[Thread ufficiale] amod - firmware modificato per DGND4000, DGN3500, DGN2200V3/V4

[Robermix]

Sì, hai ragione, niente di essenziale ma quando si ha bisogno di tali informazioni avere un'unica pagina che le riassume tutte è molto più accessibile e funzionale rispetto ad andare a cercare le informazioni sui singoli dispositivi uno ad uno, sempre dando per scontato che siano PC e telefoni/tablet.

Ripeto, niente di essenziale e imprescindibile.

Comunque mi è venuto in mente che Tomato mostra le info di connessione anche per i dispositivi cablati, ma si perde per strada uno zero finale.
I dispositivi 1000M me li segnava come 100M, e quest'ultimi come 10M.

Quindi non so quanto siano affidabili le informazioni sui dispositivi wireless.

[Robermix]

Quote:

Originariamente inviato da alfonsor

vorrei spendere due parole sullo upnp

a me l'upnp piace, perché rende possibile a chi non ha nessuna conoscienza di come funziona un router di usare programmi che necessitano di accettare connessioni senza stare a chiamare l'assistenza del router, il negozio che glielo ha venduto, l'omino che gli ruba le trenta euro solo per aprire una porta

ma è probabilmente una delle peggiori cose mai fatte dentro un router; non solo perché il protocollo si è dimostrato fatto male e pieno di bachi, ma perché permette ad un qualsiasi programma melovolo che gira su un host di una rete che dipende da un router con upnp in funzione di aprirsi le porte che vuole

rende la vita facilissima ai possessori di router ed ugualmente rende felici i cattivi

consigliare di usare l'upnp invece che aprirsi le porte a mano è un pessimo consiglio

"aprire" le porte, che sta per "fare il forward di una porta" che sta per "nattare una porta" in un router è un'operazione facilissima e se l'autore dell'interfaccia grafica del router non lo rende facile va insultato

quindi, se potete, non usate lo upnp perché è rivolto a chi non sa aprire una porta, è una di quelle cose automatiche, come le cassaforti delle camere di albergo che si aprono con tutti zeri come combinazione, non so se ho reso l'idea

Riguardo questo argomento vorrei aprire un punto di riflessione.

Quel che dici è indubbiamente corretto, l'UPnP come sicurezza è alquanto allarmante.

Mi chiedo, perchè non hanno pensato di implementare una "White List", ma soprattutto, non è possibile implementarla adesso ?

Basterebbe una logica in più. Tutte le porte presenti nella UPnP Portmap Table dovrebbero essere ricontrollate, e solo quelle che sono presenti anche nella "White List" dovrebbero esser effettivamente aperte.

Le altre porte che figurano nella UPnP Portmap Table ma non nella "White List" sarebbero teoricamente aperte dall'UPnP ma forzatamente richiuse in quanto appunto non presenti nella "White List".

Sarebbe fattibile questa implementazione ?


A questa domanda forse il primo pensiero è "Ma perchè questa perdita di tempo ? C'è Port Forwarding ! "

Ed è anche legittimo chiederselo, però c'è una caratteristica del Port Forwarding che proprio non mi piace e che invece l'UPnP non presenta: le porte forwardate sono sempre e perennemente aperte. (con l'UPnP è impostabile un timeout)

Ho notato dai log del router che infatti non appena forwardo una porta mi ritrovo degli accessi da parte di alcuni IP sconosciuti verso proprio medesima porta, ma il fatto è che nessun programma in nessun PC della rete locale fa uso di quella porta!

Apro la porta 11789 verso lP 192.168.0.25 ? Magari quest'ultimo neanche viene assegnato, quindi non c'è alcuna applicazione in esecuzione che usa la porta 11789, però dai log del router sono presenti degli eventi di accettazione forward di IP che non conosco e che si connettono al mio IP pubblico con la 11789.

Che cosa siano non lo so di preciso. Bot che scansionano un range di IP pubblici prefissati con tutte le porte possibili finché non ne trovano una aperta ? Boh.

Sta di fatto che nel log del router sono pieno anche di [DoS attack: ACK Scan]


A questo punto allora potrebbe intervenire il Port Triggering in quanto come sua caratteristica apre le porte solo al momento del loro effettivo utilizzo.

Tuttavia per far funzionare questo meccanismo mi pare di aver capito che ci sia bisogno di una porta Trigger (innesco), cioè vengono aperte delle porte in ingresso (un range o singola porta) solo quando viene rilevata richiesta in uscita tramite una determinata porta Trigger.

