---

Jeg har for nylig hjulpet min faster med at få internetforbindelse via
Fullrate med Fullrates trådløse router.

Abonnementet virker aldeles fortræffeligt, men jeg undrer mig noget over
Fullrates konfiguration af routeren:

* Den leveres prækonfigureret med et aldeles åbent trådløst netværk.

* Routeren kan administreres vha. et af Fullrate tildelt password på 8
tegn. Det password får man leveret pr. (ikke-krypteret) e-post. Det er
sådan set ok i sig selv, men:

* Routeren er ved leveringen sat op så man kan administrere den også
udefra - hvor som helst fra. Hvem som helst der kan finde eller gætte
det 8-tegns password eller (nok mere realistisk) kan udnytte en
sikkerhedsfejl i den implementation af http, https, ftp, telnet eller
snmp (og måske var der endnu flere protokoller åbne - det husker jeg
ikke) som Zyxel bruger, kan ændre routerens konfiguration.

Det ødelagde for mig i nogen grad den ellers positive oplevelse at
forbindelsen uden videre virkede som den skulle på den korrekte dato.

Jeg troede naivt at de tider hvor udbydere og routerfabrikanter lokkede
deres kunder til at have åbne trådløse netværk og i det hele taget
generelt tog let på sikkerheden, var ovre nu. Er det virkelig stadig
normen når en udbyder leverer en trådløs router?

I hvert fald må det varmt anbefales andre Fullratekunder at huske at få
konfigureret WPA-kryptering på den trådløse forbindelse og at få lukket
for fjernadministration.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

On Sun, 04 May 2008 22:19:16 +0200, Jesper Dybdal
<jdunetnospam@u10.dybdal.dk> wrote:

> * Den leveres prækonfigureret med et aldeles åbent trådløst netværk.

Det må vel være udtryk for, at Fullrate synes, det er helt i orden, at
man deler sin Internet-forbindelse med hele nabolaget.

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

> * Routeren er ved leveringen sat op så man kan administrere den også
> udefra - hvor som helst fra. Hvem som helst der kan finde eller gætte
> det 8-tegns password eller (nok mere realistisk) kan udnytte en
> sikkerhedsfejl i den implementation af http, https, ftp, telnet eller
> snmp (og måske var der endnu flere protokoller åbne - det husker jeg
> ikke) som Zyxel bruger, kan ændre routerens konfiguration.
>
Sikker på det? Så vidt jeg husker tillader firewallen med standard
opsætningen ikke udefrakommende trafik på de porte..
Men det er muligt at jeg tager fejl, og det er muligt at det er anderledes
for de nye routere, jeg har nemlig en af de gamle Zyxel routere.
- JL

---

"JL" <drlorenzo@hotmail.com> wrote:

>
>> * Routeren er ved leveringen sat op så man kan administrere den også
>> udefra - hvor som helst fra. Hvem som helst der kan finde eller gætte
>> det 8-tegns password eller (nok mere realistisk) kan udnytte en
>> sikkerhedsfejl i den implementation af http, https, ftp, telnet eller
>> snmp (og måske var der endnu flere protokoller åbne - det husker jeg
>> ikke) som Zyxel bruger, kan ændre routerens konfiguration.
>>
>Sikker på det? Så vidt jeg husker tillader firewallen med standard
>opsætningen ikke udefrakommende trafik på de porte..

Ja, det er jeg sikker på. Jeg sad nemlig herhjemme på min TDC-ADSL og
konfigurerede den til ikke længere at tillade mig at gøre det.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:
> * Routeren kan administreres vha. et af Fullrate tildelt password på 8
> tegn. Det password får man leveret pr. (ikke-krypteret) e-post. Det er
> sådan set ok i sig selv, men:

Hvordan skulle de lever en service der er nem for deres kunder, hvis de
bruger krypteret mail? Det er ret besværligt for den almindelige bruger
at opsætte.

> * Routeren er ved leveringen sat op så man kan administrere den også
> udefra - hvor som helst fra. Hvem som helst der kan finde eller gætte

Det er vidst meget normalt, sådan er min router fra Cybercity også
opsat, både web og telnet er åbent udefra. (Med et password på 10 tegn)
Det gør det nemt for udbyderen at fjernadministrere routeren i support
situationer. Passwordet kan dog altid ændres, lige som adgangen kan lukkes.

For hr. og fru. Jensen, er det en god service at udbyderen har mulighed
for at tilgå deres router således at de altid kan få hjælp til opsætning
når den driller.

- Chano Andersen

---

"Chano Andersen" <usenet@chanoandersen.dk> skrev i meddelelsen
news:481e3234$0$310$157c6196@dreader1.cybercity.dk...
>
> Det er vidst meget normalt, sådan er min router fra Cybercity også opsat,
> både web og telnet er åbent udefra. (Med et password på 10 tegn) Det gør
> det nemt for udbyderen at fjernadministrere routeren i support
> situationer. Passwordet kan dog altid ændres, lige som adgangen kan
> lukkes.
>
> For hr. og fru. Jensen, er det en god service at udbyderen har mulighed
> for at tilgå deres router således at de altid kan få hjælp til opsætning
> når den driller.

Hvis jeg forstår Jesper korrekt, så er der åbent for de nævnte services for
*alle*, ikke bare for enkelte host fra udbyderens maskinpark, sådan at det
kun var dem (support) der i en support situation kan tilgå enheden.
De fleste routere kan lave filtrering på IP-adresse niveau, hvilket er hvad
udbyderen i det mindste burde have konfigureret på udstyret.

Jeg kan godt forstå at Jesper undrer sig.

Jens

---

"Jens" <jens.joensson@_FJERNDETTE_gmail.com> wrote:

>"Chano Andersen" <usenet@chanoandersen.dk> skrev i meddelelsen
>news:481e3234$0$310$157c6196@dreader1.cybercity.dk...
>>
>> For hr. og fru. Jensen, er det en god service at udbyderen har mulighed
>> for at tilgå deres router således at de altid kan få hjælp til opsætning
>> når den driller.
>
>Hvis jeg forstår Jesper korrekt, så er der åbent for de nævnte services for
>*alle*, ikke bare for enkelte host fra udbyderens maskinpark, sådan at det
>kun var dem (support) der i en support situation kan tilgå enheden.

Præcis. Der var i hvert fald åbent for min egen TDC-ADSL-IP-adresse.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jens wrote:
> Hvis jeg forstår Jesper korrekt, så er der åbent for de nævnte services
> for *alle*, ikke bare for enkelte host fra udbyderens maskinpark, sådan
> at det kun var dem (support) der i en support situation kan tilgå enheden.

Det er meget muligt, men det forhindre effektivt udbyderen i at omlægge
sit interne netværk i supportafdelingen, da den eller de hosts der
bruges her, skal kunne tilgå routerene ude hos kunderne.

Så i stedet for at skulle kunne scripte en ændring af samtlige kunders
udstyr, har man valgt ikke at blokere på IP.

Hvis man ændre default porten, og bruger et fornuftigt password, så
burde det dog heller ikke skabe nogen form for problemer med
automatiserede løsninger til at finde og udnytte den slags udstyr.

Der er her tale om at træffe et valg mellem at gøre løsningen 100%
vandtæt, eller gøre det nemt at yde support til kunder der har
vanskeligt ved at pille rundt i opsætningen selv. Dog har fullrate meget
begrænset support, men hos andre udbydere giver det fint mening at der
er åbent, også at der er åbent for hele verden (Den Zyxel kasse jeg har,
kan ikke umiddelbart tillade adgang fra andet end en enkelt IP, hvilket
ikke er optimalt i support sammenhæng.)

- Chano Andersen

---

Chano Andersen wrote:
> Jens wrote:
>> Hvis jeg forstår Jesper korrekt, så er der åbent for de nævnte
>> services for *alle*, ikke bare for enkelte host fra udbyderens
>> maskinpark, sådan at det kun var dem (support) der i en support
>> situation kan tilgå enheden.
>
> Det er meget muligt, men det forhindre effektivt udbyderen i at omlægge
> sit interne netværk i supportafdelingen, da den eller de hosts der
> bruges her, skal kunne tilgå routerene ude hos kunderne.
>

Vrøvl. NAT løser det problem.

/Martin

---

Martin M. S. Pedersen wrote:
>> Det er meget muligt, men det forhindre effektivt udbyderen i at
>> omlægge sit interne netværk i supportafdelingen, da den eller de hosts
>> der bruges her, skal kunne tilgå routerene ude hos kunderne.
>>
>
> Vrøvl. NAT løser det problem.

Ikke hvis man har behov for at ændre WAN IP'en på den enhed der håndtere
NAT for det netværks segment. Og det kan sagtens ske, hvorefter det
kræver en pæn del arbejde at omkonfigurere 100.000 routere, også selvom
man scripter det, da det for det første skal gøres fra den tilladte IP,
for det andet skal gøres mens routerene er online.

Altså en masse unødigt besvær, så længe de tildelte adgangskoder er
fornuftige.

- Chano Andersen.

---

Jesper Dybdal wrote:

> * Den leveres prækonfigureret med et aldeles åbent trådløst netværk.
>

Er du *helt* sikker på det ? Da jeg fik min, var WIFI deaktiveret, og
jeg skulle selv aktivere dette. WPA osv, skulle vælges i samme skærmbillede.

Mere præcist skulle der sættes hak i "Activate Wireless Lan", og
nedenfor skulle jeg så vælge "Security Mode"

/mikkel

--
"The only source of knowledge is experience"

Albert Einstein

---

"Mikkel U." <mikkelu@gmail.com> wrote:

>Jesper Dybdal wrote:
>
>> * Den leveres prækonfigureret med et aldeles åbent trådløst netværk.
>
>Er du *helt* sikker på det ? Da jeg fik min, var WIFI deaktiveret, og
>jeg skulle selv aktivere dette. WPA osv, skulle vælges i samme skærmbillede.

Jeg er nok ca. 99,9% sikker. Dels mener jeg at der stod helt klart i
vejledningen at det trådløse net leveres ubeskyttet og at man selv kan
beskytte det; dels husker jeg ikke at jeg skulle have gjort noget for at
aktivere det - i så fald ville min undren over det ubeskyttede net jo
nok være gået over på det tidspunkt.

Men jeg må indrømme at jeg ikke ligefrem har haft (eller forsøgt at få)
en trådløs forbindelse til den før jeg havde sat WPA op.

Fullrates tekst på
https://www.fullrate.dk/support/traadloest_udstyr_wpa.php :

>Opsætning af WPA sikkerhed
>
>Det anbefales at du udskriver WPA vejledningerne inden du ændrer dine
>indstillinger. Når du først har ændret din konfiguration og du har
>mistet din forbindelse fra din computer til udstyret, vil du ikke
>længere kunne tilgå internettet trådløst.
>
>Hvis dette skulle ske kan du altid nulstille dit udstyr, samt fjerne
>de indstillinger du har haft sat på din computer og begynde forfra
>igen.

antyder også stærkt at de mener man kan konfigurere sikkerheden via en
eksisterende trådløs forbindelse, som jo så åbenbart ikke er beskyttet
fra begyndelsen.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).