Но проблема стоит глобальней.
Подавляющее большинство пользователей, покупающих маршрутизатор для дома, не понимают как эта «чёрная коробочка» работает. Они тыкают по кнопочкам в соответствии с инструкцией «quick start». А кто-то чисто методом «научного тыка» настраивает. Интернет появляется.
Дальше устройство начинает жить своей жизнью. И злоумышленникам не представляет труда использовать роутер для своих целей. Готовых инструментов для поиска таких железок в Интернете — полно.
Но!
Лёд тронулся, господа присяжные заседатели! (С) «Великий комбинатор»
В Германии выпустили документ с рекомендациями и минимальными стандартами, которым должны соответствовать маршрутизатор для конечных потребителей.
Документ содержит 22 страницы. Рекомендации, которые должны быть применены к новым маршрутизаторам, включают требования настроек по умолчанию в том числе:
- Жёсткие настройки фаервола
- Запрет удалённого управления
- Пароль к WI-FI только по WPA2 и не должен позволять его «посчитать»
- Автоматическое обновление прошивки.
Логично, что стандарт всех проблем не решит, но с каждым днём будет всё трудней искать «бесплатный прокси»!
Интересно, как скоро в магазинах РФ появятся роутеры отвечающие этим требованиям?..
Комментарии (84)
firedragon
21.11.2018 10:44Атакующий всегда в более выгодном положении. Человек же далекий от безопасности вообще не поймет почему нужно вызывать «компьютерного слесаря» для подключения интернета к новому телевизору.
Кстати прошелся по улице у всех стоят ростелекомовские ADSL + WiFi с настройками по максимуму и паролями admin admin.
maikus
21.11.2018 10:55Хорошо бы еще прямой запрет производителю на создание всяческих бэкдоров. Даже во внутренних тестовых версиях ПО.
LMonoceros Автор
21.11.2018 10:57У какого производителя официально заявлено, что у них есть бэкдур?
Никто специально их палить не будет. Соответственно запрещать тоже не чего…maikus
21.11.2018 11:24Причём здесь официальность? У какого производителя авто официально заявлено, что его авто имеют токсичность выхлопа на запрещённых законом уровнях? Тем не менее, жульничают. А их дрючат, если поймают. Так и с бэкдурами — официально не заявлено ни у кого. Делается по злому умыслу или оставляется по раздолбайству. Если будет запрет и обозначены санкции за его нарушение, то после первого обнаруженного энтузистами бэкдора можно будет вкатить штраф производителю. Процентов 15 от оборота по всему брэнду будет чувствительно. Начнут код контролировать и явление исчезнет.
APaMazur
21.11.2018 14:48А кто и на каких юридических основаниях, простите, будет вводить эти санкции?
В чьей юрисдикции?maikus
21.11.2018 17:12При текущем положении дел никто. Соответствующего закона нет. Возможно, однажды информационной безопасностью абонентских устройств для доступа в Интернет озаботится, например, Еврокомиссия. Тогда появится и тот, кто будет вводить.
qw1
21.11.2018 20:47На основании местного закона, санкции будут применяться к компании-импортёру, кто осмелится ввозить устройства с бекдорами.
Ясно, что поначалу все прекратят ввозить роутеры, цены на них взлетят до небес, появятся челноки, которые будут покупать за границей «для себя». Понемногу маржа вырастет настолько, что многие попробуют рискнуть, ввезти роутеры через фирму-однодневку, у которой небольшой капитал и оборот.maikus
22.11.2018 09:14Именно так. А потом Небо упадёт на Землю, и всё… Впрочем, возможен (чисто теоретически) и другой вариант. Дадут льготный период. За этот льготный период пара наиболее ответственных производителей обеспечит безопасное ПО для своих изделий. Им достанутся контракты от крупных провайдеров интернета. И розница. Потом другие подтянутся. Кто не подтянется — ССЗБ.
ni-co
21.11.2018 11:05Назвали рекомендации требованиями и статья приобрела иной смысл.
Но речь не о том. Любой смартфон может быть использован как роутер. Это первое.
А второе это то, что поставщики услуг интернета дают в аренду оборудование и часто оставляют за собой возможность удаленного управления им. В некоторых странах это обязательное условие сертификации оборудования. :)powerman
21.11.2018 12:34В удалённом управлении нет большой беды, при условии, что ограничены IP, с которых поставщик может подключаться, и подключение требует использования ключей или достаточно длинных и уникальных паролей (а не один пароль для всех клиентов). Не совсем понятно, как защититься от прослушивания трафика или MitM внутри сети поставщика (с целью перехвата этих паролей), потому что у роутеров обычно нет достоверного сертификата https — но даже в таком виде это остановит массовые взломы роутеров по всему миру.
