Sikkerrisiko for eldre ruter?

[LMH1]

Hei, virker for tiden Asus AC 66U og netgear centria WNDR4700 er det slutt på nye oppdateringer så jeg lurer på er det sikkerhetrisiko å bruke disse nå?

 

Asus AC 66U RT-AC66U_380.69_2

merlin buid:

Nyeste: 384.4

 

centria WNDR4700

versjon 1.0.0.56

 

For har jo netgear AD7200 (1.0.3.10) og netgear R6300 som er nyere (firmware 1.0.4.24)

 

Nå er spørsmålet ikke om ruterne er raske nok, for man kan jo bruke disse på hytta eller bruke disse som backup men bør det frarådet å brukes 24\07?

Eller er det så små sikkerhetsfeil man kan slå av noen funksjoner eller droppe VPN server eller ligdene for ungå sikkerhetrisikoen, hvorfor tror dere enkelte ruter sluttes å gi oppdateringer til? Ikke flere feil funnet eller er det snakk om ytelse og lagringsplass når plassen\ytelsen er brukt opp er det ikke poeng å utvikle disse?

 

Dlink\TP link og Jensen kommer nok dårligere ut tror jeg her.

Endret 24. mars 2018 av LMH1

[VegaPet]

Ingen routere som selges til konsument-markedet er "trygge", fordi det er billig-mikk-makk.

 

Som du selv sier, oppdateringer glimrer med sitt fravær, og du vet ikke helt om du kan stole på dem.

 

Men det trenger du heller ikke gjøre, en router skal ikke foreta seg annet enn trafikk-prioritering og hvor du bestemmer at traffikken skal gå, gjør du på et lavere nivå.

[NULL]

Mye er avhengig av hvilke tjenester du bruker og hva som eksponeres offentlig. Når det gjelder tjenester som AI Cloud o.l. har det aldri vært trygt. I praksis har det vært en katastrofe sikkerhetsmessig fra starten av.

 

Når det gjelder Asus, har de tatt tak. De har i hvert fall de siste par årene forstått alvoret, og relativt raskt kommet med sikkerhetsoppdateringer når de har blitt informert om svakheter - i stedet for tidligere å bare "håpe at ingen bryr seg videre". For Asus gikk det så langt at de i USA ble underlagt en 20 års revisjon av FCC når det gjelder oppfølging av sikkerhetsproblemer.

 

Mao - Keep it simple i henhold til ekstratjenester, spesielt når det gjelder dem som er eksponert mot internett.

 

Men såklart, det kan være andre ting enn bare slike ekstratjenester. Her handler det kanskje litt om å evt. følge litt med, og det er ingen garanti at det ikke er problemer med nyere også. Spørsmål er også hvordan du bruker dem. Hva bruker du WNDR4700 til? Som ruter eller bare ekstra AP?

 

Selv om det dukker opp ting jevnlig når det gjelder konsumentrutere, tror jeg ting har blitt mye bedre de siste årene hos de store produsentene med tanke på fokus på sikkerhet og mer tanker rundt dette fra grunnen av - nok blant annet pga. det som har skjedd med Asus. Jeg er mer skeptisk til "ukjente" merker, der det ikke er de store ressursene på utviklingssiden. 

 

For en del av den grunnleggende funksjonaliteten i ruterne er svært mange basert på samme software-stack - f.eks. OpenWRT. Mange vil også ha det samme software-laget (som da bl.a. drivere) fra SoC-produsenten - f.eks. Broadcom.

 

Det som svært ofte blir et av de større sikkerhetselementene blir også den lokale webserveren, og websidene som kjører der. Her kan det nok tenkes at flere vil gå over til løsninger der man må logge inn på websidene til produsenten for å gjøre endringer, og der ha en mer avansert autentiseringsmekanisme mellom ruter og backend-løsningen. 

