web-dev-qa-db-fra.com

Comment se protéger contre les flackfoors dans les routeurs?

Récemment, j'ai commencé à chercher un routeur sans fil. Avant d'envisager des produits spécifiques, j'ai examiné des informations générales sur différentes marques offrant de tels routeurs. À ma consternation, j'ai appris que la grande majorité des fabricants de routeurs dispose d'une histoire de backdoors découverts dans leurs produits.

Sur la base de ces nouvelles connaissances, il me semble que l'évitant les routeurs avec des backdans ne peut pas vraiment être réalisable et au lieu de choisir un routeur avec précaution, je dois faire face à la possibilité que je finisse par avoir un produit avec des portefeuilles. . La question devient alors, comment peut-on atténuer les risques associés aux backdoors potentiels qui se cachent dans des équipements de routeur?

Ce ne sont pas des agences gouvernementales que je suis inquiète, mais les pirates sur les pirates exploitant des vulnérabilités de sécurité trouvées dans le matériel de mise en réseau, comme dans cette récente question . Et un porte-backdoor est essentiellement une vulnérabilité de sécurité intentionnelle mendiant d'être trouvée et exploitée par une personne, et en raison de sa nature intentionnelle, que les fabricants de routeurs seraient réticents à réparer.

4
Zoltan

La plupart des backdoors de routeurs dont je suis au courant ont été fixés assez rapidement. Croyez-le ou non, les fabricants de routeurs ne mettent généralement généralement pas le "porte d'arrière" à cet effet - du moins pas au niveau organisationnel. Presque certainement, ils sont soit placés là-bas comme un outil de débogage et destinés à être retirés avant la production, ou y sont placés par un employé voyou. (Quel avantage est là à un fabricant pour avoir une porte d'arrière-plan? S'ils veulent faire quelque chose, ils peuvent le faire via des mises à jour du microprogramme. En outre, votre réseau n'est tout simplement pas intéressant pour eux.)

Je ne sais pas si la "vaste majorité" est une description précise soit, mais je n'aurai pas chicaner la sémantique. Vous avez demandé comment vous protéger vous-même et voici quelques options:

  1. Avoir votre appareil le plus périmétrique (c'est-à-dire le premier hop d'Internet à votre réseau local) être réputé. Considérez une passerelle de sécurité unifi ou un Netgate SG-1000 au périmètre. Ces deux entreprises vendent aux entreprises, mais aussi des produits de prix pouvant être raisonnables pour l'utilisateur de la puissance à la maison. Ils ont une réputation de maintenir et que la réputation est actuellement assez bonne.
  2. Considérez un routeur qui vous permet d'exécuter OpenWrt ou DD-WRT. Ces codesbases, bien que pas à l'abri des vulnérabilités, sont au moins ouvertes et réduisent le risque de backdoors qui y sont placés.
  3. N'exposez pas l'interface Web sur Internet. Backdoor ou non, c'est là qu'une énorme proportion des bugs est. Utilisez une analyse NMAP à partir d'Internet pour voir quelle exposition vous avez.
  4. Utilisez un sous-réseau non par défaut et modifiez le port de l'interface Web. Je sais, je sais, la sécurité par obscurité, mais elle aidait en fait pour les exploits à l'aide de la rectification DNS ou des techniques similaires. (Ceci est seulement utile contre l'exploitation automatisée, ne vous attendez pas à ce qu'elle soit utile contre un attaquant manuel.)
  5. Ne faites jamais confiance au réseau. Même si vous avez de fortes contrôles de sécurité, pratiquez la défense en profondeur. Utilisez TLS et ne cliquez pas sur les erreurs de certificat. De cette façon, même si votre routeur est apparu, il ne devient qu'un refus de service au lieu d'un compromis plus significatif.
7
David

La première décision n'est pas utilisée d'un routeur fourni par un fournisseur de services Internet car ils sont susceptibles de construire dans une porte arrière pour eux-mêmes.

En ce qui concerne les routeurs de consommation, tous les services clouds pour le routeur admin sont des portes de dos, à mon avis. Certains routeurs nécessitent un service en nuage, certains ont un service optionnel, rares rares ne supporte aucun service en nuage. Les routeurs d'amplifi mesh n'ont pas de service en nuage. PEplink a un service en nuage en option. Presque tous les routeurs de mailles nécessitent un service de cloud.

En ce qui concerne l'accès à distance directement dans le routeur, je pense que tous les routeurs désactivent cela par défaut.

Pour un routeur sécurisé, je ressemble personnellement au surf Soho de Pepwave. Aux États-Unis, c'est environ 200 $. Voici pourquoi https://www.routersecurity.org/pepwavesurfsofo.php

3
Michael

Vous devez généralement choisir, soit faire confiance à un fournisseur ou construire quelque chose de fron que vous pouvez vérifier. Cela signifie également que si vous avez la compétence, la connaissance et le temps de le faire, vous devrez faire confiance à des tiers à un moment donné.

Si vous souhaitez trouver des marques/vendeurs de confiance, vous pouvez rechercher des mises à jour opportunes, les mises à jour via la durée de vie de l'appareil et la manière dont le fournisseur communiquait des défauts, des bogues, des problèmes de sécurité et de la manière dont il a été résolu. La plupart des grandes marques de consommation échouent complètement à tout ce qui précède, principalement en raison de la nature "Vendre-et-oublie" de leur entreprise et leurs dépendances sur les fabricants de Whitelabel qui fournissent souvent du matériel et des logiciels, et peuvent être la seule partie Capable des mises à jour d'ingénierie.

Si vous faites confiance à un fournisseur pour que le logiciel sûr ne soit pas une option, des projets tels que OpenWrt, DDWRT et LEDE sont des éléments à consulter pour les points d'accès sans fil (et intégré dans des routeurs si vous en avez besoin - mais je vous suggérerais de diviser cela depuis non L'emplacement unique est optimal pour les deux tâches). Le routage peut être fait avec quelque chose comme pfsense.

1
John Keates