Open ports

[giorgosts]

Στην ουσία ένα application layer firewall, όπως για παράδειγμα το zonealarm στα windows ή το firestarter στις λινουξ διανομές, είναι το ίδιο πράγμα με ένα integrated broadband router firewall, καθώς και το hardware firewall πάνω σε software βασίζεται. Με λίγα λόγια είναι παραπλανητική η ορολογία hardware firewall. Επίσης, ένας cisco router πάνω στο IOS (λειτουργικό της CISCO) βασίζεται για να μπλοκάρει επιθέσεις, δηλαδή επίσης σε software.

Προφανώς και το zone alarm (ή το firestarter) δεν είναι το ίδιο με ένα router

1. Τρέχουν σε διαφορετικά μηχανήματα. Αν έχεις ιό στο pc δεν σημαίνει ότι o firewall στο router θα σταματήσει να δουλεύει. Αντίθετα ο ιός το pc το πρώτο πράμα που θα κοιτάξει να κάνει είναι να ανοίξει τρύπα στο zone alarm

2. Το software στο pc μπορεί να ελεγθεί και να αναπρογραμματιστεί, ενώ ένα hardware router όχι (τουλάχιστον ένα σωστό). Πρέπει να έχει έγκριση της κατασκευάστριας εταιρίας.

[gpan]

Να σου πω πως το καταλαβαίνω; Έχεις στο σπίτι σου 3 PCs που πέφτουν πάνω σε ένα firewall. Αν χρησιμοποιούσες κάποιο application layer firewall, θα έπρεπε να το εγκαταστήσεις και στα 3 PCs ξεχωριστά. Ενώ σε ένα integrated broadband router firewall, έχει ένα κοινό interface (ενοποιημένη/integrated λύση) στο οποίο μπορεί να μπει ο καθένας και να μπλοκάρει κίνηση.

........Auto merged post: gpan πρόσθεσε 2 λεπτά και 42 δευτερόλεπτα αργότερα ........

Προφανώς και το zone alarm (ή το firestarter) δεν είναι το ίδιο με ένα router

1. Τρέχουν σε διαφορετικά μηχανήματα. Αν έχεις ιό στο pc δεν σημαίνει ότι o firewall στο router θα σταματήσει να δουλεύει. Αντίθετα ο ιός το pc το πρώτο πράμα που θα κοιτάξει να κάνει είναι να ανοίξει τρύπα στο zone alarm

Ξεχνάς όμως ότι τρέχει διαφορετικό λειτουργικό ο router. Άμα έτρεχε windows θα είχε κολλήσει ήδη.

2. Το software στο pc μπορεί να ελεγθεί και να αναπρογραμματιστεί, ενώ ένα hardware router όχι (τουλάχιστον ένα σωστό). Πρέπει να έχει έγκριση της κατασκευάστριας εταιρίας.

Γιατί με UPnP δε μπορεί να ανοίξει μια εφαρμογή αυτόματα πόρτα στο router;
Όλα μπορούν να απογραμματιστούν. Αυτό είναι το μόνο σίγουρο.

[giorgosts]

Γιατί με UPnP δε μπορεί να ανοίξει μια εφαρμογή αυτόματα πόρτα στο router; Όλα μπορούν να απογραμματιστούν. Αυτό είναι το μόνο σίγουρο.

1. Πολλά (αν όχι τα περισσότερα) router από προεπιλογή έχουν το UPnP κλειστό, και το SPI ενεργοποιημένο.

2. Αναπρογραμμάτισε και το ps3 και τα λέμε μετά. BTW το μόνο σίγουρο είναι ο θάνατος (και οι φόροι) Όλα τα υπόλοιπα μπορεί να αλλάξουν κάποια στιγμή.

[gpan]

1. Πολλά (αν όχι τα περισσότερα) router από προεπιλογή έχουν το UPnP κλειστό, και το SPI ενεργοποιημένο.

2. Αναπρογραμμάτισε και το ps3 και τα λέμε μετά. BTW το μόνο σίγουρο είναι ο θάνατος (και οι φόροι) Όλα τα υπόλοιπα μπορεί να αλλάξουν κάποια στιγμή.

Και ξαναλέω αν κάποιος αποφάσιζε να γράψει ιό για να χτυπήσει το συγκεκριμένο software του router, θα συνέβαινε αυτό που ανέφερες παραπάνω με τον ιό στα windows.

........Auto merged post: gpan πρόσθεσε 3 λεπτά και 7 δευτερόλεπτα αργότερα ........

Ήδη έχουν αναγνωριστεί κάποιες επιθέσεις σε UPnP http://www.wirelessforums.org/alt-in...ell-36894.html.

[giorgosts]

Ήδη έχουν αναγνωριστεί κάποιες επιθέσεις σε UPnP http://www.wirelessforums.org/alt-in...ell-36894.html.

1. Αν έχεις ενεργοποιημένο UPnP σε δίκτυο με ασύρματη πρόσβαση στο router είσαι τελείως..

