LINUX.ORG.RU
решено ФорумAdmin

Веб-морда роутера D-LINK DIR-620 по HTTPS

 ,


1

1

Уважаемые сисадмины.
Прокомментируйте, пожалуйста этот ответ от саппорта D-Link'а.
И посоветуйте - какие роутеры наиболее надёжны с точки зрения безопасности удалённого доступа и возможности смены software-прошивки.

--- Вопрос 1

Кому: support@dlink.ru
Тема: Веб-морда роутера D-LINK DIR-620 по HTTPS

Здравствуйте.

Можно ли управлять роутером D-LINK DIR-620 через веб-морду по HTTPS,
либо по какому-либо другому шифрованному каналу связи? Например, в локалке,
с целью исключения перехвата паролей и настроек программами-снифферами.
Вопрос чисто практический.

Александр Лубягин
--- Ответ 1

От кого: support@dlink.ru

Доброе утро!

Управление по шифрованным каналам не поддерживается.
--- Вопрос 2

Кому: support@dlink.ru

Добрый день.
Каким тогда образом уберечься от снифферов в локалке, когда
устанавливаешь ESSID и ключ (Encryption Key PSK) для WPA2-PSK через HTTP?

Александр Лубягин
--- Ответ 2

От кого: support@dlink.ru

Отключите роутер от сети,установите пароль на вход, зашифруйте сеть
WiFi,
подключите к локальной сети.
--- Завершение беседы

Кому: support@dlink.ru

Спасибо. Для меня это не проблема - отсоединить роутер от всех других
компьютеров, и поработать с ним в режиме Off-Line.

Но я надеюсь, что в будущих прошивках D-LINK'а что-то изменится.

На тот случай, когда с promiscuous mode реально придётся столкнуться на практике.

А отверстие через которое можно ходить в вэб-морду без пароля уже законопатили? HNAP пароли больше не отдает? И как вы себе представляете реализовать https для вэб-морды, так чтобы действительно нельзя было прослушать трафик? Сертификаты в любом случае будут самоподписанные и MITM вполне сможет все подслушать.
На досуге, от скуки ковыряю свой dir300. Сначала было интересно. Потом нашлись дырочки в dns, dhcp и web. С другой стороны, это SOHO - там особой безопасности не требуется. Чтобы влезть в сий девайс с улицы надо очень сильно постараться.

naszar
()

D-Link
https

/0. У них безопасность стоит на самом последнем месте.

StReLoK ☆☆
()
Последнее исправление: StReLoK (всего исправлений: 1)
Ответ на: комментарий от naszar

HNAP пароли больше не отдает
... самоподписанные и MITM вполне сможет все подслушать.

Спасибо, надо почитать.

Чтобы влезть в сий девайс с улицы надо очень сильно постараться.

То есть, девайс при нужной квалификации по-любому ломается из локалки, а по wi-fi при нормальном SSID+Key практически нереально?

NeProfessor
() автор топика
Ответ на: комментарий от anonymous

Такой саппорт, как у говнороутеров, вообще не нужен.
Оставьте гарантию и голый роутер с юбутом с веб-рекавери.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

«Успешного» бизнесмена производителя видно издалека.

anonymous
()
Ответ на: комментарий от NeProfessor

а по wi-fi при нормальном SSID+Key практически нереально?

Вы главное, Wi-Fi Protected Setup отключите. Скрывать SSID, как и пользовать фильтр по макам большого смысла нет, но и вреда от этого не будет. wpa2, ключик подлиннее и спите спокойно. Еще рекомендуют мощность выставлять не больше чем нужно и отрубать поддержку стандартов которыми не пользуетесь (т.е. если у вас все устройства работают в n, то выключайте g mixed(g/n/b) - ненужно).

практически нереально

Ваше устройство школьник скорее всего не сможет сломать. Это как с дверью в квартиру. Если профессионал не сможет открыть ее быстрее чем за пять минут (примерно, не помню точно время) - она безопасна и соответствует стандартам.

naszar
()
Ответ на: комментарий от pekmop1024

А ребята из OpenWRT и не слышали про «не нужен».

И что, действительно там траффик никак не подслушаешь? Не подскажите какова там политика относительно сертификата? Зашит в прошивку, генерируется при первом обращении, каждый раз новый или что-то еще?

naszar
()
Ответ на: комментарий от naszar

Обычная. Генерится, как и ключи, при первой необходимости.

pekmop1024 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin