De nieuwe modem van Telenet: CBN SVG6540E: Beveiliging

[MadCompie]

Ik ben een tevreden FN40 klant, met de combinatie modem/router.
Alhoewel het een lucratief toestel is (minder kabels, minder verbruik, all in 1) gebruik ik nog steeds een eigen paranoïde router om mijn interne netwerkje af te scheiden van TN. Dit wegens de sobere instelmogelijkheden, bovendien gebeurt dit centraal & online via TN.
Er zijn er die beweren dat dit 100% veilig is maar ik stel mij daar toch vragen bij... u ook? In theorie nemen die toch gewoon uw desktop over?

[Ambroos]

Uw desktop overnemen? Da's nu toch een beetje overdreven hé. Als jij je eigen router configureert dan doe je dat via een web-interface. Als je de Telenetmodem configureert doe je dat via een webinterface. Verschil is nu alleen dat de instelligen bij Telenet ook nog op een server staan, en dat mensen van de helpdesk eventueel instellingen kunnen aanpassen moesten er problemen zijn, of moest je het bijvoorbeeld zelf niet kunnen. Telenet heeft nog steeds geen toegang tot je interne netwerk hé, en 't is nog altijd de modem die de IP's uitdeelt, niet een server van Telenet zelf.

[ubremoved_539]

Telenet heeft nog steeds geen toegang tot je interne netwerk hé, en 't is nog altijd de modem die de IP's uitdeelt, niet een server van Telenet zelf.

Maar Telenet heeft wel volledige controle over je modem/router (en de hieraan verbonden firewall). In theorie is het dus perfect mogelijk dat men MAC passthrough configureerd (standaard mogelijkheid van de modem/router, ook al kan je er zelf niet aan), of zelfs de nodige port-forwarding zodat je interne PC gewoon publiek beschikbaar is.

Wat mij betreft is dit hetzelfde als je huissleutel gaan afgeven op het stadhuis en hopen dat ze hem goed zullen bewaren. Feit is dat Telenet niet aan z'n eerste security blunder toe is (recent op korte tijd zelfs nog twee betreffende hun nieuwe Yelo dienst), dus wat mij betreft hou ik de controle liever zelf in handen.

Het misbruik hoeft trouwens niet door Telenet zelf te gebeuren... maar voor je het weet liggen dergelijke databases op straat (denk maar aan de script kiddie bij Belgacom met de ADSL modems).

[Ambroos]

Verschil met de beveiligingsblunders die Telenet al heeft begaan en de modem van Telenet is dat de vorige blunders allemaal problemen waren waarbij iets -niet- gedaan werd. Om een beveiligingsprobleem te veroorzaken moeten ze hier al echt iets verkeerd gaan doen met de intentie van iets verkeerd te doen. Het grote beveiligingsvoordeel van deze modems is dan wel weer dat, zelfs als er iemand op je interne netwerk zit en desnoods zelfs bij je thuis binnen, ze er zowiezo niet in slagen om de instellingen van de modem aan te passen, aangezien dat enkel via Mijn Telenet kan. Voor mensen met een beetje gezond vertrouwen in Telenet is dit dus eigenlijk zelfs wat veiliger dan je eigen router. En 't blijft natuurlijk gratis hé, niemand verbied het gebruik van je eigen router.

[skynetbbs]

euh... Google had ook zoiets vorige maand gelanceerd zodat ze software op je android telefoon konden installeren via de "pc/website/google shop"...
der had direct iemand een XSS lek gevonden waarbij jij op een website zat en die website ging met jouw credentials op de googleshop wat malware pushen naar je gsm...
soortgelijk kan er dus een XSS lek zijn die jouw telenet modem via de telenet website dus zal "openzetten" ...de wifi aanvinken...de paswoord leeg laten...

[ubremoved_539]

ze er zowiezo niet in slagen om de instellingen van de modem aan te passen, aangezien dat enkel via Mijn Telenet kan.

Ja, ja... alléén via Mijn Telenet (en hoe denk je dat TN dan de aanpassingen doet ?)... trouwens het bewuste Mijn Telenet dat login gegevens shared met de Yelo service welke de paswoorden onversleuteld over het netwerk stuurde ! Inderdaad, het zit allemaal goed in elkaar Maar inderdaad, iedereen is vrij hierop te vertrouwen of niet...

[netdata]

de Yelo service welke de paswoorden onversleuteld over het netwerk stuurde ! Inderdaad, het zit allemaal goed in elkaar

r2504 je hebt gelijk, maar zelfs met encryptie kan je toch nog een mitma doen.
Denk bijvb maar aan sslstript dewelke http praat met je pc en https met de server.

deze mitma kan je doen op elke http redirect naar https.