 

Signering av firmware er også noe som burde ha vært innført hos flere, slik at ikke rutere kan oppdateres med i praksis en firmware med "onde hensikter". En ulempe med dette er at rutere ikke vil kunne oppdateres med tredjeparts programvare som DD-WRT, Tomato osv. Evt. må builds av dette innom ruterprodusenten slik at de kan signere den.

[LMH1]

Ja bruker fortiden WNDR4700 som ruter, og netgear R6300 som accesspoint, så usikker på om det er tryggere å bruke R6300 der.

 

Hvis vi tar nyeste firmware fra asus: (Netgear er det ikke mulig å finne noe særlig hva som er nytt).

 

Nå har jeg ikke fysisk testet: https://www.pcmag.com/article2/0,2817,2477437,00.asp

https://www.theguardian.com/technology/2017/oct/16/wpa2-wifi-security-vulnerable-hacking-us-government-warns

Men særlig trådløs er vel risiko.

 

General changes in the 384/NG branch vs 380.xx:
   - Clear your browser cache after flashing your first 384 build.
   - It's generally recommended to do a factory default reset
     when coming from 380 to 384/NG.
   - HDD spindown settings moved to the System settings page
   - SSL certificate management moved to the DDNS page for models
     that support Let's Encrypt
   - Nvram settings now have maximum lengths enforced, to protect
     against buffer overruns.  This means that some very long
     lists of settings might no longer be possible on 384.xx

 

384.4 (16-Mar-2018)
   - NEW: Merged with GPL 384_20379 (with some binary components
          from 382_50010 and 384_20308 depending on models)
   - NEW: Added support for the RT-AC5300.
   - NEW: Added support for the RT-AC87U.
   - NEW: Added IPSEC support to the RT-AC86U.
   - NEW: Support the new Entware 64-bit repo on the RT-AC86U.
          To switch to the new repository, re-run the
          entware-setup.sh script.  You will need to reinstall
          your apps (your old config files are backed up on
          your USB disk).
   - CHANGED: Tightened security around some config files.
   - CHANGED: Allow guest networks settings for AP isolation
              and SSID broadcast to be set separately from
              their parent interface (John Bacho)
   - CHANGED: Samba protocol support can now be set to
              SMBv1, SMBv2, or SMBv1 + SMBv2 (the new default).
              This will result in a performance drop on all
              models but the RT-AC86U, but will be more secure.
              Ideally, people should change it to SMBv2 only,
              and then reboot all their client devices to start
              using only the new protocol.
   - CHANGED: Re-added some of the logging sd-idle used to do
              in 380.xx.
   - CHANGED: Switched to the new Entware repo for armv7 models.
              To upgrade, run the following commands TWICE:

              opkg update; opkg upgrade

   - FIXED: Resetting an OpenVPN client to default settings
            might revert back after a reboot.
   - FIXED: log flood from lldpd about "unable to send packet
            on real device" (moved to debug level)
   - FIXED: Potential racing condition that could lead to two
            instances of miniupnpd running at boot time.
   - FIXED: Single-char hostnames were rejected by DHCP static
            leasees page. (theMIROn)
   - FIXED: AiCloud could sometime generate a new SSL certificate
            that would overwrite the one stored in jffs.  Now,
            AiCloud can also use the same one uploaded by the
            user for the main webui, or the Let's Encrypt one.
   - REMOVED: Telnet server.  Please use SSH for console-based
              management.
   - REMOVED: SNMP support on the RT-AC86U (incompatible)
   - REMOVED: Merlin NAT loopback mode (was increasingly
              problematic as the firmware firewall handling became
              more complex)

Endret 25. mars 2018 av LMH1

[FranZe]

Hei, virker for tiden Asus AC 66U og netgear centria WNDR4700 er det slutt på nye oppdateringer så jeg lurer på er det sikkerhetrisiko å bruke disse nå?