MikailBag
22.11.2018 01:38смартфоны защищены довольно хорошо
nafgne
22.11.2018 03:06Четырежды «ха».
BugM
22.11.2018 12:51По сравнению с домашними роутерами и прочими чайниками смартфоны защищены великолепно.
MikailBag
22.11.2018 21:09Средний роутер — это admin:admin.
Средний телефон — это android с кучей фич изоляции, разграничения и прочего.nafgne
24.11.2018 15:23Перестаньте уже считать себя элитой, 95% не настолько тупы, чтобы не мочь настроить роутер, и ломаться в нём особо нечему, кроме панельки управления, доступной только изнутри сети.
А средний телефон — это необновляемая прошивка и куча вареза. А ещё приложения вроде клиента Почты России, сохраняющие паспортные данные в общедоступную папку.LMonoceros Автор
24.11.2018 19:4895% не настолько тупы, чтобы не мочь настроить роутер
Я так не считаю, получив доступ к 100к роутерам Mikrotik… У меня есть конкретные статичстические даннные. Более 95% пользователи не настраивают фаервол. Более 50% используют стандартный логин admin…
Мне этого достаточно…
Akuma
21.11.2018 11:39А зачем нужны все эти стандарты, защиты и прочее, если у 90% пользователей пароль admin / admin стоит?
Alexeyslav
21.11.2018 11:52Так и хотят сделать чтобы у пользователя по дефолту мало того что всё активировано, так ещё и с паролем по умолчанию никакого удалённого управления. А если дальше пойти… то пока пользователь не создаст пароль для админа(ить, на многих SOHO железках административный аккаунт даже переименовать нельзя всё ещё!) не пускать в настройки в принципе. Там где возможно я даже имя админской учетки меняю. Листочек с логином/паролем приклеенный снизу к роутеру рулит — в домашних условиях случаи инсайда околонулевые.
BugM
21.11.2018 12:29Самое адекватное предложение которое было это запрет доступа к любым настройкам и интерфейсам с wan порта и уникальный пароль для каждого роутера написанный на корпусе.
Эти меры снимут 99% всех проблем у типичного пользователя.powerman
21.11.2018 12:35Выше здраво писали, что производитель и/или провайдер нередко должны иметь возможность обновлять прошивку, а это автоматом даёт возможность изменения любых настроек через wan.
roscomtheend
22.11.2018 12:45У некоторых устройств пароли рандомные, напечатанные на стикере на корпусе. Какой ставится при сбросе настроек и пароля не знаю, не пробовал.
geher
22.11.2018 20:55У всех моих устройств со случайными паролями на стикере при сбросе пароли устанавливались в значение, указанное на стикере. Правда таких немного было. Аж два.
VBKesha
21.11.2018 11:41Автоматическое обновление прошивки.
Да вот этого не хватало, прямо всю жизнь мечтал чтобы ещё и роутер начал жить своей жизнью.LMonoceros Автор
21.11.2018 11:47+1Прошивка обновляется автоматически, по дэфалту. Но в этом документе есть требование, чтобы клиент имел возможность отключать автоматическое обновление.
Если клиент ламер, то без автоматических обновлений шанс того, что роутер начнёт жить своей жизнью на много выше.
jrthwk
21.11.2018 12:37Угу.
Тут нам надо вспомнить близящуюся годовщину эпичного обновления прошивок касс по всей стране. Или вот недавнее замечательное обновление win10…powerman
21.11.2018 12:42Это рынок отрегулирует. Фирмы, которые будут окирпичивать роутеры своими обновлениями быстро разорятся, а остальные начнут лучше тестировать обновления.
walti
21.11.2018 21:41Конечно отрегулирует.
Особенно, если обязать провайдеров аутентифицировать клиентов исключительно по DHCP option 82.
Много конечно можно навтообновлять, когда после перезагрузки роутер скидывается на дефолт и абонент сидит с абсолютно безопасным роутером — неподключенным к сети.
Автообновления рекомендую проводить строго в конце финансовых периодов, что бы клиентам В2В не привыкали к новым технологиям.
Дискетка, распечатки, такси, налоговая.
