Security Professionals - ipfw add deny all from eindgebruikers to any

Welke routers zijn veilig?

14-06-2014, 23:31 door Anoniem, 28 reacties
Welke routers kunnen wij nog veilig noemen na die NSA gebeuren met Cisco ect. ?

Ik begreep namelijk dat de Amerikaanse NSA routers van fabrikanten backdoord en deze dan weer door laat verkopen in o.a Europa (Waaronder NL).

Dit is toch belachelijk voor woorden? Kan ik nou echt geen Privacy hebben door die amerikaanse lui :S?
Reacties (28)
15-06-2014, 12:46 door Anoniem
Als je een router neemt en er openwrt of ddwrt op draait moet het in orde zijn. Die worden als veilig beschouwd. En als je het helemaal goed wilt doen neem je een doosje met pfsense of zo erop. Dan heb je gelijk alles in de hand, dat is een volledige firewall. Het ligt er aan wat je hebt (kabel, adsl, glas) wat je kunt inzetten.
15-06-2014, 14:46 door Anoniem
De veiligste router is degene die geen verbinding heeft met internet.Zodra die dat wel heeft is tie per definitie al onveilig. Dat komt omdat een router nooit echt helemaal veilig is,zowel qua beveiliging (lekken,backdoors,protocollen die niet echt voldoen) en natuurlijk wpa2 dat eigenlijk ook al achterhaald en kraakbaar is (kost wat moeite,maar het schijnt toch echt te kunnen).
15-06-2014, 19:31 door [Account Verwijderd]
[Verwijderd]
15-06-2014, 19:33 door Anoniem
@Welke routers kunnen wij nog veilig noemen na die NSA gebeuren met Cisco ect. ?
Stel deze vraag over 10 jaar nog eens dan weten we (waarschijnlijk) wat er 'veilig' was 10 jaar geleden.
01-07-2014, 15:21 door [Account Verwijderd]
[Verwijderd]
01-07-2014, 17:13 door Anoniem
Door Hyper:
Maar er is wel verschil tussen de ene an de andere router. Ik kan je routers met open-source software aanraden. De kans dat hier achterdeurtjes inzitten is net wat kleiner dan de gemiddelde Linksys doos.

Misschien. Maar ik denk dat het verschil verwaarloosbaar is. Hooguit staan de makers meer te blozen als ze naar
buiten komen.
02-07-2014, 06:49 door Anoniem
Door Peter V.: Goeie vraag natuurlijk. Maar ik neem aan dat - op dit moment - het beste is om (voorlopig) alle Amerikaanse Routers links te laten liggen.

Juist, en mijn spider-sense tingling gaat hevig tekeer bij chinees spul dat niet eetbaar is.

Maar wat blijft er dan over ... duits? Fritzbox? Ehhhh..... :$
02-07-2014, 10:20 door Anoniem
Paniek voor niks. Denk je nu echt dat jij interessant bent voor de NSA ?
02-07-2014, 10:57 door Anoniem
Door Anoniem:
Door Peter V.: Goeie vraag natuurlijk. Maar ik neem aan dat - op dit moment - het beste is om (voorlopig) alle Amerikaanse Routers links te laten liggen.

Juist, en mijn spider-sense tingling gaat hevig tekeer bij chinees spul dat niet eetbaar is.

Maar wat blijft er dan over ... duits? Fritzbox? Ehhhh..... :$
China staat inderdaad goed bekend als het op voedselveiligheid aankomt ;)


Het probleem met routers is dat je als consument / eindgebruiker maar heel beperkt zelf kunt controleren wat er via die doos naar buiten gaat. Het enige dat je kunt controleren is het verkeer op het netwerk zelf, alles wat naar buiten gaat via het doosje is eigenlijk hopen op goed geluk...

