Alfiho univerzálne rady

Prosim ta, nekecaj o niecom o com nemas ani ponatia.

 

ad 1) V Routry mas NAT, v defaultnom nastaveni nemas ziaden port forwarding nastaveny (viem, konfiguroval som ho) => si z vonku zabezpeceny. Z vnutornej strany je skutocne na FW vsetko povolene, a tak to ma byt. To posledne co chcem aby som kazdej aplikacii samostatne otvaral port. A neviem si predstavit ako by sa stym BFU vysporiadal.

 

ad 2)K Routru ti dodaju aj manual, v ktorom mas meno/heslo na router. Aj postup ako si ho zmenit.

 

ad 3)Pokial sa nemylim tak router defaultne odmieta spojenia (ci uz telnet, alebo http) na konfiguraciu z wan portu. (aspon moj Edimax to tak robi)

len pre doplnenie, kazdy jeden par korunovy router ma v default konfigu nastavene odmietnut ziadost o connection zvonka, o login na router...zaklad bezpecnosti

takze alfi fakt radsej pis o tom comu sa rozumies, lebo sietova bezpecnost to urcite nieje...

staci si zapojit router na net, nastavit nech sa pripoji a zbehni si port scanner na tu IP, a budes cumet...

Hmmm, zaujímavé, že mi aj najvetší odborníci dotyčnej firmy nevedeli pomocť a všetci tí, ktorí si želajú netovú bezpečnosť - majú iba preblémy. Pokiaĺ máš VGST 2700 Vigor, spusť si test - aj na www. test.bezpečnosti.cz. Tie problámy sú zdokladované a verejné. Žiaľ. A mám aj bohatú mailovú korešpondenciu. :lol: :)

router mam cisco, takze si to nemozem overit, ale stacilo mi co som to par ludom konfiguroval...

zaujimalo by ma nieco konkretne, co tak sem pastnut default config z toho routra a potom ukazat vysledok port scannu?

Ja som na tom routry konfiguroval port forwarding, hned po tom co bola aktivovana linka. A mozem ti povedat ze ta tabulka forwardovanych portov bola prazdna.

 

Edit : A samorejme ze bolo nemozne na stroje v LAN z vonka pripojit. :lol:

 

Hmmm, zaujímavé, že mi aj najvetší odborníci dotyčnej firmy nevedeli pomocť

Pokial mali tvoje poziadavky/otazky rovnaku uroven formulacie ako tvoje prispevky, tak sa im ani necudujem.

Je to otázkou poškodzovania občanov SK, takže nebudem viac. Znalý vie zistiť viac. Neide o Cisco, ale o to, čo tá firma dodáva upravené pre bohvieaké účely. Ja som bol tiež poškodeným a riešim a vyriešim. Ako vždy. :lol:

alfi ked ty raz napises do fora vetu, ktora bude mat nejaky zmysel, bude na nieco konkretne poukazovat aj s argumentami, a nebude to len sprska nic nehovoriach blbosti, asi buchnem sampanske co mi uz dva mesiace kysne v izbe....

Nemožem zverejňovať aktuálne nezákonné veci. :lol: Predsa len je to treba doriešiť. Až potom. O tom potom. Vyčkaj. :) A Google predsa možeš. Skús si pozornejšie prečítať dotyčnú www, parametry a potom na stiažnostiach www.sme aj tie ponosy a aj osobné skúsenosti iných. Aj mojich. Moje sú relevantné, lebo celkom presne viem, o čom hovorím.

ale no tak alfi. Aspon v SS. Sam som zakaznik T-Com, a citim sa byt ohrozeny a manipulovany. Tak nech je to z tvojej strany o ludskosti a nezistnom pomahani.

ty asi nikdy nemozes zverenit nic, co by malo hlavu a patu....

co je nezakonne na tom poukazat na chybu nejakej firmy, ktora ohrozuje jej uzivatelov? myslim ze za komunizmu to fungovalo stylom udrzujme vsetkych v sladkej nevedomosti...teraz by sa mali informacie sirit rychlostou blesku, aby sa co najskor na to nasiel fix....

ale stale mam pocit ze len kecas dve na tri...

ziadne argumenty, ziadne podlozene fakty, jednoducho velke NIC

Nokia

 

Riešim to a je to zložitejšie. Nedá sa teraz nič. Zmysel to má. Momentálne neviem o horšej firme, ako práve tej. Skús si ten test na VGST 2700 a uvidíš, budeš mať aj dokaz. A aj tie dristy na www o tom oném... M.... :lol:

Co uvidim? Prd uvidim.