 

Asus AC 66U RT-AC66U_380.69_2

merlin buid:

Nyeste: 384.4

 

centria WNDR4700

versjon 1.0.0.56

 

For har jo netgear AD7200 (1.0.3.10) og netgear R6300 som er nyere (firmware 1.0.4.24)

 

Nå er spørsmålet ikke om ruterne er raske nok, for man kan jo bruke disse på hytta eller bruke disse som backup men bør det frarådet å brukes 24\07?

Eller er det så små sikkerhetsfeil man kan slå av noen funksjoner eller droppe VPN server eller ligdene for ungå sikkerhetrisikoen, hvorfor tror dere enkelte ruter sluttes å gi oppdateringer til? Ikke flere feil funnet eller er det snakk om ytelse og lagringsplass når plassen\ytelsen er brukt opp er det ikke poeng å utvikle disse?

 

Dlink\TP link og Jensen kommer nok dårligere ut tror jeg her.

 

Er det slutt på nyere oppdateringer? Er ikke 380_69_2 kun under 2 måneder gammel?

Endret 25. mars 2018 av FranZe

[LMH1]

Ja, virker slikt, 2 måneder eller ikke er vel ikke spørsmålet.  Spørsmålet er vel heller om eldre ruter bør skrotes eller ikke.

Riktignok funger de, men man vil ikke anbefale å bruke noe som kan være risiko.

 

Fikk lyst på RT-AX88U hvis jeg skal kjøpe noe nytt, ellers blir det brukt i så fall.

Hvis jeg ikke finner Netgear AD7200 under 3000 kr igjen.

Endret 25. mars 2018 av LMH1

[NULL]

Trådløst i seg selv på disse vil jeg vel ikke si er en risiko sammenlignet med nyere rutere. Spesielt hvis du holder WPS deaktivert og har et godt passord for WPA.

 

Vil ellers tro at Asus fortsatt kommer med oppdateringer til RT-AC66U, som fortsatt er i salg - og som sikkert er temmelig populær i nysalg også.

Endret 26. mars 2018 av c.m.

[NULL]

Nettopp funksjonalitet som integrert VPN-tjener er noe jeg ville brukt med aktsomhet, hvis man ikke har et direkte usecase der man har brukt for å nå sitt eget hjemmenett utenfra ofte. Konfigurasjonsmulighetene rundt hardening for integrerte VPN-tjenere på slike løsninger er ganske begrenset - f.eks. hvis man har ønsket å legge på noe så enkelt som å legge inn en aksessliste (f.eks. du vil aksessere hjemmenettet ditt fra jobb, så vet du IP-adressene du vil bruke der, og ville kunne lagt inn dette).

 

Konsekvensen for ved at andre får tilgang til ditt via VPN kan også være ganske stor. 

[LMH1]

Har snakket med eric sauageau på engelsk\ epost som er leder for merlin build prosjektet han sier den ruteren ikke blir lenger prioritert.

 

Hvordan kan man forbedre sikkerheten? Må man ikke ha Open VPN fil for å få tilgang til nettverket?

Eller er det mulig uten?

[Gjest Sletttet+98134]

Det er helt naturlig at eldre modeller ikke lenger blir supportert / utviklet. Løsningen er enkel egentlig - skru av tjenester som er potensielle risikoer eller kjøp en ny router som det fortsatt utvikles mot.

 

Ikke send epost til utviklere av community firmware. Les deg opp på hvordan nettverk fungerer og se over din egen konfigurasjon.

 

Jeg tror potensialet for at du har åpnet opp for potensielle angripere er langt større enn at det skulle være noe i firmwaren som gjør at de får tilgang til ditt nettverk.

[LMH1]

Gå litt mere detaljer? For finner ikke hvilken ruter hvor lenge de supporteres.

Vil ha noe som er veldig enkelt\idiotsikkert etc.

Der er netgear\Asus det beste jeg har prøvd.

 

Har du andre forslag til ruter du mener er best?

