|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
Naja ich verwalte mein PPPoE Debian Server meist per SSH ... ;)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Dito hier mit meinem FreeWRT. Eigentlich ausschliesslich per SSH, weil Webinterface gibt's da keines. :-)
.oO( Warum wusste ich nur, dass der erste Kommentar da sein wird, bevor ich den Poll fertig habe. :-)
--
There is no place like $HOME
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 23. January 2008, 20:26 MEW (#4)
|
|
|
|
|
Warum ausgerechnet "Linux"-PC? Es gibt auch andere als Router taugliche Betriebsysteme. Natürlich läuft das dann quasi wie mit einem "guten Linux" genauso und SSH wird ebenfalls statt eines Web-Interfaces genutzt. Ich erwähn das nur mal so, falls sich jemand fragt, was für obskure Methoden mit "Anders" da gemeint sein könnten. Ganz Perverse benutzen wahrscheinlich einen Windows-PC als Router. Komisch auch das Telnet nicht erwähnt wird. So konfiguriert man nämlich türkische Router - per Default-Passwort aus dem Internet versteht sich.
|
|
|
|
|
|
|
|
|
|
|
|
|
Wer wirklich einen per Telnet konfigurierbaren Router hat, kann doch "Raffzahn macht das für mich" auswählen.
Ob das jetzt wirklich Raffzahn oder irgendein anderer aus dem Netz macht, kommt doch aufs Gleiche raus. ;-)
--
deutschsprachige Phantastik online
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 23. January 2008, 21:13 MEW (#5)
|
|
|
|
|
In der Schweiz ist jeder Router von Haus aus so konfiguriert dass das Webinterface nur von intern erreichbar ist, zudem nennt Symlink wieder mal nicht worum es gaht, zurzeit gehts um Router in Brasilien!!!!
|
|
|
|
|
|
|
|
|
|
|
|
|
Das ist irrelevant. Ich zitiere gerne nochmals den Artikel:
"...von jeder beliebigen besuchten Webseite angesteuert werden können, sobald der Benutzer das Webinterface in einem anderen Tab oder Browser offen hat und die Default-IP-Adresse nicht geändert wurde"
Das heisst: Wenn Du das Webinterface in *deinem* Browser offen hast (also von innen her darauf zugegriffen) und *gleichzeitig in einem anderen Browserfenster* eine Website offen hast, die Schadcode enthält, lässt sich anscheinend Dein Router *von innen* angreifen. Wenn dann sein Webinterface nicht sicher ist ist man drin.
Wenn man übrigens den Heise-Artikel liest ist dort die Rede von Mexiko und Grossbritannien, nicht von Brasilien. Die angreifbaren Router-Modelle sind aber offensichtlich weltweit im Einsatz (was ja wohl auch zu erwarten ist - produziert ja keiner solche Dinge nur für den Heim-Markt).
Als Gegenmassnahme würde reichen, den Router mit einem anderen Webbrowser-Fabrikat zu konfigurieren als das, mit dem man normalerweise surft. Oder auch, vor/während der Router-Konfiguration alle anderen Browserfenster und Tabs zu schliessen.
Grsse vom Knochen
--
Tiere töten, um zu leben. Menschen sterben, um zu töten.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 24. January 2008, 21:09 MEW (#20)
|
|
|
|
|
kennt jemand die Dlinks wars glaube ich, oder Zyxel? Lücke in welcher man von überall her auf die Firmware-Upload und Password-Reset Seite des Webinterface ohne Passwort konnte? die war nicht .htaccess geschützt!
Sowas finde ich schlimmer
|
|
|
|
|
|
|
|
|
|
|
|
|
m0n0wall firewall nur von innen per https webinterface und auf firefox NoScript installiert. hoffe es reicht %)
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 23. January 2008, 22:21 MEW (#7)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Jups, auch bei mir läuft eine m0n0wall auf einer Wrap (pcengines) Plattform.
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich habe den WRAP-Nachfolger ALIX mit einem Debian laufen.
|
|
|
|
|
|
|
|
|
|
|
|
|
hier läuft ein weiterentwickelter fork von m0n0wall - pfsense - auf einem älteren pc (pIII-300)
|
|
|
|
|
|
|
|
|
|
|
|
|
Bei mir ist die Software Debian,die Hardware ein
wrap, und die Konfiguration mache ich mit ssh.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Bei mir tut eine net4801 ihren Dienst als Router. Zur Verwaltung ist nicht mehr installiert als ssh.
Mein Motto: Jedem das seine
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 24. January 2008, 10:33 MEW (#11)
|
|
|
|
|
Hier in UK scheint zumindest BT schon reagiert zu haben. Ich finde es zwar ein wenig beängstigend, dass BT sowas remote machen kann, aber mein Router hat gestern abend das Admin-Passwort auf die Serial ID des Routers umgestellt und fordert mich nun auf, dieses zu ändern.
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 24. January 2008, 15:34 MEW (#17)
|
|
|
|
|
LOL. Das wundert dich? Hallo? Du hälst dich in einem Überwachungsstaat erster Güte auf. Oder bekommt man das von drinnen gar nicht mehr mit?
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Sunday 27. January 2008, 21:20 MEW (#23)
|
|
|
|
|
Mag sein. Der schweizer Polizeistaat ist ja sowieso viel schlimmer:
http://www.woz.ch/artikel/2008/nr04/schweiz/15880.html
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Warum denn bitte, ist der genannte Artikel schlecht recherchiert? Gibts auch Begründungen und Fakten zu deiner Aussage, oder ists einfach nur bashing?
--
In the beginning was the Word, and the Word was "Arrrgh!" - Piratcus 13:7
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich bin einigermassen erstaunt, dass dies nicht weiter herum bekannt ist, aber das ist eine durchaus bekannte Attacke. Einfach gesagt kann damit eine beliebige, in einem anderen Fenster oder Tab des selben Browsers laufende Session übernommen werden, sofern:
- JavaScript aktiviert ist,
- die IP-Adresse oder der Hostname des Servers mit der Session dem Angreifer bekannt ist,
- HTTP-Auth oder Cookies für die Session verwendet werden.
Das funktioniert so: Zunächst wird per JavaScript ein eigenes Fenster mit dem zu manipulierenden Formular geöffnet (dafür wird die IP-Adresse oder der Hostnamen gebraucht). Da der Browser die Session bereits anderweitig offen hat, schickt er im neuen Fenster die selben HTTP-Auth Codes bzw. Cookies. Der Server kann die Anfrage unmöglich von einer Legitimen unterscheiden, und liefert brav das Formular. Da dieses vom Angreifer geöffnet wurde, "gehört" es ihm, und kann per JavaScript manipuliert werden.
--
Nicht Kommerz oder Gesetze können OpenSource zerstören, sondern Paranoia und Fanatismus.
|
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 24. January 2008, 13:06 MEW (#15)
|
|
|
|
|
Ganz einfach zu verhindern, indem in der Webseite ein Hiddenfield mit einem Uniquewert hinterlegt wird.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
"Ganz einfach" ist das auch nicht. Es erfordert ein echtes Session Management (was Webinterfaces von Routern oft nicht haben), und es macht Bookmarks sowie die Vor, Zurück und Reload Buttuns unbrauchbar. Dafür schützt es nicht nur effektiv vor Cross-Window-Scripting, sondern auch vor Replay Attacken, weswegen es auf sicherheitskritischen Systemen, etwa beim Telebanking, eingesetzt wird.
Trotzdem würde ich mich nie darauf verlassen, dass solche Vorsichtsmassnahmen getroffen wurden. Der einfachste und beste Schutz ist es, sicherheitskritische Webanwendungen allein im Browser zu haben, oder zumindest nur zusammen mit Seiten oder Anwendungen, denen man absolut traut.
--
Nicht Kommerz oder Gesetze können OpenSource zerstören, sondern Paranoia und Fanatismus.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 24. January 2008, 20:47 MEW (#19)
|
|
|
|
|
Hier wird mal wieder fleissig mit Halbwissen umhergeworfen...
Eine zufällige ID als Schutz vor XSRF ist nur für Requests nötig, welche in der Applikation effektiv eine Aktion auslösen, was i.d.R. als POST-Request sind (resp. sein sollten). Für normale GET-Requests, also das normale Durchstöbern der Webapp über Hyperlinks, hat das keinerlei Auswirkungen, und deine Vor- und Zurück-Buttons sowie Bookmarks funktionieren weiterhin wie erwartet.
Es ist halt nun mal so, dass es nicht ganz einfach ist, sichere Webapplikationen zu bauen. Ein paar PHP-Howtos machen halt noch keinen Ingenieur.
-A.F.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Mein Router ist ein altes PC-Mainboard mit einer 120MHz Cyrix CPU (entspricht P133), inkl. CF-Adapter und Netzteil auf ein Brett geschraubt, und tut wunderbar -- die 120MHz schaufeln 120kb/s downstream.
Das ganze laeuft unter NetBSD.
- Hubert
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich habe seit Jahren (seit Version 4) den Security Gateway von Astaro [1] am laufen. Dieser ist Linuxbasiert, komfortabel, bietet eine Vielzahl von sinnvollen Funktionen und eine intuitive Benutzeroberfläche - und ist für Privatanwender mit einer Home License gratis zu haben.
Bis Version 6 hatte ich ihn auf einem eigenen Rechner, nun läuft die Astaro Virtual Appliance [2] in einem VMWare-Server [3] mit zwei eigenen physischen (gebridgeten) Netzwerkkarten.
[1] http://www.astaro.com/, http://de.wikipedia.org/wiki/Astaro_Security_Linux
[2] ftp://ftp2.astaro.com/pub/Astaro_Virtual_Appliance/v7.0
[3] http://www.vmware.com/products/server/
--
Each time you have a SELECT * in your Query, God kills a Seefahrer.
|
|
|
|
|
|
|
|
|
|
|
|
|
das cisco IOS ueber COM.bei der telekom austria verwenden sie jetzt scheinbar fuer die kmu-accounts kleine cisco-router, die direkt von der zentrale aus konfiguriert werden. an sich gar nicht so bloed(ein starkes passwort drauf), allerdings schlampig konfiguriert(ein 128bit-WEP-key, allerdings hidden SSID und die SSID ist mit gross- und kleinschreibung, salted und keine woerter)hab derartige konfigs schon zweimal gesehen. an sich gar nicht bloed.
|
|
|
|
|
|
|
|
|
|
|
|
|
... normal MirBSD PC.
Ich bin BSDler, ich darf das!
Dieser Platz zu vermieten!
|
|
|
|
|
