Il modem/router degli operatori. Perche' interessa tanto?

Braccoz · 2024-08-24T10:08:18+00:00

e' una cosa che non ho mai capito. dividiamo gli utenti in 2 categorie: quelli non tecnici, a cui non interessa nulla di networking, e i "power user", o sma...

wasps

Andrea786 sono coperto da FiberCop da un anno

allora in questo caso l'upgrade con windtre credo non sia possibile, dovresti chiudere la linea e riaprirne un'altra 😅

Braccoz

handymenny Se entrano nella CPE a monte del vostro router libero, come minimo possono crearvi disservizi (facendola diventare un mattone, clonando bssid e spammando deauth), possono effettuare traffico anomalo (botnet, chiamate internazionali), possono catturare il traffico (da lì deve passare)

e questo l'ho detto anche io

handymenny e in base alla struttura della rete e quanto è protetta può essere banale (come cambiare una subnet mask) o più difficile accedere ai dispositivi nella vostra lan.

non oso neanche immaginare l'obrobrio che si debba fare per avere un doppio nat aggirabile cambiando una netmask, ma nel caso di 2 router in cascata, per accedere alla lan (salvo exposed host) devi bucare anche il secondo di router, era questo il punto del discorso.

per esempio: router bucato -> accesso alla lan -> altri dispositivi vulnerabili (mi viene in mente IOT) bucati
se non c'e' accesso alla lan almeno il danno si limita al router

simonebortolin

Braccoz e questo l'ho detto anche io

No, tu volevi tenere tutte le porte spalancate nel primo router, perché tanto il secondo router è sicuro.

Braccoz non oso neanche immaginare l'obrobrio che si debba fare per avere un doppio nat aggirabile cambiando una netmask

Non mi sembra difficile aggirare il doppio NAT. Una possibile strategia potrebbe essere:

1) Accedere al router dell'ISP e rinominare la rete Wi-Fi con lo stesso nome di quella del tuo router, in modo che i dispositivi si connettano automaticamente a quella.
2) Fare in modo che un Access Point si connetta in modalità Wi-Fi backhauling al router dell'ISP. Successivamente, scollega la WAN dal router in cascata, così tutto il traffico passerà attraverso l'Access Point. Et voilà.

Poi con alcuni router in cascata se vedono l'IP della WAN uguale a quello della LAN basta si mettono in modalità switch.

Braccoz per esempio: router bucato -> accesso alla lan -> altri dispositivi vulnerabili (mi viene in mente IOT) bucati
se non c'e' accesso alla lan almeno il danno si limita al router

però magari smetti di navigare...

Braccoz per esempio: router bucato -> accesso alla lan -> altri dispositivi vulnerabili (mi viene in mente IOT) bucati
se non c'e' accesso alla lan almeno il danno si limita al router

E comunque no... il danno c'è anche nella LAN che come minimo non naviga

Mrtt

Braccoz
per bypassare il doppio NAT in teoria gli basterebbe fare un inject di codice javascript in una pagina http che richiedi, tanto tutto il tuo traffico passa da lui
o più in generale un attacco del tipo "man in the middle"

handymenny

Braccoz non oso neanche immaginare l'obrobrio che si debba fare per avere un doppio nat aggirabile cambiando una netmask

Scusa se non l'ho palesato, ma voleva essere un'esagerazione, non intendevo precisamente cambiare una subnet mask. Comunque a memoria qualche firewall di router che si faceva ingannare dall'IP sorgente ricordo di averlo beccato.

E era un discorso generale, sicuramente il tuo setup sarà inespugnabile per via di filtri vlan, firewall perimetrali e quant'altro, ma arrivare a dire che il NAT da solo isoli la rete LAN mi sembra un po' too much.

Per farti capire dove voglio andare a parare, un'altra cosa carina che posso fare avendo il pieno controllo del router a monte è mettermi a modificare tutto il traffico DNS o NTP.
Tu sicuramente mi dirai che il tuo firewall non fa uscire traffico NTP o DNS in chiaro o che nessun tuo dispositivo ha un client NTP vulnerabile o è soggetto a attacchi di tipo https downgrade, ma lo vedi che il tuo modello di sicurezza va ben oltre il "NAT mi protegge"?

