Сообщений в теме: 19

[LordGenom]

Собственно решил заняться этим вопросом и обнаружил что через GUI ни самбу ни ftp не запаролить (надо будет лезть через telnet и редактировать конфиги вручную). IP control - это вообще отдельный разговор, мало того что на 80-м порту (у самсунгов к примеру это порт 55555), так без пароля делай что хочешь в рамках доступного API (а если запустить сканнинг nmap, то вообще начнётся светопреставление).

Помимо ftp/samba/IP control открыты порты 7777 и 30000, для чего - ХЗ (первый судя по гуглу - некий протокол cbt).

Неужто у dune всё настолько плохо (это скорее вопрос к разработчикам) в плане сетевой безопасности ?

[Белыч]

Это уже давным-давно тут обсуждалось. Ну про ftp точно.
А с другой стороны - для чего в локальной сети такая паранойя по безопасности?

[LordGenom]

Это уже давным-давно тут обсуждалось. Ну про ftp точно.
А с другой стороны - для чего в локальной сети такая паранойя по безопасности?

А то, что от прова ввиду кривой настройки оборудования с его стороны пробиваются "соседи", (писал прову, реакции 0) , в целом стоит блок через iptables, но неизвестно откуда они ещё могут вылезти, оттуда и паранойя (плюс пару раз до обнаружения "соседей" замечал "фантомные" движения в dune - видать кто-то "щупал" IP-control). Больше всего напрягает IP control - то что не реализовали запароливание самая большая дыра, а ведь всего-то делов - прописать пару лишних строчек для http-сервера ...

Ну и открытые порты невесть для чего - тоже не есть тру (хотелось бы знать для чего они).

[bas1945]

Ну тут, главное, на веб-морду роутера и вай-фай пароль надёжный поставить. Отключить в роутере автоматический проброс портов, и открыть нужные руками. Я ftp и транс паролил только потому, что иногда торренты извне закидываю.

[TrippyCat]

LordGenom у вас крутые соседи, явно тру IT, не поленились полезли на дюновский офсайт, разобрались как юзать ip control респект им

 

 

 

Кстати а что это за кривая настройка такая? 

[Белыч]

А то, что от прова ввиду кривой настройки оборудования с его стороны пробиваются "соседи", (писал прову, реакции 0) , в целом стоит блок через iptables, но неизвестно откуда они ещё могут вылезти, оттуда и паранойя (плюс пару раз до обнаружения "соседей" замечал "фантомные" движения в dune - видать кто-то "щупал" IP-control). Больше всего напрягает IP control - то что не реализовали запароливание самая большая дыра, а ведь всего-то делов - прописать пару лишних строчек для http-сервера ...
Ну и открытые порты невесть для чего - тоже не есть тру (хотелось бы знать для чего они).

Это как через роутер (я надеюсь роутер настроен нормально и включен NAT), могут пробиваться соседи?
Не, если dune используется для IPTV, и на роутере выдеоен порт для IPTV, то в принципе это водможно. Но на мой взгляд это не совсем корректное использование приставки.

[LordGenom]

у вас крутые соседи, явно тру IT

соседи в кавычках, имелись ввиду соседи по подсети

не поленились полезли на дюновский офсайт, разобрались как юзать ip control респект им

там не надо знать API, запустите nmap в режиме скана сервисов на 80 порту и результат будет налицо

Кстати а что это за кривая настройка такая?

погуглите "у провайдера слетела изоляция портов"

Это как через роутер (я надеюсь роутер настроен нормально и включен NAT), могут пробиваться соседи?

Очень даже могут, при криворукой оборудования настройке со стороны провайдера. Сам был удивлён когда обнаружил сию проблему. Пров не отреагировал, так что спасение утопающих - дело рук самих утопающих.

Ну тут, главное, на веб-морду роутера и вай-фай пароль надёжный поставить. Отключить в роутере автоматический проброс портов, и открыть нужные руками. Я ftp и транс паролил только потому, что иногда торренты извне закидываю.

Это всё отключено и настроено должным образом, так что роутер тут ни с какого бока, тут проблема другого толка.

[TrippyCat]

"запустите nmap в режиме скана сервисов на 80 порту и результат будет налицо" - это жесть  я такого еще не видел, хорошо что ниче не удалило хотя собиралось

[LordGenom]

"запустите nmap в режиме скана сервисов на 80 порту и результат будет налицо" - это жесть я такого еще не видел, хорошо что ниче не удалило хотя собиралось

Вот и я о том же, дырень же, он с лёгкостью находит линки API и начинает гонять все запросы, ранее я уже видел это, но в меньших масштабах, нежели когда запустил скан сам, потому собственно и поднял тему.