2. Δεν ήξερα ότι το UPnP παρέχει τόσο μεγάλες δυνατότητες τροποποίησης στις ρυθμίσεις του router (όπως ενεργοποίηση της απομακρυσμένης διαχείρισης). BTW το αντίστοιχο άρθρο στη wikipedia αναφέρει σαν πηγή το blog που παραθέτεις και εσύ, πράγμα απαράδεκτο. Οι πηγές μιας εγκυκλοπαίδειας πρέπει να είναι πρωτογενείς, πχ κάποιο link με τα specs (προδιαγραφές) του UPnP

[gpan]

1. Αν έχεις ενεργοποιημένο UPnP σε δίκτυο με ασύρματη πρόσβαση στο router είσαι τελείως..

2. Δεν ήξερα ότι το UPnP παρέχει τόσο μεγάλες δυνατότητες τροποποίησης στις ρυθμίσεις του router (όπως ενεργοποίηση της απομακρυσμένης διαχείρισης). BTW το αντίστοιχο άρθρο στη wikipedia αναφέρει σαν πηγή το blog που παραθέτεις και εσύ, πράγμα απαράδεκτο. Οι πηγές μιας εγκυκλοπαίδειας πρέπει να είναι πρωτογενείς, πχ κάποιο link με τα specs (προδιαγραφές) του UPnP

To link προέρχεται από εδώ
http://www.channelregister.co.uk/200...er_insecurity/
http://www.gnucitizen.org/blog/hacking-the-interwebs --> GNUCITIZEN Ethical Hacker Outfit (δε νομίζω ότι είναι κάποιο τυχαίο group)

........Auto merged post: gpan πρόσθεσε 3 λεπτά και 37 δευτερόλεπτα αργότερα ........

Eπίσης στο http://scholar.google.gr/ άμα βάλεις για UPnP attacks/hacks θα σου βγάλει κάμποσα papers.

[giorgosts]

Eπίσης στο http://scholar.google.gr/ άμα βάλεις για UPnP attacks/hacks θα σου βγάλει κάμποσα papers.

1.Κάποιος να βρει τότε (πχ εσύ που υποστηρίζεις ότι είναι τόσο τρωτό) ένα πρωτογενές υλικό και να το βάλει στα sources γιατί είναι catch-22 Το blog αντιγράφει το wiki και το wiki αντιγράφει το blog.

2. Και αν ακόμη μερικά μοντέλα με κάποιες παραμετροποιήσεις είναι exploitable, αυτό δεν ακυρώνει την ορθότητα του μοντέλου ότι ο firewall και το pc πρέπει να βρίσκονται σε διαφορετικά μηχανήματα.

3. Εγώ ξέρω ότι αυτόματη διαχείριση και παραμετροποίηση εκτός από τον administrator του router (δηλ ο ιδιοκτήτης του μετά από login) μπορεί σε ορισμένα μοντέλα και firmwares να κάνει και ο ISP μέσω του πρωτοκόλλου CWMP

Για οποιοδήποτε φλασάκι σε μπανεράκι πρώτη φορά ακούω.

[gpan]

Κάποιος να βρει τότε (πχ εσύ που υποστηρίζεις ότι είναι τόσο τρωτό) ένα πρωτογενές υλικό και να το βάλει στα sources γιατί είναι catch-22 Το blog αντιγράφει το wiki και το wiki αντιγράφει το blog.

Εγώ ξέρω ότι αυτόματη διαχείριση και παραμετροποίηση εκτός από τον administrator του router (δηλ ο ιδιοκτήτης του μετά από login) μπορεί σε ορισμένα μοντέλα και firmwares να κάνει και ο ISP μέσω του πρωτοκόλλου CWMP

Για οποιοδήποτε φλασάκι σε μπανεράκι πρώτη φορά ακούω.

Εγώ το υποστηρίζω; Τα παραπάνω λινκς το αναφέρουν. Δυστυχώς δεν έχω το χρόνο να ψάξω. Αν τον έχεις εσύ, τότε πολύ ευχαρίστως να μας αναφέρεις τα ευρήματά σου.

Κοίτα την ουσία! Και η ουσία είναι ότι δεν υφίσταται hardware firewall με την έννοια ότι δεν υπάρχουν/ενεργοποιούνται κυκλώματα που εμποδίζουν τις επιθέσεις (hardware-ika πάντα). Όλα είναι software-based.

[giorgosts]

Εγώ το υποστηρίζω; Τα παραπάνω λινκς το αναφέρουν. Δυστυχώς δεν έχω το χρόνο να ψάξω. Αν τον έχεις εσύ, τότε πολύ ευχαρίστως να μας αναφέρεις τα ευρήματά σου.

Κοίτα την ουσία! Και η ουσία είναι ότι δεν υφίσταται hardware firewall με την έννοια ότι δεν υπάρχουν/ενεργοποιούνται κυκλώματα που εμποδίζουν τις επιθέσεις (hardware-ika πάντα). Όλα είναι software-based.

