[DGN3500,WAG320n,DGN2200] Modfs: modifiche firmware su USB

[mentapiperita74]

Quote:

Originariamente inviato da suunto69

ciao ho comprato un dgn2200 e vorrei provare a installare MODFS, vorrei sapere
la chiavetta di quanti giga?
con questa modifica è possibile spostare la porta 21 su altra porta?
grazie

per la chiavetta basta anche 1Gb, per l'altra domanda non sono pratico...

[Parnas72]

Quote:

Originariamente inviato da suunto69

con questa modifica è possibile spostare la porta 21 su altra porta?

Spiegati meglio, non mi è chiaro cosa vuoi fare.

[giaccaz]

salve....volevo sapere se qualcuno e riuscito a utilizzare un hd in usb da utilizzare time machine
premetto ho il modfs e funziona egregiamente in tutte le sue parti che a me interessano.
l'hd lo vedo in rete ma time machine niente...consigli?
devo mettere l'hd in ethernet?
devo prendermi per forza un nas?

[suunto69]

spostare la porta 21 intendo
se io ho la porta 21 impegnata su un determinato ip, usando programma ftp posso utilizzare la porta 21 su un altro ip?
su di alcuni router ce la possibilita di spostare la 21 su altra porta per poter utilizare ip diversi

qualcuno mi puo spiegare come installare wifi_settings-0.3.build180.tar

[user1977]

Ciao cari, da un bel pò che non scrivo....
Scusate secondo voi perchè una volta disattivata lo schedule del wifi,continua a spegnere il wifi all'1 di notte come prima avevo impostato ?
Ho anche riavviato il router.
Posso fare altri controlli per vedere se il settaggio non rimane attivo o magari forzarlo da riga di comando.

Grazie e buon anno a tutti

[lorevan]

Quote:

Originariamente inviato da giaccaz

salve....volevo sapere se qualcuno e riuscito a utilizzare un hd in usb da utilizzare time machine
premetto ho il modfs e funziona egregiamente in tutte le sue parti che a me interessano.
l'hd lo vedo in rete ma time machine niente...consigli?
devo mettere l'hd in ethernet?
devo prendermi per forza un nas?

Ciao Intanto grazie ai geni che riescono a creare tali software,ma ricollegandomi al quote appena effettuato vorrei sollevare anch'io il prb dell minidlna,ho piu pc la mod montata,minidlna attivato ma tutti i device ad iniziare dai smartphon android,ad un samsung smart tv e finendo ai pc tutti quanti vedono il minidlna server ma di entrarci dentro proprio non se ne prala.qualcuno ha qualche soluzione?grazie anticipatamente comunque e buone feste

[bruma1]

C'è un buco di sicurezza di modfs di cui mi sono reso conto solo in questi giorni che mi da molto fastidio. D'accordo, a montare questo firmware siamo solo in quattro gatti ma è il concetto che mi disturba.
Penso di non sbagliare dicendo che modfs usa delle credenziali di autenticazione diverse da quelle del router che la ospita. Quindi a un estraneo praticamente basterebbe togliere la mia pendrive, sostituirla con una che monta l'immagine "vergine" di modfs e riavviare il mio router e poi entrare in telnet, dare un "param show password" e quindi accedere a tutte le impostazioni del router tramite interfaccia web classica... scenario poco frequente, ma terribile.

[romeop]

ciao a tutti,
sto provando invano a far funzionare openvpn tramite il pacchetto di modfs con un account StrongVPN (vpn a NY) ma non ci risco proprio, qualcuno è riuscito a farlo funzionare?

[dmann9999]

Quote:

Originariamente inviato da bruma1

C'è un buco di sicurezza di modfs di cui mi sono reso conto solo in questi giorni che mi da molto fastidio. D'accordo, a montare questo firmware siamo solo in quattro gatti ma è il concetto che mi disturba.
Penso di non sbagliare dicendo che modfs usa delle credenziali di autenticazione diverse da quelle del router che la ospita. Quindi a un estraneo praticamente basterebbe togliere la mia pendrive, sostituirla con una che monta l'immagine "vergine" di modfs e riavviare il mio router e poi entrare in telnet, dare un "param show password" e quindi accedere a tutte le impostazioni del router tramite interfaccia web classica... scenario poco frequente, ma terribile.

scenario del solo dgn2200, in quanto col dgn3500 il comando param non esiste.
Comunque tu presupponi che uno sconosciuto che abbia accesso fisico al tuo router, ed abbia l'interesse a rubarti la password.
Questo è uno scenario da grande ditta, ed una grande ditta non utilizza un router come il dgn2200 o il dgn3500 da ambito casalingo o da micro impresa, e modfs è un software hobbystico che ci è stato regalato (inoltre nessuno mai dona nulla sulla pagina sourceforge del progetto) per permetterci di avere funzioni in più dal nostro router, le falle di sicurezza (trascurabili e remote) ci stanno.

[mortimer_99]

Quote:

Originariamente inviato da mortimer_99

Ciao a tutti, volevo sapere se è possibile configurare una VPN direttamente dal router DGN3500 attraverso modsf.
Attualmente ho il fw V1.1.00.28

Qualche news?

[gnommo]

Quote:

Originariamente inviato da bruma1

C'è un buco di sicurezza di modfs di cui mi sono reso conto solo in questi giorni che mi da molto fastidio. D'accordo, a montare questo firmware siamo solo in quattro gatti ma è il concetto che mi disturba.
Penso di non sbagliare dicendo che modfs usa delle credenziali di autenticazione diverse da quelle del router che la ospita. Quindi a un estraneo praticamente basterebbe togliere la mia pendrive, sostituirla con una che monta l'immagine "vergine" di modfs e riavviare il mio router e poi entrare in telnet, dare un "param show password" e quindi accedere a tutte le impostazioni del router tramite interfaccia web classica... scenario poco frequente, ma terribile.

E secondo te se uno ha l'accesso fisico al tuo pc non può fare altrettanto?

Comunque, è possibile inserire una procedura di associazione ad un bin di modfs:
-Alla prima esecuzione di modfs viene chiesta di inserire una password che viene inserita nel bin di modfs e nel firmware proprio
-Ai seguenti avvii il firmware prima di avviare modfs controlla che la password che ha salvata sia presente nel bin di modfs altrimenti non lo avvia.

Facendo così l'associazione potrà essere tolta solo resettando il router, ma resettando anche tutti i dati sensibili verranno cancellati e quindi non ci potrà essere nessun furto di password e credenziali.
Ovviamente per non resettare ogni volta prima di aggiornare modfs, potrebbe essere possibile inserire la disabilitazione dell'associazione attraverso un menu della copia legittima di modfs.

Sul dgn3500 una modifica del genere è immediata non bisogna aggiornare il firmware, sul dgn2200 invece bisogna modificare il firmware per poter aggiornare la procedura di boot.


Così lo scenario è più rassicurante?
Fatemi sapere.

[gnommo]

Quote:

Originariamente inviato da dmann9999

scenario del solo dgn2200, in quanto col dgn3500 il comando param non esiste.

Beh lo stesso accedendo via telnet è possibile sapere la password di admin, la password wifi, l'accesso ad internet, sono tutti in chiaro contenuti in dei file.

[gnommo]

Quote:

Originariamente inviato da mortimer_99

Qualche news?

Dal .30 in poi è possibile dal firmware proprio.
Per openvpn invece il pacchetto per il dgn3500 è pronto, ma non ho ancora avuto il tempo e l'opportunità di testarlo.
Anzi se qualcuno di buona volontà volesse modificare il pacchetto openvpn in modo che sia possibile caricare file di configurazione e chiavi mi farebbe un favore. Al momento openvpn prevede solo una modalità di funzionamento e non quello con le chiavi asimmetriche che è più diffuso (ad esempio negli android).

[Parnas72]

Quote:

Originariamente inviato da bruma1

Quindi a un estraneo praticamente basterebbe togliere la mia pendrive, sostituirla con una che monta l'immagine "vergine" di modfs e riavviare il mio router e poi entrare in telnet, dare un "param show password" e quindi accedere a tutte le impostazioni del router tramite interfaccia web classica... scenario poco frequente, ma terribile.

Ti rendo noto che con il firmware originale Netgear chiunque in LAN può aprire il telnet mediante TelnetEnable, e quindi entrare sul router senza alcuna password. Se un estraneo ti è entrato sulla LAN (o addirittura fisicamente in casa) sei fottuto a prescindere, la sicurezza consisterebbe nel tenercelo fuori.

PS: il mio notebook aziendale ha l'hard-disk criptato mediante un layer crittografico di basso livello, per cui un eventuale ladro non riuscirebbe a trafugare alcuna informazione pur avendo accesso fisico al disco... ma ovviamente le esigenze di sicurezza in ambito aziendale sono diverse rispetto ad un router domestico.

[bruma1]

Non mi pare di essere stato scortese.
Per quanto mi è stato detto prima del tuo intervento, devo ribadire che so bene che si tratta di un software sviluppato e manutenuto per pura passione e generosità da te e poche altre persone ben più capaci di me. Ho già ringraziato in passato e se aiuta, posso farlo a ogni mio nuovo messaggio.
Ho voluto condividere una mia personale preoccupazione (se preferite, "sega mentale", sono disposto ad accettare di vederla così) legata a uno scenario che ho già dichiarato essere piuttosto specifico (ma comunque domestico e non professionale, immaginando che un ragazzo in casa o qualche suo amico un po' troppo intraprendente metta mano alle mie impostazioni), e proprio pubblicando la mia riflessione ho valutato implicitamente meritevole di attenzione ogni risposta, anche critica, che mi fosse stata data. Anzi. Mi pare che segnalare un possibile problema sia una cosa che si tralascia di fare solo quando il software è considerato non degno di essere usato.