Open-source of iets als FritzBox lijkt me beter (minder slecht) dan een Cisco of Huawei -doos.
02-07-2014, 11:10 door Anoniem
Waarom zou men op ieders persoonlijke router inbreken als ze de grote internetknooppunten/backbone kunnen afluisteren?...
02-07-2014, 11:17 door Anoniem
Door Anoniem: Paniek voor niks. Denk je nu echt dat jij interessant bent voor de NSA ?

Jij weet van een anonieme poster dat hij niet interessant is voor de NSA? Hoe doe je dat? Heb jij backdoors op de servers van security.nl? Of ben je zelf de beheerder en zit je door de logs te snuffelen?
02-07-2014, 11:34 door Ramon.C
Gebruik een hardware based (open source) firewall direct vanaf de modem. Of betaal voor een UTM firewall.
https://www.security.nl/posting/35382/Firewall+Overzicht+2012

En dan pas een router aansluiten met b.v dd-wrt erop (optioneel) Dit is een stap in de goede richting. 100% privacy op het net bestaat niet. Tenzij je vanaf diverse adressen het internet gebruikt zonder het gebruik van je eigen laptop, mobiel etc..
02-07-2014, 12:19 door Anoniem
openwrt en ddwrt zijn allebei genoeg mainstream om, geloof me maar gewoon, als standaarden als eerste als iets uitkomt etc bekeken te worden tegenwoordig. exploits hebben nsa en alles daarvoor al voorhanden. dus daar ben ik het niet mee eens, moest ik ook ff zeggen.

oh ja, dat onderkinnetje! xD
02-07-2014, 21:36 door Anoniem
door Anoniem 02-07-2014 10:57:
Het probleem met routers is dat je als consument / eindgebruiker maar heel beperkt zelf kunt controleren wat er via die doos naar buiten gaat. Het enige dat je kunt controleren is het verkeer op het netwerk zelf, alles wat naar buiten gaat via het doosje is eigenlijk hopen op goed geluk...

Een WAN-controle is bij routers die niet in één doos zijn geïntegreerd met een modem meestal toch wel mogelijk.
Hoe:
1. WAN van te testen router knopen aan LAN van een tweede router. (wel allebei eerst even correct configureren)
2. "sniffen" op een andere ethernetpoort van het LAN-netwerk van die tweede router (die dus niet al te snugger moet zijn,
maar die het netwerkverkeer altijd automatisch domweg moet dupliceren over al zijn LAN-aansluitingen)

Te verwachten spontaan netwerkverkeer op WAN is NTP-verkeer om klok van het logboek van de router te synchroniseren.
Ben het er overigens niet mee eens dat dit ook gebeurt als er geen NTP-server is opgegeven, maar gebeurt meestal wel.
Naar mijn ervaring staan er van fabriekswege meestal een aantal NTP-servers voorgeprogrammeerd waar je dus niets van af weet, en waar de router dus zonder dat je dit weet gebruik van maakt.
Ik vind persoonlijk dat de gebruiker zelf moet kunnen bepalen of het WAN-IP-adres naar zo'n NTP-server moet worden verzonden... Denkt deze community daar ook zo over?

Mvg, cluc-cluc <b.t.w.: heeft iemand toevallig mijn onderkin ook ergens gezien??? ;-) >
02-07-2014, 23:01 door Anoniem
Door Anoniem: Paniek voor niks. Denk je nu echt dat jij interessant bent voor de NSA ?

Wat denk je zelf? Iedereen is interessant voor de NSA. Uiteindelijk....
03-07-2014, 11:21 door Anoniem
Door Anoniem: Waarom zou men op ieders persoonlijke router inbreken als ze de grote internetknooppunten/backbone kunnen afluisteren?...
Toegang tot de pc's zelf via het lokale lan is nattuurlijk veel interessanter. Waarom denk dat het niet zo verstandig is om je lokale lan direct aan de router van de provider te prikken?
04-07-2014, 01:16 door Anoniem
Toegang tot de pc's zelf via het lokale lan is nattuurlijk veel interessanter.
Het zou wel eens een keer interessant kunnen zijn, maar is lang niet altijd "nattuurlijk veel interessanter".

