Palomuurin portit ja DNS

  • 4 January 2019
  • 9 kommenttia
  • 208 katselukertaa

Mistä saan tarkastettua palomuurin portit ja tarvittaessa muuttaa niitä? Entä mistä voi muuttaa DNS:n? Laite on Technicolor TG799TSvac Xtream.


9 kommenttia

Käyttäjätaso 4
Kunniamerkki +10

Laitteen takana pitäisi lukea hallintapaneelin osoite ja tarvittavat salasanat. Usein tämä on http://192.168.1.1 ja sieltä pitäisi löytyä palomuuri ja port forwarding. DNS-osoitteita ei kovin usein pysty muuttamaan operaattoreilta saaduissa laitteissa, vaan ne käyttävät automaattisesti operaattorin DNS:ää.

Käyttäjätaso 3
Kunniamerkki +14

Jos reititin ei salli DNS-palvelimen muuttelua niin halutun DNS-palvelun voi määritellä myös laitekohtaisesti, reititin ei oletusarvoisesti estä käyttämästä jotain muuta DNS-palvelua kuin reitittimen omaa (joka forwardoi operaattorin DNS:lle).

Tuolta palomuurista en näe onko mitä portteja auki. Palomuuria en myöskään saa pois päältä, mutta laitoin sen niin alhaiseksi, kuin meni. Pitäisi siis saada portit 80, 443 ja 52 tai 53 auki, mutta port forwardingissä se herjaa Destination IP:stä, kun en tiedä mitä siihen laittaa. Se ei myöskään anna tuolla eikä Local Networkissä vaihttaa DNS:ää 8.8.8.8 (Google). Yritän siis saada robotti-imuria wlaniin, mutta ei vaan mene ja nämä ovat tyyliin enää viimeiset vaihtoehdot mitä kokeilla.

Käyttäjätaso 4
Kunniamerkki +10

@Katrixxx@  kirjoitti:

Tuolta palomuurista en näe onko mitä portteja auki. Palomuuria en myöskään saa pois päältä, mutta laitoin sen niin alhaiseksi, kuin meni. Pitäisi siis saada portit 80, 443 ja 52 tai 53 auki, mutta port forwardingissä se herjaa Destination IP:stä, kun en tiedä mitä siihen laittaa. Se ei myöskään anna tuolla eikä Local Networkissä vaihttaa DNS:ää 8.8.8.8 (Google). Yritän siis saada robotti-imuria wlaniin, mutta ei vaan mene ja nämä ovat tyyliin enää viimeiset vaihtoehdot mitä kokeilla.


Siis robotti-imuriin pitää ottaa etäyhteys jostain toiselta koneelta netin yli? Jos tosiaan näin, niin destination IP pitää olla robotti-imurin IP, jonka se saa tuolta reitittimeltä taikka kiinteä samassa verkossa oleva IP, joka on määritelty robottiin. DNS-osoitetta et voi tästä reitittimestä muuttaa, sekin pitäisi määrittää suoraan imuriin. Mikä imurin merkki ja malli? Oudolta kuulostaa.

Kännyköille on sellainen sovellus jolla se imuri pitäisi yhdistää nettiin ja sillä sovelluksella saa esim. virheilmoitukset, hallittua laitetta ja ajaa päivitykset ym. Robotilla ei ole IP:tä (tai en tiedä mistä sen saa) eikä se näy muuta kuin yhdistysvaiheessa mukamas jonain wlan-laitteena puhelimen wlan-verkoissa. Robotti on resetoitu useita kymmeniä kertoja ja kokeiltu yhdistää verkkoon ja kokeiltu myös sitä, että tein kännykästäni hotspotin, mutta ei mene. Verkko on 2.4GHz niinkuin pitääkin ja olen ollut yhteydessä Neatoon mutta heillä ei ollut enää muuta neuvoa, kuin nuo portit ja DNS kun muilla keinoilla ei sitä verkkoon olla saatu. Robotti on Neato Botvac D5 Connected.

Sain nyt toisen kännykän käyttöön josta tein hotspotin ja liitin oman kännykän jaettuun verkkoon ja siihen verkkoon sain liitettyä imurin joten imurissa ei ainakaan ole vikaa. Eli noissa wlanin asetuksissa on joku juttu mikä estää robottia menemästä siihen verkkoon.

