Hardware Upgrade Forum - View Single Post

}SpIdEr{ · 24-08-2006, 23:06

Ciao a tutti,

sono un possessore del Netgear DG834GT ed anche sul mio router risultano aperte le porte in questione.

Ho deciso di indagare ed ho scoperto che non è un bug ma una scelta (sicuramente MOLTO discutibile) che la Netgear ha fatto consapevolmente.

Come molti di voi sapranno il router in oggetto si basa sul SO BusyBox e usa come firewall iptables. Accedendo alla console di debug ho scoperto che iptables ha una Chain di nome "REAIM_IN" con le seguenti regole:

Chain REAIM_IN (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpts:1863:1864
ACCEPT tcp -- anywhere anywhere tcp dpt:5566
ACCEPT tcp -- anywhere anywhere tcp dpt:5190
ACCEPT tcp -- anywhere anywhere tcp dpt:4443
ACCEPT tcp -- anywhere anywhere tcp dpts:40000:40099

ACCEPT tcp -- anywhere anywhere tcp dpt:1864
ACCEPT tcp -- anywhere anywhere tcp dpt:5566
ACCEPT tcp -- anywhere anywhere tcp dpt:5190
ACCEPT tcp -- anywhere anywhere tcp dpt:4443
ACCEPT udp -- anywhere anywhere udp dpts:40000:41000

Accetta le connessioni proprio nelle porte in oggetto!

A questo punto mi sono chiesto cosa potesse significare "REAIM" e, dopo una breve ricerca, ho trovato questo: http://reaim.sourceforge.net/. Guardate questo servizio che tipo di configurazione del firewall necessita: http://reaim.sourceforge.net/setup.html

A questo punto ho fatto una verifica finale... ho cercato tra i vari processi attivi sul Netgear quello relativo al "proxy" reaim e guardate cosa ho trovato:
# ps
PID Uid VmSize Stat Command
1 root 252 S init
2 root SWN [ksoftirqd/0]
3 root SW< [events/0]
4 root SW< [khelper]
5 root SW< [kblockd/0]
17 root SW [pdflush]
18 root SW [pdflush]
19 root SW [kswapd0]
20 root SW< [aio/0]
26 root SW [mtdblockd]
104 root 244 S /sbin/klogd
117 root 244 S /usr/sbin/udhcpd /etc/udhcpd.conf
119 root 264 S /usr/sbin/netgear_ntp -z GMT-1
123 root 256 S /usr/sbin/mini_httpd -d /www -r NETGEAR DG834GT -c *
132 root 300 S /sbin/syslogd -f /etc/syslog.conf
133 root 244 S /usr/sbin/crond
135 root 168 S /usr/sbin/scfgmgr
149 root 184 S /usr/sbin/cmd_agent_ap
150 root 168 S /usr/sbin/pb_ap
163 root 252 S init
187 root 256 S /usr/sbin/br2684ctl -c 0 -e 0 -a 0.8.35 -b
199 root 516 S /usr/sbin/pppd plugin pppoe nas0 user aliceadsl passw
245 root 648 S /usr/sbin/upnpd
256 root 648 S /usr/sbin/upnpd
257 root 648 S /usr/sbin/upnpd
259 root 648 S /usr/sbin/upnpd
261 root 648 S /usr/sbin/upnpd
262 root 648 S /usr/sbin/upnpd
6165 root 220 R /usr/sbin/utelnetd -d
6167 root 400 S /bin/sh
6841 root 224 S /usr/sbin/reaim
6976 root 268 R ps
#

ebbene si, è proprio lui!

Quindi quelli della Netgear sapevano benissimo quello che facevano ma la scelta di lasciare quelle porte aperte senza avvertire gli utenti è sicuramente un comportamento scorretto e pericoloso. Inoltre stando csoì le cose, la regola di default del firewall che fa il drop di tutti i pacchetti in ingresso è falsa e fuorviante.

