Веб-морда роутера D-LINK DIR-620 по HTTPS

1

1

Уважаемые сисадмины.
Прокомментируйте, пожалуйста этот ответ от саппорта D-Link'а.
И посоветуйте - какие роутеры наиболее надёжны с точки зрения безопасности удалённого доступа и возможности смены software-прошивки.

--- Вопрос 1

Кому: support@dlink.ru
Тема: Веб-морда роутера D-LINK DIR-620 по HTTPS

Здравствуйте.

Можно ли управлять роутером D-LINK DIR-620 через веб-морду по HTTPS,
либо по какому-либо другому шифрованному каналу связи? Например, в локалке,
с целью исключения перехвата паролей и настроек программами-снифферами.
Вопрос чисто практический.

Александр Лубягин

--- Ответ 1

От кого: support@dlink.ru

Доброе утро!

Управление по шифрованным каналам не поддерживается.

--- Вопрос 2

Кому: support@dlink.ru

Добрый день.
Каким тогда образом уберечься от снифферов в локалке, когда
устанавливаешь ESSID и ключ (Encryption Key PSK) для WPA2-PSK через HTTP?

Александр Лубягин

--- Ответ 2

От кого: support@dlink.ru

Отключите роутер от сети,установите пароль на вход, зашифруйте сеть
WiFi,
подключите к локальной сети.

--- Завершение беседы

Кому: support@dlink.ru

Спасибо. Для меня это не проблема - отсоединить роутер от всех других
компьютеров, и поработать с ним в режиме Off-Line.

Но я надеюсь, что в будущих прошивках D-LINK'а что-то изменится.

На тот случай, когда с promiscuous mode реально придётся столкнуться на практике.

Ссылка

←	SoftAP скорость

Машрут по умолчанию через l2tp на Openwrt

→

А отверстие через которое можно ходить в вэб-морду без пароля уже законопатили? HNAP пароли больше не отдает? И как вы себе представляете реализовать https для вэб-морды, так чтобы действительно нельзя было прослушать трафик? Сертификаты в любом случае будут самоподписанные и MITM вполне сможет все подслушать.
На досуге, от скуки ковыряю свой dir300. Сначала было интересно. Потом нашлись дырочки в dns, dhcp и web. С другой стороны, это SOHO - там особой безопасности не требуется. Чтобы влезть в сий девайс с улицы надо очень сильно постараться.

naszar ★
(04.01.14 16:09:58 MSK)

В домашнем роутере https не нужен. Хотим https платим другие денешки.

hizel ★★★★★
(04.01.14 16:16:39 MSK)

D-Link
https

/0. У них безопасность стоит на самом последнем месте.

~~StReLoK~~ ☆☆
(04.01.14 16:41:09 MSK)
Последнее исправление: StReLoK 04.01.14 16:42:08 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от hizel 04.01.14 16:16:39 MSK

А ребята из OpenWRT и не слышали про «не нужен».

pekmop1024 ★★★★★
(04.01.14 20:39:20 MSK)

Ответ на: комментарий от naszar 04.01.14 16:09:58 MSK

HNAP пароли больше не отдает
... самоподписанные и MITM вполне сможет все подслушать.

Спасибо, надо почитать.

Чтобы влезть в сий девайс с улицы надо очень сильно постараться.

То есть, девайс при нужной квалификации по-любому ломается из локалки, а по wi-fi при нормальном SSID+Key практически нереально?

NeProfessor
(04.01.14 21:33:06 MSK) автор топика

Ответ на: комментарий от pekmop1024 04.01.14 20:39:20 MSK

Когда начнут продавать и суппортить свое железо возвращайтесь.

anonymous
(04.01.14 21:35:45 MSK)

Ответ на: комментарий от anonymous 04.01.14 21:35:45 MSK

Такой саппорт, как у говнороутеров, вообще не нужен.
Оставьте гарантию и голый роутер с юбутом с веб-рекавери.

pekmop1024 ★★★★★
(04.01.14 21:43:01 MSK)

Ответ на: комментарий от pekmop1024 04.01.14 21:43:01 MSK

«Успешного» бизнесмена производителя видно издалека.

anonymous
(04.01.14 21:47:40 MSK)

Ссылка

Ответ на: комментарий от NeProfessor 04.01.14 21:33:06 MSK

а по wi-fi при нормальном SSID+Key практически нереально?

Вы главное, Wi-Fi Protected Setup отключите. Скрывать SSID, как и пользовать фильтр по макам большого смысла нет, но и вреда от этого не будет. wpa2, ключик подлиннее и спите спокойно. Еще рекомендуют мощность выставлять не больше чем нужно и отрубать поддержку стандартов которыми не пользуетесь (т.е. если у вас все устройства работают в n, то выключайте g mixed(g/n/b) - ненужно).

практически нереально

Ваше устройство школьник скорее всего не сможет сломать. Это как с дверью в квартиру. Если профессионал не сможет открыть ее быстрее чем за пять минут (примерно, не помню точно время) - она безопасна и соответствует стандартам.

naszar ★
(05.01.14 06:13:17 MSK)

Ответ на: комментарий от pekmop1024 04.01.14 20:39:20 MSK

А ребята из OpenWRT и не слышали про «не нужен».

И что, действительно там траффик никак не подслушаешь? Не подскажите какова там политика относительно сертификата? Зашит в прошивку, генерируется при первом обращении, каждый раз новый или что-то еще?

naszar ★
(05.01.14 06:23:41 MSK)