Sklenený kabel do bytu

[Jey]

Citace Původně odeslal blog.nic.cz - kriticka-zranitelnost-mnoha-domacich-routeru
CSIRT.CZ navrhuje, jako bezpec(nostní opatr(ení, úplne( zakázat pr(ístup na webovou administraci z WAN rozhraní a v ideálním pr(ípade( povolit administraci jen z jedné konkrétní vnitr(ní IP adresy.

a dalších asi 5 odstavců polemik

Skoro kazdý asi zná z vlastní zkusenosti, kdyz doma úporne neco hledá a nenachází, tak zacne podezrívat vsechny, kdo k tomu mohli mít prístup, ze s tím zmizením mají neco spolecného,

Určitě není vhodné generalizovat, je to tvůj osobní názor, ne všech, ne všichni si myslí, co ty.

Udelal jsem si ten rom-0 bug test a vrátilo mi to "Address is probably not vulnerable". To zní sice príznive, ale (pokud to správne chápu) v mém prípade to asi neznamená vúbec nic - nebo prece? Snad ze me v tomhle ohledu chrání dobre sám provider?

S tím se budeš muset obrátit zřejmě na autora daného testu.

To bude tedy asi i hlavní úcel toho 3. páru u 6-zilového kabelu. I kdyz jak jsem pochopil POE, tak tam se vede SS-proud po stejných drátech jako VF-signál. Nebo je ten prídavný pár pro zvýsení zatizitelnosti?

Je několik standartů, respektive dnes se používá možná jeden, ale než se vyvinul, bylo POE experimentální a každý výrobce si ho dělal po svém. Určitě se dá vygooglit krásná stránka, kde jsou standarty popsané.

[Marty]

Ono obecně je úplnej nesmysl mít do internetu (na WAN interfejsu) povolený management rozhraní, takže to je jedna jasná věc. (=> není co a jak napadnout)

Ad napájení po ethernetu, u lowend zařízení se používá často pasivní PoE, kdy jde stejnosměrný proud po nevyužitých vodičích. V segmentu vyšším je pak většinou aplikován standard 802.3af, který pracuje s podstatně vyšším napětím a AFAIK to cpe i po datovejch vodičích jako SS složku. Ale jak píše Jey, tohle se dá snadno nastudovat kdekoli po webu (pokud teda Tvoje paranoia nesahá tak daleko, že by se Ti nechtělo přistupovat třeba na Wikipedii ).

[Mikus]

Urcite není vhodné generalizovat, je to tvuj osobní názor, ne všech, ne všichni si myslí, co ty.

Uz jsem se s tímhle jevem setkal dost casto, leckdo se k tomu i více ci méne otevrene priznává. Mozná, ze nebylo úplne vhodné ríct, ze "Skoro kazdý", lépe by bylo mnozí; byt to slúvko "skoro" umoznuje, ze se tím nikdo nemusí cítit osobne mínený. A konec koncú, paranoia, která není zpúsobena myslenkami, jez mají vetsí nebo mensí zdúvodnení v realite, je velmi vzácná.

Ono obecne je úplnej nesmysl mít do internetu (na WAN interfejsu) povolený management rozhraní

Samo, dokud po tobe suporták nezacne chtít, abys mu to povolil, ze jinak pro tebe nemúze nic udelat.

pokud teda Tvoje paranoia nesahá tak daleko, že by se Ti nechtelo pristupovat treba na Wikipedii

Ona Wikipedie je prece jenom trochu jiné prostredí, s úplne jiným úcelem nez co delá takový provítr. Do Wikipedie nekdy i písu, ale po urcitých zkusenostech, ac tam mám svoje konto, zpravidla jen neprihlásený, anonyme - tady je ovsem jádro problémú jinde.

Jinak jsem tam kvúli tomuhle uz byl. Jenze ona je sice obecne velmi dobrá, ale nekdy projevuje svúj nedostatek mj. i tím, ze je trochu preládovaná informacema. Takze tam není vzdy snadné najít v tom mraku wiki vseho mozného druhu to, co clovek zrovna potrebuje a jeste k tomu vzdycky v pro nej srozumitelné forme, aniz by se jeden musel casove nárocne exponenciálne rozptýlit na vsechny strany za vysvetlujícími odkazy. Takze pak clovek hledá i jiné zdroje, kde by se mohl potrebné dovedet rychleji. Osobních zkuseností se tam clovek dozví pramálo. V diskuzích k clánkúm jsou casto oznacované za nezádoucí, kdyz nejsou slovne zabalené tak, jako ze se tím upozornuje na nejaký nedostatek clánku. No ale podívám se tam jeste jednou a pohledám i jinde.