Gewoon om maar te zeggen dat zelfs als telenet allles al zou versleuten vind ik het geen goed idee om je router over internet te configen omdat iemand met slechte bedoelingen EENDERHOE wel iets kan doen wat je niet wil

Zo vermoed ik ook dat 90% van de mensen hier op userbase hun password van userbase hetzelfde is als dan van mijn telenet.
Hiermee kan de userbase crew of een hacker (gezien userbase niet https is) gewoon je credentials proberen op goed geluk,,,

Ook hiermee wil ik maar zeggen dat alles relatief is en het zowiso begint bij jezelf en niet noodzakelijk bij een ander (bijvb telenet)

[ubremoved_539]

Feit blijft... een externe partij die over paswoorden beschikt, en remote administratie kan doen op de WAN interface is gewoon tegen alle princiepes !

[skynetbbs]

geraken ze zowiezo niet op je pc zonder aan je router te zitten?
beetje malware ergens op een 1px image op userbase.be?
terwijl jij nu dit leest is je "browser" je aan het hacken...

of wat met die standaard ipv6 tunnelling in windows vista/7 ... die omzeilen ook je ipv4 Nat bescherming...
je "router" is geen "firewall" ...NAT ain't security...it's obscurity

[SamuelDebruyn]

Beveiliging hangt vooral af van:

• Hoe zorgzaam spring jij met je gegevens om?
• Bezoek je betrouwbare sites of ook illegale rommel?
• Heb je een degelijk (en dus betalend) beveiligingspakket geïnstalleerd inclusief firewall?
• De kans op problemen bij linux of zelfs bij mac ligt lager dan bij windows...

Mijn punt is dus: zelfs al encrypteert telenet je gegevens niet, als je een firewall hebt is de toegang tot je pc nog steeds goed beschermd.

[skynetbbs]

ik geloof idd dat Windows een zeer veilig iets is... ze hebben er ook hoge certificatie voor gehaald...
op voorwaarde dat het OS niet in verbinding met internet stond (geen dialup, geen draad, geen wifi, geen 3G dongle, ...

[MadCompie]

kan je eigenlijk wel inloggen op die nieuwe FN routers?
volgende lukt in elk geval niet: ftp, http, ssh, telnet, ... naar 192.168.0.1
begrijp je, het is voor iedereen 192.168.0.1, ik vraag mij of de notoire hackers
eenvoudigweg kunnen inloggen op ons netwerk (of vb. ontevreden ex-techniekers van TN)?

[Ambroos]

Iets doen aan de nieuwe modems is enkel mogelijk via Mijn Telenet, je kan op geen enkele manier gewoon via 192.168.0.1 iets doen.

[MadCompie]

Iets doen aan de nieuwe modems is enkel mogelijk via Mijn Telenet, je kan op geen enkele manier gewoon via 192.168.0.1 iets doen.

Ja natuurlijk niet rechtstreeks ik bedoel vb. een putty (ssh) sessie openen naar een poort op het wan adres 178.x.x.x van het toestel, de techniekers doen dat toch ook?
Vroeger, bij die cisco routers van belgacom kon je er zelfs in via een seriële link (!).

[Ambroos]

Ik denk niet dat de techniekers rechtstreeks aan de modem kunnen eerlijk gezegd...

[ubremoved_15739]

De technici kunnen rechtstreeks de modem uitlezen.
Zelf gezien toen ik een probleem had (slechte connectie aan de tap buiten) en ik over de schouder van de Infrax technicus mocht meekijken.

[Ambroos]

Bepaalde dingen maar, en ik denk alleen maar via een rechtstreekse verbinding met de modem, niet via internet.

[MadCompie]

Het zal oftewel draadloos zijn oftewel via TN (GPRS verbinding) want mijn toestel hing vrijwel onmiddellijk in de garage en de technieker was met zijn netbookske niet verbonden met mijn netwerk. Achteraf bekeken vermoed ik dat het via GPRS was.

[Ambroos]

Da's ook gewoon via Telenet met GPRS...

[Petervanakelyen]

Maken ze geen gebruik van SNMP om de instellingen naar je modem te pushen? De instellingen van Mijn Telenet zijn volgens mij gebonden aan het mac-address van de modem.

[philippe_d]

De technieker heeft een 3G modemkaartje in zijn laptop (ik vemoed Proximus), waarmee hij overal on-line is.
Eens de modem/router geïnstalleerd gaat hij wireless (wireless-N) op jouw modem (via WPS is hij bijna onmiddelijk verbonden), en doet de rest van de registraties (en verbinding testen).

[Ambroos]

Bij mij gingen ze toch echt niet via WPS op mijn modem hoor, die gast ging gewoon via z'n 3G (netwerk van Mobistar dacht ik) naar de dinges van Telenet, en testte mijn modem gewoon met een ethernetkabel!

[SamuelDebruyn]

Bij mij checkte het de verbinding via wi-fi. 100% zeker.

[MadCompie]

In elk geval, ik blijf mijn eigen routertje gebruiken om het thuisnetwerk te scheiden van het verkregen Telenet netwerk.
Wat ik dan wel jammer vind is dat die ingebouwde LAN poorten van de TN modem/router niet meer gebruikt kunnen worden, behalve dan een UTP die met de Digicorder verbonden is. Ik kan die 2 netwerken nl. niet zo maar koppelen.