For er enig ting enten funger eller ikke funger, usikkert på hvorfor.

Netgear Ad7200 har fungert dårlig med OpenVPN samme med Asus ac66u i det siste.

Så tror ikke det er sikkerhetrisiko med mindre jeg gjør noe feil for gjør det samme med Asus ac88u så kan ikke gjøre noe feil for firmwaren er samme og GUI.

[Gjest Sletttet+98134]

Det er vanskelig for meg å anbefale noe som er idiotsikkert til deg, LMH1.

[Lindsay]

Skal ikke påstå du er dårlig i engelsk, men merlin build blir oppdatert når det kommer sikkerhetsfikser om du kjører 380, men som merlin nevner de blir ikke med over på 384 og senere (nye funksjoner). Kan leses på smallnetbuilder eller må du ha link?

 

Han sier videre att andre som ønsker å ta over 380 versjonen som 374 er velkommen, men foreløpig har ingen gjort det. Han har simpelt hen ikke tid og overskudd til alle modeller som han skriver.

Endret 29. mars 2018 av Lindsay

[LMH1]

Så det har ingen ting med ytelse og utdatert ruter å gjøre?

https://www.paypal.com/donate/?token=aEvna24LcMJdGsZeMVS4CkdjzZIkz6jq6Dx5SmvNTX6u8v877_2q52-fS08t6eWuGmD6oG&country.x=CA&locale.x=CA

 

Hva er greia med donering? for ser ikke vits å betale med mindre jeg vet man får raskere og sikkere oppdateringer.

Kunne betalt asus for å prioritert merlin build.

 

For syns OpenVPN er litt tynn som server.

Vet noen om det er riktig automatiske oppdateringer kan ødlegge ruteren?

For vet netgear har det på nyeste ruter men det funger dårlig i praksis.

Endret 29. mars 2018 av LMH1

[Lindsay]

Asus prioriterer ikke merlin build, donering støtter kun bare jobbing med merlin build.

Om Asus ikke kommer med sikkerhetsoppdateringer vil ikke dette komme til merlin build heller.

 

Husker ikke når asus ble lukket for 3.part, men merlin gjør kun bare kosmetiske endringer og forbedringer så derfor har han da tilgang til asus.

[LMH1]

Så du tror det er bare bortkastet penger, bedre å donere de til reactos\ubuntu eller ligdene i så fall.

Usikker hvem som betaler utvikling av firmware asus helt alene.

[Lindsay]

Jeg har den filosofien att så lenge jeg har nytte/benytter meg av en ting donerer jeg, ikke for att det er open source.

Mange frivillige der ute som ofrer fritid på sånne som jeg og du som har nytte av sluttproduktet.

[NULL]

Så det har ingen ting med ytelse og utdatert ruter å gjøre?

https://www.paypal.com/donate/?token=aEvna24LcMJdGsZeMVS4CkdjzZIkz6jq6Dx5SmvNTX6u8v877_2q52-fS08t6eWuGmD6oG&country.x=CA&locale.x=CA

 

Hva er greia med donering? for ser ikke vits å betale med mindre jeg vet man får raskere og sikkere oppdateringer.

Kunne betalt asus for å prioritert merlin build.

 

For syns OpenVPN er litt tynn som server.

Vet noen om det er riktig automatiske oppdateringer kan ødlegge ruteren?

For vet netgear har det på nyeste ruter men det funger dårlig i praksis.

 

Automatiske oppdateringer vil i de fleste tilfeller, og for de aller fleste brukerne, være en stor fordel. For "folk flest" vil en ruter uten automatiske oppdateringer raskt være en sikkerhetsrisiko. Og her er jo Asus et glimrende eksempel - det er et stort antall rutere med tjenester kjørende som har sikkerhetshull som ble fikset for over 4 år siden, men siden brukerne aldri har oppdatert, fortsetter de å være sårbare.