Cioè quando un qualsiasi IP della LAN fa uso in uscita della porta Trigger innesca automaticamente la regola di apertura delle determinate porte impostate.


Quindi questo funziona quando si conosce la porta in uscita che un'applicazione usa, ma non in tutte le situazioni questo è possibile, o magari non è detto che nel funzionamento del programma sia sempre la stessa.

Ed ecco quindi che in questi casi per aprire le porte temporaneamente, solo all'effettivo utilizzo, l'unica soluzione è l'UPnP. (se l'applicazione lo supporta)

[alfonsor]

queste cose non si fanno perché non interessano a nessuno al mondo

questi meccanismi sono fatti per router di ragazzini che giocano 24/24 oppure si signore di una certa età che non hanno la minima idea - giustamente intendo eh, mica c'è critica in questo - di cosa sia una porta

è per loro che si inventano questi meccanismi; qualsiasi altro ambito mica si mette a giocare con le porte in questa maniera

allora, devono essere banalmente semplici: apri automaticamente una porta quando lo chiedo e via

i router casalinghi sono bucabili da gente con un minimo di esperienza di acheraggio in forse 30-40 secondi, non mi chiedere come perché non ho alcuna esperienza in riguardo; per cui, il problema upnp è l'ultimo dei problemi

ma certamente non è da usare se uno sa aprire una porta

aprire una porta è sempre meglio che usare upnp

il tuo concetto di white list è simpatico, ma va contro le premesse: l'utente deve sapere quali porte - che di solito sono scelte casualmente nota bene - saranno usate da un programma e metterle in white list

ovvero, per ogni programma che gira su un host della lan, bisognerebbe sapere che porte userà e metterle in white list

ora, se tu consideri una casa di studenti con 8 computer su ciascuno dei quali girano molti programmi che useranno upnp stai fresco a creare la white list, è un lavoro da amministratori di rete, ovvero lo opposto esatto dello spirito di upnp (per ignoranti)

ho scritto il post dopo aver notato che con una specie di risponditore automatico ovunque a chiunque chiedesse come si apre una porta, veniva risposto "usa upnp"

io replicherei "ma usalo tu!"

senza contare che mica tutti i programmi che vogliono ricevere una connessione usano upnp, lo usano in pochissimi, e se voglio aprire un web server per mostrare ai parenti foto delle vacanze, mica posso usare upnp

mannò la risposta è in prima pagina "usa upnp"

secondo me non hanno i router di cui parlano

e upnp ho notato che diventa sempre più grande

sul 3500 miniupnpd è grande un centinaio di k, sul 2200V4 è grande 3-400 K!

per me, lasciare girare una cosa così grande su un router fin dal boot non ha mai senso

certo, openvpn e transmission sono più grandi, ma in quel caso è l'utente che sceglie per esigenze sue di farli partire

invece upnp parte che l'utente manco lo sa

così, in un ambito ristrettissimo un programma gira e si frega mega di memoria come niente fosse

poi dice "ho il ping alto mo regalo 3 euro al mese a telecom" ...

[alfonsor]

per quanto riguarda il bug di dropbear che crascia, sono riuscito a replicarlo

sui nostri router /etc/passwd o non esiste proprio e/o viene creato/modificato da samba

samba si attiva solo quando una periferica usb di memorizzazione è connessa al router

quindi se uno non ha niente connesso alla usb, /etc/passwd può non esistere o essere in uno stato generico non utile a praticamente niente

infatti, quando porto un programma, devo sempre controllare che non acceda a /usr/passwd per ricavare nomi utenti e password, perché semplicemente potrebbero non esistere, e devo modificarlo perché acceda invece a nvram, cioé si prenda il nome dello admin e la sua password, creando una falsa struttura password contenente quei dati

questo è fatto in dropbear, che però dopo aver iniziato la connessione accede ancora a /etc/passwd per fare il log

in quel punto non trova l'utente admin, se samba non lo ha aggiunto a /etc/passwd

dropbear esce con errore; uscendo con errore da quel punto crascia

cioé, il crasch è "colpa sua" non mia :P ogni tanto accade

ho scritto nella ml di dropbear in riguardo

ovviamente ho modificato la cosa perché anche in quel punto che mi era sfuggito acceda a nvram e non a /etc/passwd ed ora funziona

dal canto mio devo ricordarmi per l'ennesima volta di staccare la chiavetta usb quando provo programmi che fanno un login

