Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SFP 'hardening'

18-11-2022, 23:18 door Anoniem, 3 reacties
Zelf heb ik bij T-Mobile nu mijn fiber direct via een SFP op mijn router zitten via GPON, daarop draait OpenWRT/Lantiq

Echter vroeg ik mij af hoe het zit qua security en zit met een paar vragen.
Zelf heb ik een Mikrotik router draaien en heb deze zo goed mogelijk dicht gezet omdat ik altijd dacht dat dit mijn 'first line of defence ' zou zijn, maar dat is op dit moment misschien wel de de SFP geworden.

Kan de OLT (aan de provider kant) wijzigingen pushen naar mijn ONU?
Is het private IP adres (192.168.x.x) te benaderen vanaf de provider kant?
Op dit moment is er aan vast username/passwd op de ONU, is het superdom om deze niet te veranderen of kan je toch alleen inloggen aan de LAN kant?

Om het werkend te krijgen kwam ik er achter dat er een compleet OS draait op de SFP,
Is het nodig om een firewall te draaien op de SFP?
Software updates te draaien?
Standaard instellingen te veranderen?
Zijn er best practices hiervoor?
Reacties (3)
19-11-2022, 11:29 door Anoniem
Dit is meestal geen issue omdat het L2 netwerk niet van buitenaf toegankelijk is. Je draait PPPoE op die link en de pakketjes van een eventuele aanvaller worden als PPPoE data pakketjes in een VLAN direct door de SFP doorgestuurd naar je router zonder er verder "in" te kijken.

Uiteraard heb je in je router een firewall staan die forwarding van de PPPoE tunnel naar het lokale adres blokkeert.
(als je een "default drop" policy hanteert hoef je daar niets speciaals voor te doen)
21-11-2022, 11:06 door Anoniem
best practice is om een WAN interface (voorheen CPE) altijd af te schermen met een firewall en niet direct op laag 2 te koppelen op je eigen netwerk.
Elke fout op het provider netwerk kan consequenties hebben voor je eigen omgeving (en ik heb vaak meegemaakt dat ik RFC1918 adressen op de WAN interface tegenkwam bij providers. Voorheen bij Ziggo was het eigenlijk standaard, maar ook 'echte' providers heb ik betrapt (nouja, mijn IDS/IPS dan) op lekken en forwarden van pakketten die niet op mijn WAN interface hoorde.

Dus zelfs als je je provider vertrouwt, ik zou de andere klanten van de provider niet vertrouwen.
Ik zelf heb goede ervaringen met microtik, maar heb al over de afgelopen 5 jaar minstens 5 zerodays gehad op die doos.
Daarom is defense in layers nog steeds een goed idee, ouderwets maar wel functioneel voor intrusion, niet zo zeer voor confidentiality. Alle vendoren hebben zo hun problemen, maar in mijn geval heb ik 3 compleet verschillende tussen WAN en LAN zitten. Mochten er 2 tegelijk lek zijn, heb ik nog 1 muur over.

Ik denk dat er nog niet veel nagedacht is over SFP security, maar componenten vertrouwen omdat je denkt dat ze veilig zijn is de eerste stap in gep0wned worden.
21-11-2022, 12:35 door Anoniem
Op dit moment is er aan vast username/passwd op de ONU, is het superdom om deze niet te veranderen of kan je toch alleen inloggen aan de LAN kant?

ehm, ongeacht of je dit alleen vanuit de LAN zou kunnen benaderen:
Als het pw zonder gevolgen gewijzigd kan worden, dan zou ik altijd afstappen van het default pw. Idem met de username.
Zie het als een extra bescherming.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.