Как стать автором
Обновить

«Роутер на прокачку»: тюнинг оборудования TP-Link для интернет-провайдеров 

Время на прочтение7 мин
Количество просмотров14K
Всего голосов 16: ↑15 и ↓1+14
Комментарии22

Комментарии 22

То есть, поставив себе оборудование в аренду от провайдера — мы получаем не стоковый роутер, а черный ящик с недокументированными функциями и возможностью удаленного управления не-пойми кем ?! Аргумент, что это только поддержка провайдера — не канает: кто сидит в поддержке провайдеров, как их туда набирают, и за какие копейки они сольют любому желающему инфу и пароли доступа — все более-менее догадываются. :-(

В любом случае, спасибо за предупреждение!

Я подозревал что-то в таком духе, когда купил у провайдера приставку для IP-TV, и она при первом включении полезла (tcpdump!) за каким-то обновлениями на провайдерский сервер. После этого, приставка была выселена в отдельный порт на роутере, и средствами iptables напрочь лишена возможности общаться с внутренней домашней сетью. Потому что, мне вот только устройств с аппаратным бэкдором в домашней сети не хватало для полного счастья!..

P.S. Не являются ли такие функции предметом статьи УК РФ о вредоносном программном обеспечении? Особенно, если клиент роутер не взял в аренду а выкупил — а об «особенностях» прошивки роутера ему провайдер рассказать заб(ы|и)л?

Здравствуйте, спасибо за ваш комментарий и точку зрения! В данном случае, разумеется, ваша безопасность обеспечивается федеральным законом "О персональных данных", а также договором, который вы подписываете с провайдером.

Давайте честно признаемся, что при существующем положении дел в государстве РФ — законом и договором с провайдером безопасность не (!) обеспечивается.

Ситуация была бы немного лучше, если бы роутер имел аппаратную кнопку «Удаленный сервис», после нажатия на которую в течение разумного промежутка времени (например, час) были бы доступны функции удаленного управления. По крайней мере, в таком случае бэкдор доступен не постоянно, и пользователь осознает, что дает доступ к своей внутренней сети неизвестному ему лично внешнему агенту.

С другой стороны, понятно что «аппаратная» кнопка на самом деле будет присоединена к ноге GPIO встроенной системы, и никаких гарантий что прошивка соблюдает протокол доступа только с разрешения пользователя — на самом деле нет. Если TP-Link свою прошивку сделает именно так (и даже сертифицирует у независимой третьей стороны) — как только пользователь даст доступ к своему оборудованию «специалисту провайдера» — те могут прошить внутрь устройства все что угодно, в том числе и отключить протокол «аппаратной» кнопки.

С третьей стороны, огромное количество пользователей не разбираются в ИТ, не думают о безопасности, и готовы дать любой доступ кому угодно — лишь бы на планшет загрузились картинки котиков.

У меня нет хорошего решения для этой задачи. :-( Но наличие бэкдора в устройствах «прямо с конвейера» — все-равно, печалит…

Ваша идея насчёт кнопки "удалённый сервис" звучит достаточно интересно!

+++++++++

>Я подозревал что-то в таком духе, когда купил у провайдера приставку для IP-TV, и она при первом включении полезла (tcpdump!) за каким-то обновлениями на провайдерский сервер

и что? все нынче лезет за обновлениями, даже пылесосы.

>средствами iptables напрочь лишена возможности общаться с внутренней домашней сетью
как это связано с первым утверждением?

провайдер и так видит твой трафик, смысл ему ставить на роутер какой-то бекдор.
провайдер и так видит твой трафик, смысл ему ставить на роутер какой-то бекдор

Шифрованный траффик — без проблем. А вот показывать внутренние ресурсы мне бы не хотелось. Например, у меня в домашней сети есть NAS, сделанный во времена царя Гороха и безопасность он обеспечивает примерно никакую. А с железкой провайдера в своей сети я могу быть уверенным, что показываю все свои данные неустановленному кругу лиц…
Провайдер в норме видит только мой публичный трафик после NAT. Можно допустить, что там тоже можно статистически нарыть немало интересного — но чувствительной информации без шифрования в интернет уходить не должно (по крайней мере, by-design). Информация, гуляющая между локальными интерфейсами маршрутизатора защищена гораздо хуже, а приватных данных содержит гораздо больше. Увы…
Не являются ли такие функции предметом статьи УК РФ о вредоносном программном обеспечении?
Логика подсказывает, что оно для этого должно причинить вред. Причём, не гипотетический («у вас есть половой член, значит, вы насильник, поскольку имеете возможность меня насиловать»), а реальный.

Вообще, удалённое управление абонентским роутером — распространённая практика в мире. С какой-то стороны это даже благо, потому что большинство абонентов не знает таких слов как iptables, NAS, и даже в настройки роутера не заглядывает, поскольку ничего в этом не понимает. В итоге, имеем тьму уязвимых устройств, на которых прошивка не будет обновлена никогда.