Ciao! ;-)

24-08-2006, 23:06	#130
}SpIdEr{ Junior Member Iscritto dal: Aug 2006 Città: L'Aquila Messaggi: 5	Ciao a tutti, sono un possessore del Netgear DG834GT ed anche sul mio router risultano aperte le porte in questione. Ho deciso di indagare ed ho scoperto che non è un bug ma una scelta (sicuramente MOLTO discutibile) che la Netgear ha fatto consapevolmente. Come molti di voi sapranno il router in oggetto si basa sul SO BusyBox e usa come firewall iptables. Accedendo alla console di debug ho scoperto che iptables ha una Chain di nome "REAIM_IN" con le seguenti regole: Chain REAIM_IN (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpts:1863:1864 ACCEPT tcp -- anywhere anywhere tcp dpt:5566 ACCEPT tcp -- anywhere anywhere tcp dpt:5190 ACCEPT tcp -- anywhere anywhere tcp dpt:4443 ACCEPT tcp -- anywhere anywhere tcp dpts:40000:40099 ACCEPT tcp -- anywhere anywhere tcp dpt:1864 ACCEPT tcp -- anywhere anywhere tcp dpt:5566 ACCEPT tcp -- anywhere anywhere tcp dpt:5190 ACCEPT tcp -- anywhere anywhere tcp dpt:4443 ACCEPT udp -- anywhere anywhere udp dpts:40000:41000 Accetta le connessioni proprio nelle porte in oggetto! A questo punto mi sono chiesto cosa potesse significare "REAIM" e, dopo una breve ricerca, ho trovato questo: http://reaim.sourceforge.net/. Guardate questo servizio che tipo di configurazione del firewall necessita: http://reaim.sourceforge.net/setup.html A questo punto ho fatto una verifica finale... ho cercato tra i vari processi attivi sul Netgear quello relativo al "proxy" reaim e guardate cosa ho trovato: # ps PID Uid VmSize Stat Command 1 root 252 S init 2 root SWN [ksoftirqd/0] 3 root SW< [events/0] 4 root SW< [khelper] 5 root SW< [kblockd/0] 17 root SW [pdflush] 18 root SW [pdflush] 19 root SW [kswapd0] 20 root SW< [aio/0] 26 root SW [mtdblockd] 104 root 244 S /sbin/klogd 117 root 244 S /usr/sbin/udhcpd /etc/udhcpd.conf 119 root 264 S /usr/sbin/netgear_ntp -z GMT-1 123 root 256 S /usr/sbin/mini_httpd -d /www -r NETGEAR DG834GT -c * 132 root 300 S /sbin/syslogd -f /etc/syslog.conf 133 root 244 S /usr/sbin/crond 135 root 168 S /usr/sbin/scfgmgr 149 root 184 S /usr/sbin/cmd_agent_ap 150 root 168 S /usr/sbin/pb_ap 163 root 252 S init 187 root 256 S /usr/sbin/br2684ctl -c 0 -e 0 -a 0.8.35 -b 199 root 516 S /usr/sbin/pppd plugin pppoe nas0 user aliceadsl passw 245 root 648 S /usr/sbin/upnpd 256 root 648 S /usr/sbin/upnpd 257 root 648 S /usr/sbin/upnpd 259 root 648 S /usr/sbin/upnpd 261 root 648 S /usr/sbin/upnpd 262 root 648 S /usr/sbin/upnpd 6165 root 220 R /usr/sbin/utelnetd -d 6167 root 400 S /bin/sh 6841 root 224 S /usr/sbin/reaim 6976 root 268 R ps # ebbene si, è proprio lui! Quindi quelli della Netgear sapevano benissimo quello che facevano ma la scelta di lasciare quelle porte aperte senza avvertire gli utenti è sicuramente un comportamento scorretto e pericoloso. Inoltre stando csoì le cose, la regola di default del firewall che fa il drop di tutti i pacchetti in ingresso è falsa e fuorviante. Ciao! ;-) Ultima modifica di FreeMan : 24-08-2006 alle 23:33. Motivo: correzione URL