Skocz do zawartości
glorifyday

Prosta strona WWW na ruterze z Tomato - czym ryzykuje?

Oceń temat:

Rekomendowane odpowiedzi

glorifyday

Mam taki pomysl, zeby na swoim ruterze z tomato na zwyklym porcie 80 wystawic prosta, nieszyfrowana strone WWW z jednym linkiem badz przyciskiem, ktory by uruchamial skrypt na ruterze. Skrypt nie robi rzeczy niebezpiecznych, jak jakis bot go uruchomi, to nie jest dla mnie problem.

Wiekszy bylby problem, gdyby przez te strone mozna bylo skrypt odczytac, a jeszcze wiekszy, gdyby dalo sie uruchomic jakis skrypt czy kod "podrzucony".

Lewy jestem w materii stron WWW na maksa, zatem chcialem sie wstepnie zorientowac, czym ryzykowalbym wystawiajac taka strone.

Dodatkowe uwagi.

  • Port 443 mam zajety, nie moge go niestety wystawic na zewnatrz.
  • Jesli to bedzie dzialac i jesli da mi wiecej bezpieczenstwa, moglbym wystawic strone po https na porcie 80, ale nie wiem, czy sie przegladarki nie beda gubic.
  • Moglbym dodac jakas autentykacje, ale czy autentykacja bez https ma w ogole sens, skoro wszystko pojdzie zywym tekstem?
  • Moge rozwazyc jakies captcha, ale tu tez jestem lewy, nie wiem jak sie do tego zabrac.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house

chcialem sie wstepnie zorientowac, czym ryzykowalbym wystawiajac taka strone.

przede wszystkim nieautoryzowanym wykonaniem. możesz dorobić jakiś prosty ogranicznik plikiem .htaccess :
    Zaloguj się lub zarejestruj nowe konto, aby wyświetlić ukryty link.
a uprawnienia zmienić tak aby odczyt i wykonanie miał konkretny user.

 

Moglbym dodac jakas autentykacje, ale czy autentykacja bez https ma w ogole sens, skoro wszystko pojdzie zywym tekstem?

hasło przez powyższe rozwiązanie może być (a nawet musi) zakodowane zgodnie z algorytmem MD5

anyway, czy tomato nie ma czasem webserwera nginx ? Jeśli tak to trzeba :

    Zaloguj się lub zarejestruj nowe konto, aby wyświetlić ukryty link.
. Nie używam tomato więc nie wiem jak serwować coś z niego.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
glorifyday
W dniu 10.06.2015 o 13:51, house napisał:
zakodowane zgodnie z algorytmem MD5

Ale to nie jest jakies specjalnie pewne zabezpieczenie.

Popatrze na .htaccess i zerkne na tego nginxa.

Nieautoryzowane wykonanie nie boli mnie az tak bardzo, natomiast juz odczytanie tresci mojego skryptu albo wywolanie cudzego bolaloby.

Czy przy rozsadnie zaimplementowaym serwerze WWW nie musze sie jakos przesadnie obawiac takich rzeczy?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house
W dniu 10.06.2015 o 16:44, glorifyday napisał:

Nieautoryzowane wykonanie nie boli mnie az tak bardzo, natomiast juz odczytanie tresci mojego skryptu albo wywolanie cudzego bolaloby.

możesz te skrypty ukryć zmienną "location" - analogicznie jak to robi się z plikami konfiguracyjnymi softu. Klient otrzyma 444 - brak odpowiedzi i nginx rozłączy request.

W dniu 10.06.2015 o 16:44, glorifyday napisał:

Czy przy rozsadnie zaimplementowaym serwerze WWW nie musze sie jakos przesadnie obawiac takich rzeczy?

Myślę, że jeśli poświęcisz trochę czasu nad tematem to będzie działać w miarę bezpiecznie. Chociaż internet niejedno już widział i czytał.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
bischop
W dniu 10.06.2015 o 16:44, glorifyday napisał:

Nieautoryzowane wykonanie nie boli mnie az tak bardzo, natomiast juz odczytanie tresci mojego skryptu albo wywolanie cudzego bolaloby.

Czy przy rozsadnie zaimplementowaym serwerze WWW nie musze sie jakos przesadnie obawiac takich rzeczy?

nie musisz do czasu aż w sofcie który stanowi serwer www bądź w kodzie firmware'u maszyny znajdzie się dziura która umożliwi w jakiś sposób zdalne wykonanie kodu. Możesz mieć jeszcze problem z przez siebie błędnie napisanym skryptem np. PHP który to np. wywołuje zapytanie na bazie danych. Dane do zapytania pobierane są przez ten skrypt za pomocą forumlarza www. Luka polega na tym, że odpowiednio wprowadzone dane w polu formularza i zawołane na bazie danych powodują wykonanie na bazie nie tego "kodu" który ty byś chciał, ale tego co wstawi atakujący [*].

To, że wrzucisz skrypt na serwer www nie znaczy, że zdalnie będzie można odczytać kod skryptu. Skrypt będzie uruchamiany i wyświetlane będą jego rezultaty działania - chyba, że skonfigurujesz serwer tak, że nie będzie uruchamiał skryptu tylko go "wyświetlał" jako dokument tekstowy.

I dość istotne jest tak jak wspominali przedmówcy abyś zainteresował się tym .httaccess'em - bo to bardzo ułatwia życie. Np. da się tam ograniczyć listowanie folderów pod względem zawartości plików w nim się znajdujących. Bo po co ktoś ma mieć możliwość zobaczenia, że w folderze "config" masz plik "passwords.ini" - a potem będą próby pobrania zawartości takiego pliku, bądź wywołania (w jakiś sposób) skryptu zdalnie tak, aby plik odczytał i wyświetlił.

Jeżeli atakujący nie wie czego szukać, nie zna struktury, wersji oprogramowania znajdującego się na serwerze to jest mu trudniej.

 

Cytuj

zeby na swoim ruterze z tomato na zwyklym porcie 80 wystawic prosta, nieszyfrowana strone WWW z jednym linkiem badz przyciskiem, ktory by uruchamial skrypt na ruterze

Taki link zostanie wykonany w przeciągu 30 minut po wystawieniu przez ciebie skryptu "na świat" jeżeli tylko podasz gdzieś swój adres IP na publicznej istniejącej stronie www. Uruchomią go np. internetowe boty wyszukiwarek internetowych np. google.

 

 

 

[*] czytać:

    Zaloguj się lub zarejestruj nowe konto, aby wyświetlić ukryty link.

Command Injection on router:

    Zaloguj się lub zarejestruj nowe konto, aby wyświetlić ukryty link.

Edytowane przez bischop

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się


  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników, przeglądających tę stronę.

  • Podobna zawartość

    • house
      Przez house
      no właśnie, dokąd ? mniemam ,że poniższy cytaty są zapowiedzią "nowej jakości"
      autor "Tomato by Shibby":
      info od Victeka (tomato raf):
      no cóż, idzie nowe
      a to coś zgoła odmiennego - modyfikacja interfejsu tomato o technologie "web 2.0" wykonana przez jednego z użytkowników ze Słowenii:

      Zaloguj się lub zarejestruj nowe konto, aby wyświetlić ukryty link. Zmiany, zmiany, zmiany
    • house
      Przez house
      Dzięki uprzejmości kolegi Shibby z OL miałem możliwość przetestowania jego modyfikacji Tomato która obsługuje tryb FastNat. Rozwiązanie to pozwala na sprzętowe zwiększenie przepustowości interfejsu WAN-LAN i w związku z tym na rozwinięcie skrzydeł alternatywnego FW jakim jest Tomato na łączach szybszych niż 80Mbit/s.
      W praktyce szybki router jak Asus RT-N66U radzi sobie z obsługą takiego łącza ze względu na szybki procesor (600MHz) ale pełne wysycenie łącza powoduje w tym czasie brak możliwości korzystania równocześnie z innych usług a zwykłe przeglądanie stron powoduje lekką czkawkę przeglądatki. Dzięki FastNat (przynajmniej w moim przypadku) korzystanie z klienta torrent Transmission i równoczesne przeglądanie Flickr lub FB było normalnie możliwe i komfortowe (domownicy nawet nie byli w stanie zauważyć, że serwer NAS utylizuje całą przepustowość). Wkompilowany moduł "bcm_nat" jest właśnie za to odpowiedzialny w Tomato. Przekazana mi kompilacja posiadała go domyślnie wyłączonego ale szybkie polecenie wydane w konsoli uaktywnia ten tryb:
      root@unknown:/tmp/home/root# modprobe bcm_nat  Włączenie oczywiście zostanie zasygnalizowane w syslogu : 
      Sep 13 18:11:23 unknown user.warn kernel: BCM fast NAT: INIT  Test przepustowości łącza 100Mbit/s (8Mbit/s upload) : 


       
      Niestety klient Transmission jakby tego nie zauważył i nadal działał tak jak na normalnym wydaniu tomato :

      Te same pliki torrent pobierane w Transmission na FW Asusa zmodyfikowanym przez RMerlin pokazywały płaski wykres na poziomie 11,2 MB/s.
      Nie był to problem związany z cache dysku w Synology, ilością sesji peerów itp rzeczy. Zmiana FW i wszystko jest ok...
      Muszę jednak dodać, że pomimo działającego klienta torrent inne usługi sieciowe jak i wszyscy podłączeni klienci w mojej sieci nie mieli problemów z połączeniem i jego jakością a wszystko działało bardzo szybko i prawidłowo. To sugeruje, że moduł działa We wcześniejszych wydaniach Tomato nie było to możliwe i dało się zauważyć widoczne "czkawki"
      Tak jak Belliash zasugerował - potrzebne są surowe wyniki więc proszę bardzo
      Router Asus RT-N66U wgrane FW tomato 112-AIO EN wraz modułem bcm_nat. Najpierw wykluczyłem różnice pomiędzy regularnym wydaniem Tomato a otrzymanym testowym. Domyślnie wyłączony moduł sprawia, że zachowuje się identycznie jak wydana w lipcu wersja Tomato by Shibby v112-EN-AIO.
      Do routera podłączyłem od strony WAN komputer HTPC a do portu LAN laptopa. Oba posiadają procesory Intel Core I 3/5, 8GB ram oraz dyski SSD. Karta sieciowa w laptopie (Lenovo Y580) to Atheros Gigabit AR8161 a w HTPC Intel Gigabit 82579V (Intel DH61AG). Następnie za pomocą jperf oraz klienta FTP obadałem czy jakiekolwiek różnice są w stanie potwierdzić moją subiektywną opinię
      JPERF: regularne wydanie Tomato: bin/iperf.exe -c 192.168.1.15 -P 1 -i 1 -p 5001 -f m -t 10 ------------------------------------------------------------ Client connecting to 192.168.1.15, TCP port 5001 TCP window size: 0.06 MByte (default) ------------------------------------------------------------ [152] local 192.168.2.2 port 49450 connected with 192.168.1.15 port 5001 [ ID] Interval       Transfer     Bandwidth [152]  0.0- 1.0 sec  24.5 MBytes   206 Mbits/sec [152]  1.0- 2.0 sec  24.4 MBytes   205 Mbits/sec [152]  2.0- 3.0 sec  24.5 MBytes   205 Mbits/sec [152]  3.0- 4.0 sec  24.4 MBytes   205 Mbits/sec [152]  4.0- 5.0 sec  24.4 MBytes   205 Mbits/sec [152]  5.0- 6.0 sec  24.5 MBytes   206 Mbits/sec [152]  6.0- 7.0 sec  24.3 MBytes   204 Mbits/sec [152]  7.0- 8.0 sec  24.3 MBytes   204 Mbits/sec [152]  8.0- 9.0 sec  24.4 MBytes   204 Mbits/sec [152]  9.0-10.0 sec  24.4 MBytes   205 Mbits/sec [152]  0.0-10.0 sec   244 MBytes   205 Mbits/sec Done.
      Tomato z włączonym modułem fastnat:
      bin/iperf.exe -c 192.168.1.15 -P 1 -i 1 -p 5001 -f m -t 10 ------------------------------------------------------------ Client connecting to 192.168.1.15, TCP port 5001 TCP window size: 0.06 MByte (default) ------------------------------------------------------------ [148] local 192.168.2.2 port 50849 connected with 192.168.1.15 port 5001 [ ID] Interval       Transfer     Bandwidth [148]  0.0- 1.0 sec  43.0 MBytes   361 Mbits/sec [148]  1.0- 2.0 sec  43.3 MBytes   363 Mbits/sec [148]  2.0- 3.0 sec  43.3 MBytes   363 Mbits/sec [148]  3.0- 4.0 sec  43.1 MBytes   361 Mbits/sec [148]  4.0- 5.0 sec  43.0 MBytes   361 Mbits/sec [148]  5.0- 6.0 sec  43.3 MBytes   364 Mbits/sec [148]  6.0- 7.0 sec  43.4 MBytes   364 Mbits/sec [148]  7.0- 8.0 sec  43.3 MBytes   363 Mbits/sec [148]  8.0- 9.0 sec  42.7 MBytes   358 Mbits/sec [148]  9.0-10.0 sec  43.5 MBytes   365 Mbits/sec [148]  0.0-10.0 sec   432 MBytes   362 Mbits/sec Done.
      FTP: regularne wydanie Tomato:

      Tomato z włączonym modułem fastnat:
      Różnice i interpretację wyników pozostawiam Wam
      Widać postęp i należy mieć nadzieję, że wkrótce ten moduł zawita na stale w wydaniach Tomato by Shibby - aczkolwiek to co Shibby sprawdził to :
       