Braccoz

simonebortolin No, tu volevi tenere tutte le porte spalancate nel primo router, perché tanto il secondo router è sicuro.

letteralmente, qui.

simonebortolin Non mi sembra difficile aggirare il doppio NAT. Una possibile strategia potrebbe essere:

1) Accedere al router dell'ISP e rinominare la rete Wi-Fi con lo stesso nome di quella del tuo router, in modo che i dispositivi si connettano automaticamente a quella.
2) Fare in modo che un Access Point si connetta in modalità Wi-Fi backhauling al router dell'ISP. Successivamente, scollega la WAN dal router in cascata, così tutto il traffico passerà attraverso l'Access Point. Et voilà.

Poi con alcuni router in cascata se vedono l'IP della WAN uguale a quello della LAN basta si mettono in modalità switch.

innanzitutto e' un'ipotesi. che comunque richiede operazioni extra, quindi gia' non e' automatico che l'attaccante si trovi nella lan ed e' cosa buona e giusta. secondo, per fare quello che dici devi craccare la passphrase WPA2, cosa che non e' per niente facile. e se e' impostata con un minimo di criterio praticamente impossibile.
quindi in sostanza hai solo avvalorato la mia tesi

simonebortolin però magari smetti di navigare...

meglio! cosi' mi accorgo che qualcosa non va. e' molto peggio se l'attaccante si tiene la backdoor dormiente...

simonebortolin E comunque no... il danno c'è anche nella LAN che come minimo non naviga

non e' un danno alla lan ma semmai un disservizio. che comunque mi mette in allerta

Bast

Braccoz per fare quello che dici devi craccare la passphrase WPA2, cosa che non e' per niente facile

Invece è molto più facile di quel che si pensi, infatti da un pezzo esiste WPA3, che con WiFi 7 ormai è lo standard.
Con WPA2 nella fase di 'handshake' la passphrase va in chiaro, infatti la pratica più comune per chi intende introdursi nella rete wifi di un utente è quella di disconnettere un qualche client e attendere la riconnessione...
Ma più in generale, se un attaccante fosse davvero interessato a penetrare la tua rete, credi che si lasci fermare da un router in cascata? Secondo me no.

simonebortolin

Braccoz

letteralmente, qui.

Letteralmente, qui. CIT.

gandalf2016

E ripeto avere router a cascata serve solo a questo. Non alla sicurezza.

Braccoz innanzitutto e' un'ipotesi. che comunque richiede operazioni extra, quindi gia' non e' automatico che l'attaccante si trovi nella lan ed e' cosa buona e giusta.

No.

Braccoz secondo, per fare quello che dici devi craccare la passphrase WPA2, cosa che non e' per niente facile. e se e' impostata con un minimo di criterio praticamente impossibile.

Basta mettere l'SSID senza password non lo vedo difficile, un device su 2 ha questa falla che si collega alla rete senza password se ha il nome di una salvata.

Braccoz per fare quello che dici devi craccare la passphrase WPA2, cosa che non e' per niente facile. e se e' impostata con un minimo di criterio praticamente impossibile.

Beh oddio la falla di 2-3 anni fa dice il contrario, e metà router non sono stati corretti, sopratutto quelli personali presi a 50€ dalla conad.

Braccoz quindi in sostanza hai solo avvalorato la mia tesi

La tua tesi è la fenice di harry potter? perché se sì ok, altrimenti te la ho proprio distrutta...

Braccoz

Bast Con WPA2 nella fase di 'handshake' la passphrase va in chiaro

no. ma proprio no.

fai una prova, che e' interessante. prova a craccarti la tua rete wpa2 (mettendo una passphrase decente) e ti renderai conto

Bast

Braccoz Guarda, non voglio aver ragione a ogni costo. Ti chiedo però a questo punto quale fosse l'esigenza specifica che ha portato all'implementazione di WPA3, se WPA2 di fatto è sicuro.