[Robermix]

Quote:

Originariamente inviato da alfonsor

queste cose non si fanno perché non interessano a nessuno al mondo

questi meccanismi sono fatti per router di ragazzini che giocano 24/24 oppure si signore di una certa età che non hanno la minima idea - giustamente intendo eh, mica c'è critica in questo - di cosa sia una porta

è per loro che si inventano questi meccanismi; qualsiasi altro ambito mica si mette a giocare con le porte in questa maniera

allora, devono essere banalmente semplici: apri automaticamente una porta quando lo chiedo e via

i router casalinghi sono bucabili da gente con un minimo di esperienza di acheraggio in forse 30-40 secondi, non mi chiedere come perché non ho alcuna esperienza in riguardo; per cui, il problema upnp è l'ultimo dei problemi

ma certamente non è da usare se uno sa aprire una porta

aprire una porta è sempre meglio che usare upnp

il tuo concetto di white list è simpatico, ma va contro le premesse: l'utente deve sapere quali porte - che di solito sono scelte casualmente nota bene - saranno usate da un programma e metterle in white list

ovvero, per ogni programma che gira su un host della lan, bisognerebbe sapere che porte userà e metterle in white list

ora, se tu consideri una casa di studenti con 8 computer su ciascuno dei quali girano molti programmi che useranno upnp stai fresco a creare la white list, è un lavoro da amministratori di rete, ovvero lo opposto esatto dello spirito di upnp (per ignoranti)

ho scritto il post dopo aver notato che con una specie di risponditore automatico ovunque a chiunque chiedesse come si apre una porta, veniva risposto "usa upnp"

io replicherei "ma usalo tu!"

senza contare che mica tutti i programmi che vogliono ricevere una connessione usano upnp, lo usano in pochissimi, e se voglio aprire un web server per mostrare ai parenti foto delle vacanze, mica posso usare upnp

mannò la risposta è in prima pagina "usa upnp"

secondo me non hanno i router di cui parlano

e upnp ho notato che diventa sempre più grande

sul 3500 miniupnpd è grande un centinaio di k, sul 2200V4 è grande 3-400 K!

per me, lasciare girare una cosa così grande su un router fin dal boot non ha mai senso

certo, openvpn e transmission sono più grandi, ma in quel caso è l'utente che sceglie per esigenze sue di farli partire

invece upnp parte che l'utente manco lo sa

così, in un ambito ristrettissimo un programma gira e si frega mega di memoria come niente fosse

poi dice "ho il ping alto mo regalo 3 euro al mese a telecom" ...

Per il funzionamento della White List davo per scontato, come tutte le liste restrittive come anche quella degli accessi Wireless, che inizialmente fosse disattivata.

Sarebbe usata solo dagli utenti che hanno un minimo di praticità.

Per il discorso di sapere a priori quali porte usano le varie applicazioni, non ce ne sarebbe bisogno, le porte sarebbero già tutte elencate bella UPnP Portmap table.

Poi tramite appositi programmi o Task Manager si vede sui singoli computer quali sono i singoli programmi che usano una determinata porta, e quindi poi si decide la White List.

È chiaro che tutto questo discorso è per utenti con un minimo di iniziativa e praticità.

Questo perché il forward di una porta la lascia sempre aperta e anche questo come sicurezza non è proprio bello.

Come tu stesso dici l'hacking di questi router dovrebbe essere una passeggiata e quando si è una mira così specifica c'è poco da fare, comunque non vedo perché lasciare che bot da chissà quale provenienza siano autorizzati (dal forward) ad accedere alla rete locale.

Con UPnP con White List ben impostata questo non potrebbe accadere.