 

Vsak si nedal ani taku zakladnu informaciu z akej privatnej IP to mam testovat. Ved ked ma prednastaveny nejaky skryty port forwarding, tak aspon povedz na aku IP to mam nastavene.

alfi, kurníkšopa, napíš konečne, akú konkrétnu skrytú hrozbu si odhalil. tiež chcem onedlho zmeniť providera, tak by mi pomohlo, keby som vedel o čom si tu začal písať. nie som informatik, tak ťa poprosím aby si to rozpísal trocha podrobnejšie, ak môžeš.

 

podľa mňa tým nespáchaš nič protizákonné, veď na takomto princípe funguje aj vydávanie bezpečnostných záplat do software. zákazníci, teda užívatelia odhalia bezpečnostný nedostatok, spätne o ňom informujú výrobcov a oni sa rýchlo starajú o nápravu. nikto nešpekuluje o tom, či to tam bolo úmyselne alebo nie, dôležité je aby ľudia vedeli, o čo sa jedná.

alfi co je zlozitejsie? stale ziadne fakty, ziadne udaje, NIC!!!!

len kecas a kecas, zacinas ma rozculovat...neviem ci by nebolo lepsie expertom ako ty, ktori tu len mutia vodu a hlavy beznych userov zakazat prispievat do takychto tem, este vyvolas vseobecnu paniku...

kym nedas ziaden padny argument, ktory tu po tebe ja a dark vyzadujeme (a neuraz sa, dovolim si neskromne tvrdit ze obaja mame sto krat lepsie vedomosti v tomto smere ako ty) tak tvoje info maju vypovednu hodnotu taku ako ked ja sa teraz pokusim napisat list v islandcine s mandarinskym dialektom....

 

takze pre ostatnych, odporucam alfiho prazdne reci nebrat do uvahy, len keca a hovno z toho....

osobne mam skusenosti s vela providermi (sam som robil u jedneho cez 3.5 roka, a nebol to t-com) a v oblasti DSL je momentalne najlepsia volba prave t-com a to z jedneho rozumneho dovodu, ma vlastne dsl vedenia, ktore si nemusi od nikoho prenajimat ako alternativci, takze si vie spravit aj najlepsie podmienky (pri flat ziadna agregacia, resp nepostrehnutelna atd)

Dobre. V rámci produktu M.... sú dodávané routre Vigor 2700 VGST s otvorenými portami na poštu a net a ST ich odmieta zablokovať. 6 ráz mi bol vymenený router a stále to bolo o tom istom. Majú vlastný BIOS a nedajú nikomu heslo a neumožnia zapnúť HW firewall. Takže som po pol roku riešenia prešieľ ku inému providerovi a mám konečne aj kĺud a bezpečnosť, od tej doby nemám žiaden spam a žiadne registrácie do mojho počítača. Komunikoval som aj s Microsoftom. Sú to ozaj nelegálne praktiky tam... a komunikáciu zverejním až po súde. Zatial info na firemnej www, a treba nielen čítať, sú tam sprostosti o M....... :lol:

 

P.S. Snažím sa po slovensky a maďarsky viem ozaj ništ :) CZ

alfi a vies o tom ze defaultne sa nikde neblokuju porty 80 a 110 ??

ono mas router, mas tam NAT - preklad adries

to znamena, ak by sa ti chcel niekto dostat cez port 80 do tvojho pc musel by si mat za prve spraveny port forwarding z vonkajsej IP na tvoju vnutornu (ziaden router nema defaultne port forwarding) a za druhe musel by ti bezat web server na lokalnom pc, ci byt nejaka znama diera v systeme ktory pouzivas ako sa cez port 80 dostat do pc...

ak by tie porty defaultne blokovali, mali by na krku milion staznosti, preco aj ked maju ludia vsetko nastavene, tak im nejde net ci posta...

necudujem sa ze ti nechcu vyhoviet, kedze tvoja poziadavka nema ziadne bezpecnostne riziko, zatial co ak by ti splnili tvoju ziadost, tak by mali na krku miliony staznosti od nespokojnych zakaznikov

 

ak ani toto nepochopis ze trieskas dve na tri o tom v com sa vobec nevyznas tak uz neviem ako inac ti to vysvetlit

od tej doby nemám žiaden spam

Prostim ta, ty mas na pocitaci rozbehany vlastny mail server s domenou, ze ti tam chodil spam mail? :lol:  

 

A dalej. Nieco tak zavazne ako nemoznost nastavovania si routra by sa urcite objavilo na nete. Bohuzial, nech googlim ako googlim, nic som nevygooglil. Nic.

