Av - kan jeg få ny firmware til min ADSL router?
Som jeg har prøvet at fortælle version2s redaktion et par gange, så er ADSL router-situationen nok endnu værre end vi pt. ved. Naxxatoe - som gæstede Open Source Days 2008 - leverede i oktober et skræmmende billede af de angrebsmuligheder, som "the dark side" har overfor hjemme-netværk. Jeg tror et af de emner, som bliver alfa og omega i denne diskussion er opgradering. Jeg patcher mine servere hele tiden, på arbejdet får min trælse WinXP jævnligt patches ind, men hvem sørger for opgradering af min router?
Routeren er også bare en computer - ofte en embedded Linux-box - som ligger under for de programmerings-fejl, der findes hen ad vejen. Routerens firmware-levetid er meget interesssant. Kan jeg på producentens hjemmesiden finde firmware, som følger med de svagheder, som pt. er kendt. Jeg vil gætte på, at det er en dødsejler for de billige routere fordi der ingen økonomi er i firmware-opgraderinger.
Jeg kiggede lige på mit datostempel for min router-firmware og begynder at overveje hvilke kendte fejl, der er fundet i Linux-kernen i den periode. Naturligvis er det langtfra alle fejl, som ville kunne udnyttes - men hvem holder øje med det, og hvem patcher routeren? Jeg håber vores internet-udbydere har solide kontrakter og procedurer omkring produktion og upgradering af ny firmware til de routere, de sender ud til kunderne - men jeg føler mig ikke overbevist om at vi kan sove roligt....
/pto
Om Peter ToftPeter Toft er senior specialist hos Renesas Mobile og har blogget om open source og Linux siden Version2's begyndelse. Blogger også jævnligt om andre sjove teknologi-områder.
Follow @petertoftKommentarer (21)
Jeg havde tidligere en router fra LinkSys, og den opgraderede jeg et par gange firmware på. Det var nemt at finde på deres hjemmside og det var nemt at opgradere den.
Nu har jeg en 3G-bredbåndsrouter fra Huawei, og selvom jeg hare prøvet et par gange, så har jeg nu opgivet af hitte ud af, hvor på deres hjemmeside jeg kan finde en eventuel opgradering.
... så må jeg lade falde, hvad ikke kan stå.
-
0 -
0
mit ansvar starter efter RJ45 stikket i routeren, som er cybercity's ejendom og skal den opdateres må det være dem der siger til. Jeg har dog slået remote adgang fra på wan siden (komplet idiot er man vel heller ikke (men det er cc måske)).
Efter routeren sidder der en linksys wrt54gl med openwrt som 100% er sat op af mig, kan kun tilgåes med ssh og nøglefiler - her tager jeg ansvaret.
-
0
-
0
Du har med andre ord forhindret CC i at opdatere den, så jo, du er faktisk komplet idiot, når du modficerer det udstyr de leverer for derefter at fraskrive dig ansvaret.
-
0
-
0
Hold da op. CC burde slet ikke tillade ham at komme ind i routeren hvis de havde planlagt at opdatere den.
Har han opdaget det via en portscanning, så burde routeren være firewallet til kun at tillade opdatering fra very.secure.cybercity.dk
-
0
-
0
Jeg vil vælge samme fremgangsmåde for min router som for min farve laser printer.
Når min printer går tør for toner, er det billigere for mig at anskaffe en ny printer, end at fylde ny toner på den.
Min wrt54gp2 har nu nogle år på bagen, og når dato stemplet på den seneste firmware er mere end 12 mdr. så bliver den udskiftet.
-
0
-
0
Du bor ikke sådan rent tilfældigvis i nærheden af mig? I givet fald vil jeg gerne tilbyde en IT-storskralds-service. Helt gratis :)
Routere, printere, måske endda hele maskiner?