[Marty]

Samo, dokud po tobe suporták nezacne chtít, abys mu to povolil, ze jinak pro tebe nemúze nic udelat.

Nejlepší je supporťáka nepotřebovat, protože - pokud se budeme bavit o bezpečnosti - když někoho zcela vědomě v dobré víře pustíš až domů, tak nikdy nevíš, co je to zač.
Proto je dobrý, když poskytovatel končí koncovkou svého kabelu, případně svým koncovým zařízením (ve Tvém případě to bude nějaký media converter optika/metalika).

Osobně při všech návštěvách techniků - většinou vyžádaných ISP - se snažím dělat vše pro to, aby mi na moje věci nesahal. Nejlepší story byla před bratru 12 lety, když mi přišel borec připojit UPC. Natáhnul kabel, zapojil modem a chtěl ověřit něco na PC - jestli se přidělila adresa či co. Inu, posadil jsem ho za své PC s linuxem a Dolby Keyboard (R). Mělo to úspěch!
Příloha 10381

[Mikus]

Kdyz se u me doma nic nehne a definitivne vím, ze závada nesedí u me v byte, tak nezbývá nic jiného nez zavolat provajdrovi. A tam tak nejvýs po zbezném prehlédnutí nejzákladnejsích vecí, co vidí bez velkých výzkumú na monitoru, bez ohledu na to, co jim ríkám, zacnou jako první hledat chybu u me. Potíze zacnou, jakmile narazí na první vec, o které nic nezaregistrovali ve svých rychlokurzech, at uz proto, ze nedávali pozor nebo ze je proste skolí jen na 80% tech nejbeznejsích prípadú, jez se zpravidla týkají "dúchodcú a zen v domácnosti".

U tebe to aspon udelal, akorát neodskousel, coz ani nebylo treba, jestli to udelal správne. Tady se nejdrív zdesil, kdyz jsem mu rek, ze mi ten modem perfektne jede uz pres 10 let, ze v nem to urcite není a protoze jemu zrejme jeste 10 nebylo, tak tuhle dobu povazoval za nejakou astronomickou vecnost. Pak rek ze tedy musí neco objasnit, nechal me cekat asi 1/4 hodiny, nacez me bezeslova vyhodil z vedení. Tak jsem tam zavolal znova, vzal to pochopitelne jiný, podíval se na to a rek mi, ze ta vec uz je vyrízená, ze mi kolega poslal router. Címz zase zdesil me, protoze já tu tehle krámú mám plno, no a kdybych je chtel pouzívat, tak je taky pouzívat budu, takze tohle mu slo obratem zpátky. A kdyz mu ríkám, ze nemúzu ani telefonovat (nikam krome tohodle suportu, normální klasický 100-letý telefon), tak ze mám pockat, az prijde ten router, pak ze to urcite pújde. S tema lidma je proste domluva jak jezidedek s zenskou, co pleje len, nez se pújde vymocit. No a asi za hodinu mi zvoní telefon, zvednu to a tam jen nekdo hned polozil. Tak jsem to znova zkusil a najednou slo vsechno, telefon i Net s mým 13-letým modemem, o jehoz existenci tihle experti nemaj tusení (coz ovsem nemeli uz i v dobe, kdy tenhle provajdr sám jeste posílal zákazníkúm skoro ten samý, akorát jinou znacku).

[Jey]

Naštěstí nemám tak "blbého" providera, abych se nechal odbýt tím "že je problém -někde- u mně" lol, či dokonce aby mi toto můj provider vůbec někdy tvrdil. Asi solidní firma.

Respektive se tím odbýt nenechám. A dávat přístup supportu od providera (či komukoliv jinému) kamkoliv za router nebo konec ethernetového kabelu? Kdo chce kam.. pomozme mu tam Ale pak se hlavně nedivit a nezakládat thready "hacknuté pc". Moje pc je moje starost a je v pořádku. Pokud mám pocit že ne, tak první co udělám, je že jednorázově použiju antivir, antispyware a combofix.

Jestli máš problém se starým modemem, tak snad není problém ho (za příplatek) vyměnit za nový. Pokud chceš z nějakého důvodu používat obsoletní kousky hardware, tak je to čistě jen tvoje volba.
Můj provider podporuje v síti pouze svá vybraná zařízení (proč asi) a může se tam připojit kdokoli se svým vlastním hw, jen musí jít o schválená zařízení. Omezování? Ne poměrně logický požadavek.