Braccoz

Bast le motivazioni puoi trovarle tranquillamente su google...

gandalf2016

Bast
WPA2 non usa SAE in handshaking, cosa ben diversa da dire che la passphrase è in chiaro.

Sarebbe inutile il protocollo se si passasse in chiaro su un canale in aria la passphrase!

Elimina la possibilità di un attacco offline WPA3, comunque.

In sintesi: WPA2 con una buona password è ragionevolmente sicuro.

Braccoz

Mrtt non e' mica semplice come roba da fare... prima di tutto hai a che fare con https ovunque ormai, e gia' li' avresti problemi... poi il javascript dovrebbe sfruttare vulnerabilita' del browser e anche del sistema operativo per poter usare il pc come gateway verso la lan...

estremamente complesso, e richiede appunto un lavoro ad hoc per riuscirci

Bast

gandalf2016 WPA2 non usa SAE in handshaking, cosa ben diversa da dire che la passphrase è in chiaro

Hai ragione, mi sono espresso in maniera superficiale.

gandalf2016 In sintesi: WPA2 con una buona password è ragionevolmente sicuro

Ed è qui che comunciano le domande...
Quanto è attento alla sicurezza l'eventuale bersaglio e quanto ne sa sull'argomento?
Quanto è interessante la LAN dell'attaccato per giustificare un certo impiego di tempo e risorse?
E per tornare all'argomento principale del thread, in tutto ciò, quanto protegge un router a monte di un secondo?
Perché di fatto l'op è convinto che il router in cascata innalzi il livello di sicurezza della LAN. E io non ci credo.

Bast

Braccoz Ma quindi 'sto router in cascata a quello dell'operatore alla fine a che ti serve?
Non sarebbe meglio se in cascata al tuo modem/router - ma eventualmente al modem/router dell'ISP - ci mettessi un firewall? Se non ti fidi del firewall del tuo router, intendo.

Mrtt

Braccoz prima di tutto hai a che fare con https ovunque ormai, e gia' li' avresti problemi

no, solo se entrambi gli host sono certificati un MITM non può avere successo, lato client dove la certificazione non c'è l'attaccante sostituisce le PKI e l'attacco riesce lo stesso anche su HTTPS

Braccoz

Bast Ma quindi 'sto router in cascata a quello dell'operatore alla fine a che ti serve?

chiariamo quello che forse e' stato un equivoco dal principio:

il router il cascata te lo metti se proprio proprio vuoi tenere quello dell'operatore (per esempio per l'assistenza, o gli altri motivi indicati a inizio thread) ma non ha le feature che vuoi, o perche' preferisci averne uno tuo.
In questo modo hai il "best of both worlds" anche se non e' elegante come soluzione.

se non sei determinato ad avere quello dell'operatore ti metti il tuo router e niente doppio nat.

Bast Non sarebbe meglio se in cascata al tuo modem/router - ma eventualmente al modem/router dell'ISP - ci mettessi un firewall? Se non ti fidi del firewall del tuo router, intendo.

forse non sono stato chiaro ma davo per scontato che il router in cascata facesse da firewall. mettere un router in cascata per fare solo un doppio nat senza firewall e' una boiata colossale

Bast

Braccoz Ah ok, ora mi è tutto più chiaro.

Braccoz

handymenny ma lo vedi che il tuo modello di sicurezza va ben oltre il "NAT mi protegge"?

ovviamente, ma infatti non e' mai quello che ho inteso. quello che intendevo e' che se usi un router ciofeca dell'operatore, con il tuo in cascata la sicurezza e' maggiore, per via del tuo router, non per via intrinseca del nat.

mi pareva scontato, probabilmente non lo e'

simonebortolin

Braccoz non per via intrinseca del nat.

mi pareva scontato, probabilmente non lo e'

Ma se prima hai detto il contrario.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile