Backdoor ASUS routery

Problematika připojení - hardware i software.

Moderátor: Don

Odpovědět
edge-master
Začátečník
Začátečník
Registrován: 07. zář 2010
Bydliště: Pardubice

Backdoor ASUS routery

Příspěvek od edge-master »

Ahoj. Nevim jestli se to tu uz nahodou neresilo.
Vcera jsem se hrabal ve svem novem routeru od ASUSu RT-ac56.
Nasel jsem tam dva krasny konfiguraky, ve kterych je nezasifrovany login a heslo. Jeden z konfigurraku je pro firewall. Vypada to ze login a heslo je default a nenasel jsem nikde moznost ho zmenit v uzivatelskem rozhranni. Takze pokud ma clovek verejnou IP, tak se mu tam kdokoliv kdo zna tyhle udaje dostane do FW a muze si delat s routerem vpodstate co chce.
Resil jste to nekdo?
Spring
Začátečník
Začátečník
Uživatelský avatar
Registrován: 18. zář 2013
Bydliště: Praha - Klánovice
Kontaktovat uživatele:

Re: Backdoor ASUS routery

Příspěvek od Spring »

Opravdu tě tristní situace domácích routerů překvapila? Smiř se faktem, že většina vyráběných routeru se inspirovala moderním pojetím bezpečnosti. Infiltrátor je ve skutečnosti uprchlík, po kterém jdou všechny ty xeonofóbní bezpečnostní nástroje a praktiky. Ty ho na svém Asus vítáš s otevřenou náručí, nepožaduješ heslo a poskytuješ mu celé zázemí.

Ale teď vážně. Situace se opakuje a problém se vztahuje i na další routery (jmenovitě AC56/66R/66U N14U/N16R/N56U ...) a naštěstí se týká úložiště. Bohužel, to není jediný bug a nepočítej s tím, že bude chyba opravena. U konkurence, nebo s novým výrobkem si nepomůžeš, situace s děravými routery a nulovou ochotou záplatovat díry musíš počítat.

Řešení nakonec nemusí bolet, jsou tu udržované alternativní systémy s podstatně vyšší mírou bezpečnosti, jmenovitě Asuswrt-Merlin (fork WRT) a klikacím procesem a video instruktáží, která se dá naučit křečka za dva dny.
"If it moves, compile it. If it moves too quickly, don't mark it stable. If it stops moving, drop it. It's not like your processor has anything better +to do" ... Gentoo
edge-master
Začátečník
Začátečník
Registrován: 07. zář 2010
Bydliště: Pardubice

Re: Backdoor ASUS routery

Příspěvek od edge-master »

prekvapuje me to u routru za 2tis. kde by clovek cekal uz vice mene nakou propracovanost.
coz o to, ja si ty dva configy na ktery jsem prisel nejak upravim. ale mozna by drobna medializace problemu pomohla. co takhle nakej clanek na toto tema?

merlina jsem zkousel. u toho jsem skoncil kvuli nestabilite wifi. zkousel jsem vic verzi a vzdy to skoncilo na latenci 2k+
Spring
Začátečník
Začátečník
Uživatelský avatar
Registrován: 18. zář 2013
Bydliště: Praha - Klánovice
Kontaktovat uživatele:

Re: Backdoor ASUS routery

Příspěvek od Spring »

Na ceně nezáleží. Při procházce nočním sídlištěm najdeš routery v ceně 8 tisíc a dostaneš se do nich úplně stejně, jako do levných modelů. Chyby mají všechny, jenže na opravy výrobci z vysoka se... nezáleží, jestli je to zrovna D-Link DIR-880L (FW 1.08WWb04) nebo nějaký úplně levný. Trik, respektive odhalený backdoor, funguje neustále a do 1 minuty máš přístup k administraci routeru, připojené tiskárně, nebo úložišti, kterému vznešení říkají SharePort. Stačí trochu sledovat a neztrácíš čas hledáním, jdeš na jisto. Večer jdeš vyzvednout pizzu, zase není hotová, tak si s telefonem sedneš před pizzerii a majitelům pošleš na tiskárnu vzkaz, že jejich router není bezpečný. Ze zásady, nikdy neprohlížím data, nebo jiné věci. Zakroutím hlavou, vyzvednu pizzu a později se o tom pobavím v práci, protože na to máme celé oddělení a tým, který se věnuje slabinám a zranitelností sítí. Vsadím se, že podobný mančaft se najde i u konkurence (Avg, Eset, Symantec ... prostě všichni výrobci bezpečnostního SW).