[denik79]

Ну FTP можно отключить либо через LTU и включить pureftpd с паролем либо в мане дюны где то видел .dsf который даёт возможность поставить пароль на штатный FTP

Так же можно отключить телнет через тот же LTU и включить ssh с паролем,сейчас уже не помню но может и ещё чего можно подрехтовать через LTU на дюне в плане безопасности,а так то конечно дюну высовывать в локалку провайдера просто нельзя по понятным причинам или ставить её за NAT.

[LordGenom]

Ну FTP можно отключить либо через LTU и включить pureftpd с паролем либо в мане дюны где то видел .dsf который даёт возможность поставить пароль на штатный FTP
Так же можно отключить телнет через тот же LTU и включить ssh с паролем,сейчас уже не помню но может и ещё чего можно подрехтовать через LTU на дюне в плане безопасности

Запаролить по идее можно и исходный ftp/samba/http путём правки конфигов и стартовых скриптов, правда пока этот момент не проверял, но как дойдут руки обязательно проверю - главное чтобы раздел с конфигами и скриптами был не RO.

а так то конечно дюну высовывать в локалку провайдера просто нельзя по понятным причинам или ставить её за NAT.

Цимес ситуации несколько в ином - дюна и так никуда не смотрит, только в домашнюю локалку, но NAT прова что решето и пропускает посторонних, оттуда обеспокоенность за безопасность дюны.

bas1945, вы вроде связывались с саппортом недавно, вы писали на support@dune-hd.com или ещё куда (просто оттуда ни ответа, ни привета) ? Хочу поинтересоваться что за порты на дюне открыты помимо дефолтных - 7777 и 30000.

[Белыч]

Запаролить по идее можно и исходный ftp/samba/http путём правки конфигов и стартовых скриптов, правда пока этот момент не проверял, но как дойдут руки обязательно проверю - главное чтобы раздел с конфигами и скриптами был не RO.Цимес ситуации несколько в ином - дюна и так никуда не смотрит, только в домашнюю локалку, но NAT прова что решето и пропускает посторонних, оттуда обеспокоенность за безопасность дюны.bas1945, вы вроде связывались с саппортом недавно, вы писали на support@dune-hd.com или ещё куда (просто оттуда ни ответа, ни привета) ? Хочу поинтересоваться что за порты на дюне открыты помимо дефолтных - 7777 и 30000.

Причем здесь NAT провайдера? Речь идет про NAT на вашем роутере.

[LordGenom]

Причем здесь NAT провайдера? Речь идет про NAT на вашем роутере.

Как бы нет, чужаки лезут через ppp0 с серых адресов, так что таки в NAT провайдера.

[bas1945]

Запаролить по идее можно и исходный ftp/samba/http путём правки конфигов и стартовых скриптов, правда пока этот момент не проверял, но как дойдут руки обязательно проверю - главное чтобы раздел с конфигами и скриптами был не RO.Цимес ситуации несколько в ином - дюна и так никуда не смотрит, только в домашнюю локалку, но NAT прова что решето и пропускает посторонних, оттуда обеспокоенность за безопасность дюны.bas1945, вы вроде связывались с саппортом недавно, вы писали на support@dune-hd.com или ещё куда (просто оттуда ни ответа, ни привета) ? Хочу поинтересоваться что за порты на дюне открыты помимо дефолтных - 7777 и 30000.

Я по просьбе ув. Миша86 передал его вопрос по реализации возможностей sdk дюны в следующих прошивках её представителю в группе вконтакте, который пояснил, что данной ситуацией не владеет и посоветовал написать на упомянутый Вами адрес на русском и английском языках. Ув. Миша86 написал туда. Я тож письмо отправил с совсем простым вопросом- будут ли ещё прошивки? Но Тайвань молчит. Хотя представитель дюны в контакте ранее обещал, что пофиксят погодный виджет, но без инфы о сроках. Могу сейчас там сделать перепост про порты.

[LordGenom]

Могу сейчас там сделать перепост про порты.

Напишите, если не затруднит (я же им на мыло в 2х вариантах потом напишу)

Заодно и про возможность запароливания ftp/smb/http через GUI (плюс там же смену дефолтных портов), ну и особо выделите запароливание http сервера т.е. ip-контроля (пусть по дефолту будет выключено, кто захочет - включит) ибо это такая дыра что аж жуть

Самое забавное что ip-контролем я пользуюсь активно, но чую что придётся отрубить, пока вопрос с запароливанием не решится.