Minimalne na blackhole by som o tom nieco nasiel.

 

Inac to mi chces fakt povedat, ze si zaplatil plnu sumu za router a zriadenie magia? Lebo si odisiel po pol roku, a viazanost je tusim 2 roky.

 

 

Teba by tu mali vazne zrusit (ako nokia pisal), lebo ta kopa technickych nezmyslov a hovadin co si tu vyplodil, su pre cloveka ktory tomu nerozumie (napr. ten mail naposledy ) uveritelne. A o to je to horsie.

Nechcem byť príčinou odchodu klientov do toatlitného providera. Viem svoje a od doby zmeny som v pohode. Preferujem transparentnosť a ochotu riešiť problémy. Teraz som v pohode, inde. Po pol roku vážnych problémov. Zdokladovaných. A samozrejme za viac ako polovičnú cenu peťnásobná rýchlosť bez jedinej poruchy. :lol: Kto chce vedieť - zistí, a kto nie - ostane v problémoch. Ja už som mimo.

alfi zas a opat si preukazal ze necitas vobec reakcie na to, kde je jasne poukazane ze trepes dve na tri

idem to poriesit inac, navrhom zakazu tvojich reakcii na odborne temy, kde len motas ludi a kecas bludy....

Býva dobrým zvykom preverovať veci, takže výpis z www.agerit.cz z 11.6.2007 poslaný práve tam... možno by bolo lepšie dať to sem ako *jpg.

 

Výpis zo servra...

POZOR! Byly nalezeny napadnutelné služby !

 

Vysvětlivky výsledku testu:

Otevřeno

služba je veřejně dostupná v celé síti Internet. Pokud běží bez vašeho vědomí je to napadnutelné místo vašeho počítače a známka špatného zabezpečení. Zde pomůže Firewall.

Odmítnuto

služba je zřejmě používaná, ale odmítá přijmout požadavek z našeho serveru, nebo neběží a server ji aktivně odmítá (nevhodné řešení). Odmítnutí je sice postačující proti napadení, ale stále umožnuje hackerům provést zahlcení dotazy. Zde pomůže Firewall.

Zabezpečeno nebo vypnuto

služby vyhodnocené jako nedostupné, zakázány. Pravděpodobně na vašem počítači neběží, nebo je FIREWALL blokuje. Jediné opravdu bezpečné řešení..

 

 

Port Služba Bezpečnostní význam Stav

21 FTP Veřejný FTP server. Slouží ke kopírování dat. Hackeři jej často používají ke stahování dat a zakódovaných databází hesel. Otevřen

23 Telnet Nekódované terminálové spojení --- dá se odposlouchávat. Máte pravděpodobně FIREWALL. Váš správce nechal velkou bezpečnostní díru do systému. Přes terminál se může někdo pokoušet připojit k serveru... Zabezpečeno nebo vypnuto

25 SMTP pošta Služba pro příjem pošty. Pokud je špatně nastavena, umožní z vašeho počítače jednoduše udělat zdroj spamů (nevyžádaných e-mailů). Pokud máte poštovní server bez posledních aktualizací, je zde možnost i server ovládnout! Zabezpečeno nebo vypnuto

80 WWW server Na vašem počítači, popř. serveru, běží veřejný internetový server. Vaše linka do Internetu je sdílena s uživateli vašich stránek. Pokud není webový server dobře nastaven a aktualizován, lze jej napadnout. Je to hackery nejvíc napadaná služba. Zabezpečeno nebo vypnuto

110 POP3 pošta Služba pro stahování pošty. Lze odposlouchávat nebo provést slovníkový útok nebo útok brutální silou, v případě úspěchu má útočník přístup k vaší poště. V případě, že váš účet slouží i ke vzdálenému přístupu k firemní síti, jde o velký bezpečnostní incident. Zabezpečeno nebo vypnuto

135 RPC Microsoft Služba Microsoftu pro volání vzdálených procedur. Hackeři přes ni dokážou například zablokovat počítač. Zabezpečeno nebo vypnuto

137 NetBIOS Name Služba pro sdílení souborů a tiskáren sítě Microsoft. Pokud je otevřena z Internetu, může kdokoliv procházet vaším počítačem. Zabezpečeno nebo vypnuto

139 NetBIOS Sesion Služba pro sdílení souborů a tiskáren sítě Microsoft. Pokud je otevřena z Internetu, může kdokoliv procházet vaším počítačem. Zabezpečeno nebo vypnuto

143 IMAP Pošta Služba poštovního serveru. Popis viz POP3. Zabezpečeno nebo vypnuto

161 SNMP Protokol SNMP (Simple Network Management Protocol) --- řízení síťových prvků. Může to být také služba běžící pod Windows. Útočník může získat z registru Windows neocenitelné informace, které může dál použít k následným útokům. Zabezpečeno nebo vypnuto

443 HTTPS WWW Kódovaný veřejný WWW server. Je lepší než obyčejný WWW server, nejde odposlouchávat. Může být stále napadnutelný špatnou konfigurací nebo bezpečnostními dírami (Musí se aktualizovat!). Zabezpečeno nebo vypnuto

445 WIN NT/2000 SMB Služba pro sdílení souborů a tiskáren sítě Microsoft. Pokud je otevřena z Internetu, může kdokoliv procházet vaším počítačem nebo získat vaše hesla. Zabezpečeno nebo vypnuto

1080 SOCKS Proxy služba, slouží pro přístup z vnitřní sítě na Internet, přístupná z vnější strany, umožnuje hackerům vydávat se za vás. Zabezpečeno nebo vypnuto

1494 Citrix Služba používaná pro vzdálené ovládání plochy aplikačního serveru.Pokud je služba dostupná pro každého z Internetu, lze na ni provést slovníkový útok nebo útok brutální silou. Zabezpečeno nebo vypnuto

1723 PPTP tunel Vzdálený přístup do podnikové sítě z domácího PC nebo např. laptopu obchodníka, prostřednictvím VPN. Pokud je služba povolena z jakékoli IP adresy, muže provést útočník útok brutální silou nebo slovníkový útok a tím se dostat do firemní sítě. Otevřen

3389 Vzdálená plocha Služba pro připojení se k serveru nebo stanici prostřednictvím grafického terminálu. Přes tuto službu je možno pracovat s PC, jako by u něj někdo seděl osobně. Zabezpečeno nebo vypnuto

5900 VNC server Služby používaná pro vzdálené ovládání plochy PC. Spojení je nešifrované, lze odposlochávat --- velmi nebezpečné ! Zabezpečeno nebo vypnuto

5000 UPnP Služba pro komunikaci s UPnP (Universal Plug and Play) zařízeními připojenými do vaší sítě Zabezpečeno nebo vypnuto

5631 PC Anywhere Služby používaná pro vzdálené ovládání plochy PC.Pokud je služba dostupná pro každého z Internetu, lze na ni provést slovníkový útok nebo útok brutální silou. Zabezpečeno nebo vypnuto

Pozor: Pokud služby vědomě používáte a máte je povoleny úmyslně, je zapotřebí zajistit jejich maximální ochranu a pravidelnou bezpečnostní aktualizaci (vychází i několikrát do měsíce - máte tu poslední!?). Konzultujte to se svým správcem sítě, poskytovatelem, nebo se zeptejte nás...

alfi pokusim sa to vysvetlit este raz aj pre ludi so spomalenym chapanim ako si ty...

 

to ze mas otvorene porty 21 a 1723 na routri NIC NEZNAMENA...

ak by si mal mat security problem, musel by si mat oba porty nasmerovane na svoju internu IPcku, co defaultne nemas...

takze mas tie porty otvorene na routri, na nom ziadna sluzba na takom porte nebezi, takze efektivita je ta ista ako by bol ten port bloknuty

 

CHAPES UZ?? alebo stale si mimo????

Jedno aj druhe su sluzby, ktore bezia na routry.

 

FTP pouziva na nahratie noveho firmwaru zo vzdialenej strany.

PPTP tunel je zas sluzba co bezi na samotnom routry.

 

Bolo by teraz zaujimave zistit ci nahodou nema Router otvorene dane porty aj ked sluzba na nom nebezi. Ale kedze nikde na nete nevidim zaplavu ludi, co sa stazuju ze sa im z nenazdajky objavuju firemne nastavenia (to by sa stalo ako by niekto vzdialene nahral novy firmware), tak usudzujem, ze tato sluzba je neaktivna, aj ked router na danom porte pocuva.

 

Rovnako je to aj s PPTP.

Ale povedzme teraz, ze by sluzby boli aktivne a live. Bezpecnostne rizika su taketo

 

21 - FTP - Ak si si nechal default meno/heslo, tak hocikto by ti mohol nahrat novy firmware do routra. To je naozaj celkom seriozny problem, kedze vacsina ludi si nechava default meno/heslo. Ale kedze nic take nebadat (a ver tomu ze ludi, co by si takto strielali by bolo dost), tak nic take nehrozi.

 

PPTP - je nepouzitelne bez tvojho nastavenia v samotnom routry. Su tam potrebne udaje, ktore si router velmi tazko vycucava z prstu. Ziadne bezpecnostne riziko. Aj ked mi je jasne ze nemas ani najmensieho ponatia co PPTP je, tak nemam najmensiu chut ti vysvetlovat o co vlastne ide.

alfi pokusim sa to vysvetlit este raz aj pre ludi so spomalenym chapanim ako si ty...

 

Tssss...

 

to ze mas otvorene porty 21 a 1723 na routri NIC NEZNAMENA...

ak by si mal mat security problem, musel by si mat oba porty nasmerovane na svoju internu IPcku, co defaultne nemas...

takze mas tie porty otvorene na routri, na nom ziadna sluzba na takom porte nebezi, takze efektivita je ta ista ako by bol ten port bloknuty

 

CHAPES UZ?? alebo stale si mimo????

Nabúral sa do mojho PC s Vistou niekto práve kvoli tomuto, urobil si tam prístup ako ďalší užívateĺ a keď som ho odstránil, tak mi spadol systém a dalo mi to hlášku, že nemám legálny Win... a riešil to aj Microsotft a bola to jednoznačná vina hádaj koho ? T...

 

Odmietli mi dať heslo pre zmenu nastavenia routra, Zdokladoval som viacráz prienik aj ku mne aj ku iným zákazníkom a ukončil som to. Žiaľ majú zjavne iné cieľe, ako službu zákazníkom. Odstrihnul som sa a mám pohodu. Nepotrebujem praktiky z rokov dávno minulých. Prešieľ som si viacerých providerov a všetci boli lepší. Nezverejnil som to. A od tej doby som pre istotu na Linuxe.

 

Túto sú tie iné sťažnosti.

 

http://staznosti.sme.sk/cpas/65/Slovak-Tel...a-s-/T-Com.html

 

Darkman

 

Vďaka za snahu, niečo málo predsa len viem. Toto je o inom. O neserióznosti a o zneužívaniu služieb. O viazaniu dvoch nezávislých služieb. Prehrali súd a išlo o velké sumy. Je to verejné. A to M.... je šunt. Škodí to aj menu dodávateĺa Vigora a tie údaje na ich stránke sú diletantské. Plno ponosov. Stačí iba ovládať Ohmov zákon a zapnúť kalkulačku. Zavádzajú. Analýzu som im poslal.

Dark dik za opis, nemam skusenosti moc s tymito lacnymi routrami, ako vidim integruju tam milion veci a sluzieb do jedneho

 

alfi, velmi by ma zaujimalo ako sa ti niekto nabural do pc cez port 21 ci 1723...na viste nemas nahodou fw, kde by si nemal mat preco otvorene taketo porty??? a netusim ze by mala vistu nejaku chybu, ze sa do nej cez tie porty dostanes

a stale neviem, ako ked mas tie porty otvorene na routri, a nie smerovane na tvoje pc, ako sa ti niekto dostane az na pc??? uteka tu pointa...

Veď tak, proste sa ku mne niekto cez tie otvorené porty dostal, mám kópiu toho HD. Keď mi odmietli dať heslo na nastavenie FW routra a ťahalo sa to niekoľko mesiacov, zmenil som providera a kúpil som si iný router, kde mám všetky práva na nastavenie. Nechcelo sa mi kupovať za vlastné router Vigor 2700 VGST z obchodu, lebo tam je prístup otvorený, a ani upgrade firmware mi nepomohlo. U ich VGST som nemal šanciu. A toto je u všetkých zákazníkov tej firmy, lebo ma volajú. Ibaže všade nie sú možnosti pripojenia na UPC alebo Fibernet. Alebo iné možnosti.

 

Vista je opisovaná ako bezpečný OS, takže ani ja neviem, ako sa to mohlo stať. Iba som riešil následky. A nasadil som následne aj Vmware a Linux. Tam už nieto žiaden problém, dáta sú oddelené. A reštart PC všetky ataky odstráni. A inštalácia nového Vm za niekoľko minút.