Jak je to SOHO, tak ruce pryč od toho. To si zase raději koupím základní model Cisco/Ubiquity/pFsense. Sice nebudu mít milion zbytečných antén obalené ABS plastem (izolátor) s agresivním desingem, ale bude fungovat udržovaný a bezpečnostní problémy se budou řešit. Někdy si načti staré a dávno profláknuté zranitelnosti a projdi se po sídlišti. Uvidíš žalostný stav zabezpečení domácností a naivitu majitelů.

Diletantům z D-Link unikl klíč ... fungoval ještě dlouho poté, co byl propírán snad ve všech komunitách s povědomým o bezpečnosti. Krutá realita.
"If it moves, compile it. If it moves too quickly, don't mark it stable. If it stops moving, drop it. It's not like your processor has anything better +to do" ... Gentoo
anarkii
Začátečník
Začátečník
Uživatelský avatar
Registrován: 23. úno 2008
Bydliště: Brno

Re: Backdoor ASUS routery

Příspěvek od anarkii »

Spring: mohl bych se zeptat, co bys od Cisca / Ubiquiti doporučil "na doma" ? Budu měnit stávající TP-Link. Z náročnějších věcí pouze zlehka torrenty a výhledově cca 6 IP kamer (přes PoE switch). Díky
Dell Precision 5570 | AMD Ryzen 5 5600G | PNY GeForce RTX 3060 12GB | CoolerMaster Centurion Silencio 450 | Noctua NH-U12P SE2 | Noctua NF-S12B ULN (2x) | Gigabyte A520M DS3H | PATRIOT Viper 4 Blackout Series 2x8GB DDR4 3200 MHz CL16 | be quiet! Pure Power 11 400W | WD Blue SSD SN570 1TB NVMe | SSD Intel 330 Series | Gigabyte G32QC | Cherry Stream Wireless | Logitech G502 | Klipsch R-15PM | Sony WH-1000XM4
Spring
Začátečník
Začátečník
Uživatelský avatar
Registrován: 18. zář 2013
Bydliště: Praha - Klánovice
Kontaktovat uživatele:

Re: Backdoor ASUS routery

Příspěvek od Spring »

Zeptal bych se, co všechno od toho routeru očekáváš a kolik peněz zamýšlíš investovat. Omezení nemusí nezbytně vyplývat z vybavení a funkcí, které ten router poskytuje. Pravým problémem může být správa a schopnost router dlouhodobě spravovat. Mnoho lidí si přečetlo o bezpečnosti Cisco IOS a když se router vybalil z krabice, nebyli schopni ani základní konfigurace CLI IOS. Samozřejmě doba pokročila (netvrdím nezbytně k lepšímu) i pro segment SMB a pokud bychom se bavili o řadě RV100/200, vyskočí grafický průvodce a provede instalaci krok za krokem. Jenže např.: routování balanceru mezi WAN (Primární připojení) a 3G modemem (Sekundární připojení) vyžaduje manuální řešení. Napadlo mě to v souvislosti s kamerami, asi proto, že stejné řešení provozuji u ségry ve studiu i doma. Ať už dojde k výpadku připojení z jakéhokoliv důvodu (bagrem přejedou kabely, vypadne proud u poskytovatele AP, ...), kamery mohou nevítané hosty stále zaznamenávat a odesílat na vzdálený server i v černočerné tmě a pravěku.

Sepiš si co potřebuješ např.: 5x 1GbE switch, 2.4 + 5GHz WiFi, Print server ... a cenu. Potom se můžeme bavit o konkrétních modelech. Síťový provoz nebude tak velký, aby to do do stovky neutáhl bez přehřívání, dropování a cachování i ten nejlevnější router Ubqt/Cisco.
"If it moves, compile it. If it moves too quickly, don't mark it stable. If it stops moving, drop it. It's not like your processor has anything better +to do" ... Gentoo
anarkii
Začátečník
Začátečník
Uživatelský avatar
Registrován: 23. úno 2008
Bydliště: Brno

Re: Backdoor ASUS routery

Příspěvek od anarkii »

Žádný speciální požadavky vyjma těch kamer nemám, jinak bude využití "standardní" - Server, HTPC, 3 notebooky a jedno PC a tiskárna.