Waarom denk dat het niet zo verstandig is om je lokale lan direct aan de router van de provider te prikken?
Je doelt misschien op de directe blootstelling aan het internet zonder enige beschermende router ertussen?
Als je provider al een router (of routermodem) levert, dan heb je zo'n soort bescherming toch al?
Je moet echt goede reden hebben om daar nog een tweede router aan toe te voegen. (meestal is het overbodig)
Levert je provider alleen een modem, dán kan er beter een router bij. Anders kun je maar één pc via utp kabel aansluiten.
Maar één pc met robuust OS en geschikte firewall software kan best rechtstreeks (zonder router) op het modem hoor.
Als alles perfect is geconfigureerd en ingesteld, dan is het met al die ophef over lekke routers mischien zelfs wel veiliger.
04-07-2014, 14:22 door Anoniem
Door Anoniem:
Door Peter V.: Goeie vraag natuurlijk. Maar ik neem aan dat - op dit moment - het beste is om (voorlopig) alle Amerikaanse Routers links te laten liggen.

Juist, en mijn spider-sense tingling gaat hevig tekeer bij chinees spul dat niet eetbaar is.

Maar wat blijft er dan over ... duits? Fritzbox? Ehhhh..... :$

MikroTIK ? => http://en.wikipedia.org/wiki/MikroTik (mooi product - nee geen aandelen ;) => http://routerboard.com/RB2011UiAS-2HnD-IN)
15-07-2014, 02:14 door Anoniem
Nog meer Suggesties?
15-07-2014, 11:25 door Britec09
Door Anoniem:
Door Peter V.: Goeie vraag natuurlijk. Maar ik neem aan dat - op dit moment - het beste is om (voorlopig) alle Amerikaanse Routers links te laten liggen.

Juist, en mijn spider-sense tingling gaat hevig tekeer bij chinees spul dat niet eetbaar is.

Maar wat blijft er dan over ... duits? Fritzbox? Ehhhh..... :$
Linksys, TP link ?????
15-07-2014, 20:04 door Anoniem
Door Britec09:
Door Anoniem:
Door Peter V.: Goeie vraag natuurlijk. Maar ik neem aan dat - op dit moment - het beste is om (voorlopig) alle Amerikaanse Routers links te laten liggen.

Juist, en mijn spider-sense tingling gaat hevig tekeer bij chinees spul dat niet eetbaar is.

Maar wat blijft er dan over ... duits? Fritzbox? Ehhhh..... :$
Linksys, TP link ?????

Allemaal gemaakt in China; Chinese meuk zit altijd (1 op de 10 na dan) een backdoor!

Andere mogelijkheden? Of zijn deze er gewoon simpelweg niet?
15-07-2014, 21:31 door softwaregeek
FritzBox is made in Germany!
15-07-2014, 22:30 door Anoniem
Sitecom is er ook nog met zijn X-series routers met 6 maanden "cloud security". Daarna abonnement.
(best een aardig idee, dat wel, maar 'k ben zelf niet zo van de abonnementen)
Waar kwam dat merk Sitecom nou ook alweer vandaan??? ehh..... toe ... ut is maar een klein landje volgens mij...

Maar oftie nou echt heel veel veiliger is dan een ander merk, dat kan niemand je garanderen.
Wie software/firmware schrijft voor een apparaat, ziet wel eens iets over het hoofd. Zelfs ook bij Fritzbox.
Komt door de complexiteit: je wilt niet weten wat er in zo'n kastje allemaal gebeurt,
en het is vrijwel onmogelijk om rekening te houden met "alle mogelijke ongewone en toevallige situaties"
die zouden kunnen optreden. Vooral jonge modellen kunnen dus nog wel eens tegen een probleempje aanlopen.
16-07-2014, 14:29 door Anoniem
Door Anoniem: Sitecom is er ook nog met zijn X-series routers met 6 maanden "cloud security". Daarna abonnement.
(best een aardig idee, dat wel, maar 'k ben zelf niet zo van de abonnementen)
Waar kwam dat merk Sitecom nou ook alweer vandaan??? ehh..... toe ... ut is maar een klein landje volgens mij...