[alfonsor]

non sto capendo

transmission-daemon sceglie una porta a caso e via upnp chiede al router di aprirgliela

se la porta fosse fissa o prevedibile da finire in una white-list di porte ammesse, che differenze ci sarebbe tra forwardarla su uno host e essere presente in lista?

da punto di vista esterno, una porta forwardata non serve a nulla se non c'è un programma che accetta connessioni sullo host da provare a bombardare; ma nel momento che la apri via upnp, diventa appunto aperta e quindi è disponibile per tentativi di fare saltare il programma

dal punto di vista della lan, un programma cattivo non ha accesso né alle porte forwardate né alle porte nella white list del router (cioé non dovrebbe avere accesso ad entrambe), perché mica può entrare nel router

se può entrare nel router perché si è messo ad ascoltare la lan ed ha beccato la password telnet o sshd o web per il router, allora fa quello che gli pare, indipendentemente da che meccanismo usi

[alfonsor]

online c'è un nuovo amod sia per il 3500 che per il 2200v4 che risolve la faccenda dropbear

in particolare quello per il 3500 ha nella pagina adsladv la possibilità di scegliere il modulo ifx ppe

non servirà a nessuno, ma mi devo togliere questa curiosità che mi frulla nella testa, ma il 3500 funziona mica con la vdsl?

sicuramente no, ma qualcuno con la vdsl, mi farebbe il piacere provarlo? basta che seleziona in adsl advanced ifx ptm salva fa un reboot e vede se va online, tutto qua

[Robermix]

Quote:

Originariamente inviato da alfonsor

non sto capendo

transmission-daemon sceglie una porta a caso e via upnp chiede al router di aprirgliela

se la porta fosse fissa o prevedibile da finire in una white-list di porte ammesse, che differenze ci sarebbe tra forwardarla su uno host e essere presente in lista?

da punto di vista esterno, una porta forwardata non serve a nulla se non c'è un programma che accetta connessioni sullo host da provare a bombardare; ma nel momento che la apri via upnp, diventa appunto aperta e quindi è disponibile per tentativi di fare saltare il programma

La differenza tra forwardare una porta su uno host e essere presente in WhiteList è che il forward manuale è perenne mentre quello impostato tramite UPnP+WhiteList è a richiesta dell'applicazione e ha un timeout.

Per me questo faceva differenza perchè quello che ho evidenziato in grassetto nella tua risposta non lo sapevo.

Pensavo che una volta che una porta fosse forwardata, anche se non ci fosse nessun host in ascolto, comunque poteva creare dei problemi di sicurezza.

Comunque transmission-daemon, come tante altre applicazioni simili, può essere impostato su una specifica porta e non su una casuale, altrimenti sarebbe impossibile fare il forward.

E tutto questo spunto di riflessione è nato proprio da questo. Ho scelto una porta per transmission-daemon e ho creato la regola nel router per forwardarla.
Anche se bloccavo transmission-daemon, o scollegavo proprio l'host sul quale era in esecuzione, sul log del router mi trovavo un sacco di voci su eventi di corretto forward della suddetta porta e pensavo che ciò non fosse proprio molto sicuro.

Ma se in realtà se non c'è nessun host in ascolto allora sì, non fa differenza fra il forward o UPnP+WhiteList.

Anche se forse una piccola piccola. Transmission-daemon è sempre in esecuzione e mettiamo sia impostato su una porta fissa.
Con il forward apro perennemente tale porta e tutto il traffico viene riendirizzato sull'host in cui transmission-daemon è in funzione.

Pure se transmission-daemon non sta scaricando niente, il forward della porta rimane e eventuale accessi da IP sconosciuti tramite tale porta sarebero riendirizzati a transmission-daemon che rimane in ascolto.

Quello che poi accade di preciso non lo so.

Con l'UPnP invece ho notato che questo non succede. Se transmission-daemon non sta scaricando niente non aggiorna il timeout della regola, che quindi scade.

Quindi posso tenere sempre transmission-daemon in esecuzione e le porte vengono aperte solo quando scarica.



PS: Preciso un'altra volta che tutto questo ragionamento è solamente mia curiosità al riguardo nel capire come funzionano i meccanismi di cui stiamo parlando, tutto qui.
Grazie per i chiarimenti.

[alfonsor]

la faccenda se offuscare l'uso di una porta è vecchia come il cucco

in generale è sempre meglio nascondere che porte si usano per servizi

ma, e qui mi tocca fare il citazionista del piffero, security by obscurity è la peggiore idea del mondo

se pensi di essere sicuro perché io non so che porti usi per sshd stai fresco

la sicurezza sta altrove

detto questo il problema è che il protocollo upnp fa acqua da tutte le parti è la cosa meno sicura che gira sul tuo router, è una cosa da evitare con tutte le forze se si sa come aprire una porta

i bug scoperti via via nello upnp sono da mettersi le mani ai capelli che pensi che lo abbia creato direttamente la nsa

se hai un volentoroso in casa che si mette a creare la white list (btw un programma usa porte random, altri cento usano sempre la stessa) allora il volenteroso una volta a settimana può combiare host per host le porte dei programmi

[al1971]

scusate forse l'errore, sono nuovo e poco pratico di forum.
ho bisogno di aiuto.
ho acquistato una internet key vodafone 4g k5006-z pensando di utilizzarla con il mio DGN 2200 "N300" che credo sia il "v4"
purtroppo mi dice periferica sconosciuta.
potete aiutarmi?
grazie

[alfonsor]

forse hai il 2200M ?