[denik79]

Как бы нет, чужаки лезут через ppp0 с серых адресов, так что таки в NAT провайдера.

Да,как то раз сталкивался с подобной ситуацией,очень не приятный момент они тебя видят из-за того что ты с ними в одной подсети оказываешся на wan-e,но в таком случае тут нужно поднимать вопрос вообще о безопасности всей локальной сети,так как атакам подвержены все сетевые устройства в твоей локалке.
Помоему проще сменить провайдера или получить белый ip.

[LordGenom]

Да,как то раз сталкивался с подобной ситуацией,очень не приятный момент они тебя видят из-за того что ты с ними в одной подсети оказываешся на wan-e,но в таком случае тут нужно поднимать вопрос вообще о безопасности всей локальной сети,так как атакам подвержены все сетевые устройства в твоей локалке.

Пока стоит блок через iptables и всё тихо (тьфу-тьфу-тьфу), но паранойя появившаяся в связи со всей этой ситуацией не отпускает.

Помоему проще сменить провайдера или получить белый ip.

Провайдера менять смысла нет - у других провов не менее "весело", но уже по другим аспектам Пока провом динамически выдаются белые в перемешку с серыми, позднее всё уйдёт за его NAT). А фиксированный белый IP получить сейчас в принципе невозможно - ныне они в дефиците ибо "белая" адресация ipv4 закончилась в принципе и провайдеры держат "белые" IP-адреса как доп.актив для продажи их юр.лицам, вот так Есть конечно вариант с ipv6 и туннелированием, но ну его пока в пень

К слову, о безопасности. Почитывая маны на сайте дюны обнаружил следующее.

SSH access to STB =================
All SDK firmware versions include also a built-in SSH server, which is active by default, and support key-based authentication.

Девелоп-версии по дефолту имеют ssh (благо пока не обновлялся с b6, теперь точно буду апдейтиться на девелоп-версию), что мешает дюновцам впилить его заместо телнета (или вместе с ним) на обычных прошивках ?

[denik79]

Я,к примеру,на всех своих дюнах выключил телнет через LTU и через него же включил dropbear SSH и задал пароль на этом моя параноя с безопасностью закончилась,но у меня белый ip.
Чего нужно реально боятся это доступа без пароля по телнету,а то потом тут через раз проскакивает тема про то что все файлы с диска удалились.

[bas1945]

Пока стоит блок через iptables и всё тихо (тьфу-тьфу-тьфу), но паранойя появившаяся в связи со всей этой ситуацией не отпускает.Провайдера менять смысла нет - у других провов не менее "весело", но уже по другим аспектам Пока провом динамически выдаются белые в перемешку с серыми, позднее всё уйдёт за его NAT). А фиксированный белый IP получить сейчас в принципе невозможно - ныне они в дефиците ибо "белая" адресация ipv4 закончилась в принципе и провайдеры держат "белые" IP-адреса как доп.актив для продажи их юр.лицам, вот так Есть конечно вариант с ipv6 и туннелированием, но ну его пока в пень
К слову, о безопасности. Почитывая маны на сайте дюны обнаружил следующее.Девелоп-версии по дефолту имеют ssh (благо пока не обновлялся с b6, теперь точно буду апдейтиться на девелоп-версию), что мешает дюновцам впилить его заместо телнета (или вместе с ним) на обычных прошивках ?

Насчёт ipv6 согласен, пока не стоит заморачиваться, ибо плеер, как я понял, его все равно не понимает, а на компе настраивать в данный момент не вижу смысла.

[LordGenom]

Недавно узнал, что приложение для ведра Dune HD RC позволяет не только управлять дюной, но и организовать реверсное подключение и "расшарить" аудио/видео/фото контент смартфона через приложение на самой дюне. Всё довольно примитивно и ни в какое сравнение не идёт с самбой, ежели оную поднять на смартфоне, но речь не об этом. Речь о том, что приложение поднимает на порту 8088 смартфона http-сервер без авторизации, через который при должной сноровке могут утечь ваши аудио/видео/фото. Будьте бдительны и не оставляйте приложение включённым в фоне, дабы расшаренный контент не оказался доступен третьим лицам в сетях общего пользования.

Лучшее решение данной проблемы - при наличии рута на смартфоне залочить входной порт 8088 командой

iptables -I INPUT -p tcp --destination-port 8088 -j DROP

что предотвратит утечку данных и позволит пользоваться приложением для удалённого контроля дюной без ограничений.

Те же действия стоит повторить и в том случае, ежели вы используете альтернативные приложения для работы с дюной ибо они с высокой вероятностью будут использовать аналогичные приёмы, что и оригинальное приложение производства дюны.