Maar oftie nou echt heel veel veiliger is dan een ander merk, dat kan niemand je garanderen.
Wie software/firmware schrijft voor een apparaat, ziet wel eens iets over het hoofd. Zelfs ook bij Fritzbox.
Komt door de complexiteit: je wilt niet weten wat er in zo'n kastje allemaal gebeurt,
en het is vrijwel onmogelijk om rekening te houden met "alle mogelijke ongewone en toevallige situaties"
die zouden kunnen optreden. Vooral jonge modellen kunnen dus nog wel eens tegen een probleempje aanlopen.

heeft hier 5 keer aangestaan om te testen de 7100 series...zitten een paar beperkingen op:

- de wifi is niet je van het
- de uplink naar de cloud waar al het scannen gebeurd was gewoon soms onbereikbaar waardoor HTTP calls niet door kwamen in mijn browser, ping en SSH verkeer werkte gewoon wel prima dus het lag niet aan mijn UPC lijntje
- is weinig aan te customisen aan het filter.
18-07-2014, 12:27 door Anoniem
Het merk LANCOM is ook nog "deutsche gründlichkeit".
Doet wat spartaans aan, maar levert zo te zien professionele routers met veel instel- en filtermogelijkheden.
Zelf weliswaar geen ervaring mee, maar wekt een robuuste indruk op grond van wat er op hun website over te lezen valt.
Kost een paar centen, maar dan heb je ook wat.

P.S.: misschien niet geschikt voor wie "stealth-mode" volstrekt onzin vinden,
want deze professionele routers besteden daar nl. aandacht aan. Lees de handleiding maar.
Of... begint het nu te dagen dat "stealth" misschien toch niet helemaal onzin is?...
(lijkt er trouwens op dat zelfs burgervliegtuigen tegenwoordig met "stealth" moeten worden uitgerust)...:-(
18-07-2014, 21:32 door Eric-Jan H te D
Door softwaregeek: FritzBox is made in Germany!
Met onder andere Qualcomm chips uit de VS. En vast ook nog wat uit het verre oosten.
19-07-2014, 19:29 door steve sh1t
[Verwijderd]
20-07-2014, 10:23 door Dick99999 - Bijgewerkt: 20-07-2014, 11:28
Door Anoniem: Welke routers kunnen wij nog veilig noemen na die NSA gebeuren met Cisco ect. ?

Ik begreep namelijk dat de Amerikaanse NSA routers van fabrikanten backdoord en deze dan weer door laat verkopen in o.a Europa (Waaronder NL).

Dit is toch belachelijk voor woorden? Kan ik nou echt geen Privacy hebben door die Amerikaanse lui :S?
En wat denk je van bescherming tegen hackers? De stand van zaken bij thuisrouters maakt het blijkbaar noodzakelijk dat de Independent Security Evaluators (ISE) en de Electronic Frontier Foundation (EFF) een "SOHOpelessly BROKEN" wedstrijd steunen (7-12 aug a.s.), zie:
http://arstechnica.com/security/2014/07/sohoplessly-broken-hacking-contest-aims-to-test-home-router-security
en
http://sohopelesslybroken.com/
Track 0:
The objective in this contest is to demonstrate previously unidentified vulnerabilities in off-the-shelf consumer wireless routers,"
Track 1:
Show up and show off. This live CTF will run for the duration of DEFCON. Compete to complete over 10 objective-based attack scenarios against (possibly) known vulnerable routers to earn points. Scoring will be based on the number of objectives achieved. Some more difficult than others.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.