è il solo che permette di usare internet key

non lo conosco e non posso aiutarti

dovresti provare a chiedere nel thread del DGN2200V1

[wizard1993]

salve, dopo varie peripezie mi sono messo a giocare nuovamente con il mio dgn2200v3, continuando a riscontrare lo stesso problema che avevo incontrato tempo fa, ossia il brutale seg fault di dropbear.
allego un immagine, un po' più esplicativa del problema
http://postimg.org/image/944yiy64n/

Che mi invento?

[alfonsor]

ti inventi che se leggi post sopra troverai un'ampia spiegazione in riguardo e se installi l'ultimo firmware rilasciato è risolto

[wizard1993]

Quote:

Originariamente inviato da alfonsor

ti inventi che se leggi post sopra troverai un'ampia spiegazione in riguardo e se installi l'ultimo firmware rilasciato è risolto

grazie infinite

[al1971]

Quote:

Originariamente inviato da alfonsor

forse hai il 2200M ?

è il solo che permette di usare internet key

non lo conosco e non posso aiutarti

dovresti provare a chiedere nel thread del DGN2200V1

esatto . ho visto ora nell'etichetta ho il 2200M.
ma quindi il mio è il "V1"?

[lordofthestrings]

Ciao Alfonso,
Torno qui dopo un annetto poiché ho scoperto che amod ha avuto un aggiornamento (17) ed ora un altro (18). Ho provato a guardare tra le ultime pagine del thread ma non ne ho trovato menzione quindi te lo chiedo ora (sperando che non sia già venuto fuori...). Ho fatto l'aggiornamento alla 17 e noto un problema (credo) con dlna; ogni volta che aggiungo un file (ad es. via samba dal pc) sull'hd esterno non noto l'aggiornamento automatico del DB e i vari renderer dlna non vedono i files aggiunti. Ho notato che ora é un po' diverso (nell'interfaccia web) ed ha un'opzione di aggiornamento automatico, l'ho flaggata ma non é cambiato niente... Forse mi é sfuggito qualcosa? Grazie 1000.

[alfonsor]

hai ragione su tutte e tre le versione di amod nell'ultimo aggiornamento di minidlna che è stato abbastanza corposo, visto che c'è la versione ultima di ffmpeg e la versione git di minidlna, ho semplicemente dimenticato di attivare inotify; quindi devi avere pazienza ed attendere una nuova release

[alfonsor]

Quote:

Originariamente inviato da al1971

esatto . ho visto ora nell'etichetta ho il 2200M.
ma quindi il mio è il "V1"?

si il 2200M è praticamente un V1 con la possibilità di usare le internet key USB; mi dispiace ma non ho mai posseduto quel router e non ne so nulla

[lordofthestrings]

Quote:

Originariamente inviato da alfonsor

hai ragione su tutte e tre le versione di amod nell'ultimo aggiornamento di minidlna che è stato abbastanza corposo, visto che c'è la versione ultima di ffmpeg e la versione git di minidlna, ho semplicemente dimenticato di attivare inotify; quindi devi avere pazienza ed attendere una nuova release

Nessun problema, ci mancherebbe, tutto il tempo che ti serve, spero di aver contribuito col mio feedback anche per qualcun altro. Devo ammettere che il server dlna e transmission (molto meno) sono i due motivi per cui uso amod, quindi buona parte di amod, quella da smanettoni, è sprecata per un utente medio un po' smanettone come me ... nel frattempo sto provando per curiosità il firmware ufficiale 1.1.00.24.
Ancora grazie infinite per il lavoro che fai

[labodj]

Quote:

Originariamente inviato da alfonsor

in particolare quello per il 3500 ha nella pagina adsladv la possibilità di scegliere il modulo ifx ppe

Che differenza c'è tra ppe e tasklet ppe?