Seriously: Det er da lettere at proppe en ny FW på en router end det er at købe en ny, installere den fysisk og sætte den op fra bunden. Og når man nu alligevel er i gang, kan man endda vælge at udskifte factory-firmwaren med noget mere fornøjeligt; OpenWRT eller DD-WRT eller lignende. Det kommer godt nok til at koste mere tid, da der er en forfærdelig masse knapper, håndtag og andet guf, man kan muntre sig med.
Men hvad, jeg gør ikke min fritid op i timelønninger. Bare det er sjovt og lærerigt.
-
0
-
0
Du har med andre ord forhindret CC i at opdatere den, så jo, du er faktisk komplet idiot, når du modficerer det udstyr de leverer for derefter at fraskrive dig ansvaret.
Cybercity opgraderer IKKE firmware remote. Så ja, det er idiotisk og uansvarligt at lade muligheden stå åben.
-
0
-
0
Som jeg læser det er der en router efter cybercitys. Dvs der er direkte adgang fra WAN ind på CC's router, hvorfor de også er i stand til at kontakte den.
Men i øvrigt ikke bevæge sig længere ind på netværket.
Dvs en slags Dobbelt dmz sone.
Sikkerhedsmæssigt er det en ok løsning. Det er nok ikke noget, der lige forbedrer ping tider dog.
-
0
-
0
De SOHO routere, som CC har enablet WAN-konfiguration på - kan de også kontrolleres fra LAN-siden?
Eller mener CC at det er deres router, som kunden skal holde sig fra at stille på?
Hvis det er det sidste, så har CC vel påtaget sig ansvaret for dimsen, og må holde den sikker og opdateret, ikke sandt?
Og samtidig bliver det nødvendigt for kunden at sætte sin egen SOHO router bagved for at få det net kunden selv ønsker - hvorved det bliver meningsløst at have den mere fancey SOHO router yderst....
/esin
-
0
-
0
Der er intet til hinder for at skifte CC (skod) router ud med noget andet.
Personlig anvender jeg f.eks. en Draytek router med 2 sip porte.
Og den kan kun (har jeg valgt) konfigureres fra indersiden.
/Christian
-
0
-
0
@ Christian Nobel:
Jaeh - det løser jo i hvert fald problemet for dén som vælger at gøre sådan. Men det større problem - at CC leverer en jævn strøm af potentielle botnet-deltagere - er ikke løst med det nævnte tiltag.
CC har fortsat et ansvar, og det vil bestemt være god tone at de løfter opgaven på passende vis.
Jeg sidder her og spekulerer på om der mon kan lægges et juridisk ansvar på en ISP, der udviser førnævnte adfærd?
-
0
-
0
CC har fortsat et ansvar, og det vil bestemt være god tone at de løfter opgaven på passende vis.
Jeg må indrømme jeg forstår ikke helt anklagen, for de CC routere jeg har haft hænderne på har alle været forsynet med et rimeligt godt password, efter bogen med tal, samt store og små bogstaver.
Og sådan som jeg husker det er webinterfacet ikke åbent fra ydersiden - men det er lang tid siden jeg sidst har rodet med dem, så det kan have ændret sig.
Og så var min kommentar iøvrigt ligeså meget til Eskild om at der ikke er nogen grund til at sætte en ekstra router bag CC's, men at man kan udskifte hele baduljen.
/Christian
-
0
-
0
@ Christian Nobel:
Ja, jeg har osse undret mig over rygterne om a CCs routere har alting stående pivåbent. Selv er jeg Fullrate-kunde, hvilket til dato har været en god oplevelse. Teknisk support har været i A++ klasse :)
Jeg har fået sat den udleverede ADSL-boks i bridging-mode og så sat min egen gamle WRT54G bagved - forsynet med en DD-WRT. Virker nydeligt, men jeg skal da vist lige ha' kigget SSH-opsætningen igennem en ekstra gang.
-
0
-
0
@Christian:
Og så var min kommentar iøvrigt ligeså meget til Eskild om at der ikke er nogen grund til at sætte en ekstra router bag CC's, men at man kan udskifte hele baduljen.
Jeg kommenterede på at der var en der havde CC router yderst og sin egen inde bag ved, som der åbenbart er flere der føler at de er nødt til.
/esni
-
0
-
0
"jeg skal da vist lige ha' kigget SSH-opsætningen igennem en ekstra gang".
DD-WRT kan sættes til at sshd kun tillader login med nøgler. Derudover kan der lukkes for telnet, og web-adgangen kan lukkes fra WAN + WIFI siden.
Ved førstkomne lejlighed vil jeg iøvrigt skifte til Openwrt efter at jeg har konstateret at DD-WRTs SVN indeholder en del non-GPL kode:
http://en.wikipedia.org/wiki/DD-WRT#Controversy
(Hvis et GPL-projekt ikke engang kan holde styr på hvilken kode det har ret til at bruge og distribuere, så har det måske heller ikke så godt styr på det sikkerhedsmæssige).
-
0
-
0
Cybercity opgraderer faktisk firmware på de routere der er udleveres, hvis ikke passwordet er blevet ændret.
-
0
-
0
Cybercity opgraderer faktisk firmware på de routere der er udleveres, hvis ikke passwordet er blevet ændret.
Det er aldrig sket på nogen af de CC routere jeg har haft mellem fingrene.
-
0
-
0
Jeg er blevet bedt om at opdatere firmware fra CC, og da jeg har slået remote adgang fra på wan siden, så måtte jeg lige slå den til igen og opdaterede der efter selv firmwaren hvor efter jeg slog remote på wan fra igen, sådan set nemt nok - Maren i kæret havde næppe fundet ud af det, men hun har sikkert heller ikke remote wan slået fra !
-
0
-
0
@ L. K. Lundin
DD-WRT'en er lukket for både telnet og ssh, men jeg vælger at bibeholde webaccess fra wan. Der er så gjort noget med fornuftige passwords.
Ja, OpenWRT er ikke så tosset. Jeg er imidlertid faldet for bandwidth-management-delen i DD-WRT.
'ssh-opsætning' refererer til en begvedstående 24/7-box, som kører debian Lenny. Skal ha' kigget på 'nøgler' i stedet for pw...
-
0
-
0
En smule off-topic, men er der ikke nogen, som kan anbefale mig en god trådløs router? Den skal kunne opgraderes med DD-WRT eller lign., og der skal være USB-interface til ekstern harddisk. Og den skal frem for alt være hurtig og stabil. It's a jungle out there!
P.t. har jeg en WRT54GC, men den bliver temmelig langsom og skal rebootes, når den presses lidt.
-
0
-
0
En smule off-topic, men er der ikke nogen, som kan anbefale mig en god trådløs router? Den skal kunne opgraderes med DD-WRT eller lign., og der skal være USB-interface til ekstern harddisk. Og den skal frem for alt være *hurtig* og stabil. It's a jungle out there! P.t. har jeg en WRT54GC, men den bliver temmelig langsom og skal rebootes, når den presses lid
Jeg bruger selv en Asus WL500gP v1, som hardwaremæssigt minder om WRT54G(L), bortset fra at den har 32 MB ram mod 16 MB i Linksys'en, og CPUen er lidt hurtigere. Derudover er der to USB 2.0 porte.
Version 1 af Asus WL500gP routeren har et mini-PCI WiFi kort, som kan udskiftes. Som standard sidder der et Broadcom kort, som kun understøttes ordentligt af en binær driver som kun findes til 2.4 Linux kernen. Blandt OpenWrt brugerne er det meget populært at udskifte det med en Atheros kort, så man kan bruge OpenWrt med en 2.6 kerne og en open-source driver.
P.S. Efter at have brugt både DD-WRT og nu OpenWrt er det min erfaring af sidstnævnte er mere stabil, så måske kan en anden firmware løse dine problemer?
-
0
-
0
