Dostałem atrakcyjną ofertę od operatora kablówki. Poczytałem trochę o modemach, które dają dostawcy ISP i się przeraziłem. Toż to jest dziurawe jak sito.
I teraz zastanawiam się, jakie jest bezpieczeństwo takiego rozwiązania gdy "dziurawy" modem dostawcy ISP jest podłączony do mojego super zabezpieczonego rutera (z oprogramowaniem Openwrt lub czymś innym na open source). Ten mój super ruter robi za punkt dostępowy dla urządzeń domowników.
Czy ktoś ma doświadczenie/wiedzę na ten temat i może się tutaj wypowiedzieć?
Modem od ISP + w
Dobra, załóżmy że jest dziurawy, to z tego wynika że można jakoś na niego wpływać, aby się zawiesił czy nawet włamać się do niego. Jednak to nie oznacza, że można będzie z niego włamać się do Twojego komputera, a jeszcze jak pomiędzy podłączyłeś własny router (bez żadnych usług) i wydzieliłeś ponownie własną sieć LAN to już całkiem OK.
Ogólnie mówiąc, nikt przez routing Ci się nie włamie, ale przez usługi. Czy ten ich modem ma jakieś usługi na publicznym interfejsie (http,dns,..)? Jeżeli nie to nie jest tak tragicznie. Ale jeżeli używałbyś go jako swój router LAN i ustawił np. w Windows, że to sieć zaufana (nie publiczna) to już co innego. Kwestia zapory każdego z hostów sieci. Inna jest zapora dla hostów w sieci zaufanej a inna w sieci niezaufanej.
Ogólnie mówiąc, nikt przez routing Ci się nie włamie, ale przez usługi. Czy ten ich modem ma jakieś usługi na publicznym interfejsie (http,dns,..)? Jeżeli nie to nie jest tak tragicznie. Ale jeżeli używałbyś go jako swój router LAN i ustawił np. w Windows, że to sieć zaufana (nie publiczna) to już co innego. Kwestia zapory każdego z hostów sieci. Inna jest zapora dla hostów w sieci zaufanej a inna w sieci niezaufanej.
Transmisja przez niego przechodzi przez szyfrowany kanał SSL - https.
Podmiana adresu strony to nic innego jak sztuczka na hoście, ale protokół DNS nie jest szyfrowany, nawet nie jest stanowy, co stwarza wiele możliwości.
Więc teoretycznie pakiet UDP z odpowiedzią serwera DNS (który jest na zewnątrz przypuszczam) można podmienić za pomocą różnych technik, jak DNS Spoofing i dlatego wprowadzono DNSSEC. Jednak to nie jest wcale takie łatwe wykorzystać jakiś router do takiego araku, bo musi na nim być odpowiednie oprogramowanie. Takie ataki zazwyczaj wykonywane są z bardzo dobrze wyposażonych hostów atakujących z sieci wewnętrznej.
Myślę, że jeżeli twój host by mu w tym nie pomógł to taka podmiana wcale nie będzie taka prosta, o ile w ogóle możliwa, ale tego dokładnie nie wiem.
Podmiana adresu strony to nic innego jak sztuczka na hoście, ale protokół DNS nie jest szyfrowany, nawet nie jest stanowy, co stwarza wiele możliwości.
Więc teoretycznie pakiet UDP z odpowiedzią serwera DNS (który jest na zewnątrz przypuszczam) można podmienić za pomocą różnych technik, jak DNS Spoofing i dlatego wprowadzono DNSSEC. Jednak to nie jest wcale takie łatwe wykorzystać jakiś router do takiego araku, bo musi na nim być odpowiednie oprogramowanie. Takie ataki zazwyczaj wykonywane są z bardzo dobrze wyposażonych hostów atakujących z sieci wewnętrznej.
Myślę, że jeżeli twój host by mu w tym nie pomógł to taka podmiana wcale nie będzie taka prosta, o ile w ogóle możliwa, ale tego dokładnie nie wiem.