Сетевая Безопасность Dune.
#1
Отправлено 31 January 2016 - 14:10
Помимо ftp/samba/IP control открыты порты 7777 и 30000, для чего - ХЗ (первый судя по гуглу - некий протокол cbt).
Неужто у dune всё настолько плохо (это скорее вопрос к разработчикам) в плане сетевой безопасности ?
#2
Отправлено 31 January 2016 - 14:15
А с другой стороны - для чего в локальной сети такая паранойя по безопасности?
#3
Отправлено 31 January 2016 - 14:25
А то, что от прова ввиду кривой настройки оборудования с его стороны пробиваются "соседи", (писал прову, реакции 0) , в целом стоит блок через iptables, но неизвестно откуда они ещё могут вылезти, оттуда и паранойя (плюс пару раз до обнаружения "соседей" замечал "фантомные" движения в dune - видать кто-то "щупал" IP-control). Больше всего напрягает IP control - то что не реализовали запароливание самая большая дыра, а ведь всего-то делов - прописать пару лишних строчек для http-сервера ...Это уже давным-давно тут обсуждалось. Ну про ftp точно.
А с другой стороны - для чего в локальной сети такая паранойя по безопасности?
Ну и открытые порты невесть для чего - тоже не есть тру (хотелось бы знать для чего они).
#4
Отправлено 31 January 2016 - 14:47
Zyxel Keenetic Giga II
Dune HD QWERTY
WD my cloud 2 TB, Gen1
#5
Отправлено 31 January 2016 - 14:51
Кстати а что это за кривая настройка такая?
Faq По Плеерам Dune - в процессе заполнения.
Чтобы получить log-файл плагинов, нужно создать на первом носителе, доступном дюне (обычно внутренний диск) папку "dune_plugin_logs". После чего начните пользоваться плагином, и в папке dune_plugin_logs появится файл лога. (папку создавать с нижними подчеркиваниями). К файлу лога добавляйте расширение txt иначе на форум не загрузить или упакуйте файл лога в zip архив.
Хотел бы настойчиво попросить всех изменить свои подписи до такого вида (указание модели и прошивки, это сэкономит время вам и авторам плагинов) Faq По Плеерам Dune - п.12 - Как сделать подпись на форуме :
Dune Pro 4K(tv292a) - всегда последняя
Dune Neo 4K T2 Plus Version - всегда последняя
Dune Solo 4K (всегда последняя) Сист.флешка присутствует
Обновите парсеры это означает кнопка попап пункт "обновить" на иконке плагина или перегрузите плеер или в настройках плагина Bazinga.
#6
Отправлено 31 January 2016 - 14:55
Это как через роутер (я надеюсь роутер настроен нормально и включен NAT), могут пробиваться соседи?А то, что от прова ввиду кривой настройки оборудования с его стороны пробиваются "соседи", (писал прову, реакции 0) , в целом стоит блок через iptables, но неизвестно откуда они ещё могут вылезти, оттуда и паранойя (плюс пару раз до обнаружения "соседей" замечал "фантомные" движения в dune - видать кто-то "щупал" IP-control). Больше всего напрягает IP control - то что не реализовали запароливание самая большая дыра, а ведь всего-то делов - прописать пару лишних строчек для http-сервера ...
Ну и открытые порты невесть для чего - тоже не есть тру (хотелось бы знать для чего они).
Не, если dune используется для IPTV, и на роутере выдеоен порт для IPTV, то в принципе это водможно. Но на мой взгляд это не совсем корректное использование приставки.
#7
Отправлено 31 January 2016 - 15:09
соседи в кавычках, имелись ввиду соседи по подсетиу вас крутые соседи, явно тру IT
там не надо знать API, запустите nmap в режиме скана сервисов на 80 порту и результат будет налицоне поленились полезли на дюновский офсайт, разобрались как юзать ip control респект им
погуглите "у провайдера слетела изоляция портов"Кстати а что это за кривая настройка такая?
Очень даже могут, при криворукой оборудования настройке со стороны провайдера. Сам был удивлён когда обнаружил сию проблему. Пров не отреагировал, так что спасение утопающих - дело рук самих утопающих.Это как через роутер (я надеюсь роутер настроен нормально и включен NAT), могут пробиваться соседи?
Это всё отключено и настроено должным образом, так что роутер тут ни с какого бока, тут проблема другого толка.Ну тут, главное, на веб-морду роутера и вай-фай пароль надёжный поставить. Отключить в роутере автоматический проброс портов, и открыть нужные руками. Я ftp и транс паролил только потому, что иногда торренты извне закидываю.
#8
Отправлено 31 January 2016 - 15:42
"запустите nmap в режиме скана сервисов на 80 порту и результат будет налицо" - это жесть я такого еще не видел, хорошо что ниче не удалило хотя собиралось
Faq По Плеерам Dune - в процессе заполнения.
