FERRARI81
Mi dispiace ma io faccio il programmatore e non sono esperto di reti.
So pero che se faccio https://etc... la chiamata arriva sulla 443.
Se arriva sulla 443 e mi possono buccare, per ora lascio parcheggiato il Ftitz.
Grazie
Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590
- Modificato
bortolotti80
ma se io creo il blocco della porta 443 con questi profili, perdo l'accesso alla webUI da LAN? (da WAN è gia chiusa).
per creare una lista mi chiede porta sorgente e porta di destinazione, cosa dovrei mettere?
inoltre ho scoperto di avere l'opzione "Modalità Stealth del firewall" disattivata. Conviene attivarla?
denisj So pero che se faccio https://etc... la chiamata arriva sulla 443.
arriva sempre sulla 443 perche' il browser quando nella url trova https fa sempre una connessione con destination port 443. Poi e' il virtualhost del fritzbox che decide cosa farti vedere e cosa no se e' abilitato il web management, ma questo e' nel codice del firmware, non e' come configurare un web service nginx o apache in cui decide tu a cosa puo' accedere nel filesystem, lo decidono loro e tu non lo sai
Di sicuro che se la 443 sulla wan la natti verso un altro ip della lan e non esponi la web management del fritzbox, stai lo stesso sicuro, tutte le vulnerabilita' al giorno sono sempre da layer 4 in su. Anche firewall che ho visto bucati hanno sempre sfruttato servizi web esposti dal firewall o cookie di sessione sempre legati alla parte web.
xblitz mettere su una struttura che assegni una porta random a ogni fritz dato in comodato d'uso è possibile ma complicato
Si chiamano costi d'impresa. Non ci si è obbligati con ricetta medica. Si accettano i ricavi e relativi guadagni e ci si accollano i costi e relativi rischi. A fare i ricchi con i soldi della banche son capaci in tanti...
847owu6yj3mlopayqcom Si chiamano costi d'impresa. Non ci si è obbligati con ricetta medica. Si accettano i ricavi e relativi guadagni e ci si accollano i costi e relativi rischi. A fare i ricchi con i soldi della banche son capaci in tanti...
Ecco, a questo si può solo rispondere così:
del senno di poi son piene le fosse
e non è mia intenzione difendere nessun isp. E poi andreagdipaolo dice che l'isp non c'azzecca nulla.
denisj Molto probabilmente non è la porta 443 il problema, il problema è esporre l'accesso remoto sul 7590 (unico dispositivo di AVM che ha questo problema) verso internet, a cui poi ci si può accedere tramite
https://id.myfritz.net con 443
Oppure
https://id.myfritz.net:20000 se ho la porta 20000
Ad ora io non ho letto di persone colpite che non avevano l'accesso remoto attivo ed avevano solo un portforwarding della 443
morfzeus inoltre ho scoperto di avere l'opzione "Modalità Stealth del firewall" disattivata. Conviene attivarla?
Ogni opzione attiva per maggiore privacy e sicurezza se non vi sono ragioni sensate per disattivarla e meglio lasciarla attiva.
morfzeus ma se io creo il blocco della porta 443 con questi profili, perdo l'accesso alla webUI da LAN?
denisj So pero che se faccio https://etc... la chiamata arriva sulla 443.
Da wan basta fare fritzblabla.net:numeroporta con numeroporta quello che si imposta nel modem per l’accesso
Buonasera,
giusto per informativa, in azienda abbiamo "perso" 3 FritzBox 7590 con FritzOS 7.29 (non aggiornati per un problema con il VoIP e siamo tornati indietro), remote management attivo e ACS proprietario.
Al momento riscontriamo credenziali PPP vuote e password utente sostituita.
- Modificato
Si con quei profili blocchi solamente la 443 o la porta o il range di porte che desideri (sia TCP che UDP) ma lato LAN -> WAN, ogni regola poi va collegata ad ogni gruppo di utenti
Io non chiuderei la 443 lato LAN, il problema a mio parere è solo l'esposizione della WebUI verso Internet - WAN
La Modalità Stealth del Fritz se ricordo, fa in modo di scartare i pacchetti (es. ping) provenienti da Internet in modo da non bloccarli e farsi "vedere", puoi attivarla non cambia nulla, se si ha una porta aperta comunque risponde, il comportamento vuole simulare l'assenza di un dispositivo
847owu6yj3mlopayqcom ma chi la ha tradotta l'interfaccia del fritz? secondo loro stealth è da intendersi come furbo... io mi domando: gli aerei stealth della US navy sono aerei astuti? non direi visto come sono "intelligenti" le bombe che sganciano.
Secondo me questa falla l'ha trovata un docente di italiano esasperato da come bistrattiamo la lingua. Questo spiega perché la cosa è circoscritta alla sola italia 
- Modificato
Filippo94 Avevi la 443 per accedere dall’esterno?
si ce l'aveva perche' cita "remote management attivo"
VLANTony E' una linea EasyIP
quindi ip statico giusto? Non ho idea se easyip lo prevede. Per caso avevi attivato anche il servizio ddns di fritzbox?
VLANTony Al momento riscontriamo credenziali PPP vuote e password utente sostituita
i log locali li hanno svuotati? I log li dirottavi con syslog da un altra parte?
GusEdgestream si ce l'aveva perche' cita "remote management attivo"
Beh puoi anche avere accesso remoto ma da una porta diversa
GusEdgestream
Abbiamo sia l'IP statico della CPE + subnet aggiuntiva.
Log locali svuotati e non abbiamo salvato log, purtroppo.
