Προσβαση στο router Speedport entry 2i, απομακρυσμενα

[geo116]

Για να μπω στην σελιδα αυτή τι username και password πρέπει να χρησιμοποιήσω ;
https://ps.otenet.gr/active/ServiceActivation/csLoginAuthentication.jsp

[D-clone]

Για να μπω στην σελιδα αυτή τι username και password πρέπει να χρησιμοποιήσω ;
https://ps.otenet.gr/active/ServiceA...entication.jsp

Κανουμε log in με τα στοιχεια μας απο το ρουτερ η με το χαρτι που πρωτοκαναμε την συνδεση που γραφει τα username & password.

Αν τα χάσατε πάρτε το 13888 και σας τα στέλνουν με sms !

[YAziDis]

Θέλω να αποκτήσω και εγώ απομακρυσμένη πρόσβαση αλλά δε μου το επιτρέπει.. Δε δουλεύει βασικά.

Είναι αναγκαστικό να γίνει στην πόρτα 80? γιατί βάζω κάποια άλλη 4ψήφια αλλά δε μου δουλεύει ότι και αν κάνω..

Γενικά έχω ένα σέρβερ στην 80 που βλέπω κάποια στατιστικά, έχω τις τοπικές κάμερες σε μία άλλη, και βάζω και για το ρούτερ μια άλλη τυχαία και δε μου δουλεύει.

[Arvanitis Garage]

Καλημέρα και καλή χρονιά από όσο γνωρίζω η 80 είναι η default πόρτα στο ρουτερ του παρόχου. Τώρα αν γνωρίζει κάποιος άλλος γνώστης να σε βοηθήσει καλώς ειδάλλως άλλαξε τις πόρτες σου και άσε την 80 για το ρούτερ.

[YAziDis]

Έχει και μια ακόμη εταιρία πρόσβαση στη σελίδα μου και δε θα ήθελα να βλέπουν το ρουτερ μόλις μπαίνουν, όποτε θα προτιμούσα να είναι σε άλλο port.. απλά μάλλον δε γίνεται ή κάνω κάτι λάθος.. ότι και να δοκίμασα δε μπόρεσα να το κάνω να δουλεψει

[jkoukos]

Η 80 είναι δεσμευμένη από τον Router και αυτό δεν αλλάζει (ισχύει σε πολλά Router).
Αυτό που γίνεται είναι να κάνεις ένα port forward μιας άλλης αχρησιμοποίητης πόρτας (π.χ. 8081) προς την 80 του εσωτερικού server.
Οπότε απ' έξω θα πληκτρολογείς ddns_hostname:8081 και αυτόματα θα έχεις πρόσβαση στον server.
Με τον ίδιο τρόπο κάνεις χρήση διαφορετικής WAN πόρτας, προς όσες υπηρεσίες θέλεις πρόσβαση στο LAN.

[YAziDis]

Εγώ τώρα ας πούμε έχω το domain.com να ανοίγει το interface των φωτοβολταϊκών μου, και στο domain.com:5550 να ανοίγουν οι κάμερες που έχω.
Άρα αν καταλαβαίνω σωστά αυτά που λες το speedport δε μπορεί να δώσει το ui του ρουτερ σε άλλη πόρτα εκτός της 80, έτσι;

[GregoirX23]

Η 443 δεν είναι για το https;
Η 80 για το http..
Αν αφήσει μόνο το https τικαρισμένο δεν θα πηγαίνει στη 443;

[K1m0n]

Έχει ξανα-ειπωθεί βέβαια, αλλά:
το να ανοίξει κανείς το web-gui του όποιου cpe στο wan συνιστά κίνδυνο.

Γιατί?
Δυνητικά μπορεί:
Να γίνει brute-force attack.
Να υπάρχει/βρεθεί κάποιο backdoor του isp/oem (σύνηθες).
Να υπάρχει/βρεθεί κάποιο bug στο firmware (ακόμα πιο σύνηθες).
κλπ.

Όλα τα παραπάνω έχουν συμβεί πολλάκις στο παρελθόν,
σε πολλαπλούς vendors και software stacks, και δεν θα πάψουν στο μέλλον.
Και δεν τυχαίνουν μόνο στους "άλλους"^ΤΜ.

Αυτές οι συσκευές είναι που είναι επίφοβες γενικότερα σε θέματα ασφάλειας,
το να τις εκθέτει κανείς ηθελημένα στο net είναι επιπλέον ρίσκο.

Τυπικά το firmware του oem vendor (και κατ' επέκτασιν του isp),
εξαρτάται από τα sdk/libraries του OEM/ODM και τα binary blobs του,
και συχνά είναι κάτι σε kernel 3.x.
Και πολά cpe τρέχουν μέσα known vulnerable versions πολών components/libs/packages.
Και, επίσης τυπικά, ο OEM του cpe των 5-10$ δεν θα κάτσει να κάνει backport τα fixes σε νέο release,
και ακόμα και αν το έκανε ο isp δεν θα ενθουσιαζόταν που θα έπρεπε να κάνει νέο κύκλο testing/validation
κάθε μήνα που θα έβγαινε update.

Παρένθεσις:
Αν δεν μας ενθουσιάζει η παραπάνω κατάσταση, είτε:
1) επιλέγουμε μια open-source λύση (με ότι πονοκεφάλους έχει), ή
2) επιλέγουμε να ψωνίζουμε από το ράφι με τον επαγγελματικό εξοπλισμό (με το όποιο κόστος έχει).
Τα διάφορα residential cpe/routers/gateways λίγο-πολύ στην παραπάνω κατάσταση είναι.

Με τις default ρυθμίσεις το cpe μας προστατεύεται από την εισερχόμενη κίνηση στο wan με έναν κανόνα NAT.
Δεν είναι ιδανικό, αλλά είναι ο κανόνας, και είναι ας πούμε επαρκές για οικιακή χρήση.

Όταν ανοίξουμε το web gui στο wan, ακόμα και αν το password μας είναι "jsg5#gsvver538^7vsgrerrPtf4#",
πρέπει να εμπιστεύόμαστε 100% το script που τρέχει στον τοπικό web server.
Και τον ίδιο τον web server...
Και τον interpreter της όποιας γλώσσας που τρέχει το script
Και ότι άλλο τρέχει απο κάτω.
Πολλές εμπιστοσύνες σε άγνωστο κώδικα μαζευτήκανε.

Και μόλις ανοίξει η 80 στο wan, θα σκαναριστεί από bots εντός δευτερολέπτων,
και θα γίνει probe για vulnerable versions εντός λεπτών.
Θέμα χρόνου είναι μετά να βρεθεί (αν δεν υπάρχει ήδη) ένα vulnerability που να είναι exploitable από το wan.
Πόσο τυχεροί νιώθουμε?

Και καλά να ανοίγουμε στο net τον προσωπικό μας web server (πχ), στην οποία περίπτωση:
1) δεν γίνεται αλλιώς (προσφέρει υπηρεσία στο κοινό), και
2) έχουμε πλήρη έλεγχο (και ευθύνη) στις ρυθμίσεις ασφαλείας/πρόσβασης και σε όλο το stack, και
3) λογικά έχουμε και ένα firewall ενδιάμεσα.
Στο cpe όμως δεν ελέγχουμε τίποτα απο τα παραπάνω.

Αν θέλει κανείς remote management είναι απείρως προτιμώτερο/ασφαλέστερο
να στήσει έναν vpn server στο cpe (ή στο lan γενικότερα) και να συνδέεται μέσα απο vpn tunnel.

Τα ίδια εννοείται ισχύουν και για κάμερες/sip servers/rdp/ftp/ssh/etc services και τις όποιες iot συσκευές.

[jkoukos]

Εγώ τώρα ας πούμε έχω το domain.com να ανοίγει το interface των φωτοβολταϊκών μου, και στο domain.com:5550 να ανοίγουν οι κάμερες που έχω.
Άρα αν καταλαβαίνω σωστά αυτά που λες το speedport δε μπορεί να δώσει το ui του ρουτερ σε άλλη πόρτα εκτός της 80, έτσι;

Η 443 δεν είναι για το https;
Η 80 για το http..
Αν αφήσει μόνο το https τικαρισμένο δεν θα πηγαίνει στη 443;

H 80 είναι δεσμευμένη από τον Router. To ίδιο και η 443. Τελεία και παύλα.
Αν δεν τις έχουμε επιλέξει στο μενού του Speedport, αυτό απλά σημαίνει ότι δεν έχουμε δυνατότητα να εισέλθουμε στο μενού του για remote management. Ωστόσο δεν επιτρέπεται (από το firewall) αυτόματα η χρήση τους για επικοινωνία προς άλλες εσωτερικές συσκευές. Εδώ έρχεται να επέμβει το port forwarding.

[GregoirX23]

Έχει ξανα-ειπωθεί βέβαια, αλλά:
το να ανοίξει κανείς το web-gui του όποιου cpe στο wan συνιστά κίνδυνο.

Γιατί?
Δυνητικά μπορεί:
Να γίνει brute-force attack.
Να υπάρχει/βρεθεί κάποιο backdoor του isp/oem (σύνηθες).
Να υπάρχει/βρεθεί κάποιο bug στο firmware (ακόμα πιο σύνηθες).
κλπ.

Όλα τα παραπάνω έχουν συμβεί πολλάκις στο παρελθόν,
σε πολλαπλούς vendors και software stacks, και δεν θα πάψουν στο μέλλον.
Και δεν τυχαίνουν μόνο στους "άλλους"^ΤΜ.

Αυτές οι συσκευές είναι που είναι επίφοβες γενικότερα σε θέματα ασφάλειας,
το να τις εκθέτει κανείς ηθελημένα στο net είναι επιπλέον ρίσκο.

Τυπικά το firmware του oem vendor (και κατ' επέκτασιν του isp),
εξαρτάται από τα sdk/libraries του OEM/ODM και τα binary blobs του,
και συχνά είναι κάτι σε kernel 3.x.
Και πολά cpe τρέχουν μέσα known vulnerable versions πολών components/libs/packages.
Και, επίσης τυπικά, ο OEM του cpe των 5-10$ δεν θα κάτσει να κάνει backport τα fixes σε νέο release,
και ακόμα και αν το έκανε ο isp δεν θα ενθουσιαζόταν που θα έπρεπε να κάνει νέο κύκλο testing/validation
κάθε μήνα που θα έβγαινε update.

Παρένθεσις:
Αν δεν μας ενθουσιάζει η παραπάνω κατάσταση, είτε:
1) επιλέγουμε μια open-source λύση (με ότι πονοκεφάλους έχει), ή
2) επιλέγουμε να ψωνίζουμε από το ράφι με τον επαγγελματικό εξοπλισμό (με το όποιο κόστος έχει).
Τα διάφορα residential cpe/routers/gateways λίγο-πολύ στην παραπάνω κατάσταση είναι.

Με τις default ρυθμίσεις το cpe μας προστατεύεται από την εισερχόμενη κίνηση στο wan με έναν κανόνα NAT.
Δεν είναι ιδανικό, αλλά είναι ο κανόνας, και είναι ας πούμε επαρκές για οικιακή χρήση.

Όταν ανοίξουμε το web gui στο wan, ακόμα και αν το password μας είναι "jsg5#gsvver538^7vsgrerrPtf4#",
πρέπει να εμπιστεύόμαστε 100% το script που τρέχει στον τοπικό web server.
Και τον ίδιο τον web server...
Και τον interpreter της όποιας γλώσσας που τρέχει το script
Και ότι άλλο τρέχει απο κάτω.
Πολλές εμπιστοσύνες σε άγνωστο κώδικα μαζευτήκανε.

Και μόλις ανοίξει η 80 στο wan, θα σκαναριστεί από bots εντός δευτερολέπτων,
και θα γίνει probe για vulnerable versions εντός λεπτών.
Θέμα χρόνου είναι μετά να βρεθεί (αν δεν υπάρχει ήδη) ένα vulnerability που να είναι exploitable από το wan.
Πόσο τυχεροί νιώθουμε?

Και καλά να ανοίγουμε στο net τον προσωπικό μας web server (πχ), στην οποία περίπτωση:
1) δεν γίνεται αλλιώς (προσφέρει υπηρεσία στο κοινό), και
2) έχουμε πλήρη έλεγχο (και ευθύνη) στις ρυθμίσεις ασφαλείας/πρόσβασης και σε όλο το stack, και
3) λογικά έχουμε και ένα firewall ενδιάμεσα.
Στο cpe όμως δεν ελέγχουμε τίποτα απο τα παραπάνω.

Αν θέλει κανείς remote management είναι απείρως προτιμώτερο/ασφαλέστερο
να στήσει έναν vpn server στο cpe (ή στο lan γενικότερα) και να συνδέεται μέσα απο vpn tunnel.

Τα ίδια εννοείται ισχύουν και για κάμερες/sip servers/rdp/ftp/ssh/etc services και τις όποιες iot συσκευές.

Οι συσκευές ΙοΤ - κάμερες που παίζουν μέσω cloud & αντίστοιχου app να υποθέσω ότι είναι ολίγον τι πιο ασφαλείς;
Όχι ότι και εκεί εμπιστεύεσαι 100% το fw της εκάστοτε συσκευής..

Αυτό για το vpn στο cpe που λες, λογικά πρέπει να το υποστηρίζει και το cpe..
To entry μάλλον δεν..

- - - Updated - - -

H 80 είναι δεσμευμένη από τον Router. To ίδιο και η 443. Τελεία και παύλα.
Αν δεν τις έχουμε επιλέξει στο μενού του Speedport, αυτό απλά σημαίνει ότι δεν έχουμε δυνατότητα να εισέλθουμε στο μενού του για remote management. Ωστόσο δεν επιτρέπεται (από το firewall) αυτόματα η χρήση τους για επικοινωνία προς άλλες εσωτερικές συσκευές. Εδώ έρχεται να επέμβει το port forwarding.

Στο bold συμφωνώ..
Απλά ήθελα να πω ότι αντί να αφήσει την 80 ανοιχτή, θα μπορούσε την 443..
Αλλά μάλλον θέλει να κάνει κάτι άλλο.. Να μην ανοίγει το gui αν κατάλαβα καλά στις γνωστές πόρτες.. Μάλλον δύσκολο..

- - - Updated - - -

Η 80 είναι δεσμευμένη από τον Router και αυτό δεν αλλάζει (ισχύει σε πολλά Router).
Αυτό που γίνεται είναι να κάνεις ένα port forward μιας άλλης αχρησιμοποίητης πόρτας (π.χ. 8081) προς την 80 του εσωτερικού server.
Οπότε απ' έξω θα πληκτρολογείς ddns_hostname:8081 και αυτόματα θα έχεις πρόσβαση στον server.
Με τον ίδιο τρόπο κάνεις χρήση διαφορετικής WAN πόρτας, προς όσες υπηρεσίες θέλεις πρόσβαση στο LAN.

Απορία..
Όταν θα χτυπάει την 8081 θα πηγαίνει στην 80 με το forward..
Αν χτυπάει κατευθείαν την 80 τι θα συμβαίνει; Πάλι δεν θα ανοίγει το gui αν το http είναι τικαρισμένο; Εκτός αν δεν είναι..

[YAziDis]

Με προβληματίσατε, και τελικά από το πουθενά δοκίμασα να μπω με https και εν τέλη ανοίγει το router! Στο απλό ανοίγει ο server των pv που έχω, και στο https ανοίγει το ρούτερ! Προσωπικά δε με χαλάει αυτό και μου κάνει εύκολη τη δουλειά μου!

Καταλαβαίνω τους κινδύνους που έχει αυτή η ενέργεια, και ευχαριστώ για τις προειδοποιήσεις, απλά ουσιαστικά εκεί δεν υπάρχει τίποτα και με καμιά ευαίσθητη πληροφορία οπότε για αυτό παίρνω και το ρίσκο. Επειδή βρίσκεται σε απομακρυσμένο χώρο "αποθήκης" όπου χρειάζεται να γνωρίζω αν έχει πέσει το ρεύμα, και ότι δουλεύουν τα μηχανήματα, χρειάζομαι να έχω πρόσβαση για να μπορώ να κάνω ένα πρώτο troubleshoot απομακρυσμένα, για να μην κάνω 60 χιλιόμετρα πάνε έλα χωρίς λόγο. Επίσης και λόγω του ότι το ρεύμα πέφτει αρκετά συχνά, ο υπολογιστής που έχω εκεί δεν είναι δυνατόν να μένει ανοιχτός συνέχεια, και τυχαίνει μετά από διακοπή να κλείνει. Έχω μόνο ένα ups του ΟΤΕ πάνω στο ρούτερ!

[jkoukos]

Αυτό για το vpn στο cpe που λες, λογικά πρέπει να το υποστηρίζει και το cpe..
To entry μάλλον δεν..

Δεν είναι απαραίτητο να υποστηρίζεται από το cpe. Κάλλιστα μπορεί να τρέχει σε άλλη εσωτερική συσκευή.

Απλά ήθελα να πω ότι αντί να αφήσει την 80 ανοιχτή, θα μπορούσε την 443..

Οι 2 πόρτες έχουν την ίδια ακριβώς χρήση. Απλά στην δεύτερη τα πακέτα μεταφέρονται μέσω ασφαλούς σύνδεσης.

Αν χτυπάει κατευθείαν την 80 τι θα συμβαίνει; Πάλι δεν θα ανοίγει το gui αν το http είναι τικαρισμένο;

Αν η πρόσβαση στο μενού είναι τικαρισμένη, τότε εμφανίζεται η σελίδα του και ζητούνται τα crendentials.
Αν η πρόσβαση στο μενού δεν είναι τικαρισμένη, τότε ανάλογα την περίπτωση εμφανίζεται συνηθέστερα time out ή σε άλλες περιπτώσεις μήνυμα 403 ή 404.

[GregoirX23]

Δεν είναι απαραίτητο να υποστηρίζεται από το cpe. Κάλλιστα μπορεί να τρέχει σε άλλη εσωτερική συσκευή.