Nedokážu si představit, že bych vyžadoval podporu u svého providera pro nějaké velmi staré 2,4ghz zařízení (třeba starý Compex, starý Mikrotik), sice je to všechno stejné, ale tohle prostě žádat nemůžu.

... jinak píšeš natolik obecně a "o ničem", že se k tomu dá těžko vyjádřit. Nikde nepíšeš co znamená "závada u tebe doma", píšeš že nemáš jistotu, ale že kvůli tomu furt voláš providerovi.
Tak to je jiná. Pokud si neumíš nebo nechceš oskenovat a vyčistit počítač nebo změřit rychlost a kvalitu internetového připojení, tak chyba je jinde (právě zde).

Pokud bych byl na místě tvého providera.. tak změřím kvalitu přípojky, pokud je ok, tak ti sdělím, že máš bordel v pc. A že to nemůžu ze své podstaty providera řešit. Můžu se na to podivat přes vzdálenou plochu

[Mikus]

Naštestí nemám tak "blbého" providera, abych se nechal odbýt tím "že je problém -nekde- u mne" lol, ci dokonce aby mi toto muj provider vubec nekdy tvrdil. Asi solidní firma.

Byla to kdysi první konkurence tou dobou se hroutícímu státnímu monopolu tehdejsího PTT (dnes následník Swisscom). Zprvu opravdu dávala velké nadeje, slo hlavne o telefonování za slusné ceny a i slusné jednání s malým zákazníkem, které se v rámci liberalizace u PTT masivne zhorsilo. Zpocátku to byla ciste svýcarská firma, jejíz slození muselo u domácího obyvatelstva budit dúveru; Internet tenkrát (1997) jeste nehrál podstatnou roli. Pak se ovsem hodne zmenilo, firma byla prodaná, sama skupovala konkurenty a tím vsím si dodnes pevne drzí pozici 2. nejvetsího poskytovatele v zemi po Swisscomu, i kdyz porád zápolí s financními problémy. Poslední majitel z oboru byl dánský TDC, který to asi pred 5 lety prodal lucemburským investorúm, co to mají do dnes. A jak jsem tu uz nekde psal, uz po léta si zákazníci na ne masivne stezují, vloni na 6. míste statistiky firem a institucí, na nez si lidé nejvíc stezují (a jediný telekom-poskytovatel mezi prvními 10).

Respektive se tím odbýt nenechám.

Nenechat se odbýt je tezké, kdyz ten druhý sedí na opacném konci drátu, pestí do cumáku mu dát nemúzu a ani kdyz zarvu do telefonu, tak mu z toho bubínek nepraskne. Ostatne on sám je tam jenom jako firewall pro lidi, kterí jsou za to vse zodpovední a vedí, proc se vyhýbají prímým kontaktúm s verejností - ta at si vylévá svúj vztek na nekoho, koho si za to (mizerne) zaplatíme a my máme klid. Ono bohuzel mezi být v právu a domoct se práva je casto dost velký rozdíl.

A dávat prístup supportu od providera (ci komukoliv jinému) kamkoliv za router nebo konec ethernetového kabelu? Kdo chce kam.. pomozme mu tam Ale pak se hlavne nedivit a nezakládat thready "hacknuté pc". Moje pc je moje starost a je v porádku. Pokud mám pocit že ne, tak první co udelám, je že jednorázove použiju antivir, antispyware a combofix.

Taky ze nedávám a mj. proto router nechci, takhle na me nemúze tlacit, abych mu ten prístup dal. A díky bohu zatím v tomhle smyslu ten pocit, ze neco není v porádku, nemám, ale práve musím být ve strehu (jak by za dnesních pomerú vlastne mel být kazdý).

Jestli máš problém se starým modemem, tak snad není problém ho (za príplatek) vymenit za nový. Pokud chceš z nejakého duvodu používat obsoletní kousky hardware, tak je to ciste jen tvoje volba.

Ta výmena by byla dokonce pro urcitý typ zdarma, jenze problém s mým starým modemem - jak receno - mají suportáci od mého provajdra a ne já. Z mého hlediska bezí ciste jak víno, tak at si trhnou. Krome toho zásadne nemám rád, kdyz mi nekdo stourá o své vúli do mých vecí, coz je vsechno od telefonní zásuvky az ke me. Kdyz tyhle veci fungují - jak se nakonec, kdyz konecne tise hnuli zadkem, potvrdilo - a odpovídají norme, nemá k tomu nikdo nejen dúvod, ale ani právo proti mé vúli.