Чтобы получить log-файл плагинов, нужно создать на первом носителе, доступном дюне (обычно внутренний диск) папку "dune_plugin_logs". После чего начните пользоваться плагином, и в папке dune_plugin_logs появится файл лога. (папку создавать с нижними подчеркиваниями). К файлу лога добавляйте расширение txt иначе на форум не загрузить или упакуйте файл лога в zip архив.
Хотел бы настойчиво попросить всех изменить свои подписи до такого вида (указание модели и прошивки, это сэкономит время вам и авторам плагинов) Faq По Плеерам Dune - п.12 - Как сделать подпись на форуме :
Dune Pro 4K(tv292a) - всегда последняя
Dune Neo 4K T2 Plus Version - всегда последняя
Dune Solo 4K (всегда последняя) Сист.флешка присутствует
Обновите парсеры это означает кнопка попап пункт "обновить" на иконке плагина или перегрузите плеер или в настройках плагина Bazinga.
#9
Отправлено 31 January 2016 - 15:57
Вот и я о том же, дырень же, он с лёгкостью находит линки API и начинает гонять все запросы, ранее я уже видел это, но в меньших масштабах, нежели когда запустил скан сам, потому собственно и поднял тему."запустите nmap в режиме скана сервисов на 80 порту и результат будет налицо" - это жесть я такого еще не видел, хорошо что ниче не удалило хотя собиралось
#10
Отправлено 31 January 2016 - 17:39
Ну FTP можно отключить либо через LTU и включить pureftpd с паролем либо в мане дюны где то видел .dsf который даёт возможность поставить пароль на штатный FTP
Так же можно отключить телнет через тот же LTU и включить ssh с паролем,сейчас уже не помню но может и ещё чего можно подрехтовать через LTU на дюне в плане безопасности,а так то конечно дюну высовывать в локалку провайдера просто нельзя по понятным причинам или ставить её за NAT.
#11
Отправлено 31 January 2016 - 18:05
Запаролить по идее можно и исходный ftp/samba/http путём правки конфигов и стартовых скриптов, правда пока этот момент не проверял, но как дойдут руки обязательно проверю - главное чтобы раздел с конфигами и скриптами был не RO.Ну FTP можно отключить либо через LTU и включить pureftpd с паролем либо в мане дюны где то видел .dsf который даёт возможность поставить пароль на штатный FTP
Так же можно отключить телнет через тот же LTU и включить ssh с паролем,сейчас уже не помню но может и ещё чего можно подрехтовать через LTU на дюне в плане безопасности
Цимес ситуации несколько в ином - дюна и так никуда не смотрит, только в домашнюю локалку, но NAT прова что решето и пропускает посторонних, оттуда обеспокоенность за безопасность дюны.а так то конечно дюну высовывать в локалку провайдера просто нельзя по понятным причинам или ставить её за NAT.
bas1945, вы вроде связывались с саппортом недавно, вы писали на support@dune-hd.com или ещё куда (просто оттуда ни ответа, ни привета) ? Хочу поинтересоваться что за порты на дюне открыты помимо дефолтных - 7777 и 30000.
#12
Отправлено 31 January 2016 - 18:17
Запаролить по идее можно и исходный ftp/samba/http путём правки конфигов и стартовых скриптов, правда пока этот момент не проверял, но как дойдут руки обязательно проверю - главное чтобы раздел с конфигами и скриптами был не RO.Цимес ситуации несколько в ином - дюна и так никуда не смотрит, только в домашнюю локалку, но NAT прова что решето и пропускает посторонних, оттуда обеспокоенность за безопасность дюны.bas1945, вы вроде связывались с саппортом недавно, вы писали на support@dune-hd.com или ещё куда (просто оттуда ни ответа, ни привета) ? Хочу поинтересоваться что за порты на дюне открыты помимо дефолтных - 7777 и 30000.
Причем здесь NAT провайдера? Речь идет про NAT на вашем роутере.
#13
Отправлено 31 January 2016 - 18:20
Как бы нет, чужаки лезут через ppp0 с серых адресов, так что таки в NAT провайдера.Причем здесь NAT провайдера? Речь идет про NAT на вашем роутере.
#14
Отправлено 31 January 2016 - 18:44
Запаролить по идее можно и исходный ftp/samba/http путём правки конфигов и стартовых скриптов, правда пока этот момент не проверял, но как дойдут руки обязательно проверю - главное чтобы раздел с конфигами и скриптами был не RO.Цимес ситуации несколько в ином - дюна и так никуда не смотрит, только в домашнюю локалку, но NAT прова что решето и пропускает посторонних, оттуда обеспокоенность за безопасность дюны.bas1945, вы вроде связывались с саппортом недавно, вы писали на support@dune-hd.com или ещё куда (просто оттуда ни ответа, ни привета) ? Хочу поинтересоваться что за порты на дюне открыты помимо дефолтных - 7777 и 30000.
Я по просьбе ув. Миша86 передал его вопрос по реализации возможностей sdk дюны в следующих прошивках её представителю в группе вконтакте, который пояснил, что данной ситуацией не владеет и посоветовал написать на упомянутый Вами адрес на русском и английском языках. Ув. Миша86 написал туда. Я тож письмо отправил с совсем простым вопросом- будут ли ещё прошивки? Но Тайвань молчит. Хотя представитель дюны в контакте ранее обещал, что пофиксят погодный виджет, но без инфы о сроках. Могу сейчас там сделать перепост про порты.
Zyxel Keenetic Giga II
Dune HD QWERTY
WD my cloud 2 TB, Gen1
#15
Отправлено 31 January 2016 - 19:20
Напишите, если не затруднит (я же им на мыло в 2х вариантах потом напишу)Могу сейчас там сделать перепост про порты.
Заодно и про возможность запароливания ftp/smb/http через GUI (плюс там же смену дефолтных портов), ну и особо выделите запароливание http сервера т.е. ip-контроля (пусть по дефолту будет выключено, кто захочет - включит) ибо это такая дыра что аж жуть
Самое забавное что ip-контролем я пользуюсь активно, но чую что придётся отрубить, пока вопрос с запароливанием не решится.
#16
Отправлено 31 January 2016 - 19:47
Да,как то раз сталкивался с подобной ситуацией,очень не приятный момент они тебя видят из-за того что ты с ними в одной подсети оказываешся на wan-e,но в таком случае тут нужно поднимать вопрос вообще о безопасности всей локальной сети,так как атакам подвержены все сетевые устройства в твоей локалке.Как бы нет, чужаки лезут через ppp0 с серых адресов, так что таки в NAT провайдера.
Помоему проще сменить провайдера или получить белый ip.
#17
Отправлено 01 February 2016 - 08:45
Пока стоит блок через iptables и всё тихо (тьфу-тьфу-тьфу), но паранойя появившаяся в связи со всей этой ситуацией не отпускает.Да,как то раз сталкивался с подобной ситуацией,очень не приятный момент они тебя видят из-за того что ты с ними в одной подсети оказываешся на wan-e,но в таком случае тут нужно поднимать вопрос вообще о безопасности всей локальной сети,так как атакам подвержены все сетевые устройства в твоей локалке.
Провайдера менять смысла нет - у других провов не менее "весело", но уже по другим аспектам Пока провом динамически выдаются белые в перемешку с серыми, позднее всё уйдёт за его NAT). А фиксированный белый IP получить сейчас в принципе невозможно - ныне они в дефиците ибо "белая" адресация ipv4 закончилась в принципе и провайдеры держат "белые" IP-адреса как доп.актив для продажи их юр.лицам, вот так Есть конечно вариант с ipv6 и туннелированием, но ну его пока в пеньПомоему проще сменить провайдера или получить белый ip.
К слову, о безопасности. Почитывая маны на сайте дюны обнаружил следующее.
Девелоп-версии по дефолту имеют ssh (благо пока не обновлялся с b6, теперь точно буду апдейтиться на девелоп-версию), что мешает дюновцам впилить его заместо телнета (или вместе с ним) на обычных прошивках ?SSH access to STB =================
All SDK firmware versions include also a built-in SSH server, which is active by default, and support key-based authentication.
#18
Отправлено 01 February 2016 - 09:01
Чего нужно реально боятся это доступа без пароля по телнету,а то потом тут через раз проскакивает тема про то что все файлы с диска удалились.
#19
Отправлено 01 February 2016 - 09:46
Насчёт ipv6 согласен, пока не стоит заморачиваться, ибо плеер, как я понял, его все равно не понимает, а на компе настраивать в данный момент не вижу смысла.Пока стоит блок через iptables и всё тихо (тьфу-тьфу-тьфу), но паранойя появившаяся в связи со всей этой ситуацией не отпускает.Провайдера менять смысла нет - у других провов не менее "весело", но уже по другим аспектам Пока провом динамически выдаются белые в перемешку с серыми, позднее всё уйдёт за его NAT). А фиксированный белый IP получить сейчас в принципе невозможно - ныне они в дефиците ибо "белая" адресация ipv4 закончилась в принципе и провайдеры держат "белые" IP-адреса как доп.актив для продажи их юр.лицам, вот так Есть конечно вариант с ipv6 и туннелированием, но ну его пока в пень
К слову, о безопасности. Почитывая маны на сайте дюны обнаружил следующее.Девелоп-версии по дефолту имеют ssh (благо пока не обновлялся с b6, теперь точно буду апдейтиться на девелоп-версию), что мешает дюновцам впилить его заместо телнета (или вместе с ним) на обычных прошивках ?
Zyxel Keenetic Giga II
Dune HD QWERTY
WD my cloud 2 TB, Gen1
#20
Отправлено 26 March 2018 - 03:50
Лучшее решение данной проблемы - при наличии рута на смартфоне залочить входной порт 8088 командой
что предотвратит утечку данных и позволит пользоваться приложением для удалённого контроля дюной без ограничений.iptables -I INPUT -p tcp --destination-port 8088 -j DROP
Те же действия стоит повторить и в том случае, ежели вы используете альтернативные приложения для работы с дюной ибо они с высокой вероятностью будут использовать аналогичные приёмы, что и оригинальное приложение производства дюны.