Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Sikkerhets med NGT

ddebono

Av ddebono
i Internett og nettverk

Anbefalte innlegg

ddebono

ddebono

Skrevet
Skrevet

Hei,

 

Har et innspill angående NGT og deres kontroll over kundens private nettverk.

 

De har full kontroll på den routeren kunden får. Det vil også si at de kan konfigurere brannveggen slik de ønsker. Vet også at de har åpnet for Telnet da de skal kunne konfigurere NetPhone boksen.

 

En utro tjener der vil kunne åpne det som trengs for at andre kan få tilgang til kundenes private nettverk.

 

En bredbåndsleverandør bør jo kun levere tjenesten til internett, og la kunden selv få styre med rettigheter. Og særlig for bedrifter er jo dette uakseptabelt.

 

Sikkert fra for de som ønsker plug&play, men for de som vil ha kontroll selv er jo dette ubrukelig. Og Netopia boksen er jo utolig lite brukervennlig.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
PulZ

PulZ

Skrevet
Skrevet

Hvis du ser på brannmur settingsa så ser du at det er kun 1 ip som har lov å connecte til routerene fra utsiden mot port 23(telnet)

 

Hadde dem ikke gjort dette, ville aldri tjenester slik som endring.nextgentel.no aldri virket.

 

Stoler du ikke på ngt så er det bare å fjerne allow reglene i brannmuren på routeren

Lenke til kommentar
kolbjorn

kolbjorn

Skrevet
Skrevet
Hvis du ser på brannmur settingsa så ser du at det er kun 1 ip som har lov å connecte til routerene fra utsiden mot port 23(telnet)

På min NGT router er det intet mindre enn 5 (fem!) IP-addresser som har lov til å telnet'te inn.

 

Men jeg har min egen brannmur på innsiden, så de kommer ikke så langt, selv om de prøvde.

Lenke til kommentar
enden

enden

Skrevet
Skrevet

Dette blir jo et spørsmål om brukervennlighet kontra sikkerhet (som vanlig). Det er sant at NGT tar seg friheten til å kunne logge inn på boksen din. Det er sant at når de først er inne så kan de konfigurere den som de vil. Spørsmålet er om de gjør det. De eneste tilfellene jeg kan forestille meg at det ville bli gjort var dersom noen brukte linja si til ulovlige ting eller brukte den for mye. I første tilfelle ville det være mer sannsynlig at linja ble strupet/stengt sentralt. I andre tilfelle ville det gått ut over en IT-kyndig person, og jeg kan garantere at vi ville hørt om det. Har vi det? Ikke jeg i alle fall. Sikkerheten ut over dette er ikke noe argument, da det er spesifisert hvem som har tilgang inn på rutern.

 

Når det gjelder brukervennlighet er det et faktum at svært få skjønner seg på disse modemene. De fleste som kalrer å få åpnet en port gjør det ved å følge en eller annen bruksanvisning på nett - en god del av de gjør noe feil og ødelegger. De aller fleste må ringe kundeservice eller bruke endringssiden til NGT. For å få til dette må man ha en vei inn utenfra, og dermet ser behovet for denne åpningen legeitimt ut. For de ekstra paranoide som vet hva de driver med er det ikke noe problem å stenge denne åpningen.

 

Når det gjelder en utro tjener så kan vedkommende finne på mye annet faenskap også, men det er aldri noen måte å beskytte seg mot slikt på...

 

Edit; ddebono: Dobbel NATing er ikke noe problem det. Åpne og vidresent fra første ruter til brannmur. Send derfra til rett PC. En skikkelig brannmur trenger heller ikke (er faktisk ganske sjelden) være en ruter med NAT, men et rent filter. Ideelt sett skal man bare ha èn DHCP, men det er ikke noe problem med flere, bare man har tunga rett i munnen.

Lenke til kommentar
Torbjørn

Torbjørn

Skrevet
Skrevet (endret)

kolbjorn: det finns 4 milliarder ipadresser der ute. 5 er forsvinnende lite til sammenligning.

 

har du firewallen *utenfor* din ruter?

 

det verste du kan gjøre hvis du tar deg inn på ruteren, er å pinge maskinene på innsiden...

 

EDIT:

Hva utro tjenere angår, er herping av andres ruter bare barnemat iforhold til ting som å lytte på nettrafikken din eller lese mailen din. Det kan du uansett ikke sikre deg mot ved å omkonfigurere din ruter.

Endret av Torbjørn
Lenke til kommentar
Sozinho

Sozinho

Skrevet
Skrevet

Om du er veldig redd for hva en utro NGT-ansatt vil kunne finne på, så kjøp deg din egen adsl-router og sleng Netopia boksen i en skuff da vel. Jeg har gjort det for lenge siden. På den måten har jeg full tilgang til routeren min via webinterface og alle instillinger. Har ikke hatt problemer med å gjøre dette heller.

Lenke til kommentar
ddebono

ddebono

Skrevet
  • Forfatter
Skrevet

Problemet med å benytte annet utstyr er bare at dersom det oppstår noen problemer vil NGT nekte å gjøre noe som helst og bare si "Dette er en ting vi ikke støtter".

 

Og det er også en ekstra kostnad med en ADSL boks.

 

Og nå orker jeg heller ikke å stå i telefonkø hver gang det er noe.

 

Faktisk ett hurra for Telenor. Trauste og aldri billigst. Men er man avhengig av stabilt bredbånd og hurtig service er de tingen. Det er ihvertfall min erfaring.

Lenke til kommentar
kolbjorn

kolbjorn

Skrevet
Skrevet
Blir det ikke et problem med NAT og routing med to brannvegger da ?

Nei, det går helt greit.

Men jeg skal inrømme at det var en liten utfordring til å få ftp utenfra til å virke gjennom to brannmurer.

(Min brannmur er en OpenBSD maskin med tre nettverkskort, og jeg har en web/ftp/etc. server på DMZ segmentet)

Lenke til kommentar
kolbjorn

kolbjorn

Skrevet
Skrevet
kolbjorn: det finns 4 milliarder ipadresser der ute. 5 er forsvinnende lite til sammenligning.

 

har du firewallen *utenfor* din ruter?

 

det verste du kan gjøre hvis du tar deg inn på ruteren, er å pinge maskinene på innsiden...

 

EDIT:

Hva utro tjenere angår, er herping av andres ruter bare barnemat iforhold til ting som å lytte på nettrafikken din eller lese mailen din. Det kan du uansett ikke sikre deg mot ved å omkonfigurere din ruter.

Neida, jeg er noe særlig bekymret for de stakkars fem addressene. De er forøvrig alle sammen innenfor NGT's addresseområde. (Ang. 4 milliarder addresse: Du glemte IPv6 ;) )

 

Min brannmur sitter "innenfor" NGT-routeren, vil jeg kalle det. Altså mellom NGT-routeren og mitt private nettverk.

 

Hvordan kan du være så sikker på at selv om noen tar seg inn på routeren, kan de ikke gjøre mer enn ping? Såvidt jeg har forstår, kan firmwaren i routeren oppgraderes "utenfra", fra de addressene som stoles på. Da er vel muligheten der for å installere en hacket firmware som tillater hva det skulle være. Dessuten er det ikke utenkelig at det finnes bugs i routeren som kan benyttes til skumle hensikter..

 

Du har rett i at utro tjenere hos en ISP enkelt kan lese din mail eller overvåke din nettbruk. Oom routerherping er barnemat eller ei i forhold til det, avhenger vel litt av hva du har liggende innenfor din brannmur, og hvor "uskyldig" din nettbruk er. Forresten så er det skuffende få norske ISPer som støtter kryptert overføring av passord og av mail. (ikke at det hadde hjulpet mot de utro tjenere vi snakker om, da må end-to-end kryptering til.)

 

Grunnene til at jeg satte opp min egen brannmur var ikke at jeg ikke stoler på NGT, men fordi jeg ville sette opp en DMZ med maskin(er) som kan nås utenfra. Dessuten er det lærerikt å tukle med slikt innimellom, og tilfredsstillende å bruke en 14år gammel maskin til noe fornuftig. Videre skriver NGT selv i abonnementspapirene at for bedrifter anbefaler de en ekstra brannmur i tillegg til routeren. (Jeg har ikke bedrift hjemme, men likevel)

 

Vurderte å sette netopia routeren i "bridge mode", men valgte til slutt ikke å tukle med dette, selv det hadde gjort en del brannmur-regler enklere, spesielt for ftp (inn), bittorrent o.l. Har noen NGT brukere her god erfaring med å sette sin Netopia router i "bridge mode"? Jeg har også sett betegnelsen "pass-thru".

 

"Torbjørn" ? - Å faen, gikk det an å bruke norske bokstaver? :whistle:

Lenke til kommentar
kolbjorn

kolbjorn

Skrevet
Skrevet
[..klippe..]

Ideelt sett skal man bare ha èn DHCP, men det er ikke noe problem med flere, bare man har tunga rett i munnen.

Med den nettverkstopologien som diskuteres her, har man uansett ikke mer enn en DHCP server pr. nettverkssegment, så noen spesiell tungegymnastikk burde være overflødig. :p

Lenke til kommentar
enden

enden

Skrevet
Skrevet
[..klippe..]

Ideelt sett skal man bare ha èn DHCP, men det er ikke noe problem med flere, bare man har tunga rett i munnen.

Med den nettverkstopologien som diskuteres her, har man uansett ikke mer enn en DHCP server pr. nettverkssegment, så noen spesiell tungegymnastikk burde være overflødig. :p

Litt uheldig formulering av meg :) Inni det litt vanskelige hodet mitt valgte jeg å dytte NAT inn undet DHCP siden de fleste snakker om en ekstra ruter innenfor ISP-en sin når de mener en ny brannmur :) Da blir det gjerne dobbel NAT-ing og dobbel DHCP :blink:

Lenke til kommentar
ddebono

ddebono

Skrevet
  • Forfatter
Skrevet

Kolbjorn: Netopia kan ikke settes opp i bridge, men ip-passthrough. Fikk dette til å fungere greit, men så fikk jeg NextPhone og hadde et eller annet problem. Når jeg da snakket med NGT så var svaret det at de ikke kunne hjelpe før jeg hadde kuttet ut IP-passthough som de mente var ett "hack"

 

Hvis du søker på Netopia og IP-passthough her så vil du finne en beskrivelse som jeg laget her

Lenke til kommentar
kolbjorn

kolbjorn

Skrevet
Skrevet
Kolbjorn: Netopia kan ikke settes opp i bridge, men ip-passthrough. Fikk dette til å fungere greit, men så fikk jeg NextPhone og hadde et eller annet problem. Når jeg da snakket med NGT så var svaret det at de ikke kunne hjelpe før jeg hadde kuttet ut IP-passthough som de mente var ett "hack"

 

Hvis du søker på Netopia og IP-passthough her så vil du finne en beskrivelse som jeg laget her

Jepp, det var din ypperlige side som gjorde at jeg vurderte passthru. Bukker og takker. Men ettersom det et en konfigurasjon som NGT ikke støtter, gjorde jeg regning med at det ville få meg i trøbbel før eller senere, så jeg valgte å stå over.

Lenke til kommentar
kolbjorn

kolbjorn

Skrevet
Skrevet
[..klippe..]

Ideelt sett skal man bare ha èn DHCP, men det er ikke noe problem med flere, bare man har tunga rett i munnen.

Med den nettverkstopologien som diskuteres her, har man uansett ikke mer enn en DHCP server pr. nettverkssegment, så noen spesiell tungegymnastikk burde være overflødig. :p

Litt uheldig formulering av meg :) Inni det litt vanskelige hodet mitt valgte jeg å dytte NAT inn undet DHCP siden de fleste snakker om en ekstra ruter innenfor ISP-en sin når de mener en ny brannmur :) Da blir det gjerne dobbel NAT-ing og dobbel DHCP :blink:

Hehe, jeg forstår. Ikke alltid så lett å holde tunga i den rette munnen.

 

I ettertid kan jeg neimen ikke huske hvorfor jeg valgte å kjøre dobbel NATing. Som en øvelse bør jeg kanskje se på hva følgene er av ikke å kjøre NATing på min indre brannmur.

 

Finnes det en enkel måte å skru av all brannmurfunksjonalitet i en NGT netopia router, men beholde NATing, og videresende ALL trafikk inn videre til min indre brannmur?

 

Sammen men kun en NATing kunne kanskje det gitt et noe enklere oppsett enn det jeg har nå.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...