Οι 2 πόρτες έχουν την ίδια ακριβώς χρήση. Απλά στην δεύτερη τα πακέτα μεταφέρονται μέσω ασφαλούς σύνδεσης.


Αν η πρόσβαση στο μενού είναι τικαρισμένη, τότε εμφανίζεται η σελίδα του και ζητούνται τα crendentials.
Αν η πρόσβαση στο μενού δεν είναι τικαρισμένη, τότε ανάλογα την περίπτωση εμφανίζεται συνηθέστερα time out ή σε άλλες περιπτώσεις μήνυμα 403 ή 404.

-Αρκεί να θες / μπορείς να βάλεις άλλη συσκευή.. Για το vpn.. Αν έτρεχε μέσω του cpe θα ήταν πολύ πιο απλά..
Υποθέτω ότι δεν μιλάμε για Pc ε;
-Γι'αυτό ανέφερα την 443 λόγω ασφαλούς σύνδεσης έναντι της 80.. Εδώ υποθέτω ότι αν το cpe υποστηρίζεται ακόμα από το πάροχο, θα ενημερώνεται τακτικά και το certificate του.. Σωστά;
-Στη τρίτη περίπτωση έτσι όπως το λες είναι.. Δεν συμπεριέλαβες όμως τη περίπτωση port forward που είπες στο ερώτημα που έθεσα..

- - - Updated - - -

Με προβληματίσατε, και τελικά από το πουθενά δοκίμασα να μπω με https και εν τέλη ανοίγει το router! Στο απλό ανοίγει ο server των pv που έχω, και στο https ανοίγει το ρούτερ! Προσωπικά δε με χαλάει αυτό και μου κάνει εύκολη τη δουλειά μου!

Καταλαβαίνω τους κινδύνους που έχει αυτή η ενέργεια, και ευχαριστώ για τις προειδοποιήσεις, απλά ουσιαστικά εκεί δεν υπάρχει τίποτα και με καμιά ευαίσθητη πληροφορία οπότε για αυτό παίρνω και το ρίσκο. Επειδή βρίσκεται σε απομακρυσμένο χώρο "αποθήκης" όπου χρειάζεται να γνωρίζω αν έχει πέσει το ρεύμα, και ότι δουλεύουν τα μηχανήματα, χρειάζομαι να έχω πρόσβαση για να μπορώ να κάνω ένα πρώτο troubleshoot απομακρυσμένα, για να μην κάνω 60 χιλιόμετρα πάνε έλα χωρίς λόγο. Επίσης και λόγω του ότι το ρεύμα πέφτει αρκετά συχνά, ο υπολογιστής που έχω εκεί δεν είναι δυνατόν να μένει ανοιχτός συνέχεια, και τυχαίνει μετά από διακοπή να κλείνει. Έχω μόνο ένα ups του ΟΤΕ πάνω στο ρούτερ!

Αν όμως γίνει compromise το cpe δεν θα γίνει και το υπόλοιπο δίκτυο; Μέσω αυτού δεν παίρνουν ίντερνετ;

Α! Να σημειώσω επίσης εδώ ότι ίσως είναι καλό να μην επιλέξεις και το ping.. Ώστε να μην απαντάει..

[K1m0n]

Οι συσκευές ΙοΤ - κάμερες που παίζουν μέσω cloud & αντίστοιχου app να υποθέσω ότι είναι ολίγον τι πιο ασφαλείς;

Αναλόγως υλοποίησης.
Αν κάνουν etablished ένα encrypted stream με το upstream cloud του provider,
τυπικά δεν είναι εκτεθειμένες οι ίδιες στο wan.
Εκεί είναι θέμα η υλοποίηση/ασφάλεια της cloud υπηρεσίας.

Αν κάνουν dyndns ή/και upnp/port-forward και βγάζουν κάποιο gui/stream είτε της ίδιας της κάμερας είτε του καταγραφικού στην wan είναι επίφοβα.
Προσωπικά, δεν θα έβαζα κάμερα στην κρεβατοκάμαρα.
Μη γίνω διάσημος στα γεράματα...

Hint:
Θεωρητικά, οι διάφορες iot συσκευές στο σπίτι καλό θα ήταν να είναι σε ξεχωριστό/απομονωμένο δίκτυο,
αλλά αυτά δεν γίνονται με τον τυπικό εξοπλισμό του isp ούτε με τα τυπικά οικιακά switches.
Αν κάποιος ενδιαφέρεται θα βρεί εύκολα τα σχετικά στον γούγλη.
Μεγάλο θεμα, και guides/tutorials υπάρχουν πολά.