Do diskuse momentálně není možné vkládat příspěvky. Plná funkčnost bude obnovena v nejbližších dnech. Děkujeme za pochopení.
Úvod > Diskuse > Obecná diskuse > Jen upozornění! Dávejte si pozor, jak máte nastavený router!

Jen upozornění! Dávejte si pozor, jak máte nastavený router!

Bob (30.8.2006 21:19:31)

Vy, kdo pro přístup do internetu používáte ADSL modem kombinovaný s routerem, dávejte si setsakra dobrý pozor, jak ho máte nastavený! Já dneska zjistil, že jsem aspoň tak 2 měsíce někomu dělal pěkného blbce! Pro připojení do internetu používám Zyxel 661HW-63. Dnes jsem na tom prováděl nějakou konfiguraci a náhodou se také podíval na nastavení firewallu. Bylo tam vložené mě neznámé pravidlo povolující routing WAN to WAN pro porty 68 a 500 UDP. Všechny logy a alerty byly u tohoto pravidla pochopitelně vypnuté, takže naprosto nemám ponětí, kdo, kdy, kam..... Můj router tedy mohl někomu sloužit (a nejspíš taky sloužil) jako anonymní brána pro jeho další tajné výlety do internetu na moje triko..... Nevěřím, že by kdokoliv zvenčí byl schopen přidat tato pravidla do firewallu routeru v době, kdy je router v běžném provozu. Normálně je totiž přístup ke konfiguraci pochopitelně chráněný heslem a navíc, konfigurace je umožněna pouze z jediné lokální IP adresy. Problém nejspíš nastal přede dvěma měsíci, kdy jsem na routeru dělal nějaké testy a pro pohodlnější ovládání jsem nechal přístup jen tak, nechráněný, bez hesla a také jsem umožnil vzdálenou konfiguraci odkudkoliv. Během těch dvou hodin tedy mohl kdokoliv na routeru nastavit cokoliv. Po cca. dvou hoďkách jsem vše opět zakázal a zahesloval. Nezkontroloval jsem ale nastavení firewallu. Prostě jsem si nemyslel, že Internet je natolik zamořený port/protokol scanerama, apod.... , že pouhé dvě hodiny stačily někomu k tomu, aby mi do firewallu tajně doplnil své nové pravidlo. Jak jsem dnes zjistil, Internet tak zamořený fakt je! Tak si na to všichni dávejte bacha! Nechávat vystavený na internetu volně konfigurovatelný router, to ode mě pochopitelně byla pěkná blbost!! Bez ohledu na to, že to bylo jen poměrně krátkou dobu. Tak si zkontrolujte, jak jste na tom vy! Ať nejste za vola jako teď já! ;))

Kdosi (30.8.2006 21:31:32)

Neboj se... Port UDP68 = Bootstrap Protocol Client Port UDP 500 = IKE/IPsec První případ je pro logování na správu routeru zvenčí. Druhý případ je pro hardwarovou VPN přes IPsec. Oboje je takto v kartě WAN to WAN Router povoleno již defaultně. Nemusíš se bát a jestli nepoužíváš IKE/IPsec VPN či přistup zvenčí, tak to klidně vyhoď. Rád bych se podepsal, aby byla odpověď věrohodnější, ale bohužel je tu jeden ftipálek, takže nemohu...

Bob (30.8.2006 21:45:07)

Aha, dík za info. Docela jsi mě uklidnil. Netušil jsem, že je to tam defaultně. Dříve používal D-Link DSL-G664T, který Telecom standardně nabízí a ten toto pravidlo přednastavené neměl. (Aspoň mám ten dojem.) Je ale možné, že to Telecom už přednastavuje a vyhazuje to odtud??

Kdosi (30.8.2006 21:56:00)

Neznám sice D-Link, ale ZyXEL patří k těm lepším HW. A mají slušně ošetřený FW. Myslím, že většina routrů levnější kategorie ani ekvivalent WAN to WAN router neumí ochránit...

y2k (30.8.2006 21:58:53)

No, nahodou jsem testoval rozsah aDSL adres jednoho operatora a behem cca 50 minut jsem nasel 4 nezabezpecene routery, tedy takove do kterych jsem se nalogoval a mohl menit config.

Bob (30.8.2006 22:03:13)

Možná, že byl mezi těma čtyřma zrovna ten můj. ;-)))