I router di fascia consumer sono più o meno vulnerabili? [chiuso]

TL: DR - Sì, i router CAN sono vulnerabili.

Router non configurati / non configurati - Un sacco di persone installano i propri router e lasciano attivi gli account predefiniti senza modifiche. Permettendo così agli aggressori un facile accesso.

Script integrati vulnerabili - link

Vedi:

• Cos'è il worm" Moose "e come posso proteggermi da esso?

• link

• link
• link

Come rispondere se la "configurazione corrente" è sicura. Avremmo bisogno di un po 'più di informazioni sull'intero ambito della tua sicurezza cipolla prima di poter rispondere.

Sono state fornite altre risposte per sapere se i router sono sicuri: il tuo router probabilmente ha vulnerabilità prive di patch.

Una raccomandazione per rendere le cose più sicure sarebbe quella di mettere una vera scatola Linux davanti al router. Configuralo per aggiornamenti automatici della sicurezza ogni 10-30 minuti, in modo che le patch arrivino rapidamente. Per le vulnerabilità del kernel, potresti usare qualcosa come KSplice (devi pagarlo, sfortunatamente) che può riparare queste vulnerabilità in un kernel Linux in esecuzione, cioè senza un riavvio.

Quello che probabilmente vorrai fare è configurare la tua rete in questo modo:

Notareche"Network Partition" e "Server DMZ" non devono essere dispositivi fisici, ma possono esserlo. L'impostazione precedente mette le tue workstation in una sottorete e il tuo server (s) in un'altra sottorete. Questa è chiamata "Zona De-Militarizzata", o una DMZ in breve. Avere i server in una DMZ consente di limitare ciò che può connettersi alla DMZ dalla rete della workstation e viceversa. Un compromesso di un server nella DMZ può essere limitato per rimanere all'interno della DMZ. Un compromesso di un dispositivo nelle tue workstation / dispositivi WiFi, ecc. Può essere limitato a non essere in grado di colpire la DMZ.

A proposito, questo è il motivo per cui non dovresti ospitare le cose a casa se puoi aiutarla. Gestire una rete è qualcosa in cui credo che tu non voglia essere un lavoro a tempo pieno.

Spero che questo sia utile.

Un router è in realtà un piccolo computer; molti di loro usano lo stesso tipo di software dei server a pieno titolo (tipicamente alcune varianti di Linux). Come tale, ha buchi di sicurezza, che dovrebbero essere tempestivamente riparati una volta scoperti. Le vulnerabilità che non sono fisse potrebbero essere sfruttabili e fornire il controllo remoto agli aggressori, a quel punto possono fare quello che vogliono con il router e, in particolare, vedere tutto il traffico interno (a meno che non siano bloccati da ulteriori firewall). Il vero problema qui è che gli aggiornamenti software sui router vengono effettuati raramente; si chiama "aggiornamento del firmware" e quasi mai fatto.

La maggior parte degli ISP cablati fornisce il modem e tende a considerare che il modem è ancora il loro, non il tuo. Alcuni spingeranno gli aggiornamenti del firmware da soli, senza alcun preavviso. Alcuni tenteranno di bloccare automaticamente a livello di rete i tentativi di connessione in entrata che sembrano attacchi a vulnerabilità note. Ad alcuni non interessa.

Alcuni ISP possono anche affermare che con l'hosting di "server" si stanno violando le condizioni di utilizzo, quindi si blocca l'accesso a Internet o si addebita di più. In ogni caso, l'ISP applica una larghezza di banda asimmetrica, con molto più download rispetto al caricamento. Nella mia esperienza (*), il server hosting a casa tua, se possibile, non è davvero degno di questo sforzo. Devi fare attenzione a volare sotto il tuo radar ISP (o utilizzare uno dei rari ISP che non si preoccupa di "utilizzo del server"), e le prestazioni sono scarse. Affittare un server da qualche parte (un semplice VPS) è economico, veloce e molto meno fastidioso.

^{(*) La mia esperienza include l'esecuzione del DNS principale per il mio dominio e il mio server di posta da una macchina domestica. Non lo faccio più.}

I router di fascia consumer sono spesso più vulnerabili del grado professionale per i seguenti punti chiave:

1. Solitamente funzionano solo tramite interfacce web o grafiche, dove gli errori colpiscono alla velocità del clic. Il clic è quello del proprietario, del gatto o dell'attaccante.

2. Di solito hanno un server web incorporato che è di per sé un'enorme quantità di codice con una quantità proporzionata di vulnerabilità. Per i modelli che avevo a disposizione, questo server web non poteva essere disattivato. Su server di livello professionale può essere facilmente disattivato, chiudendo così una serie di punti deboli.

3. Non ottengono gli stessi aggiornamenti di controllo qualità e correzioni di sicurezza.

4. Molto spesso incorporano funzioni di amministrazione e debug remoto semplici che non sono pubblicizzate pubblicamente a causa del mercato di riferimento: consumer grade. Queste funzioni di amministrazione e debug sono ben note ai professionisti della rete e ai cyber-criminali. Questo è un enorme pezzo di sicurezza attraverso l'oscurità. La verità è che è nessuna sicurezza .

Terminerò con una risposta a una domanda che non hai chiesto, ma a cui Naftuli Tzvi Kay ha dato una risposta piuttosto dettagliata: Linux box davanti al tuo router

How would you sort the security level of three kind of equipments to connect to Internet:

a consumer grade router, a professional grade router, a Unix server running as a firewall router ?

Ecco la mia esperienza professionale pratica su circa un centinaio di tali apparecchiature:

1. Server Unix configurato come router e firewall

2. router firewall di livello professionale

3. Router firewall di livello consumer

Ci sono alcune buone risposte qui, ma volevo sottolineare che ci sono stati molti risultati di ricerca recentemente che mostrano che la sicurezza dei router domestici e delle piccole imprese è stata molto scarsa. In particolare, alcuni importanti produttori, come Netgear, TP Link Linksys, ecc., Hanno riscontrato alcune pratiche molto scarse, come l'uso della stessa chiave SSH su tutti i modelli, incluso il supporto USB e USB virtuale che non è sicuro, con servizi in esecuzione che mancanza di protezione adeguata dall'essere sfruttato come parte di un attacco di amplificazione DDoS ecc.

Naturalmente, non vi è alcuna garanzia che i router "enterprise" più costosi saranno meglio.

In questi giorni, l'hosting di siti Web sulla tua connessione domestica è raramente una buona idea. C'era una volta, ha notevoli vantaggi finanziari, ma penso che in questi giorni ci siano opzioni di hosting molto buone e competitive che sono una scelta molto migliore. La realtà è che al giorno d'oggi le persone si aspettano di più, ovvero l'hosting che include UPS, backup, ridondanza, ecc. Il livello delle minacce alla sicurezza è aumentato al punto che mantenere le cose aggiornate è schiacciante. Trova una buona compagnia di hosting e vedi che tipo di accordo puoi ottenere.