Назад к основам.
lokkiuni
22.11.2018 13:47В стране, о которой идёт речь, нет внутри роутера никаких настроек. Только ssid/пароль и в лучшем случае static dhcp lease. Всё остальное меняет тех.поддержка.
powerman
21.11.2018 12:40Если его не обновлять, и к нему открыт доступ через wan — он в любом случае со временем начнёт жить своей жизнью. Возможность отключить обновление нужна тем, кто понимает что делает, и в состоянии самостоятельно следить за безопасностью железки, а у остальных пусть лучше будут включены автоматические обновления. Проблема в том, что обновления никто не горит желанием выпускать бесконечно — годик, максимум два. Покупать новый роутер каждые пару лет только ради того, чтобы он продолжал обновляться — это перебор.
lokkiuni
21.11.2018 15:01Оно в Германии и так работает. 99% оборудования — оператора, а не клиентское, и жестко заблокировано от возможности настроить.
Tangeman
21.11.2018 15:39Это кто из немецких провайдеров не даёт настраивать? Ограничения настроек есть, да, но так чтобы совсем не давали?
К тому же, с 2016 года провайдерам запретили навязывать клиентам своё оборудование, и все желающие имеют возможность поставить то что хотят.lokkiuni
21.11.2018 20:57Ну вендор-лок достаточно сильный, тем не менее.
Ну и я как-то привык к возможности, например, vpn-сервер на роутере поднять или маршрутизацию как-то настроить, несколько виртуальных SSID и т.п. — поэтому после лучших представителей вида SOHO несколько удручает. И таки многие вещи были просто заблокированы (емнип Greeen WLan или что-то вроде того — в итоге телефон вёл себя не всегда адекватно).
Polaris99
22.11.2018 14:58У меня, например. Был фритцбокс, предложили сменить тариф на более быстрый со сменой роутера. Прислали китайский роутер, на котором вообще ничего нет. И не у одного меня такая ситуация, по родственникам такая же картина.
jamakasi666
21.11.2018 13:48Я так думаю что в конечном счете из этих рекомендации просто вырастут требования для сертификации. В итоге просто будут на их рынки продавать все теже роутеры но с чуть поправленной прошивкой как это сейчас делают для провайдеров. Из коробки максимально закрутят гайки в стандартной конфигурации и все. Хотя если обязуют производителя обеспечивать в течении N лет обновления безопасности то я не против.
zerg59
21.11.2018 14:58-1В РФ будет так: Запрещено подключать к сети провайдера иное оборудование, кроме предоставляемого провайдером. И уже провайдер будет админить свой роутер. Обновлять, задавать настройки файволла и т.д. Как телевизионные приставки или GPON роутеры Ростелекома.
Далее вы можете конечно уже свой роутер подключать к роутеру провайдера. Ваше право.maisvendoo
22.11.2018 07:06В РФ будет так: Запрещено подключать к сети провайдера иное оборудование, кроме предоставляемого провайдером
Вот именно. А у меня, например, по перезду четыре года назад произошла такая история.
На новом месте подключился к сети. Тариф предусматривал получение от провайдера роутера, который по условиям договора через год переходит в мою собственность. Воткнул я все кабели, включил всё это дело… Проводной интернет работал нормально, а вот вай-фай тормозил жутко и безбожно. Я плюнул, а на следующий день привез со старой квартиры свой тп-линк с прошитой и настроенной мною openwrt. Установил его — всё работает как часы уже четыре года. Провайдерский дир-650 (защищенный неизвестным, конечно же, мне паролем), перешедший в мою собственность пылится все четыре года в дальнем углу шкафа.
Мораль: я из тех пользователей, которым не только не нужно что-то настраивать, но и категорически против того, чтобы за меня кто-то лазил в моем оборудовании. Тем более навязывал оборудование. Любые действия подобного рода — прямое ущемление потребительских прав таких пользователейroscomtheend
22.11.2018 12:51У многих провайдеров их админский пароль гуглится, что не отменяет ужасности даваемых ими роутеров (единственная причина использования — ADSL+SIP через него на едином устройстве).
iig
21.11.2018 19:22+1Пока за нарушение нет ответственности — все это останется необязательными рекомендациями.
Будет введена ответственность на законодательном уровне — появитсятуалетнаякиберполиция…
Все, что могло случиться, уже случилось в Южном Паркеdobrev
21.11.2018 20:10-1Простите, а есть ли там требование к возможности ключевой (для конечного потребителя) функции: переназначение любого LAN-порта в качестве WAN? Объяснять, почему это так важно, думаю, не стоит.
daggert
21.11.2018 20:45+3Мб расскажите зачем оно надо?
dobrev
21.11.2018 23:53После грозы сгорел WAN, остальное живое — типичный случай.
iig
22.11.2018 11:12Так это требование нужно предьявлять не к абонентскому оборудованию, а к провайдеру.
walti
22.11.2018 11:13Почему?
iig
22.11.2018 11:30Грозозащита это его компетенция.
Это все равно, что требовать отспортлотоправительства выпускать автомобили только с колесами радиусом 22 и больше. Нужно требовать чинить дороги.walti
22.11.2018 11:59Грозозащита это не_его_компетенция, гроза — это форсмажор.
У как вам поможет грозозащита, установленная со стороны порта провайдера, если тот решил защитить свой порт?
daggert
22.11.2018 12:20Сгоревший порт к безопасности сети не имеет никакого отношения. Сгорел — значит сработала штатная защита, устройство защитило внутреннюю сеть ценой своего функционала. В любом случает такое устройство использовать в дальнейшем не стоит.
lostpassword
21.11.2018 21:43По-моему, сейчас практически в любом SOHO-роутере есть отдельный WAN-порт. Зачем переназначать ещё и какой-то из LAN?
walti
21.11.2018 21:48Потому что что-то похожее на роутер стоит от 30$.
После грозы обычно отгорает ВАН, а большинству это дорого.mistergrim
21.11.2018 23:35Чтобы от грозы не отгорали порты, нормальная грозозащита должна быть. А у нас даже заземления, как правило, нет.
В Германии, думаю, несколько по-другому.walti
22.11.2018 00:02Грозозащита без заземления принципиально не работает.
Я тоже думаю, что в Германии все по другому.
Во, 1, 30 евро для них не деньги.
Во, 2, грозозащита никому не впала, потому что она эквивалентна 15-20 метрам кабеля по затуханию, которого, как известно больше 100 метров сильно не рекомендуется закладывать.
В,3, если оборудование операторское, то ему проще и дешевле менять чем заниматься всякими глупостями с грозозащитами.
В,4, в европах FTTB не самая распространенная технология доступа по экономическим причинам.
dobrev
21.11.2018 23:52Спасибо за разумный комментарий. Крайне удивлён, что для отметившихся выше это было неочевидно. Да, именно, 90% роутеров (из известных лично мне случаев) отправляются в мусорное ведро именно потому, что отгорел WAN-порт после прилёта нехорошего электричества в него, а всё остальное при этом живое. 80% запросов в поиске на установку альтернативной прошивки, позволяющей его переназначить — именно по этой причине (опять же имхо).
rogoz
22.11.2018 00:13Я конечно далеко не эксперт в роутерах, но мои OpenWRT-исследования на asus tr-n10 говорят, что как минимум в этом роутере как я понял по сути только 2 порта — LAN и WAN. Просто на LAN интегрирован свитч. Схемку как вы хотите можно в принципе провести, но часть трафика с локалки будет уходить в провайдера, что может быть не хорошо.
Хотя мб я недоразобрался с тэгированием трафика и всё сделать можно.
iproger
22.11.2018 05:52А есть какие-то «мини-переходники» с защитой?
У меня как-то сгорал порт в грозу.walti
22.11.2018 08:08Если роутер стоит защиты, например, Нетгировский найтхок за 300 баксов, то ставьте впереди копеечный 4 портовый свич.
Без нормального заземления грозозащита толком не работает, это физика.iproger
24.11.2018 08:46Понял, подумалось что есть какие-то «пассивные» варианты))
Роутер не за 300 баксов и даже вряд ли за 100, поэтому пускай уже так стоит.daggert
24.11.2018 10:42Купите самую копеечную грозозащиту. У меня раньше такая стояла, когда провода провайдера между домами были медные. Стоит в районе 300 рублей. Выглядит как на картинке
Фото защиты
walti
24.11.2018 12:02Она без нормального заземления практически не работает.
При разряде молнии разница потенциалов между проводами в витухе не грандиозная получается, в основном потенциал всего кабеля поднимается над земляным.
А без заземления ему стекать некуда.
vikarti
24.11.2018 09:53Mikrotik у нас все еще SOHO?
Как минимум на некоторых моделях там WAN-порт разве что в смысле дефолтных настроек. Удобно.
У меня вот провайдерские (два разных провайдера) кабеля воткнуты в порты 3 и 4.
Lopar
22.11.2018 03:21Будет обидно, если первые два пункта будут заблокированы вендором. То есть вот ты потребитель неспециалист, вот тебе настройки по умолчанию в соответствии с документом, менять ты их не можешь — только сертифицированный специалист продавца решения.
А если это станет обязаловкой…
А если это доедет до СНГ, пиджакам понравится и внедрят ну нас на таких же условиях…
Обязательный стандартные настройки домашних роутеров специалистами извне — это же такой лакомый кусок для всяких не совсем штатских с целью слежения за гражданскими исключительно в целях профилактики.BugM
22.11.2018 12:58+1Да пусть ставят что хотят. Что стоит за вашей дверью вы не контролируете в любом случае.
Все что меняется это провайдер берет у вас немного места и немного электричества под свое оборудование, вместо того чтобы ставить его в подъезде. Вам жалко? Мне нет. Дополнительные расходы копейки.
Подключаем в чужой роутер свой и дальше за своим роутером в своей сети делаем все как нам надо.
Единственный минус это миллион провайдерских вайфаев забивающих все. Приходится устраивать тур по соседям и отключать им эти Вайфаи.walti
22.11.2018 13:32берет у вас… немного электричества
Мне жалко — учитывая, что 30% ОРЕХ-а это электроэнергия
Провайдеры очень любят перекладывать часть расходов на абонентов, никак это не компенсируя.BugM
22.11.2018 13:35Просто считайте что тариф стоит: ценник в прайсе + цена за электричество за месяц.
И соответственно сравнивайте с другими предложениями на рынке. Вас никто не держит у конкретного провайдера.walti
22.11.2018 14:06Цены- традиционно у всех одинаковые, типа 99,99.
Конкуренция выравнивает цены очень сильно.
vikarti
24.11.2018 09:56Тут проблемы:
- Нафиг не нужный провайдерский WiFi (еще и с предсказуемым паролем как у МГТС) — ладно если он будет отключаемый а если нет?
- Проброс портов. Полноценный. Включая вариант — ВСЕ порты прокинуть дальше.
BugM
24.11.2018 13:56Если не отключаемый, и распространенность как МГТС, то все плохо. Надо на WiFi 4-5-6 или как их там сейчас их зовут переходить.
Так что и пароль сменить нельзя и отключить нельзя и провайдера сменить нельзя я не верю. Идиоты такого уровня массовыми не станут никогда.
Покупаем услугу белый IP. И все порты должны быть открыты. Возможно за некоторыми исключениями, но это договор читать надо. Без этой услуги фикция все это. Как специалисты провайдера будут это настраивать их проблема.
DGN
22.11.2018 03:43Ау, Роскомнадзор — даешь Яровую в каждый дом!? Ввоз и продажа только сертифицированных ФСБ роутеров, пусть они сами про себя все пишут в рамках СОРМ-64, участковому только и останется, что проверять пломбы на дисках.
Polaris99
22.11.2018 14:55И сюда добрались немецкие бюрократы! Только вот в Германии с подобными рекомендациями и запретами ситуация ровно такая же, как и в России — строгость запрета никак не подкрепляется обязательностью исполнения. Вот только сегодня по радио слушал по поводу запрета дизельных авто на одном автобане в Северном Рейне-Вестфалии. Да, запретили, да, нужно контролировать. Как — непонятно. Можно, конечно, сделать систему распознавания номеров и сверки с базой регистрации, но полученное таким образом доказательство является незаконным. Остается только ставить полицейские заслоны и заниматься тем, чтобы записывать номера и останавливать нарушителей запрета.
maiketa
22.11.2018 21:58Автоматическое обновление прошивки.
Надо бы вендоров обязать выпускать прошивки больше 2-3 х лет.
SignFinder
А что там по поводу принудительного обновления ПО и собственно поддержки выпуска обновлений в длительной перспективе со стороны разработчика оборудования? Без этого все жесткие настройки теряют актуальность после появления первой бреши.
Гугл только к 10 версии Андроид понял необходимость жесткой политики по обновлениям безопасности для андроид.
LMonoceros Автор
Да. Там это предусмотрено. То есть автоматическое обновление по умолчанию, но с возможностью отключения.
tbl
Should — это не must, так что можно и необновляемые девайсы продавать, либо с отключенными дефолтными обновлениями, так?
biskovs
Оффтопик: на тему should, must и т.д. есть отличный RFC2119 :)
igrushkin
класс. Спасибо!
DonArmaturo
Обновили ZyXEL прошивки с полной сменой логики интерфейса (группировка функций), это расстроило :(
А представьте рядового покупателя: настраивал одно (инструкцию смотрел), а потом заходит, пароль WiFi сменить...
gambit_fin
Нужно было срочно запустить 1 удалённый офис, маленький 4 компа. Подключить к vpn ну в общем всё минимально но чтоб работало. И естественно сделать это надо было уже под ночь. Провозился до 3 ночи. Всё настроил всё работает, ушел спать. Утром подключаюсь удалённо к роутеру а там… А там эта зараза обновилась. Новый интерфейс. Минут 5 понять не мог куда я попал. Раза 10 проверил к тому ли я роутеру подрубился.