    • Coreus
      Przez Coreus
      Hej,
      Już wcześniej pisałem na forum w podobnym temacie: 
       
      Cóż trochę czasu upłynęło. Jakiś czas temu skończyła mi się umowa na czas nieokreślony na Internet LTE.  Z początku "jakość" internetu była bardzo przyzwoita, z czasem niestety, jak to zwykle bywa. Nadszedł więc czas, by coś zmienić!
      Dlatego postanowiłem teraz odświeżyć temat, podzielić się informacjami , wyciągnąć wnioski z doświadczeń i zrobić drugie podejście, by poprawić jakość i prędkość, a przy okazji dowiedzieć się czegoś od Was i zostawić coś dla innych. 
       
      Internet LTE - od czego zacząć?
      1. Zanim zdecydujesz się na operatora sieci komórkowej oraz indywidualny! zakup sprzętu - sprawdź dostępność Zaloguj się lub zarejestruj nowe konto, aby wyświetlić ukryty link.  (+
      Zaloguj się lub zarejestruj nowe konto, aby wyświetlić ukryty link. ):   
      a) zwróć uwagę na maszty operatorów pod kątem LTE. Zrób ich listę z uwzględnieniem lokalizacji oraz pasma:
       
      b) sprawdź odległość do interesujących Cię masztów - np.
      Zaloguj się lub zarejestruj nowe konto, aby wyświetlić ukryty link. to umożliwia:
      c) przeanalizuj listę masztów: dla każdego masztu z listy - zwróć uwagę na topografię terenu, odległość, wszelkiego rodzaju przeszkody - odrzuć te najdalsze, bądź niekorzystnie zlokalizowane (z uwagi na przeszkody - np. las, budynki, ukształtowanie terenu itp.) 
      d) przygotuj listę pomiarową (dostępni operatorzy z konkretnym pasmem i odległością do nadajnika + pomiary sygnału - więcej
      Zaloguj się lub zarejestruj nowe konto, aby wyświetlić ukryty link. ):
      Garść informacji o oznaczeniach:
      2. Przeanalizuj ofertę internetu LTE u operatorów komórkowych:
      a)  całkiem przyjemnie zebrana oferta do kupy: 
      Zaloguj się lub zarejestruj nowe konto, aby wyświetlić ukryty link. jedni operatorzy oferują większy limit, drudzy za to przy jego przekroczeniu ograniczają prędkość do 2Mbit/s zamist 32Kbit/sek, a jeszcze inni dają za darmo brak limitów w godzinach 0:00-8:00 (warto zwrócić uwagę)
      b) pamiętaj, że internet LTE bez limitu nie istnieje!: 
      Zaloguj się lub zarejestruj nowe konto, aby wyświetlić ukryty link. 3. Wybierz kilka operatorów w oparciu o listę wybranych masztów (pkt 1) oraz na podstawie przeanalizowanej oferty (pkt 2). Zakup karty startery na internet, by mieć na podstawie czego przetestować i wybrać najlepszą opcję - nie tylko odległość, oferta, ale również faktyczny stan ilości przyłączonych użytkowników, będzie mieć wpływ na szybkość internetu.
      4.  Pora zastanowić się nad wyborem sprzętu:
      Kup sprzęt sam (osobista sugestia) - nie decyduj się na ten w ofercie od operatora sieci komórkowej. Dlaczego? Cóż operatorzy czasami oferują sprzęt, który wspiera LTE - ale przykładowo router ma tylko 1 wyjście antenowe - np. D-Link DWR-921E. Co prawda nie jest to regułą. Generalnie w interesie operatorów sieci komórkowej jest jak najwięcej pozyskać klientów, a jak najmniej inwestować w rozbudowę i modernizację obecnej infrastruktury.
      Jest kilka możliwości:
      - wariant 1 - router z podwójnym wyjściem antenowym i obsługą kart pod internet dual LTE + antena
      - wariant 2 - router z obsługą modemów dual LTE + modem dual LTE (koniecznie HiLink\NDIS) z dwoma wyjściami antenowymi + antena
       
      W kolejnych postach postaram się skupić nad wyborem anteny - co zresztą na chwilę obecną najbardziej mnie interesuje. Pomyślałem jednak, że wstęp powyżej, może być przydatny dla innych.

openitforum.pl

Forum poświęcone przesyłaniu i przechowywaniu danych w małej sieci. Prezentujemy testy urządzeń oraz pomagamy w ich obsłudze i konfiguracji.
×

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę.