PDA

Visualizza versione completa : Protezione & Privacy Attacchi ai router non aggiornati o cambio IP casuale?



Kirk78
22-11-14, 18: 12
Ciao a tutti!
ieri non riuscivo ad andare su Internet su tutti i computer. Guasto? No. Ho scoperto che da solo il router aveva cambiato il suo IP e aveva riattivato il DHCP.

Leggo che da qualche mese anche l'Italia è sotto attacco da attacchi rom0, csrf, xsfr et simila che attacca, appunto, alcuni router non aggiornati. Esempio alcuni TP-Link.
Vi risulta?

Visto che l'aggiornamento del firmware dei router (se ci sono visto che i produttori dopo 3 anni da quanto li hanno messi a fine vita EOL non vengono più supportati! :furious) è una operazione molto delicata, e che devo dire per ora non vorrei fare se non proprio costretto, vi chiedo: se aggiorno il firmware e per qualsiasi motivo l'operazione non va a buon fine: il router è totalmente inutilizzabile?

Comunque ho rimesso l'IP precedente che fortunatamente era quello di base, ho disattivato il DHCP, operazione che dovrebbe inibire la modifica dei DNS di tutti i computer ma nel caso solo del router, e ho attivato l'ACL (Access Control List) e ho messo solamente il range degli IP della rete (esempio 192.168.0.2 - 192.168.0.255). Non ho messo, come ho letto da qualche parte, 0.0.0.0 perché mi sembra di capire che così si da l'accesso a tutti!

Only registered members can view code.

In questa maniera, ma chiedo conferma anche ad altri di CT, dovrei aver bloccato questi attacchi anche se non aggiorno il firmware?
Perché, se solo i miei IP interni (esempio 192.168.0.10) possono modificare la password o cambiare i DNS, dovrei essere moderatamente tranquillo. Spero.

Il problema, grave :furious, di questi attacchi è che boicottano le vostre richieste sul web su altri siti ovviamente che rischiano di infettare o rubare i vostri dati di accesso.

Bisogna stare sempre in campana!

:bai

Andy86
22-11-14, 19: 33
ieri non riuscivo ad andare su Internet su tutti i computer. Guasto? No. Ho scoperto che da solo il router aveva cambiato il suo IP e aveva riattivato il DHCP.

Per caso è andata via la corrente?
Magari il router non ha una batteria tampone e si resetta se rimane senza corrente per troppo tempo.

I router di fastweb per esempio per fare il reset bisogna lasciarli senza corrente per un tot. di minuti, mi pare dieci, ed è già capitato che andando via la corrente per un po' mi riassegnasse gli ip da zero.

(non essendo un router configurabile associa gli ip al mac address, in modo da avere sempre gli stessi ip in automatico, ed è molto più comodo che configurare a mano tutti i pc di casa :bgg2).

Kirk78
22-11-14, 20: 18
Per caso è andata via la corrente?
Magari il router non ha una batteria tampone e si resetta se rimane senza corrente per troppo tempo.
Batteria tampone non credo, ma a quanto ne so la maggior parte dei router scrivono i dati su chip statici (penso eprom) che non hanno bisogno di essere alimentati. Quando c'è stato un black-out di parecchie ore alla ripresa andava tutto a posto


(non essendo un router configurabile associa gli ip al mac address, in modo da avere sempre gli stessi ip in automatico, ed è molto più comodo che configurare a mano tutti i pc di casa :bgg2).
Comodo sicuramente ma se viene attaccato con quel tipo di attacchi viene modificato il Server DNS e se il DHCP è attivo tutti i PC avranno il DNS modificato.

Io faccio sempre gli IP fissi con i DNS che dico io e non quello indicato nel router. Pare che abbia fatto bene visto questo tipo di attacchi sui router. Poi quando qualcuno viene da me e vuole usare la mia ADSL (temporaneamente) gli do l'IP per amiche e amici.

Per i miei PC e quelli della mia famiglia basta farlo una volta e poi non ci metto più le mani.

Ho anche un link che dicono faccia il test per vedere se è attaccabile... ma non è che mi fido molto a postarlo.

:bai

Andy86
22-11-14, 20: 52
:boh per fare i dns che dico io (opendns) non ho mai avuto bisogno di disattivare il dhcp, neanche su windows.
su linux si chiama "dhcp (solo indirizzi)".