Rychlost určitě Gbit, LAN porty min. 4, 5 GHz WLAN se výhledově bude asi taky hodit.

3G backup jsem zvažoval (+ pověsit server, router a kamery na záložní zdroj). Byl by to hodně limitující faktor ?

Zběžně jsem zkoušel hledat a na základě mých požadavků mi vypadlo:

https://access-pointy.heureka.cz/cisco-rv130w-e-k9-g5/

Pokud jde o administraci, nejsem profesionál, ale postupy si dohledat umím. S mikrotikem např. nějaký zásadní problémy nemám.
Dell Precision 5570 | AMD Ryzen 5 5600G | PNY GeForce RTX 3060 12GB | CoolerMaster Centurion Silencio 450 | Noctua NH-U12P SE2 | Noctua NF-S12B ULN (2x) | Gigabyte A520M DS3H | PATRIOT Viper 4 Blackout Series 2x8GB DDR4 3200 MHz CL16 | be quiet! Pure Power 11 400W | WD Blue SSD SN570 1TB NVMe | SSD Intel 330 Series | Gigabyte G32QC | Cherry Stream Wireless | Logitech G502 | Klipsch R-15PM | Sony WH-1000XM4
Spring
Začátečník
Začátečník
Uživatelský avatar
Registrován: 18. zář 2013
Bydliště: Praha - Klánovice
Kontaktovat uživatele:

Re: Backdoor ASUS routery

Příspěvek od Spring »

Celkem rozumné řešení, ale musím připojit několik postřehu a osobní zkušenost.
- Chlazení se tak úplně nepovedlo. Problémy se vyskytnou s nevhodným umístěním. Nesnese vysoké teploty (pekárna na půdě, nebo grilování na přímém slunci, kde teploty atakují 40°C). Jakmile se začne přehřívat, ztrácí výkon a nezvládne vyšší síťový provoz (resp.: maximální provoz). Ideální umístění jsou tmavé pokojové prostory s nižší teplotou.
- Nepovedl se adaptér, vyměnitelný. Pro zálohování stačí cihla (Eaton, lepší baterie než APC)
- Problém s kompatibilitou některých modemů (3G, 4G/LTE). Oficiální seznam podporovaných modelů pestrostí nevyplývá, ovšem fungují i obyčejné evropské modely (O2 4G/LTE 1.0.3.14+)
- Dual-band neumí a těžko bude umět. Antény i karta (Broadcom) se dají vyměnit, ale nenašel jsem žádnou, se kterou by si poradil FW. 5GHz je dobrá na velkou vzdálenost, ovšem nenabídne prostupnost přes překážky. Pokrytí interních prostor se používá 2.4GHz. Řešení stropní AP UnFI AC LR spolehlivě pokryje obě patra dosáhne i ven (kuřácký koutek a parkoviště).
- Na svou cenu zvládne násobně více, než třeba Zyxel USG20W. Ovšem jsou zde určitě hranice. Rozhodně nezvládne současně routovat komplexní kvantitu složitých pravidel, spravovat více VPN klientů současně, filtrovat obsah, izolovat vlany, wvlany a ještě držet plný výkon switche se 100Mbps nebo rychlejší linkou. To prostě nedává, předpokládám, že takový provoz u tebe nehrozí. Pro obraznost doplním příklad 3 roky provozu v menším grafickém studiu (ségra). S aktivní filtrací a striktním oddělením provozu (nejen základní user - guest) táhne čtvrtým rokem 2 velká disková úložiště, 8 pracovních stanic, 4 stolní počítače a 8 notebooků. K tomu musí obsloužit oddělený segment s kamerový systémem (18 kamer 720p@30fps H264 +/- 104Mbps), bezdrátové otvírání brány a čtečky s docházkou (Motorola), 4 tiskárny a mobilní telefony. Samozřejmě odděleně nejen pro návštěvníky a zákazníky. Aktivně se využívá VPN (správa, připojení na cestách, vzdálený server), tiskárny a dvě AP (vnitřní + venkovní) s vyhrazenou linkou 50Mbps. To jen pro představu, co ta malá mrcha dokáže utáhnout. Switche Cisco 200 jsou tam od října 2010.
- Cisco jsou tak trochu velké korporátní mrchy hledící směrem k ziskům. Ukončení podporu sice u staršího RV130W oznámeno nebylo, ale nečekej nějaké významné angažování v budoucnu. Kritické chyby opravují průběžně, ale nedostaneš nic navíc, aniž by ses nechal řádně podojit. Poslední fimrware 1.0.3.38 (Duben/2017). Ovšem drží, vydrží a hlavně fungují naprosto bezproblémově, což se o soho krámech říci nedá.

