Το προφίλ μας στο Google Plus
22

Ζηλευτός υπέρ-router, με υποστήριξη multi-WAN!

Κάποιες φορές η επικαιρότητα είναι σαν να γράφει η ίδια τους προλόγους των άρθρων μας -- και φυσικά δεν κάνει μόνο σ' εμάς τη χάρη. Μερικές βδομάδες πριν, αφού είχαμε ήδη τελειώσει με τη δημιουργία ενός πανίσχυρου router κυρίως από την ανακύκλωση παλιού εξοπλισμού, αποφασίσαμε ότι οπωσδήποτε θα έπρεπε να σας πούμε για τo εγχείρημα. Καθίσαμε λοιπόν μια μέρα και κάναμε τη διάρθρωση του άρθρου που τώρα διαβάζετε. Πολύ σύντομα, μπροστά μας βρήκαμε το πάντα τρισμέγιστο πρόβλημα της εισαγωγής: Τι να πρωτογράψουμε, ώστε αφενός να σας κεντρίσουμε το ενδιαφέρον κι αφετέρου να δείτε αμέσως ότι αξίζει κι εσείς ν' ασχοληθείτε; Κι εκεί που προβληματιζόμασταν κι αυτο-μπλοκαριζόμασταν, ήλθε η επικαιρότητα να μας δώσει ένα φιλικό χτύπημα στον ώμο...

Ζηλευτός υπέρ-router, με υποστήριξη multi-WAN!

Ο πρόσφατος εντοπισμός του αυτο-αναπαραγόμενου worm ονόματι TheMoon, το οποίο αναζητά και μολύνει μοντέλα router της Linksys, δεν είναι το μοναδικό περιστατικό που προκάλεσε μια κάποια ανησυχία σε όσους ενδιαφέρονται στοιχειωδώς περί θεμάτων ασφαλείας. Παρόμοια προβλήματα έχουν κατά καιρούς ακουστεί και για routers των Asus, D-Link και Netgear, για ν' αναφέρουμε μερικά μόνο από τα γνωστά ονόματα. Κάτοχοι routers της Asus, για παράδειγμα, βρήκαν πριν μερικές βδομάδες μυστηριώδη text files σε USB δίσκους που ήταν συνδεδεμένοι στις συσκευές. Τα αρχεία δεν τα είχαν δημιουργήσει οι ίδιοι. Στο περιεχόμενό τους υπήρχαν αναφορές σε αδυναμίες, οι οποίες επιτρέπουν σε οποιονδήποτε χρήστη του Internet ν' αποκτά πρόσβαση στα δίκτυα πίσω από τους ευπαθείς routers.

Γενικά, τα θέματα ασφαλείας στους δρομολογητές για το σπίτι ή το γραφείο (SOHO routers), μόνο κάτι το πρωτάκουστο δεν είναι. Αν επιχειρούσαμε να κάνουμε μια πρόχειρη κατηγοριοποίηση των αδυναμιών, τότε θα καταλήγαμε με μια λίστα που σίγουρα θα περιελάμβανε τα ακόλουθα:

  • bugs στο firmware που ευθύνονται για ανοικτά ports, μέσω των οποίων είναι δυνατή η διαχείριση --ακόμη κι από το WAN interface-- της συσκευής, χωρίς την εισαγωγή credentials
  • backdoors στο firmware, τα οποία στην καλύτερη περίπτωση είναι ξεχασμένα εκεί από τον κατασκευαστή, ενώ στη χειρότερη είναι επίτηδες "φυτεμένα"
  • ευπαθείς υπηρεσίες, π.χ., διαμοίρασης αρχείων κι εκτυπωτών
  • προβληματικές υλοποιήσεις πρωτοκόλλων όπως, π.χ., UPnP
  • επιπόλαια configurations, για χάριν της ευκολίας χρήσης
  • firewalls που αποτυγχάνουν να κάνουν τη δουλειά τους

Θα μπορούσαμε να συνεχίσουμε, αλλά ήδη βλέπετε ξεκάθαρα την εικόνα που έχει σχηματιστεί. Σκεφτείτε τώρα το modem/router που κάθεται ήσυχο ήσυχο στο σπίτι, ανοικτό 24 ώρες το 24ωρο και σας εξυπηρετεί σιωπηρά κι αδιαμαρτύρητα. Αλήθεια, πότε ήταν η τελευταία φορά που το αναβαθμίσατε; Ο κατασκευαστής, άραγε, συνεχίζει να το υποστηρίζει, κυκλοφορώντας patches με bug fixes και security updates; Ακόμη κι αν το κάνει κι εσείς δεν αμελείτε να φρεσκάρετε το firmware της συσκευής, πόση πίστη έχετε στην καλή κι επιμελή εργασία που κάνουν οι προγραμματιστές της εταιρείας; Εδώ που τα λέμε, κατά πάσα πιθανότητα οι άνθρωποι είναι ικανότατοι και κάνουν μια χαρά τη δουλειά τους. Έχουν ωστόσο κι αυτοί δικαίωμα στο λάθος, οπότε στην πραγματικότητα άλλο είναι το ερώτημα: Από εκείνους που ανακαλύπτουν προβλήματα ασφαλείας στα firmware των modem/routers, πόσοι τα αναφέρουν στην κατασκευάστρια εταιρεία και δεν τα εκμεταλλεύονται προς ίδιον όφελος;

Εντάξει, δεν υπάρχει λόγος ν' αγχώνεστε. Εμείς απλά μερικές σκέψεις κάνουμε -- και τις μοιραζόμαστε μαζί σας.

Διαβάστε ολόκληρο το άρθρο στο deltaHacker 029 (τεύχος Φεβρουαρίου 2014).

Το μηνιαίο περιοδικό deltaHacker είναι πλέον ηλεκτρονικό! Μάθετε για τις νέες, απίστευτες τιμές και κάντε τώρα την παραγγελία σας συμπληρώνοντας τη σχετική φόρμα.

Σημείωση για τους νέους φίλους: Δεν έχετε πάρει ακόμα συνδρομή στο περιοδικό; Δείτε αυτές τις προσφορές, μάλλον θα σας ενδιαφέρουν :)


Μοιράσου το:

Google DiGG ReddIt LinkedIn Microsoft Live del.icio.us StumbleUpon RSS PDF Print

22 Responses to “Ζηλευτός υπέρ-router, με υποστήριξη multi-WAN!”

  1. geozar | 05/03/2014 at 00:20

    Καλησπερα εχω μια ερωτηση σχετικα με το αρθρο! Θα μπορουσαμε για εξοικονομηση ρευματος να τρεχαμε το pfsense σε ενα vm( στο βασικο υπολογιστη του σπιτιου) και να δρομολογουσαμε ολη τη κινηση στον φυσικο υπολογιστη και σε ενα aceess point για τις υπολοιπες συσκευες?

    • subZraw | 05/03/2014 at 00:36

      Σίγουρα γίνεται να έχεις το pfSense σε VM και να εξυπηρετεί αληθινά μηχανήματα, όμως ο physical host, που φιλοξενεί το VM του pfSense, δεν καταναλώνει κι αυτός ο καημένος ρεύμα; :)

  2. geozar | 05/03/2014 at 09:57

    Καταναλώνει αλλά αν τον έχεις ανοιχτώ μόνο την ώρα που τον χρειαζεσαι (πάντα :-Ρ )!!! Off-topic για ένα core2duo μηχάνημα πόση είναι η μέση κατανάλωση?

  3. geozar | 05/03/2014 at 12:51

    Thx!!!! Η αλήθεια είναι πως για πειραματισμό δεν έχω πρόβλημα να το δοκιμάσω απλά δε ξέρω αν για μακροχρόνια χρήση συμφέρει!! Πάντως παρα πολύ καλο άρθρο

  4. natasa1 | 05/03/2014 at 17:53

    Εχω ενα case M350 Mini-ITX με board ASUS AT5NM10T-I
    Σκεφτομαι να το κανω pfsense router αφου εχει καταναλωση μονο ~20watt (πιστευω καλα ειναι)
    Το προβλημα ειναι οτι εχει μονο μια ethernet και απο PCI μονο μια PCI express x4.
    Τι προτεινετε σε αυτη την περιπτωση? ΜΕ USB to Ethernet τα παει καλα το pfsense η να μην αγορασω καν γιατι θα παει καμενο?
    Με ενδιαφερει οπωσδηποτε το multi-wan οποτε θελω αλλες 2 enternet, τι μπορει να γινει?

    • subZraw | 05/03/2014 at 18:35

      Για multiWAN χρειάζεσαι πράγματι τουλάχιστον 3 κάρτες Ethernet. Στη θέση σου, πριν αγόραζα USB Ethernet NIC θα έψαχνα πρώτα για μαρτυρίες άλλων. Από το λίγο που το έχω ψάξει, πάντως, βλέπω ότι ακόμη και σε περιπτώσεις που το pfSense "βλέπει" τον ελεγκτή, οι επιδόσεις δεν είναι ικανοποιητικές...

  5. h.n.y | 05/03/2014 at 18:22

    Δες αυτό http://www.zizanio.de/eshop.php?action=article_detail&s_supplier_aid=3582097

  6. h.n.y | 05/03/2014 at 18:28

    Δεν ξέρω όμως αν έχει driver για *BSD...δυστυχώς το spec sheet του αναφέρει μόνο για windows....

  7. natasa1 | 05/03/2014 at 18:57

    Οποτε μονο με PCI Express x4 με 2 η 4 Lan θα μπορεσει να γινει δουλεια. Οποσδηποτε παντος θα χρειαστω καλωδιοταινια (riser) οπως βλεπω γιατι στο κουτακι αυτο δεν χωραει καμια καρτα επεκτασης. Οι καρτες αυτες ειναι αρκετα ακριβες αλλα κατα 99% ειναι συμβατες με το pfsense, σωστα?

  8. h.n.y | 05/03/2014 at 18:57

    Στην 4-port έκδοση του πάντως μέσα στους linux drivers που υποστηρίζει συγκαταλέγει και το FreeBSD ....
    http://www.startech.com/Networking-IO/Adapter-Cards/4-Port-PCI-Express-Gigabit-Ethernet-NIC-Network-Adapter-Card~ST1000SPEX4

  9. h.n.y | 05/03/2014 at 19:00

    Για καλύτερο ψάξιμο...
    http://www5.us.freebsd.org/relnotes/CURRENT/hardware/support.html#ethernet

  10. natasa1 | 05/03/2014 at 23:41

    Παρα πολυ χρησιμη η λιστα με το συμβατο hardware zubZraw. Απ οτι βλεπω υπαρχουνε αρκετα usb to ethernet που υποστηριζονται απο το FreeBSD 8.3 (οποτε και απο το pfsense)
    Βλεπω να επιλεγω καποιο απο αυτα γιατι αν ειναι να κανω αγορα pci express x4 με 2lan τουλαχιστον, δε συμφαιρει. (καλυτερα να αλλαξω motherboard)

  11. natasa1 | 06/03/2014 at 01:15

    H Routerboard RB44Ge υποστηριζετε απο το pfsense?

  12. geozar | 06/03/2014 at 20:28

    @natasa1 δες αυτο : https://forum.pfsense.org/index.php?topic=61580.0 .

  13. natasa1 | 07/03/2014 at 03:03

    Ειναι η μοναδική πληροφορία που είχα βρει και γω σε ολόκληρο το Νετ, τεσπα λογικά κάνει και ειναι και σχετικά οικονομική πλακέτα. Το πρόβλημα που προκύπτει ομως ειναι οτι η PCI-e x4 την motherboard ASUS AT5NM10T-I που εχω ειναι PCI-e x4 (PCI-e x1 mode) αυτο αν δεν κάνω λάθος σημαίνει οτι θα δουλεύει στα 200Mbit max. Οπότε οι 1000Mbit Ethernet που έχει, ουσιαστικά πανε χαμένες και δεν αξιοποιούνται πλήρως. Θα μοιράζονται απο 50Mbit μονο, αν υποθετικα χρησιμοποιούνται όλες ταυτοχρονα με ίσο φορτίο.

  14. nikosg5 | 02/10/2014 at 15:29

    Σε ενα παλιο λαπτοπ (core 2 1.86 με 1gb ram) εχω στησει το owncloud και το openvpn. (παντα συμφωνα με τις οδηγιες σας) και ολα δουλευουν ρολοι. Τωρα μιας και θα εχω 2 24αρες γραμμες νομιζω ειναι επιτακτικο(η οχι?) να βαλω το pfsense. Και θα θελα συμβουλες-ερωτησεις
    Θα συκωνε να τρεξω το pf σε vmware? Γινεται?
    Αν οχι, αν κανω φορματ θα μπορουσα να ξανα στησω το owncloud σε freebsd? (το εχετε δοκιμασει?)
    Αν παρω 2 καρτες δικτυου usb θα δουλευε το συστημα?

    Και οποιαδηποτε αλλη ιδεα ευπροσδεκτη (rasbery pi?)
    Επισης βρηκα αυτο http://www.zentyal.org/ για ubuntu. Καμια αποψη?
    Ευχαριστω

    • subZraw | 03/10/2014 at 12:47

      Γεια χαρά! Απαντάμε στις ερωτήσεις, με τη σειρά που τίθενται.

      * Ναι, μπορείς να έχεις το pfSense στο VMware. Το VM θα πρέπει να 'χει τουλάχιστον 3 virtual network adapters -- και το host computer τουλάχιστον 3 κάρτες Ethernet. Τα 2 virtual adapters θα είναι bridged με 2 φυσικές κάρτες δικτύου, η καθεμία από τις οποίες θα επικοινωνεί με το modem του αντίστοιχου ISP. Το 3ο virtual adapter θα 'ναι κι αυτό bridged με την 3η κάρτα Ethernet, την οποία θα βλέπουν οι συσκευές του τοπικού δικτύου (φαντάζομαι πως θα υπάρχει ένα switch συνδεδεμένο πάνω της).

      * Ναι, μπορείς να έχεις το ownCloud σε FreeBSD. Δεν το έχουμε κάνει, αλλά γίνεται.

      * Ίσως να δουλεύουν, ίσως και όχι. Οπωσδήποτε θα πρέπει να προηγηθεί σχετική έρευνα.

      * Το pfSense σε Raspberry Pi ακούγεται σαν "πολύ κακό για το τίποτα" :)

      * Το Zentyal κι άλλα παρόμοια OSes δεν τα πολυσυμπαθούμε, αφού την τελευταία φορά που είχαμε δοκιμάσει κάποιο είχαμε δει ότι ήταν τεχνικά περιορισμένο και σε κάθε ευκαιρία γίνονταν προσπάθειες για upselling.

      • nikosg5 | 03/10/2014 at 21:10

        Ευχαριστω πολυ.
        Θα ξεκινησω με VM και θα δειξει στην πορεια

        P.S. Ειναι που θελετε να αλλαξετε server για αυτο και το DOS attack. Κινητρο νομιζω ηταν ;)

        • subZraw | 03/10/2014 at 21:28

          LOL, ποιος ξέρει, μπορεί! Πάντως η αλλαγή server θα γινόταν ούτως ή άλλως (και για τα DoS attacks υπάρχουν μέτρα που μπορούμε να πάρουμε, αρκεί να βρούμε λίγο χρόνο για ν' ασχοληθούμε και μ' αυτό ;))

          Καλή επιτυχία με το VM -- και καλή διασκέδαση!

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Google Site-Search

Πρόσφατα

  • Tabber

Σχόλια

  • sip03ds στο Το δικό σας εργαστήριο με το VirtualBox

    Γειά χαρά, έχω μια απορία σχετικά με το bridge networking (libvirt - που χρησιμοποιεί το virtualbox -- ή...

    Ημερομηνία: 19/10/2014

  • stathisb στο Το Kali με WiFi, στο PenTest Lab

    Παρακαλώ αν μπορεί κάποιος ας βοηθήσει στο σχετικό topic http://deltahacker.gr/topic/%CF%80%CF%81%CF%8C%CE%B2%CE%BB%CE%B7%CE%BC%CE%B1-%CE%BC%CE%B5-%CF%84%CE%BF-install-%CF%84%CE%BF%CF%85-kali-linux-%CF%83%CE%B5-virtualbox/#post-12359

    Ημερομηνία: 09/10/2014

  • Cr0wTom στο Να Άννα ένας ανανάς!

    Χαίρομαι που το διαλευκαναμε :D Όσο αναφορά το ερώτημα σου για την αγορα, σου λεω οτι στο 99% των...

    Ημερομηνία: 08/10/2014

  • DecodedVision στο Να Άννα ένας ανανάς!

    Cr0wTom ευχαριστώ πολύ! κατανοητή η απάντησή σου και σαφής πλέον η διάκριση. Το πρόβλημά τώρα είναι πως μπορώ να...

    Ημερομηνία: 07/10/2014

  • Cr0wTom στο Να Άννα ένας ανανάς!

    Καλησπέρα DecodedVision. Αρχικά σε ευχαριστούμε πολυ για τα καλα σου λογια και την υποστήριξη:) Όσο αναφορά το άρθρο και την...

    Ημερομηνία: 07/10/2014

Άρθρα

Θέματα

Αρχείο