Il modem/router degli operatori. Perche' interessa tanto?

Hhandymenny · 2024-08-27T20:49:14+00:00

Premesso che ognuno è libero di scegliere il modem/router che preferisce e che quelli qui espressi sono in linea di massima tutti buoni motivi. A me non piace questa demonizzazione, il fare terra bruciata sui router forniti dagli ISP. Cerco quindi di rispondere un po' per punti.

Tema riconfigurazione per cambio ISP
Non è detto che chi usa il router di un ISP debba cambiarlo ad ogni cambio isp. Non sempre vanno restituiti e quelli in vendita (o sconto merce) devono obbligatoriamente supportare reti di altri ISP (a differenza di quanto si afferma nei messaggi sopra).
Ad es. tanti comprano modem di ISP usati e li usano come vogliono.

Ipotizzando lo scenario peggiore (restituzione o fermacarte), non tutti cambiano così spesso ISP o hanno una config di rete così complessa da rendere la riconfigurazione un problema. Anzi c'è chi cambia più router che ISP.
Ad es. ho visto linee che in quasi mezzo secolo hanno visto un solo cambio ISP e 5-6 cambi router (bollette < 20€/mese, so che ve lo state chiedendo).

Tema backup/ripristino configurazione
Tutti i router di ISP che mi sono passati tra le mani avevano la possibilità di effettuare un backup/ripristino (non metto in dubbio che in alcuni non sia possibile).
Il ripristino di un backup di modem per isp mi sembra avere le stesse limitazioni di quelli liberi, lo si può ripristinare solo sulla stessa tipologia di prodotto, quindi di fatto è un vincolo per tutti.

Tema Telegestione
A volte in maniera più o meno ufficiale il modo per disattivare la telegestione sui modem per ISP c'è, ma c'è chi preferisce lasciarla accesa lo stesso, addirittura alcuni la lasciano attiva sui modem liberi (eventualmente beccandosi un bel reset).
In ogni caso, a prescindere dalla possibilità che qualcuno possa resettarvi il router da remoto, un bel backup della config è sempre bene tenerlo a portata di click.

Tema funzionalità accessorie
Non tutti hanno bisogno che il proprio router supporti servizi accessori come ddns, vpn, torrent, nas etc... etc...
C'è chi non ne ha bisogno, come chi preferisce avere questi applicativi su altri apparati e sinceramente non ci vedo nulla di male.

Tema funzionalità di rete/routing avanzate
Non posso negare che molti modem per ISP siano piuttosto limitati, ma anche i modem liberi possono avere i loro limiti.
Negli anni che ho passato a leggere questo forum, ho visto CPE prosumer senza supporto VLAN sulla wan, senza un'implementazione corretta del flow control, senza offload della PPPoE, senza una corretta gestione delle disconnessioni della rete mobile, senza un software realmente stabile. Questo non per dire che i router per ISP siano migliori o esenti da difetti (assolutamente), ma che come chi scegliere una CPE di ISP accetta dei compromessi, anche chi ne sceglie una libera dovrà (probabilmente) accettarne.

Tema sicurezza
Qua è difficile rispondere, perché ci sono ISP che tengono tanto alla sicurezza delle loro CPE (a volte anche più di chi le produce), come ISP che sistematicamente se ne fregano. Ma direi che lo stesso vale anche per i router sul libero mercato. Cioè per capirci, router con le password hardcoded li potete trovare tanto nel mercato delle CPE per isp, che in quello libero.

E visto che se ne è parlato ampiamente sopra, il NAT è più falsa sicurezza che sicurezza. Se entrano nella CPE a monte del vostro router libero, come minimo possono crearvi disservizi (facendola diventare un mattone, clonando bssid e spammando deauth), possono effettuare traffico anomalo (botnet, chiamate internazionali), possono catturare il traffico (da lì deve passare) e in base alla struttura della rete e quanto è protetta può essere banale (come cambiare una subnet mask) o più difficile accedere ai dispositivi nella vostra lan.

BBast · 2024-08-27T20:57:00+00:00

gandalf2016 sicuro su che aspetti?

Era proprio quel che volevo sapere.
Ora cerco di ricapitolare a memoria perché mi viene complicato ricercare tutti i messaggi e citarli.
La questione era nata con Simone che sosteneva come il doppio NAT possa causare problemi ad alcuni servizi, che potrebbero non essere raggiungibili anche per un solo Host di troppo. Tra i vari problemi che potrebbero sorgere Simone citava anche il funzionamento di UPNP, e a quel punto l'op rispondeva che UPNP fosse di fatto un'auto-backdoor e quindi (tra le righe) immagino sostenesse che non fosse proprio il caso di darsi pena se non funziona.
Inoltre l'op ha scritto che il router usato in cascata all'apparato dell'ISP aggiunge un layer in grado di aumentare la sicurezza della LAN. Sosteneva anche che in ogni caso configurando il router in cascata come Exposed Host si risolve il problema dei servizi eventualmente non funzionanti a causa del doppio NAT.
Perciò ho chiesto all'op come fosse questa storia che utilizzare UPNP non vada bene, mentre Exposed Host eventualmente sì.
Ecco il riassunto della questione a grandi linee.

wasps · 2024-08-27T22:54:32+00:00

Andrea786 sono coperto da FiberCop da un anno

allora in questo caso l'upgrade con windtre credo non sia possibile, dovresti chiudere la linea e riaprirne un'altra

Braccoz · 2024-08-28T05:59:14+00:00

handymenny Se entrano nella CPE a monte del vostro router libero, come minimo possono crearvi disservizi (facendola diventare un mattone, clonando bssid e spammando deauth), possono effettuare traffico anomalo (botnet, chiamate internazionali), possono catturare il traffico (da lì deve passare)

e questo l'ho detto anche io

handymenny e in base alla struttura della rete e quanto è protetta può essere banale (come cambiare una subnet mask) o più difficile accedere ai dispositivi nella vostra lan.

non oso neanche immaginare l'obrobrio che si debba fare per avere un doppio nat aggirabile cambiando una netmask, ma nel caso di 2 router in cascata, per accedere alla lan (salvo exposed host) devi bucare anche il secondo di router, era questo il punto del discorso.

per esempio: router bucato -> accesso alla lan -> altri dispositivi vulnerabili (mi viene in mente IOT) bucati
se non c'e' accesso alla lan almeno il danno si limita al router

simonebortolin · 2024-08-28T19:25:48+00:00

Braccoz e questo l'ho detto anche io

No, tu volevi tenere tutte le porte spalancate nel primo router, perché tanto il secondo router è sicuro.

Braccoz non oso neanche immaginare l'obrobrio che si debba fare per avere un doppio nat aggirabile cambiando una netmask

Non mi sembra difficile aggirare il doppio NAT. Una possibile strategia potrebbe essere:

1) Accedere al router dell'ISP e rinominare la rete Wi-Fi con lo stesso nome di quella del tuo router, in modo che i dispositivi si connettano automaticamente a quella.
2) Fare in modo che un Access Point si connetta in modalità Wi-Fi backhauling al router dell'ISP. Successivamente, scollega la WAN dal router in cascata, così tutto il traffico passerà attraverso l'Access Point. Et voilà.

Poi con alcuni router in cascata se vedono l'IP della WAN uguale a quello della LAN basta si mettono in modalità switch.

Braccoz per esempio: router bucato -> accesso alla lan -> altri dispositivi vulnerabili (mi viene in mente IOT) bucati
se non c'e' accesso alla lan almeno il danno si limita al router

però magari smetti di navigare...

Braccoz per esempio: router bucato -> accesso alla lan -> altri dispositivi vulnerabili (mi viene in mente IOT) bucati
se non c'e' accesso alla lan almeno il danno si limita al router

E comunque no... il danno c'è anche nella LAN che come minimo non naviga

Braccoz · 2024-08-29T08:56:37+00:00

simonebortolin No, tu volevi tenere tutte le porte spalancate nel primo router, perché tanto il secondo router è sicuro.

letteralmente, qui.

simonebortolin Non mi sembra difficile aggirare il doppio NAT. Una possibile strategia potrebbe essere:

1) Accedere al router dell'ISP e rinominare la rete Wi-Fi con lo stesso nome di quella del tuo router, in modo che i dispositivi si connettano automaticamente a quella.
2) Fare in modo che un Access Point si connetta in modalità Wi-Fi backhauling al router dell'ISP. Successivamente, scollega la WAN dal router in cascata, così tutto il traffico passerà attraverso l'Access Point. Et voilà.

Poi con alcuni router in cascata se vedono l'IP della WAN uguale a quello della LAN basta si mettono in modalità switch.

innanzitutto e' un'ipotesi. che comunque richiede operazioni extra, quindi gia' non e' automatico che l'attaccante si trovi nella lan ed e' cosa buona e giusta. secondo, per fare quello che dici devi craccare la passphrase WPA2, cosa che non e' per niente facile. e se e' impostata con un minimo di criterio praticamente impossibile.
quindi in sostanza hai solo avvalorato la mia tesi

simonebortolin però magari smetti di navigare...

meglio! cosi' mi accorgo che qualcosa non va. e' molto peggio se l'attaccante si tiene la backdoor dormiente...

simonebortolin E comunque no... il danno c'è anche nella LAN che come minimo non naviga

non e' un danno alla lan ma semmai un disservizio. che comunque mi mette in allerta

BBast · 2024-08-29T09:27:59+00:00

Braccoz per fare quello che dici devi craccare la passphrase WPA2, cosa che non e' per niente facile

Invece è molto più facile di quel che si pensi, infatti da un pezzo esiste WPA3, che con WiFi 7 ormai è lo standard.
Con WPA2 nella fase di 'handshake' la passphrase va in chiaro, infatti la pratica più comune per chi intende introdursi nella rete wifi di un utente è quella di disconnettere un qualche client e attendere la riconnessione...
Ma più in generale, se un attaccante fosse davvero interessato a penetrare la tua rete, credi che si lasci fermare da un router in cascata? Secondo me no.

Braccoz · 2024-08-29T09:38:54+00:00

Bast Con WPA2 nella fase di 'handshake' la passphrase va in chiaro

no. ma proprio no.

fai una prova, che e' interessante. prova a craccarti la tua rete wpa2 (mettendo una passphrase decente) e ti renderai conto

BBast · 2024-08-29T09:48:45+00:00

Braccoz Guarda, non voglio aver ragione a ogni costo. Ti chiedo però a questo punto quale fosse l'esigenza specifica che ha portato all'implementazione di WPA3, se WPA2 di fatto è sicuro.

Braccoz · 2024-08-29T10:05:38+00:00

Bast le motivazioni puoi trovarle tranquillamente su google...

MMrtt · 2024-08-29T10:14:32+00:00

Braccoz
per bypassare il doppio NAT in teoria gli basterebbe fare un inject di codice javascript in una pagina http che richiedi, tanto tutto il tuo traffico passa da lui
o più in generale un attacco del tipo "man in the middle"

gandalf2016 · 2024-08-29T10:16:39+00:00

Bast
WPA2 non usa SAE in handshaking, cosa ben diversa da dire che la passphrase è in chiaro.

Sarebbe inutile il protocollo se si passasse in chiaro su un canale in aria la passphrase!

Elimina la possibilità di un attacco offline WPA3, comunque.

In sintesi: WPA2 con una buona password è ragionevolmente sicuro.

BBast · 2024-08-29T10:42:06+00:00

gandalf2016 WPA2 non usa SAE in handshaking, cosa ben diversa da dire che la passphrase è in chiaro

Hai ragione, mi sono espresso in maniera superficiale.

gandalf2016 In sintesi: WPA2 con una buona password è ragionevolmente sicuro

Ed è qui che comunciano le domande...
Quanto è attento alla sicurezza l'eventuale bersaglio e quanto ne sa sull'argomento?
Quanto è interessante la LAN dell'attaccato per giustificare un certo impiego di tempo e risorse?
E per tornare all'argomento principale del thread, in tutto ciò, quanto protegge un router a monte di un secondo?
Perché di fatto l'op è convinto che il router in cascata innalzi il livello di sicurezza della LAN. E io non ci credo.

Braccoz · 2024-08-29T10:45:20+00:00

Mrtt non e' mica semplice come roba da fare... prima di tutto hai a che fare con https ovunque ormai, e gia' li' avresti problemi... poi il javascript dovrebbe sfruttare vulnerabilita' del browser e anche del sistema operativo per poter usare il pc come gateway verso la lan...

estremamente complesso, e richiede appunto un lavoro ad hoc per riuscirci

BBast · 2024-08-29T10:53:13+00:00

Braccoz Ma quindi 'sto router in cascata a quello dell'operatore alla fine a che ti serve?
Non sarebbe meglio se in cascata al tuo modem/router - ma eventualmente al modem/router dell'ISP - ci mettessi un firewall? Se non ti fidi del firewall del tuo router, intendo.

Braccoz · 2024-08-29T11:02:13+00:00

Bast Ma quindi 'sto router in cascata a quello dell'operatore alla fine a che ti serve?

chiariamo quello che forse e' stato un equivoco dal principio:

il router il cascata te lo metti se proprio proprio vuoi tenere quello dell'operatore (per esempio per l'assistenza, o gli altri motivi indicati a inizio thread) ma non ha le feature che vuoi, o perche' preferisci averne uno tuo.
In questo modo hai il "best of both worlds" anche se non e' elegante come soluzione.

se non sei determinato ad avere quello dell'operatore ti metti il tuo router e niente doppio nat.

Bast Non sarebbe meglio se in cascata al tuo modem/router - ma eventualmente al modem/router dell'ISP - ci mettessi un firewall? Se non ti fidi del firewall del tuo router, intendo.

forse non sono stato chiaro ma davo per scontato che il router in cascata facesse da firewall. mettere un router in cascata per fare solo un doppio nat senza firewall e' una boiata colossale

BBast · 2024-08-29T11:09:00+00:00

Braccoz Ah ok, ora mi è tutto più chiaro.

MMrtt · 2024-08-29T11:16:45+00:00

Braccoz prima di tutto hai a che fare con https ovunque ormai, e gia' li' avresti problemi

no, solo se entrambi gli host sono certificati un MITM non può avere successo, lato client dove la certificazione non c'è l'attaccante sostituisce le PKI e l'attacco riesce lo stesso anche su HTTPS

simonebortolin · 2024-08-29T17:31:49+00:00

Braccoz

letteralmente, qui.

Letteralmente, qui. CIT.

gandalf2016

E ripeto avere router a cascata serve solo a questo. Non alla sicurezza.

Braccoz innanzitutto e' un'ipotesi. che comunque richiede operazioni extra, quindi gia' non e' automatico che l'attaccante si trovi nella lan ed e' cosa buona e giusta.

No.

Braccoz secondo, per fare quello che dici devi craccare la passphrase WPA2, cosa che non e' per niente facile. e se e' impostata con un minimo di criterio praticamente impossibile.

Basta mettere l'SSID senza password non lo vedo difficile, un device su 2 ha questa falla che si collega alla rete senza password se ha il nome di una salvata.

Braccoz per fare quello che dici devi craccare la passphrase WPA2, cosa che non e' per niente facile. e se e' impostata con un minimo di criterio praticamente impossibile.

Beh oddio la falla di 2-3 anni fa dice il contrario, e metà router non sono stati corretti, sopratutto quelli personali presi a 50€ dalla conad.

Braccoz quindi in sostanza hai solo avvalorato la mia tesi

La tua tesi è la fenice di harry potter? perché se sì ok, altrimenti te la ho proprio distrutta...

Hhandymenny · 2024-08-30T08:24:31+00:00

Braccoz non oso neanche immaginare l'obrobrio che si debba fare per avere un doppio nat aggirabile cambiando una netmask

Scusa se non l'ho palesato, ma voleva essere un'esagerazione, non intendevo precisamente cambiare una subnet mask. Comunque a memoria qualche firewall di router che si faceva ingannare dall'IP sorgente ricordo di averlo beccato.

E era un discorso generale, sicuramente il tuo setup sarà inespugnabile per via di filtri vlan, firewall perimetrali e quant'altro, ma arrivare a dire che il NAT da solo isoli la rete LAN mi sembra un po' too much.

Per farti capire dove voglio andare a parare, un'altra cosa carina che posso fare avendo il pieno controllo del router a monte è mettermi a modificare tutto il traffico DNS o NTP.
Tu sicuramente mi dirai che il tuo firewall non fa uscire traffico NTP o DNS in chiaro o che nessun tuo dispositivo ha un client NTP vulnerabile o è soggetto a attacchi di tipo https downgrade, ma lo vedi che il tuo modello di sicurezza va ben oltre il "NAT mi protegge"?