Kirk78
22-11-14, 22: 02
A quanto ne so se attivi il DHCP sul router il server DNS "principale" è quello indicato nel router, e come secondari quelli indicati nel PC :boh
E comunque in un corso che feci sulla sicurezza mi hanno detto che per essere più sicuri è sempre meglio disabilitare il DHCP del router. Era un guru di Linux.

Poi se collego un pc di amiche e amici con il DHCP attivo da router automaticamente entra con i dns eventualmente modificati da attacchi se non cambiano i loro DNS (sempre se la priorità non sia di quelli inseriti nel router.

Infine ho sempre avuto dei problemi con l'assegnazione automatica degli IP tramite DHCP. Mi ricordo che quando avevo parecchio lavoro (haimé anni fa) in totale avevo anche 15 client collegati. Spesso alcuni IP andavano in conflitto. Da quel momento non ho neanche più cercato se fosse possibile inserire o meno i soli DNS (una volta non si poteva fare se non mettevi un IP fisso).

Non mi costa poi molto con un nuovo client mettere 4 numeri :tong2

Avevo visto quell'opzione su linux, ma se il DHCP del router è disattivo ovviamente non funziona.

:bai

EDIT anche Microsoft consiglia (o consigliava) la disattivazione

Only registered members can view code.

Armandillo
24-11-14, 18: 40
:bai

Non so se cio' che ho settato nel router proprio oggi potrebbe avere a che fare con la sicurezza ma senz'altro apporta un beneficio circa la connessione di piu' pc.

In pratica ho attivato la "prenotazione di indirizzi" configurando uno alla volta tutti i pc di casa quindi assegnando loro un IP univoco e modificando il range del DHCP immettendo il valore minimo quello del primo pc e come valore massimo quello dell'ultimo es:

indirizzo iniziale 192.168.1.2
indirizzo finale 192.168.1.11

ammettendo che

1° pc = 192.168.1.2
2° pc = 192.168.1.8
3° pc = 192.168.1.11

Ho deciso di praticare questa strada poiche' spesso ricevevo l'errore "gateway predefinito non disponibile" oppure "errore punto di accesso wireless".
Da oggi dopo pranzo lasciando accesi 3 pc non ho piu' riscontrato una disconnessione quando invece capitava almeno due/tre volte al giorno :boh
Forse l'aver delimitato il range in qualche modo puo' garantire una qualche sicurezza in piu' ...ma non ne sono certo.

Kirk78
26-11-14, 09: 49
Ciao Armandillo. Forse quello che ti succedeva a te era quello che mi succedeva a me per l'"inceppamento" del DHCP.
Quello che mi chiedo: se hai settato un IP fisso ad ogni PC perché utilizzi il DHCP? Il DHCP servirebbe, quando funziona (aggiungo Armandillo alla lista che ha problemi con questo servizio), ad assegnare l'IP del PC automaticamente, parola che mi da sinceramente molta noia. Sono io che decido, non una mucchio di circuiti :ghgh.

In realtà non hai fatto un'operazione di sicurezza ma hai ridotto il range per l'assegnazione degli IP del Dynamic Host Configuration Protocol. Se hai sia wireless che cavo la rete dovrebbe essere diversa a quanto ne so. Tipo

Ethernet 192.168.1.x
Wireless 192.168.0.x

Ho notato che nel campo DDNS (routing) del router c'è un indirizzo IP che non mi piace negli USA (sono in Italia io) e che era diverso da quello iniziale. Ma non ho nessuna opzione nel router che mi possa far modificare questo IP. Probabilmente perché ho disattivato il famoso o famigerato DHCP.

Brutta bestia questo attacco.

Non mi avete detto cosa succede al router se per caso non va a buon fine un aggiornamento del firmware: è da buttare? Noto che molti aggiornamenti inibiscono il downgrade, probabilmente per evitare noie con i problemi di attacchi ai loro prodotti.

:bai

Armandillo
26-11-14, 14: 50
@Kirk

In effetti il DHCP non e' disabilitato ma impostando IP diversi per ogni pc e restringendo il range ho ottenuto un miglioramento notevole poiche' quando erano connessi 2/3 pc spesso nasceva un conflitto di assegnazione :sisi

La "prenotazione degli indirizzi" va fatta sulla LAN per cui, come affermi giustamente, anche quest'ultima possiede un suo indirizzo.

Comunque sia da quando ho applicato quel settaggio non c'e' stata sui vari pc (1 desktop, 1 portatile ed 1 tablet) una sola disconnessione !!

Per quanto riguarda l'aggiornamento del firmware posso solo dire che il mio router lo ha di default in automatico e che volendo potrei disabilitarlo.
Fino ad ora ci sono stati 2 upgrade ed hanno avuto successo.
Penso che in caso di fallimento dell'upgrade il router non salverebbe l'aggiornamento, cosa che invece fa dopo averlo caricato, non compromettendo quindi il suo funzionamento.
Se e' così credo che non si comporti come per esempio l'upgrade fallito del Bios di un pc che sarebbe sicuramente molto dannoso se non devastante...ma la certezza non ce l'ho :boh

Kirk78
26-11-14, 17: 06
poiche' quando erano connessi 2/3 pc spesso nasceva un conflitto di assegnazione
Quello che succedeva a me eoni fa quando utilizzavo il DHCP.

Il mio non fa l'aggiornamento da solo. Ha un firmware obsoleto e probabilmente con il bug degli attacchi indicati, visto che l'IP è cambiato senza mio intervento.
Attendiamo qualcuno, spero nessuno, che ha avuto la brutta esperienza di un aggiornamento firmware di un router non andato a buon fine per sapere se deve andare nell'isola ecologica perché le apparecchiature elettroniche NON vanno nella plastica.
Devo dire che se per caso fossi obbligato, non mi andasse a buon fine e non funzionasse più.... non so quanti componenti elettronici rimarrebbero e probabilmente potrò tranquillamente :furious buttare la massa di plastica fusa direttamente nella plastica :ghgh

Spero vivamente che l'attivazione dell'ACL e la disattivazione del DHCP mi salvino dal tentativo. Anche se quell'IP nel routing non mi piace affatto!

:bai

Armandillo
26-11-14, 17: 49
:bai Kirk

Una curiosita'....non puoi fare un reset ed azzerare tutto ?

Kirk78
26-11-14, 17: 57
Una curiosita'....non puoi fare un reset ed azzerare tutto ?
Carissimo, un reset cancellerebbe probabilmente l'IP "strano" (ma non credo rigeneri un aggiornamento andato male) ma ci sono un sacco di settaggi che devo scrivermi prima di un eventuale reset per poi rimetterli. E poi la mia ADSL la usa tutta la famiglia e quindi devo trovare anche, oltre al tempo tiranno, anche un momento in cui non serve a nessuno.

:bai

Armandillo
27-11-14, 14: 58
:bai


Carissimo, un reset cancellerebbe probabilmente l'IP "strano" (ma non credo rigeneri un aggiornamento andato male) ma ci sono un sacco di settaggi che devo scrivermi prima di un eventuale reset per poi rimetterli. E poi la mia ADSL la usa tutta la famiglia e quindi devo trovare anche, oltre al tempo tiranno, anche un momento in cui non serve a nessuno.

Ho dato un'occhiata in rete per vedere di rispondere alla tua domanda precedente: cosa accade se un aggiornamento firmware fallisce ?

In effetti sembra che il router non funzioni piu' ma leggendo meglio ho trovato che ci sono procedure, forse diverse da router a router, molto macchinose che prevedono oltre al reset (indispensabile) anche modalita' strane con collegamenti/scollegamenti di cavi e disconnessioni varie.

Riporto qui una procedura parziale per rendere l'idea:

Ecco quindi i passi necessari per sbloccare il router:


disconnettere il router da tutti i cavi eccetto il cavo di alimentazione
premere il pulsante di reset (generalmente situato sul retro) per 30 secondi
senza rilasciare il pulsante di reset, scollegare l’alimentazione
mantenere premuto il pulsante per altri 30 secondi
ricollegare l’alimentazione del router
mantenere ancora premuto il pulsante di reset per altri 30 secondi
rilasciare ora il pulsante di reset e lasciare circa 10 secondi al router in modo che si reimposti
scollegare ancora il cavo di alimentazione per altri 10 secondi
ricollegare infine l’alimentazione


Ho scritto parziale perche' i suddetti passaggi servono solo al ripristino del router ma ancora non alla sostituzione del firmware corrotto.
In piu' sembra che alcuni router posseggano delle utility di ripristino ma non so quanto efficaci...e' un argomento da studiare meglio :sisi

Edit:

detto questo ma soprattutto letto quello :hap credo sarebbe opportuno togliere il segno di spunta alla voce "upgrade automatico firmware" all'interno della pagina di settaggio del proprio router...lo faro' :sisi

Kirk78
27-11-14, 16: 52
Grazie delle info condivise! Sinceramente preferisco esperienze CT in primis. Poi vedremo se sarò obbligato a farlo e quindi posterò risultati, opinioni ed eventuali info dal produttore. Quest'ultima sarà difficile visto che dopo un po' NON danno più info ne aggiornamenti :furious
E chi ha deciso di comprare il loro prodotto rimane in braghe di tela e sottoposto ad attacchi!

