Sikkerhedshul, SagemCom


  • Deltager
  • 3 kommentarer
På Sagemcom FAST3890_TDC_50.10.12.T0
Har jeg oprettet portward med angivelse af sourceip. Desværre ignorerer routeren souceip og forwarder porten for alle source ip'er. Det er et kæmpe problem, specielt fordi det ikke er muligt at firewall'e på den anden side af routeren. Routeren ændrer nemlig sourceip på alle pakker til routerens WAN-adresse.


6 Kommentarer

Omdømme 3
Badge
Du kan sætte din Sagencom i bridge mode, så fungerer den kun som modem, så kan du håndterer din firewall i en router bag ved din FAST3890. dette gør jeg og har så tilsluttet en router med LEDE/OpenWrt som firewall.

Du skal bare være opmærksom på, at du skal ind og aktiverer din forbindelse igen da det nu er din Router som ses af Yousee på forbindelsen.
Jeg er klar over muligheden for at skifte mode i routeren. Det kræver dog indkøb af ekstra firewall og formentlig tab af muligheden for at benytte routerens wifi.
Det vigtigste i mit opslag løser det dog ikke:
Der er tilsyneladende et sikkerhedshul i routeren fordi port forwardning ikke begrænses til de anvendte source ip'er.

Kan det passe, at yousee ignorerer det?
Omdømme 7
Badge +7
At routeren ændrer source IP til WAN adressen er blevet påpeget før, og jeg vil tro der kommer en opdatering som løser dette.
En løsning på den uhensigtmæssige ændring af source IP vil være fint - men løser jo ikke den manglende respekt for angivelsen af source ip. Derfor betragter jeg sidstnævnte som et væsentligt sikkerhedshul
Omdømme 3
Badge
For at kunne bruge en anden source IP end din WAN IP, vil det kræve at du har tilkøbt ekstra IP adresse(r), ellers vil det ikke kunne virke, og de fleste billige routere vil altid bruge wan adressen som source ip i deres NAT opsætning. Hvis man har behov for og råd til at have flere ip adresser, har man vel også råd til at købe en extra router der har de muligheder. NAT hvor source IP = WAN ip vil dække de fleste brugeres behov.
Routeren bør under ingen omstændigheder ændre i source ip i pakker den port-forwarder. Den bør bevare den "fremmede" klients sourceip. Ellers vil det jo ikke være muligt at lave nogen form for logning/firewall'ing el lign. på serveren der modtager de forwardede pakker - da alle pakker ser ud til at komme fra WAN-ip. Det virker udemærket med den fleste billige routere - i hvert fald hvis man kører openwrt eller lede på dem.

Men det andet problem jeg beskriver er noget værre: Når man har mulighed for at angive eksternal port, protocol og source-ip under port forwardning, skal routeren selvfølgelig kun forwarde de pakker, der opfylder alle 3 betingelser. Som min router opfører sig, forwarder den alle pakker der opfylder de to første betingelser, ligemeget om den sidste betingelse er opfyldt eller ej. De brugere, der ikke er klar over den fejl i routeren, har blottet deres bagvedliggende server for alle fjendtlige maskiner - og det var nok ikke hensigten, hvis de har ulejliget sig med at konfigurere port forwardning med angivelse af sourceip.

Besvar

    • :D
    • :?
    • :cool:
    • :S
    • :(
    • :@
    • :$
    • :8
    • :)
    • :P
    • ;)