Яркий пример таких людей — мои соседи, у которых логин-пароль на админку роутера admin/admin и я уверен, что админку их роутера в последний раз открывали сотрудники провайдера, которые им ставили и настраивали роутер, потому что соседи — милейшие люди, но бесконечно далёкие от всего этого. Вот и сидят они с дефолтными паролями, уязвимой прошивкой и слабым шифрованием, позволяющим подобрать пароль к беспроводной сети за 10 минут.
С другой стороны, всякие троянцы с клавиатурными и сетевыми сниферами вполне себе признаются вредоносным программным обеспечением. Причем доказывать факт использования не нужно. У меня нет иллюзий относительно нашего следствия и суда (там после 20 лет телефонного права вряд ли найдутся люди, способные не то что объективно рассмотреть — а хотя бы понять, в чем проблема...). Но гипотетически, разумный суд должен исходить из: был ли пользователь уведомлен о наличии в его оборудовании функций для доступа третьих лиц, и имел ли пользователь возможность такие функции отключить (потому что, по-аналогии, шифровальщик уведомляющий пользователя о своих вредоносных действиях, но без возможности их отключить — очевидно продолжит рассматриваться УК в качестве вредоносного ПО). Если пользователь уведомлен и имеет возможность отключения удаленного мониторинга — тогда точно все ОК. Если пользователь не уведомлен и не имеет возможности отключения — точно не ОК. Если не уведомлен, но имеет возможность отключения (или наоборот) — серая зона. Если оборудование является собственностью провайдера (а пользователь его арендует) — тоже некая серая зона, но скорее всего ОК.

В общем, тут сложный случай баланса интересов провайдеров по диагностике и настройке оборудования, пользователей не желающих вникать в сетевые настройки но желающих чтобы «раз — и работало», и самих же пользователей желающих сохранить от провайдера приватные данные в своих локалках. Пока этот баланс отрегулирован плохо. С точки зрения ТП-линк, за оборудование платят провайдеры — поэтому если те хотят поставить пользователям бэкдор для собственного удобства, так оно и происходит.
добавьте в iptables правило «запрет syslog во внешний мир» — приставки eltex этим грешат
> То есть, поставив себе оборудование в аренду от провайдера
Ключевое слово — «аренда». Т.е. не собственность. Не нравится — имей собственный роутер или обговаривай такие вопросы специально.

> черный ящик с недокументированными функциями
Ой-вей. Покажи мне хоть один домашний роутер с документацией, отличающейся от «не разбирать и не давать детям, крепление на стену производится двумя саморезами». Нет и не надо.

Другой разговор, что провайдер должен оставаться добросовестным. Менять настройки роутера с учётом изменений в сети провайдера можно, обновлять прошивку для закрытия уязвимостей можно, шпионить за пользователем или сливать пароль третьим лицам — нет.
А у провайдеров бывает можно и выкупить текущее арендуемое оборудование. Угадайте с трех раз, будут они менять вам прошивку с арендной на стоковую, или так оставят? :-)

У вас какие то странные представления о потребностях провайдеров. Провайдерам нужен мас-telnet потому что на все абонентские железки не напасешься айпишников (у вас я так понял проблема решена использованием ipv6 для управления), bwping и iperf из коробки и dying gasp по питанию на сервер мониторинга чтобы знать в энском районе бомжи оптику порезали и надо ехать или просто питание горсети рубанули и можно покурить. Пока что я не вижу чем ваш роутер на прокачку лучше микротиков младших серий если честно.

Начиная с самого первого ADSL модема, я ни когда не брал и не буду брать оборудование провайдера в аренду. Во первых: это оборудование всегда самого низкого класса. Во вторых: кастомная прошивка и странные настройки, которые чаще всего не возможно изменить. В третьих: удаленный доступ к оборудованию специалистов которые просят перезагрузить оборудование в котором несколько линий от провайдеров и два из трех прекрасно работают.

Вот скажите Вы ключ от квартиры тоже отдали сотрудникам УК (управляющей компанией), вдруг у Вас труба лопнула? С моей точки зрения удаленный сервис — это вообще аморальное поведение провайдера. Ведь тот-же водопроводчик не может удаленно починить трубы, а ведь ремонт трубы намного актуальнее, чем доступ в интернет. Многие потребители просто не понимают всей серьезности безопасности доступа к своему цифровому пространства не только к файлам котиков но и к ЭЦП, безналичные денежный средства и т.п…
Если у вас ЭЦП или аналоги доступны в локальной сети, значит, вы неправильно их храните, независимо от остальных затронутых и незатронутых вопросов, включая, но не ограничиваясь, общие вопросы защищённости сети и отдельных её узлов
Для «ЭР-Телеком» специально были доработаны Wi-Fi роутеры — для них добавили автоматический выбор типа IPv6. Ноды TR-069 vendor-specific дают оператору возможность мониторить состояние и работоспособность оборудования для проактивного сервиса. Корректировка драйвера Wi-Fi позволила выполнить балансировку между чипсетами 2,4 и 5 ГГц, что привело к приросту скорости по WLAN в 2 раза. Также был усовершенствован Band Steering.


Т.е. покупая ту же модель не брендированную в магазине, клиент получит ее с недоработанным драйвером WiFi и кривым Band Steering? Это прямо очень серьезное заявление «мы сознательно продаем недоработанные роутеры, зная, как исправить эти недостатки».

Здравствуйте! Спасибо за ваш комментарий и обратную связь. Со своей стороны хотели бы прокомментировать, что благодаря операторам мы совершенствуем наши продукты на российском рынке, и данный функционал впоследствии используется и на ритейл-версиях.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий