Доступ в локальную сеть за роутером из локальной сети провайдера?
Добрый вечер. В связи с кучей новостей о бэкдорах в сетевом оборудовании, назрел вопрос безопасности использования роутера.
Роутер ASUS RT-N10. Радиомодуль отключен. К порту WAN подключен провод провайдера, к порту LAN - компьютер. Провайдер предоставляет доступ в интернет через pppoe, заставляя иметь в локальной сети адрес вида 10.*.*.* и стучаться на 10.0.0.1 в качестве "имени службы". После подключения выдается нормальный белый IP. При этом локальная провайдерская сеть 10.*.*.* не изолирует клиентов друг от друга и все, кто подключен к оборудованию в доме "видят" друг друга в сети. Роутер в свою очередь создает сеть вида 192.168.*.*, а панель управления доступна по адресу 192.168.1.1
Вопросы:
1. Может ли кто-либо из сети провайдера зайти в панель роутера 192.168.1.1 ?
2. Виден ли мой 192.168.1.2, кому-либо из сети провайдера, если предположим он поменяет свой ip на 192.168.1.3 (не проверял, но вроде бы оборудование провайдера позволяет иметь любой ip в локальной сети).
3. Если ответ на любой из вопросов "да", то как с этим бороться?
Заранее спасибо за ответы. Прошу прощения за нубство.
Почти такой же роутер, почти такая же ситуация. Давайте дружить.
Вчера, после долгожданного подключения к скоростному интернету, играясь с nmap'ом, обнаружил сеть 10.0.0.0/8 с доброй тысячей сетевых устройств (у самого локалка в 192.168.1.0/24, роутер по PPPoE получает белый IP, wtf). На некоторых из них открыты веб-интерфейсы и стоят заводские пароли.
Сейчас звонил в техподдержку провайдера, там на тему видимости чужого сетевого оборудования два слова связать не могут.
Я правильно понимаю, что провайдер не настроил VLAN? Ну или хоть как-то же он должен был изолировать сети пользователей друг от друга?
1. Да, если доступ открыт наружу, так же как и доступ по SSH и Telnet.
Для решения необходимо в настройках прикрыть доступ снаружи и оставить доступ только из локальной сети.
2. Нет не виден.
1. У Асусов этой серии, на вкладке WAN или Безопасность есть галка "Разрешить управление через wan". Снимаем и вебпанель извне не доступна.
2. Через pppoe - не видят.
3. Для перестраховки, можно прошить роутер каким-нибудь OpenWRT и подробно изучить настройки фаервола, поменять порты SSH/Telnet и выставить безопасные пароли. Ну и найти провайдера который раздаёт интернет по VPN.
Спасибо за ответы.
Единственная настройка, прямо регулирующая доступ к панели: Включить веб-доступ из WAN? - No (было по дефолту). Этот запрет работает, через прокси к белому ip подключиться не удалось.
Однако есть очень интересный раздел настроек локальной сети. ЛВС - Маршрут
Эта функция позволяет добавлять в RT-N10 правила маршрутизации. Эта функция полезна при подключении нескольких маршрутизаторов помимо RT-N10 для совместного использования одного подключения к Интернету.
Список статических маршрутов
Использовать маршруты DHCP? - Yes
Включить многоадресную маршрутизацию? - Yes
Включить статические маршруты? - No
и пустая табличка внизу с полями: IP-адрес сети или хоста -- Сетевая маска -- Шлюз -- Метрика -- Интерфейс
Выключил Использовать маршруты DHCP? - No
Включить многоадресную маршрутизацию? - No
С этими настройками все в порядке? ЛВС - IP-адрес ЛВС
Настройка IP-адреса ЛВС RT-N10. DHCP-сервер динамически изменяет пул IP-адресов при изменении IP-адреса ЛВС.
IP-адрес: 192.168.1.1
Маска подсети: 255.255.255.0
Есть предположения какие еще потенциально опасные настройки есть на роутере? Думаю, стоит еще принудительно назначить IP с привязкой к маку и отключить DHCP.