Kdyby nevadilo o něco dražší řešení, doporučil bych kombinaci EdgeRouter (stačí menší X/Lite) v kombinaci s jejich AP. Celkově se jedná o flexibilnější a konfigurovatelnější řešení (OS = Debian). Na druhou stranu AP se dá použít i s RV130W.
"If it moves, compile it. If it moves too quickly, don't mark it stable. If it stops moving, drop it. It's not like your processor has anything better +to do" ... Gentoo
brambora81
Začátečník
Začátečník
Registrován: 28. čer 2015
Bydliště: Pardubice

Re: Backdoor ASUS routery

Příspěvek od brambora81 »

snad to nebude vadit kdyz se optam na doporuceni routeru nejakeho dobreho kterej nebude moc podlehat ruseni mame tu asi 9 siti co se tu kolem mota :)
urceni routeru: bude k tomu pripojen 30tkovej internet a domaci servr na kterym bezi plex a bude to dodavat do 3 pocitacu cca vic nepotrebuju nejake dobre doporuceni krom tech kramu co se bezne prodava a vydava za to nejlepsi co snad je :D

cenove tak do 3k dekuji springu za odpoved :)
anarkii
Začátečník
Začátečník
Uživatelský avatar
Registrován: 23. úno 2008
Bydliště: Brno

Re: Backdoor ASUS routery

Příspěvek od anarkii »

Spring píše:Kdyby nevadilo o něco dražší řešení, doporučil bych kombinaci EdgeRouter (stačí menší X/Lite) v kombinaci s jejich AP. Celkově se jedná o flexibilnější a konfigurovatelnější řešení (OS = Debian). Na druhou stranu AP se dá použít i s RV130W.
Máš na mysli tento ?

https://www.alza.cz/ubiquiti-edgerouter-x-d4016441.htm

Teoreticky bych to mohl spárovat s Unifi, mám tu jedno nevyužitý, tu základní verzi...

https://www.czc.cz/ubiquiti-unifi/91920/produkt

Co bys řekl na takovou kombinaci ?
Dell Precision 5570 | AMD Ryzen 5 5600G | PNY GeForce RTX 3060 12GB | CoolerMaster Centurion Silencio 450 | Noctua NH-U12P SE2 | Noctua NF-S12B ULN (2x) | Gigabyte A520M DS3H | PATRIOT Viper 4 Blackout Series 2x8GB DDR4 3200 MHz CL16 | be quiet! Pure Power 11 400W | WD Blue SSD SN570 1TB NVMe | SSD Intel 330 Series | Gigabyte G32QC | Cherry Stream Wireless | Logitech G502 | Klipsch R-15PM | Sony WH-1000XM4
Spring
Začátečník
Začátečník
Uživatelský avatar
Registrován: 18. zář 2013
Bydliště: Praha - Klánovice
Kontaktovat uživatele:

Re: Backdoor ASUS routery

Příspěvek od Spring »

Devět sítí není zase tolik, Háje okolo Opatovské jsou protkány stovkami sítí, které bojují o těch několik málo kanálů, které frekvenční pásmo 2.4GHz poskytuje. Do toho se hádají další bezdrátová zařízení, které ve stejném pásmu pracují. Být bezhlavě-bezdrátový patří k modernímu pojetí světa. Nesmí chybět "silnější antény".

Prvním krokem bude výběr pásma. Trocha teorie a praxe neuškodí. Výhody 5GHz lze shrnout slovy nižší rozšíření a rušení z jiných zdrojů (telefony, bluetooth, klávesnice, tiskárny, ...), vyšší přenosové rychlosti a samozřejmě dosah. Bohužel, ale také přináší nevýhody. Zde bych zdůraznil útlum a nízkou průchodnost překážky (zdivo). Prakticky to vypadá tak, že počítač v další místnosti bude mít větší potíže se signálem a rychlostí, než 2.4GHz. Na takovém sídlišti, kde se o použitelných 12 kanálů rve tisíc routerů, bude i utlumená 5GHz vítězem. Vliv prostředí zůstává zásadní. Nákup dual-band routeru zní jako dobrý nápad, ale nemá smysl připlácet za atraktivní marketingové lži, jako výkon a počet antén. Pro běžné použíti stačí kvalitní 2 - 5dBi anténa do velikosti 20cm, optimálně zlacený drát bez obalu (izolace) a když už "obalenou", tak alespoň dielektrickým materiálem jako polyetylen, tedlon apod. Většina zázračných xxdBi antén na trhu a sto anténových routerů používá ABS plast. Přítomnost ABS plastu v blízkosti zářiče (antény) způsobuje silné rozladění a snižuje rychlost i tvar elektromagnetických vln. K anténě se signál musí dostávat komorovým tvarovaným vodičem (dielektrikum), kterým se upravuje vyzařovací charakteristika a energie vlnovodu do prostoru. To znamená, že výrobce prodává obvykle řádně rozladěný šmejd a kus delšího, nebo více plastu na ozdobu. Další problém antén tkví v tom, že musí být vždy pro jedno pásmu. Není technicky možné vyrobit levnou anténu dual-band anténu pro domácí uživatele. To prostě nejde. Taková anténa by potřebovala kaskády vázaných dipólů, mikropáskkové elementy pro kompenzaci, sériové napájení ... a elektroniku pro vyzařovací schéma v celém pásmu s rozumným ziskem i PSV. O trhlinách "všesměrových" antén se nemá smysl bavit, protože nic takové vlastně neexistuje (směrové diagramy vyzařování) a není to ani podstatné. Ale dost k teorii, přejděme k praxi. Ať už jsi se rozhodl pro variantu 2.4GHz, nebo 5GHz, budeš k novému dual-band routeru potřebovat antény. Nejsou drahé a co ušetříš na routeru, to investuješ do antén. Nebo taky ne, chtěl jsem, abys pochopil, že investice do nablýskaných pavouku nemá smysl, protože výrobci SOHO zařízeni se nebudou ani obtěžovat o vyvedení pásma 2.4 a zvlášť 5 GHz se specifickými anténami. Bylo by to prosté, ale musel by se jedna o poloprofesionální, nebo profesionální výrobky (... kde by jim ten šmejd omlátil o hlavu).

Stejně jako jsem se ptal před tebou, musíš se rozhodnout, jakou úroveň a možnosti správy vyžaduješ, podle toho se bude vybírat platforma. Mikrotik i Ubiquiti jsou výborné polo/profi výrobky, ale musí se s nimi umět pracovat. Oba výrobci pravidelně reagují na reportované chyby, vydávají aktualizace a mají dlouhou životnost. A kdyby za 5 - 6 let nebyla aktualizace, tak se tam šoupne Debian a je zase na několik let vystaráno. Nebo chceš hotové zařízení s kvalitní bezpečností a uživatelsky přívětivým prostředím, potom bych volil např.: výše uvedené Cisco. Hravě se vejdeš do rozpočtu a ještě zbude dost peněz. Sice trochu overkill, ale bude fungovat.

@anarkii Nemám výhrady, i když jsem bral za automatické, že budeš chtít 5 portů pro switch (nakonfigurovat jdou snadno), modem a 2.4 + 5GHz ... proto jsem dal Ubiquiti pouze jako další z možností, na které se můžeš vyřádit dle libosti. Jestli X, nebo Lite, to už je tak trochu jedno, jde o cenu a výkon. Odpověď doplním/přidám zítra, nyní se musím věnovat přítelkyni a vyrvat jí ze spáru zvědavé maminy.
"If it moves, compile it. If it moves too quickly, don't mark it stable. If it stops moving, drop it. It's not like your processor has anything better +to do" ... Gentoo
Jirka37
Nováček
Nováček
Registrován: 23. říj 2015

Re: Backdoor ASUS routery

Příspěvek od Jirka37 »