Muj provider podporuje v síti pouze svá vybraná zarízení, muže se tam pripojit kdokoli se svým vlastním hw, jen musí jít o schválená zarízení. Omezování? Ne pomerne logický požadavek.

Logický to je tady taky. Múj modem je schválený, ovsem presto si provajdr usmyslel, ze ho podporovat nebude - omezování do té míry, ze se me z tohodle titulu svévolne sikanuje. Kdysi obecne - dokud mel Swisscom funkci jakési referencní Instituce - platil jako schválený jakýkoliv prístroj z dlouhého seznamu Swisscomem certifikovaných - ten múj na nem je, ale uz tenkrát bez ohledu na múj poukaz na tenhle seznam, suporták proste rekl "neznám" a tím to pro nej bylo vyrízené; oni proste dávali zákazníkúm jiný model, tenhle jsem si sám koupil v normálním obchode v dobe, kdyz nedávali zádný. A pak, aniz by se co komunikovalo, si nekterí provideri zacli vymýslet a buzerovat zákazníky. Co chvíli nejaký nový prístroj, a jeden aby pro ne poskakoval jak sasek. Já potrebuju mít stabilní zarízení, na kterém pracuju, jak potrebuju a provajdrem v podstate krome rádného úctu nechci být nijak obtezován. S telefonem to takhle v zásade 100 let mohlo fungovat, múzu do dnes pouzívat stejný prístroj, jaké byly pred 100 lety, obdobne to pro me funguje s papírovou postou a obdobne bych to chtel mít i s Internetem.

Nedokážu si predstavit, že bych vyžadoval podporu u svého providera pro nejaké velmi staré 2,4ghz zarízení (treba starý Compex, starý Mikrotik), sice je to všechno stejné, ale tohle proste žádat nemužu.

Já nepozaduju podopru pro svoje "staré" zarízení, o kterém vím, ze je v porádku. Já pozaduju, aby dali do porádku jejich veci, pricemz oni se snazí moje "taré" zarízení pouzít jako záminku, aby se na to vykvajzli.

"velmi staré 2,4ghz zarízení (treba starý Compex, starý Mikrotik)" -

... jinak píšeš natolik obecne a "o nicem", že se k tomu dá težko vyjádrit. Nikde nepíšeš co znamená "závada u tebe doma", píšeš že nemáš jistotu, ale že kvuli tomu furt voláš providerovi.
Tak to je jiná. Pokud si neumíš nebo nechceš oskenovat a vycistit pocítac nebo zmerit rychlost a kvalitu internetového pripojení, tak chyba je jinde (práve zde).

Tady mi není jasné, jestils neco neprehlíd. Pokud písu obecne, tak jen pro objasnení sirsích souvislostí, ke kterým není treba se vyjadrovat. Kdyz písu, ze "definitivne vím, ze závada nesedí u me v byte", tak na tom myslím není nic co dalsího vysvetlovat. Dobre, presneji: definitivne vím, ze prícina nefunkcnosti nesedí u me v byte. Takze ani nemám dúvod ke skenování (resp. delal jsem to pomerne nedávno a kdybych to mel delat pri kazdém upsouknutí, které moje zarízení vydá, tak nebudu delat skoro nic jiného nez skenovat s 99,999% pravdepodobností, ze ten sken nenajde nic. Providerovi volám proste ze od nej nedostávám základní veci, které mám dostat.

Pokud bych byl na míste tvého providera.. tak zmerím kvalitu prípojky, pokud je ok, tak ti sdelím, že máš bordel v pc. A že to nemužu ze své podstaty providera rešit. Mužu se na to podivat pres vzdálenou plochu

Byl bych rád, kdybys byl mým providerem. Aspon bys tu kvalitu zmeril a zjistil, ze na prípojku od tebe nic nejde, ze není OK a nezacal hned bez merení sdelovat, že já mám bordel v pc. A zjistil bys, ze to múzes a musís rešit ze své podstaty providera.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

A vcera jsem se ze 2 prícin rozhodl navstívit jednoho tady poblíz bydlícího kamaráda.

1. Prece jen jsem trochu znejistel, jak je to s mým modemem, po tom, co tu bylo receno, ze kdyz není za zádnou FW ap. routeru. Moje aktuální IP-adresa jde prakticky vsude, kam se vrtnu, s sebou a obecne se IP-adresa dá prece zadávat do prohlízece stejne jako URL a co tedy, kdyz tohle nekdo udelá s tou mojí? Mozná byste mi to tu nekdo rekl rovnou. Já ale o tom zas tolik moc nevím, abych mel jistotu, co takhle uvidím ci ne, kdyz tu padlo, ze s routerem útocník vidí jen ten, bez nej celý komp. A prece jen, kdyz si to múzu sám vyzkouset, je to nejpresvedcivejsí. Tak jsem si ji zjistil pres ipconfig v DOSu, opsal na papír a sel s tím ke kámosovi. Tam jsem ji zadal do jeho prohlízece a dostal beznou hlásku, ze stránka nebyla nalezena, mám to zkusit pozdeji atd. Kdyz jsem se po návratu domú presvedcil, ze komp stále bezí, jak má s toutéz IP (no kdyz bezí, tak by se sotva sama od sebe zmenila), tak jem se aspon po téhle stránce cítil uklidnený, prinejmensím tímhle zpúsobem dobyvatel zústane viset na prekázkách, které se domnívám, ze klade sám provider.

2. On má VDSL na sítovce, tedy prinejmensím od routeru to, co já bych mel v budoucnu; jelikoz pres Net i kouká na TV - je tak trochu televizní závislák - tak jiste i neco o dost rychlejsího, nez o co bych se snazil já. Uz drív jsem si vsiml jeho kabelu mezi routerem a kompem, nad kterým mi po tom, co tady bylo receno, trochu zústává rozum stát, tak jsem se na nej chtel jeste jednou porádne podívat. Ty 2 prístroje jsou sice jen asi 3 m od sebe, ten kabel má ale minimálne 25 m, vedený pri okraji pokoje a jeho vetsina je stocená do ca. 5 cm tlustého kruhu, asi 30 cm v prúmeru. A je to plochý 4 zilový kabel, asi 5 mm siroký, 0,5 mm tlustý, nic na nem není zkrouceného, nejspís to není ani licna (coz by pro samotnou funkci nemelo hrát roli). A jede mu to.

[Jey]

Poradil bych ti jedno. Buď to nehul, nebo neodpovídej ve 03:33 v noci Vypadá to strašidelně a já to číst nebudu. Nicméně vzdávám se, vyhrál jsi, už mi prosím nepiš odpověď. Nečekal jsem ji ani po minulém příspěvku. Odhlásit.

[Mikus]

vcera jsem se ze 2 prícin rozhodl navstívit jednoho tady poblíz bydlícího kamaráda.
...

2. On má VDSL na sítovce, tedy prinejmensím od routeru to, co já bych mel v budoucnu; jelikoz pres Net i kouká na TV - je tak trochu televizní závislák - tak jiste i neco o dost rychlejsího, nez o co bych se snazil já. Uz drív jsem si vsiml jeho kabelu mezi routerem a kompem, nad kterým mi po tom, co tady bylo receno, trochu zústává rozum stát, tak jsem se na nej chtel jeste jednou porádne podívat. Ty 2 prístroje jsou sice jen asi 3 m od sebe, ten kabel má ale minimálne 25 m, vedený pri okraji pokoje a jeho vetsina je stocená do ca. 5 cm tlustého kruhu, asi 30 cm v prúmeru. A je to plochý 4 zilový kabel, asi 5 mm siroký, 0,5 mm tlustý, nic na nem není zkrouceného, nejspís to není ani licna (coz by pro samotnou funkci nemelo hrát roli). A jede mu to.

Projekt »Internet ke me sklem« jsem prozatím ulozil k ledu, snad nekdy pozdej. Vcera jsem ale zase navstívil toho kámose a mel moznost to vedení vyfotit. Takze pres tenhle kabel zene Ethernet, jak na PC, tak i na TV (2 rúzné kabely ovsem). Podotýkám, ze on temhle vecem nerozumí vúbec, není to teda snad nejaký jeho osobní bastl, to mu takhle dali, kdyz mu to instalovali.

[zivan]

...Inu, posadil jsem ho za své PC s linuxem a Dolby Keyboard (R). Mělo to úspěch!

OT: To mi pripomenulo, ze se mi tu vali cinska verze minirouteru TP-Link WR710N. Skoda, ze u me zadny technik poskytovatele uz leta nebyl. Vykouklo by na nej neco takoveho