Ο καθένας εκεί μέσα λέει το μακρύ του και το κοντό του, πως να χακέψει το router του. Δεν υπάρχει ακόμη universal exploit (ούτε καν για το UPnP, αφού οι πιο "επικίνδυνες" δυνατότητές του δεν υποστηρίζονται στις πιο πολλές κατασκευές). Και αν ακόμη σε μερικές συσκευές το καταφέρουν, αυτό δεν αναιρεί την ορθότητα του μοντέλου να βρίσκεται μποροστά στο internet διαφορετικό μηχάνημα με όσο το δυνατόν λιγότερες δυνατότητες πρόσβασης και αλλαγής των ρυθμίσεων ή του λογισμικού του.

Οπότε η θέση σου στη δεύτερη παράγραφο μάλλον είναι φιλοσοφική.

[paroikos]

Κλειστά ports του ρούτερ είναι αδύνατο να είναι ανοιχτά στο pc. Σωστό;
Π.χ. αν κλειστό το 22 port στο ρούτερ > κλειστό αναγκαστικά και στο pc.
Διορθώστε με αν έχω καταλάβει λάθος.

Το zenmap μου δείχνει μόνο 2 ports ανοιχτά: 21 και 80.
Αρκούν αυτά ή χρειάζομαι και κάποια ακόμα;

[boeotian]

Κλειστά ports του ρούτερ είναι αδύνατο να είναι ανοιχτά στο pc. Σωστό;
Π.χ. αν κλειστό το 22 port στο ρούτερ > κλειστό αναγκαστικά και στο pc.
Διορθώστε με αν έχω καταλάβει λάθος. Ευχαριστώ

Όχι ακριβώς. Ένα port στον router που γίνεται inside NAT στον υπολογιστή σου μέσα στο LAN, είναι κλειστό στον router, δεν ακούει κάποια εφαρμογή, αλλά ανοιχτό κιόλας, γιατί γίνεται redirect σε port άλλου υπολογιστή που είναι ανοικτό.

Επίσης ανοιχτά port στον router που τρέχουν εφαρμογές, όπως το ssh στην 22, αν κλείσεις την πρόσβαση στο firewall του router απ' έξω, τότε αυτό θα φαίνεται κλειστό απ' έξω, αλλά από μέσα στο LAN σου μια χαρά ανοιχτό θα είναι. Είναι πολύ λεπτός ο ορισμός για να πεις κάτι τέτοιο απλοϊκό.

[GoofyX]

Ό,τι σχέση έχουν τα μακαρόνια με το ποδήλατο, άλλη τόση έχει αυτό που ρώτησες.

Με λίγα λόγια, το ότι έχεις κλειστό το port 22 στο router δε σημαίνει ότι και στο PC σου είναι κλειστό. Εσένα αυτό που σε ενδιαφέρει είναι ο απ' έξω (internet) να μην μπορεί να μπει μέσα στον υπολογιστή σου (port 22). Αναγκαστικά θα πρέπει να περάσει από το router, οπότε, εφόσον στο router είναι κλειστό το 22, δεν έχει πρόσβαση στον υπολογιστή σου. Μπορεί όμως στον υπολογιστή σου για κάποιο λόγο να είναι ανοικτό το 22 (πχ. αν είχες/έχεις άλλο υπολογιστή στο εσωτερικό δίκτυο, τότε εκείνος θα είχε πρόσβαση στον υπολογιστή σου μέσω του 22, εφόσον είναι ανοικτό).

[paroikos]

Ό,τι σχέση έχουν τα μακαρόνια με το ποδήλατο, άλλη τόση έχει αυτό που ρώτησες.

Και το ποδήλατο έχει ακτίνες.. άμα τις βράσεις που ξέρεις;

Με λίγα λόγια, το ότι έχεις κλειστό το port 22 στο router δε σημαίνει ότι και στο PC σου είναι κλειστό. Εσένα αυτό που σε ενδιαφέρει είναι ο απ' έξω (internet) να μην μπορεί να μπει μέσα στον υπολογιστή σου (port 22). Αναγκαστικά θα πρέπει να περάσει από το router, οπότε, εφόσον στο router είναι κλειστό το 22, δεν έχει πρόσβαση στον υπολογιστή σου. Μπορεί όμως στον υπολογιστή σου για κάποιο λόγο να είναι ανοικτό το 22 (πχ. αν είχες/έχεις άλλο υπολογιστή στο εσωτερικό δίκτυο, τότε εκείνος θα είχε πρόσβαση στον υπολογιστή σου μέσω του 22, εφόσον είναι ανοικτό).

Αυτό ήθελα να πώ όπως ακριβώς το περιγράφεις..
Απλώς αντί να το πω το .. έχτισα με δικά μου λόγια
Ευχαριστώ πάντως κατάλαβα πως δουλεύει το θέμα .. θεωρητικά πάντα

@boeotian
ευχαριστώ επίσης