image

Expert: router van provider is beveiligingsrisico

woensdag 9 december 2015, 16:17 door Redactie, 15 reacties

De router die internetproviders aan hun abonnees geven zijn niet veilig en consumenten kunnen dan ook beter zelf een model kopen. Dat stelt Raymond Lewis van beveiligingsbedrijf Webroot. Lewis wijst naar modems waarvan de DNS-instellingen door aanvallers zijn aangepast en waardoor gebruikers allerlei advertenties te zien krijgen. Webroot stelt dat het steeds meer meldingen over dit probleem ontvangt.

Volgens Lewis heeft de router die internetproviders uitdelen een aantal voordelen, maar brengt het ook risico's met zich mee. Technici kunnen vaak via een 'backdoor' account op afstand op de router inloggen om problemen op te lossen. Ook kunnen ze ondersteuning bij het apparaat bieden. Deze backdoors kunnen echter ook door anderen worden gebruikt, stelt Lewis. Vervolgens is het bijvoorbeeld mogelijk voor een aanvaller om de DNS-instellingen te wijzigen, zodat het verkeer van gebruikers via andere servers loopt.

"Als je een eigen router koopt is er geen backdoor voor de helpdesk van de provider. De routers die jezelf koopt gaan meestal langer mee en hebben betere configuraties", aldus de expert. Hij waarschuwt wel dat gebruikers in dit geval de modem zelf moeten instellen, omdat in ieder geval grote Amerikaanse providers routers van derden niet ondersteunen. Een andere oplossing is dat klanten in het geval ze weten dat er in hun standaard meegeleverde router een beveiligingslek zit ze de provider vragen dit op te lossen of om een niet kwetsbare router vragen.

Reacties (15)
09-12-2015, 17:08 door Anoniem
Oplossing drie:

modem in bridge modus, en je eigen Linux bak als router instellen.... laat ze dan maar eens mijn DNS settings te spoofen.

Vanaf dag 1 draai ik altijd alle providers modems in bridge modus met een eigen linux router er achter. Dit omdat ik de modems niet vertrouw, en dan Linux OS dat wel bijgehouden wordt met updates, een stuk veiliger is.

TheYOSH
09-12-2015, 17:51 door Anoniem
Tja,daarom heb ik een eigen router op mijn hoofdnetwerk zitten,en gebruik enkel bedraad mijn Ziggo horizonbox als modem die naar mijn router loopt. in de horizonbox heb ik alle wifi uitgeschakeld,en gebruik enkel mijn eigen router voor wifi.
Ook zit ik nog eens in een vpn.
09-12-2015, 18:27 door Anoniem
Wat een dramatisch slecht stuk.
Ik snap werkelijk niet wat een dergelijk generaliserend (alle apparatuur van alle providers), slecht onderbouwd (betreft ineens enkel "Arris") en partijdig (hardcoded admin-pw's in vrij verkrijgbare modellen, iemand?) stuk onzin op deze site moet.
Overigens betreft het onderzoek enkel de Amerikaanse markt, en dan ook nog enkel de kabelmarkt.

Clickbait dus. En daarvoor kom ik hier niet.
09-12-2015, 18:33 door Anoniem
Je hebt providers en providers. Wie voor een dubbeltje op de eerste rang wil zitten, moet niet vreemd opkijken wanneer-ie bedrogen uitkomt.
09-12-2015, 20:27 door karma4
Je neemt een contract bij een provider waarbij al jou data over hun netwerk en routers gaat. Maak je je zorgen over de apparatuur thuis? Het is bovenraampje bij de keukendeur de voordeur heeft de provider in handen in zit daar.

Als je die voordeur niet vertrouwt kun je beter de hele tent opdoeken. (kap met internet / communicatie gebruik)

Je kunt je wel zorgen maken over de kwaliteit van de voordeur. Dat moet je niet laten blijken door een paar dns servers van ze te DDossen.
09-12-2015, 23:10 door Anoniem
Door Anoniem: Oplossing drie:

modem in bridge modus, en je eigen Linux bak als router instellen.... laat ze dan maar eens mijn DNS settings te spoofen.

Vanaf dag 1 draai ik altijd alle providers modems in bridge modus met een eigen linux router er achter. Dit omdat ik de modems niet vertrouw, en dan Linux OS dat wel bijgehouden wordt met updates, een stuk veiliger is.