Quote:

Originariamente inviato da gnommo

Comunque, è possibile inserire una procedura di associazione ad un bin di modfs:
-Alla prima esecuzione di modfs viene chiesta di inserire una password che viene inserita nel bin di modfs e nel firmware proprio
-Ai seguenti avvii il firmware prima di avviare modfs controlla che la password che ha salvata sia presente nel bin di modfs altrimenti non lo avvia.

Facendo così l'associazione potrà essere tolta solo resettando il router, ma resettando anche tutti i dati sensibili verranno cancellati e quindi non ci potrà essere nessun furto di password e credenziali.
Ovviamente per non resettare ogni volta prima di aggiornare modfs, potrebbe essere possibile inserire la disabilitazione dell'associazione attraverso un menu della copia legittima di modfs.

Sul dgn3500 una modifica del genere è immediata non bisogna aggiornare il firmware, sul dgn2200 invece bisogna modificare il firmware per poter aggiornare la procedura di boot.


Così lo scenario è più rassicurante?
Fatemi sapere.

Per me va benissimo. Mi pare che questo comporti una nuova versione del firmware "originale", cosa che però non penso di essere capace di fare da solo. Oggi sarei in grado di scrivere lo script che hai descritto da solo, ma non mi sento autonomo di fronte alla eventuale necessità di una ricompilazione. Se c'è una guida da seguire, o anche se c'è da metterci mano personalmente, aiutato da qualcuno, mi dichiaro volontario. Se invece, senza rendermene conto, sto chiedendo troppo, chiedo scusa e ringrazio comunque per l'attenzione.

P.S.: e invece bloccare la porta 8081 (salvo espressa autorizzazione da dare via telnet)?

[bruma1]

Quote:

Originariamente inviato da Parnas72

Ti rendo noto che con il firmware originale Netgear chiunque in LAN può aprire il telnet mediante TelnetEnable, e quindi entrare sul router senza alcuna password.

Già, hai ragione. Quindi il buco di sicurezza è a monte.

[Parnas72]

Quote:

Originariamente inviato da bruma1

Non mi pare di essere stato scortese.

Nemmeno a me pare di essere stato scortese, ho messo anche la faccina sorridente
Semplicemente questo tipo di prodotto non è pensato per essere blindato verso la LAN, lo puoi capire già dal fatto che entrando in telnet vedi tutte le informazioni scritte in chiaro, password comprese. Essendo Modfs costruito come appendice del firmware originale, è chiaro che non ha senso preoccuparsi di blindarlo quando le fondamenta sottostanti non lo sono

Ripeto, se tu togli la chiavetta, rebooti il router ed apri il telnet con TelnetEnable, puoi entrare senza che ti venga chiesta alcuna password.
Quindi la modifica suggerita da Gnommo IMHO non offre un reale incremento di sicurezza. E' solo la mia opinione, ovviamente.

[gnommo]

Quote:

Originariamente inviato da Parnas72

Quindi la modifica suggerita da Gnommo IMHO non offre un reale incremento di sicurezza. E' solo la mia opinione, ovviamente.

Però io ragionavo sempre in ottica dgn3500 naturalmente, lì non c'è telnetenable,
ma per abilitare telnet si procede tramite una url a cui comunque bisogna dare admin e password per poterla eseguire, lo stesso vale per gli script eseguiti da usb, bisogna dare user e password.
Sul dgn3500 in effetti forse dovrei inserire qualcosa, perchè inserendo una nuova penna modfs si ha subito un telnet con permessi di root e senza password
Per il dgn2200 al massimo si può modificare il firmware in modo da disabilitare telnet enable e magari inserire la procedura come nel dgn3500 leggermente più sicura.
Anche se credo che poi anche sul firmware del dgn3500 ci saranno buchi per entrare, una volta trovata la falla poi la partizione jff2 da 3MB permette di inserire interi software da far girare sul router a piacimento
Comunque mi pare che il dgn2200v3 invece sia molto più simile al dgn3500 come struttura del firmware.

[igianni84]

Raga mi dite come bloccare tutto su un ip? C'è mio fratello che con il portatile scarica sempre e mi rallenta la connessione... siccome io gioco con la PS3 online, questo è un problema abbastanza grave...

Voglio bloccargli TUTTO (mirc, emule, etc...) consentendogli SOLO la navigazione...

Cosa dovrei fare?

[mortimer_99]

Quote:

Originariamente inviato da gnommo

Dal .30 in poi è possibile dal firmware proprio.
Per openvpn invece il pacchetto per il dgn3500 è pronto, ma non ho ancora avuto il tempo e l'opportunità di testarlo.
Anzi se qualcuno di buona volontà volesse modificare il pacchetto openvpn in modo che sia possibile caricare file di configurazione e chiavi mi farebbe un favore. Al momento openvpn prevede solo una modalità di funzionamento e non quello con le chiavi asimmetriche che è più diffuso (ad esempio negli android).

Grazie gnommo!