:bai

Armandillo
27-11-14, 22: 28
:bai

Continuando a cercare sembra che esistano delle utility apposite per ripristinare il firmware originale e qui (http://www.tp-link.it/products/details/?model=tl-wa730re#down) ne ho trovata una.
Purtroppo il ripristino all'origine pare sia difficoltosa e comunque macchinosa come potete leggere, come esempio, in questi passaggi che riguardano un NetGear:

"Domanda: L’operazione di aggiornamento del mio router non è andata a buon fine: che posso fare ?
Risposta: Si può provare un recupero con l’apposita Recovery Utility della Netgear, scaricabile da qui.
Togliere l'alimentazione al router.
Una volta scompattato l’archivio dg834_recovery_utility.zip, mettete nella stessa cartella il firmware che volete ripristinare.
Ora connettete un solo PC al router mediante cavo di rete.
Mantenere premuto il pulsantino di reset sul retro del router senza lasciarlo mentre ridate l'alimentazione: i led dovrebbero lampeggiare alternativamente dopo qualche secondo: questo significa che il router ora si trova in stato di IDLE.
Eseguite prima il il file RmDrv.exe che eseguirà delle operazioni preliminari sul driver dell'interfaccia di rete.
Eseguite quindi il file UpgradeWizard.exe.
Cliccando su Next nella prima finestra comparirà una lista dei vostri devices di rete: selezionate quello a cui è connesso il router e cliccate su Next.
Ora, nella device list, comparirà una stringa soltanto contenente il mac address del router: selezionatela e andate ancora avanti. Comparirà una schermata che riporta delle informazioni riguardo al vostro router: verificate che siano corrette e passate avanti.
Ora siete in presenza dell’ultima finestra: cliccate su Upgrade per procedere con il recupero (la fase di recupero passa attraverso tre stadi: Erasing EEPROM, Upgrade, Verification).Terminato il processo potete chiudere la finestra di conferma e utilizzare normalmente il vostro router.
ATTENZIONE:
- Una volta terminato l'aggiornamento eseguire nuovamente il file RmDrv.exe per rimuovere il driver precedentemente installato: inoltre, la vostra scheda di rete andrà riattivata: per farlo basta andare su risorse di rete premere col tasto destro sull'interfaccia e selezionare ripristina: ora potrete navigare normalmente.
- L'aggiornamento tramite l'utility di ripristino NON riporta le impostazioni del router ai valori di default: pertanto questa operazione, se necessaria, andrà fatta a parte tramite il pulsante di reset o dal pannello web"

Dopo aver letto anche in altri siti "specializzati" il consiglio e' di procedere con molta cautela ed e' mio parere di aggiornare solo se i vantaggi sono notevoli, un po' come avviene normalmente col Bios dei computer :sisi

Kirk78
28-11-14, 13: 02
Grazie ancora caro Armandillo, anche se io ho un TP-Link e leggo

Un firmware di aggiornamento errato potrebbe danneggiare il dispositivo ed invalidare la garanzia.
La garanzia è finita da eoni, ma vedo che in molti dicono che potrebbe danneggiare il router, come immaginavamo :triste
Non credo che si possa neanche richiedere una nuova eprom da sostituire e forse sarebbe costoso forse più di un nuovo router....

Noto che nessuno mi ha detto se le operazioni che ho fatto inibiscono o no l'attacco rom0 et simila. Probabilmente nessuno lo ha mai fatto oppure non si sono accorti del cambiamento di DNS da router, visto che la maggior parte delle persone utilizza il famoso o famigerato che dir si voglia DHCP. Anche perché le compagnie telefoniche e le ditte per non sbattersi tanto lo mettono per default e lo consigliano. E poi non tutti hanno più PC collegati e prediligono il wireless che è comunque più lento del cavo e soggetto a disturbi.

:bai