Käyttäjätaso 3
Kunniamerkki +14

@Katrixxx@  kirjoitti:

Tuolta palomuurista en näe onko mitä portteja auki. Palomuuria en myöskään saa pois päältä, mutta laitoin sen niin alhaiseksi, kuin meni. Pitäisi siis saada portit 80, 443 ja 52 tai 53 auki, mutta port forwardingissä se herjaa Destination IP:stä, kun en tiedä mitä siihen laittaa.


Tietoturvamielessä en avaisi kyseisiä potteja lainkaan pelkän robotti-imurin takia! Etenkin 80 ja 443 muodostavat ison tietoturvariskin, jos niistä lasketaan liikennettä sisäänpäin jollekin sellaiselle laitteelle, jota et voi hallita täysin root-oikeuksin itse. Hakkerit ympäri maailmaa skannaavat näitä portteja jatkuvasti ja löytäessään avoimen alkaa sinne välittömästi jumalaton pommitus. Robotti-imurin firmwaressa voi olla haavoittuvuuksia, joiden avulla joku täysin vieras voi saada siihen root-oikeudet ja valjastaa laitteen osaksi bottiverkkoa yms. Koko ajan käynnissä oleva skannaus etsii juuri näitä haavoittuvuuksia. Ja vaikka juuri nyt haavoittuvuutta ei olisikaan, voi uudenlainen haavoittuvuus löytyä koska tahansa ja skannaus alkaa heti. Siksi tuolla tavoin ohjattua liikennettä tulisi valvoa jatkuvasti ja tämä valvonta edellyttää että kohdelaitteeseen on täydet root-oikeudet.

 

Teknisesti on myös erittäin kyseenalaista, MIKSI joku robotti-imuri edes tarvitsee näitä portteja auki. Laitteen firmwaren päivitys tai muu etäohjaus ei oikein tehtynä vaadi tällaisia porttiohjauksia.

 

Jos kuitenkin päätät ottaa riskin, niin port forwanding kohdassa destination IP on sen laitteen IP, jonne avatun portin liikenne ohjataan. Kyseisellä laitteella tulee olla kiinteä IP-osoite, koska mutoin se saattaa vaihtua joka kerta kun reititin uudelleenkäynnistetään ja avaamasi portit voivat päätyä täysin väärän laitteeseen (jälleen tietoturvariski). Kiinteä IP tehdään DHCP-palvelimen "map" toiminnolla, jolla tietty MAC-osoite linkitetään haluttuun IP-osoitteeseen. Valittujen osoitteiden tulee olla "DHCP-poolin" ulkopuolisia eli sellaisia, joita ei automaattisesti jaeta millekään laitteelle. Monessa reitittimessä oletus DHCP-pooli alkaa osoitteesta 192.168.1.100 ylöspäin, jolloin kiinteästi mapatut kannattaa olla esimerkiski tästä alempia osoitteita.

Kiitos tosi paljon avusta! 🙂 Pitää vähän miettiä, että viittiikö tuota imuria sitten laittaa verkkoon. Harmi vaan, kun siinä on lähes kaikki toiminnot vain siinä sovelluksessa. Päivitin kyllä imurin heti, kun sain laitettua sen kännykän kautta nettiin, mutta sekään ei auttanut. Jokin tuossa purkissa edelleen estää imuria ottamasta yhteyttä verkkoon joten veikkaan, että tuo porttien avaaminen on ainut vaihtoehto. Harmi.

Käyttäjätaso 4
Kunniamerkki +10

@Katrixxx@  kirjoitti:

Kiitos tosi paljon avusta! 🙂 Pitää vähän miettiä, että viittiikö tuota imuria sitten laittaa verkkoon. Harmi vaan, kun siinä on lähes kaikki toiminnot vain siinä sovelluksessa. Päivitin kyllä imurin heti, kun sain laitettua sen kännykän kautta nettiin, mutta sekään ei auttanut. Jokin tuossa purkissa edelleen estää imuria ottamasta yhteyttä verkkoon joten veikkaan, että tuo porttien avaaminen on ainut vaihtoehto. Harmi.


Uskoisin kuitenkin, ettei portteja tarvitse avata. Oma veikkaukseni on, että imurin pitää ottaa internetiin yhteys. Porttien avaaminen taas sallii sen, että internetistä voi ottaa imuriin yhteyden ilman imurin aloitetta.

 

Voi olla, että imuri tukee esimerkiksi ainoastaan 20Mhz wifi-kaistaa ja modeemi luo 40Mhz verkon tai jotain muuta vastaavaa.

Vastaa