 

Ødelegge ruteren? Nei, ikke hvis dette er implementert riktig. Et farescenario vil hvis det ikke er implementert en skikkelig feilhåndtering. Første og enkleste steg vil være at det utføres en sjekksum-test før oppdateringen starter. Videre må det være håndtering for avbrutt oppdatering - f.eks. under oppdatering går strømmen, brukeren omstarter ruteren (fordi den er nede under oppdateringen?) eller det er noe annet i konfigurasjonen som skulle forhindre at full skriving av oppdatert firmware til flash gjøres.Ruteren må da oppfatte en slik situasjon, og ha en bootloader + backup av eldre firmware. En "økonomiløsning" vil her være å ha bootloader på plass, men at sw må lastes via USB på ruteren eller andre spesielle recovery-prosesser (hvilket fort kan bli litt tungvindt - bare se på recovery på RT-AC66U...).

 

Jeg har lagt merke til både for Netgear og Asus at oppdateringer har vært tilgjengelig ganske lenge i noen tilfeller, før ruterens sjekk i UI-et har funnet dem. 

 

 

OpenVPN er vel i utgangspunktet ikke "så tynn" - det er mange muligheter for serveroppsettet, men hvilke muligheter man har via GUI på en del rutere er ganske begrenset. Noe man kan merke seg er at det skal være mulig å installere SoftEther VPN på Merlin. Jeg har ikke prøvd SoftEther VPN kjørende på Asus-rutere, men har hatt et par installasjoner i jobbsammenheng til spesfikke formål, og egentlig vært imponert over funksjonaliteten og egentlig også brukervennligheten. Med det sagt, jeg vet ikke om jeg ville kjørt det slik - da hadde det trolig omså vært bedre å kjøre det på en Pi2/3 e.l.

 

Via terminaltilgangen på Asus-ruterne, kan man også sikre ruteren bedre - bl.a. når det gjelder tjenester. Her kan man sikkert også gjøre en del konfigurajsonsendringer for OpenVPN også, samt at man har muligheten til å sette opp aksessregler via iptable. 

[LMH1]

Bra kunne ønsket svaret var mye lengere. Med skjermbilder\video av SoftEther VPN

 

Er det slik alle firmware må overskrive hele firmwaren? Så er ikke bare sikkerhetpakker som kun legger til nye sikkerhetselementer eller feilfikser?

 

For jeg vet en del tilfeller hvis det skulle feilet må man ta ruteren på reklamasjon heldigvis kun opplevet det en gang. noen tilfeller er det mulig å få kontakt med ruteren fra CD men dukker den ikke opp er den død.

Muligens det finnes flash versjon gjennom usb porten men da må man vel ha fat32 og 1 GB minnepennstørrelse. Funger dårlig med andre filsystemer som ext3 eller ntfs\exfat.

Endret 30. mars 2018 av LMH1

[NULL]

FAT32 har ikke noe problemer med store partisjoner. I Windows har dette vært begrenset til 32 GB, men langt større er støttet - men da etter hvert med ganske upraktisk store cluster-/sektorstørrelser. 

 

For rutere er gjerne en oppdatering "komplett" - hele innholdet blir pakket ut og overskriver eksisterende filer. På SOHO-rutere tror jeg aldri jeg har sett noen bedrive patching.

 

Under Linux er SoftEther VPN i utgangspunktet kommandobasert* - evt. gjennom endring av konfigurasjonsfiler. Man kan imidlertid koble til en tjener som kjører på Linux med server-administrasjonsverktøyet for Windows. Har selv bare erfaring med å kjøre løsningen i ganske enkle oppsett på Ubuntu Linux og såkalte cascade-forbindelser for VPN ned på Lag 2. Så vidt jeg har forstått skal det være mulig å også sette opp OpenVPN-kompatible konfigurasjoner med SoftEther VPN - en fordel, da man kan bruke f.eks. rutere med OpenVPN-klienter mot serveren.  L2TP er vel også støttet.