer mig over, at YouSee ikke selv kommenterer i tråden her (er klar over dette forum primært er beregnet til, at brugere kan hjælpe hinanden) - men YouSee var vel nogle administratorer, der kan formidle informationen højere op?

Mvh Anders.
Omdømme 7
Badge +3
Bemærk denne vejledning (med lille skrift og på engelsk) øverst på den side i routeren, hvor portforward sættes op:

Virtual Server allows you to direct incoming traffic from WAN side (identified by Protocol and External port) to the Internal server with private IP address on the LAN side.

Der står jo faktisk, at der identificeres på protokol og ekstern port, men IKKE source-IP, som jo ignoreres.

Da der kan forekomme IP-spoofing og dermed falsk source-IP, vil filtrering efter source-IP ikke kunne være en sikker måde at holde hackere ude.
Til Anders: Det er da et forsøg værd, at nævne det på Yousees facebookside. Der må da sidde nogle kompetente mennesker med ansvar et eller andet sted i YouSee - og hvis vi kan hjælpe dem med at gøre deres arbejde er det vel godt.

Et par dage efter telefonsamtale med en kundembassadør - der så vidt jeg kunne vurdere var helt uden teknisk indsigt, men som formentlig havde diplomatiske evner, modtog jeg d. 30. august nedenstående mail.

Jeg har bedt om at blive orienteret, når hulllet er lukket så jeg kan benytte port forwardning uden hullet, men det kan jeg ikke få oplyst.

Det er nærmest (tragisk-) komisk, når Ronnie skriver: "YouSee ønsker ikke den brede befolknings kendskab til problemet". Det er svært at forstå, hvad de mener med det, når problemet fremgår på deres eget forum.



I forlængelse af vores telefonsamtale 22. august 2018 sender jeg her et svar omkring den kommende opdatering af dit modems firmware.

Jeg kan bekræfte, at den kommende opdatering lukker problemet omkring port forwarding. Firmware ligger fortsat i test og derfor kan jeg i skrivende stund ikke oplyse en dato for, hvornår den bliver udrullet til alle.

YouSee ønsker ikke den brede befolknings kendskab til problemet. Derfor vil der ikke blive oplyst om problemet på YouSee's hjemmeside.

Venlig hilsen



Ronni xxx
Omdømme 6
Badge +7
Hej Alle

Vi har samarbejdet med Sagem om at få lukket sikkerhedshullet. De har udviklet og leveret en ny firmware til de berørte modemmer.

Vi har efterfølgende testet denne nye firmware og har gennemført en pilot udrulning.
Det har desværre vist sig at den nye firmware giver en dårlig kundeoplevelse, da den genstarter modemmet umotiveret.

Udrulningen er derfor stoppet og Sagem er nu i gang med at levere endnu en ny firmware, som vi igen skal igennem test og pilotudrulning med. Vi kan derfor ikke sige specifikt, hvornår en stabil og sikkerhedsopdateret firmware bliver rullet ud, men blot love, at der bliver arbejdet på sagen kontinuerligt.
Tak. Hullet kostede lige en krypteret fil-server :-( Er der planer om at firmware fikset også får en ændring på at man kan se den "ægte" indgående ip-adresse i stedet for ens eget wan-ip ?
Jeg tænker, at omskrivningen af source ip er grunden til filteret ikke virker. Mit bud er at begge ting bliver fixet i samme patch.
Forummanden skrev:

Jeg tænker, at omskrivningen af source ip er grunden til filteret ikke virker. Mit bud er at begge ting bliver fixet i samme patch.


@Kasper kan du bekræfte at det er tilfældet?
Omdømme 6
Badge +7
LarsMartin skrev:

Tak. Hullet kostede lige en krypteret fil-server :-( Er der planer om at firmware fikset også får en ændring på at man kan se den "ægte" indgående ip-adresse i stedet for ens eget wan-ip ?

Forummanden skrev:

Jeg tænker, at omskrivningen af source ip er grunden til filteret ikke virker. Mit bud er at begge ting bliver fixet i samme patch.

Søren W skrev:

Forummanden skrev:

Jeg tænker, at omskrivningen af source ip er grunden til filteret ikke virker. Mit bud er at begge ting bliver fixet i samme patch.


@Kasper kan du bekræfte at det er tilfældet?



Hej LarsMartin, Forummanden, Søren W

Den næste firmware opdatering vil rette op på disse problemer.
Ved skift til bridgemode har jeg konstateret, at Yousee-"routeren" (som vel ikke er en router, når den er i bridge mode) ikke fungerer korrekt med bridgning af den trafik, der tidligere var konfigureret til portforwarding. Så min anbefaling er, at slette al konfiguration _INDEN_ skift til bridgemode..

Besvar

    • :D
    • :?
    • :cool:
    • :S
    • :(
    • :@
    • :$
    • :8
    • :)
    • :P
    • ;)