TheYOSH

Dit is niks voor de consumenten, je wilt dan ook alles van top kwaliteit ( supermicro bordje, jetway? + intel / broadcom nic(s) en dat kost aardig wat wil je hogere snelheden halen en betrouwbaar kunnen filteren zonder haperingen )
En meeste opensource router OSs draait op *BSDs en niet linux, het is makkelijker om je providers modem gewoon weg te halen en een betrouwbare router/DIY router er neerhangen met firewalling erna of op de zelfde machine (VMs) als je teminste betrouwbaarheid wilt en het zelf kan.
Hiernaast zijn er meerdere dingen die een netwerk veilig kunnen maken voor thuis ( denk aan VLANs, en MAC filtering en strict firewall rules ) je kunt het zelf zo gek maken als je zou willen, maar om nou te zeggen dat iedereen zelf een router of een router moet instellen die er geen verstand van hebben ( ja pfsense is niet moeilijk maar strict firewalling, vlans(trunking ect) en dat soort koek is een ander heel ander verhaal )
10-12-2015, 08:50 door Anoniem
Tja. Een eigen router *kan* beter zijn. Maar dat hangt wel van de kennis en inzet van de gebruiker af. Hoeveel mensen met een eigen router letten op zaken als firmware updates, een veilige configuratie, en meer van dat soort zaken ? Waarschijnlijk ligt dat percentage redelijk laag. Vaak zal de configuratie dus niet veel beter zijn dan de router van de provider.
10-12-2015, 09:02 door linuxpro
En dan wil je je modem in bridge mode zetten en dan moet dat via een achterdeur en wordt het niet gesupport door je provider waardoor na elke update van je modem (of iptv topsetbox) de boel moet resetten. Alles om maar controle te houden i.p.v. een dienst aan te bieden. Grmpf.
10-12-2015, 09:10 door Anoniem
Dit is ook in NL van toepassing.
10-12-2015, 09:58 door Anoniem
Door linuxpro: En dan wil je je modem in bridge mode zetten en dan moet dat via een achterdeur en wordt het niet gesupport door je provider waardoor na elke update van je modem (of iptv topsetbox) de boel moet resetten. Alles om maar controle te houden i.p.v. een dienst aan te bieden. Grmpf.

Daarom is het afgeraden om een bridge modus te gebruiken, zelfs bij KPN is het mogenlijk om een router van jezelf neer te zetten en evt Experiabox voor telefonie maar hier moet je wel verstand van hebben (vlans, en hoe een netwerk werkt en is opgebouwd ) maar als je dat begrijpt hoef je nooit een bridged router te gebruiken ( ja zelfs met IPTV )
10-12-2015, 10:11 door Anoniem
Ik heb nu Tele2, maar ben al een tijdje van plan over te stappen juist door de modem/router. Geen bridge-mogelijkheid, geen firewall, DNS is niet aan te passen, geen logging, DHCP is niet uit te zetten, upnp staat helemaal nergens.
10-12-2015, 10:16 door Anoniem
Oplossing die ook voor "gewone" gebruikers te doen is, zet een eigen router achter de router van de provider. Verander de wachtwoorden, zet instellen van buiten het eigen netwerk uit, stel zelf de DNS servers in i.p.v. DHCP en zorg dat je betrouwbare publieke DNS servers gebruikt. Dit is in een simpel artikel te omschrijven, kan door veel leken worden gedaan en maakt het een stuk lastiger voor aanvallers om je omgeving te onderscheppen. Veranderen van provider is dan ook een stuk simpeler, diens router wordt vervangen, maar intern hoeft niets te veranderen.

Je hebt ook meteen een DMZ, mensen die niet bij het gezin horen, krijgen alleen toegang via het modem van de provider.
10-12-2015, 10:50 door MrRight
Expert: router van provider is beveiligingsrisico......

Hoeveel routers volgen in het pad vanaf je thuisadres via providers naar de bestemming?

En vrf-also is op veel plaatsen actief.
10-12-2015, 13:20 door Anoniem
Mooi voorbeeld is ook Xs4all met TR-069 enabled Fritzboxen. Omdat deze provider nog veel van ADSL gebruik maakt en bij glas op de WAN zijde met VLANs werkt (wat niet veel huis en tuin routers ondersteuen) is bij dat soort providers, bridge mode niet echt een optie. Ondertussen zit je wel met een modem wat TR-069 en IPv6 gebruikt maar geen (configureerbare) firewall bevat.

Je zou je kunnen afvragen waarom Xs4all toegang moet hebben tot je volledige LAN, maar je kan je ook afvragen wat er gebeurd als het lukt om bij Xs4all in te breken. Dan heb je onbekerkte toegang tot de lokale netwerken van bijna alle klanten.

Aan de andere kant zijn er ook heel veel klanten die totaal niet snappen wat een residential gateway is en daarvoor is een vorm van remote beheer wel een uitkomst.

Maar het blijft een risico; als het mis gaat, dan gaat het ook echt goed mis.
10-12-2015, 20:25 door Anoniem
Allemaal experts hier zo te zien, de een nog met een "beter" plan dan de ander. DMZ, DHCP, UPNP.
Als ik dit zo lees dan kun je net zo goed je provider router houden want een eigen router configureren gaat hem niet worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.