Mohl bych se taky zeptat na doporučení routeru?
Mám internet 80/20Mb a potřeboval bych ac router co umí VPN server
Bude to do bytu, proto raději ac
Už 7 let slouží Tenda WR311r+, ale např. ve vaně signál vypadává :-D
Rád bych si udělal z routeru VPN server, který zvládne ve špičce 11Mb/sec (na Full HD stream IPTV)
Adept je ASUS RT-AC53
Ikdyž jeho 580mHz CPU je na hraně a podle všeho zvládne VPN cca max 8-10 Mb/s
Víc jak 1500 Kč do něj moc dávat nechci..
Stejný CPU má i starý RT-AC51U ,ale zase AC53 bude mít snad lepší signál na 5GHz
Nebo raději nějaký vyšší model, který v případě VPN nepojde úplně naplno?
Např RT-AC1200 ?
anarkii
Začátečník
Začátečník
Uživatelský avatar
Registrován: 23. úno 2008
Bydliště: Brno

Re: Backdoor ASUS routery

Příspěvek od anarkii »

Spring píše: @anarkii Nemám výhrady, i když jsem bral za automatické, že budeš chtít 5 portů pro switch (nakonfigurovat jdou snadno), modem a 2.4 + 5GHz ... proto jsem dal Ubiquiti pouze jako další z možností, na které se můžeš vyřádit dle libosti. Jestli X, nebo Lite, to už je tak trochu jedno, jde o cenu a výkon. Odpověď doplním/přidám zítra, nyní se musím věnovat přítelkyni a vyrvat jí ze spáru zvědavé maminy.
Vystačím i se čtyřma portama, to není zase tak zásadní problém a v případě potřeby 5 GHz vyměním Unifi (už mám jak jsem psal, takže bych teď koupil jen ten router).

U toho 3G backup nejsem rozhodnutej, věděl bys o něčem v podobné cenové relaci s obdobnou funkcionalitou a s 3G backup ?
Dell Precision 5570 | AMD Ryzen 5 5600G | PNY GeForce RTX 3060 12GB | CoolerMaster Centurion Silencio 450 | Noctua NH-U12P SE2 | Noctua NF-S12B ULN (2x) | Gigabyte A520M DS3H | PATRIOT Viper 4 Blackout Series 2x8GB DDR4 3200 MHz CL16 | be quiet! Pure Power 11 400W | WD Blue SSD SN570 1TB NVMe | SSD Intel 330 Series | Gigabyte G32QC | Cherry Stream Wireless | Logitech G502 | Klipsch R-15PM | Sony WH-1000XM4
placadlo
Nováček
Nováček
Uživatelský avatar
Registrován: 13. led 2015

Re: Backdoor ASUS routery

Příspěvek od placadlo »

pokud naroky na wifi nejsou velike, tak ja bych doporucil treba netscreen:

http://www.ebay.com/itm/Juniper-Netscre ... Swo4pYG4~X

je to regulerni firewall, neni to tezke nastavit, zvlada to vsechny routovaci protokoly, tunelovani atd atd...
Café R0nDo PC@mastná klávesnice - většinou....
Albrecht
Nováček
Nováček
Registrován: 24. zář 2019

Re: Backdoor ASUS routery

Příspěvek od Albrecht »

anarkii píše:
Spring píše:Kdyby nevadilo o něco dražší řešení, doporučil bych kombinaci EdgeRouter (stačí menší X/Lite) v kombinaci s jejich AP. Celkově se jedná o flexibilnější a konfigurovatelnější řešení (OS = Debian). Na druhou stranu AP se dá použít i s RV130W.

Máš na mysli tento ?

https://www.alza.cz/ubiquiti-edgerouter-x-d4016441.htm

Teoreticky bych to mohl spárovat s Unifi, mám tu jedno nevyužitý, tu základní verzi...

https://www.czc.cz/ubiquiti-unifi/91920/produkt/essay service

Co bys řekl na takovou kombinaci ?
Ahoj,

Chci přidat UAP-AC Pro + do mého routeru ASUS RT-AC68U. Je to možné? Ne přidání, ale rozšíření stávající sítě. Může AC-Pro fungovat také v duálním pásmu?

https://community.ui.com/questions/Unif ... ad305c6aec
Odpovědět

Zpět na „Sítě, modemy a Internet“