Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: guest 13. 08. 2017, 22:55:59
-
Zdravim,
je normalne, ze moj novy provider:
* nainstaloval router, za ktory si nechal riadne zaplatit a to i s jeho marzou, zahesloval admin ucet a heslo odmietol poskytnut (do routru vedie net a IPTV) s odvovodnenim, ze tam ma citlive udaje
* blokuje dns query (udp:53) na ine nez jeho dns servery (zaujimave je, ze tcp:53 funguje), aky k tomu moze mat dovod a moze vobec takto postupovat
* ako bonus dnssec im nefunguje
Da sa voci tomu nejako ohradit?
-
Zdravim,
je normalne, ze moj novy provider:
* nainstaloval router, za ktory si nechal riadne zaplatit a to i s jeho marzou, zahesloval admin ucet a heslo odmietol poskytnut (do routru vedie net a IPTV) s odvovodnenim, ze tam ma citlive udaje
* blokuje dns query (udp:53) na ine nez jeho dns servery (zaujimave je, ze tcp:53 funguje), aky k tomu moze mat dovod a moze vobec takto postupovat
* ako bonus dnssec im nefunguje
Da sa voci tomu nejako ohradit?
To stejné, co popisuješ praktikuje rudolf-net.cz Bezpečnost sítě staví na tom, že ti nesdělí heslo k routeru. Bránit se asi budeš těžko, protože BFU, z kterých mají největší příjem, tohle vůbec neřeší.
-
Da sa voci tomu nejako ohradit?
Jistě - výpovědí smlouvy a odchodem.
-
co takhle ten router resetovat do továrního nastavení, nebo ho odpojit a dát tam svůj, nebo něco v tom smyslu? ;D
-
Takže si zaplatil za zařízení a připojení, které nemůžeš naplno využívat. Jak se toto asi řeší? Buď se to vyřeší ke spokojenosti obou stran, aniž by bylo nutné ukončovat smluvní vztah a nebo ne.
Od poskytovatele připojení k internetu chci jedinou věc, tou je připojení k internetu. Nepotřebuju od něj modem, router, antivir ani jiný "ochrany" či tablet za zvýhodněnou cenu. Však takových zařízení a služeb je přece na trhu dostatek. Pokud je zřízení nějaké služby podmíněno zřízením jiné služby nebo nákupem nějakého zboží, hodně bych před podpisem smlouvy váhal.
mmares-trinity: Když ten router resetuje, pravděpodobně přijde o poskytované služby, protože přijde o uloženou konfiguraci a předpokládám, že ji nezná, aby ji mohl nastavit znovu.
-
urcite bych ho neresetoval. Co je to za router? posli link nebo naco z nej opis
-
Dobrý den,
je to nemilá praktika, ale je dost rozšířená. Správně by ISP měl na konec linky osadit svůj vlastní router, a Vám pak nechat absolutní volnost, co si za něj koupíte.
Bohužel, praxe je taková, že "preference spotřebitele" (hrozný termín) žádají nízkou cenu, takže ISP už nezvládají rozpustit v měsíčních nákladech pořádný router za pár tisíc korun, jak tomu bylo ještě před lety. Proto hledají, trochu zoufale, jak z toho ven. A jedním z mála "řešení" je právě to, co popisujete. Nechají, ať si zařízení koupíte, ale nastaví ho podle sebe.
Z hlediska předpisů na tom není nic protiprávního. Zdá se mi, že ISP se k Vám nechová takto jen z plezíru, ale snaží se udržet pod kontrolou síť.
Osobně bych se klonil k tomu, aby ISP zase začali dodávat koncová zařízení sami, a za ně si mohl zákazník pořídit, co by chtěl. Tak bych se klonil k tomu, aby ISP nedělali zoufalci, kteří nejsou schopní ani vyplnit papíry pro RIPE a získat blok IP adres a svoje počínání schovávají za to, že jich mají nedostatek. A na konce bych se přimlouval za to, aby i zákazníci tak nějak tušili, že nejde, aby dostali za 200 Kč měsíčně rozpuštěnou cenu routeru.
Vám nezbývá, než: a) zkusit se s ISP domluvit (nepravděpodobné, nemá na osobní péči rozpočet), b) pořídit jiný typ internetu.
-
Ano, dělají to.
Blokování 53 bude dál než na tvém routru, takže přístup na něj to bohužel nevyřeší, pokud blokuje jeden port patrně narazíš na to že jich bude blokovat a omezovat více. V minulosti bylo i oblíbené blokovat smtp s tím, že jediné to pravé smtp je od ISP.
Můžeš akorát tak pohrozit odchodem.
Nebo dost modemů trpí nějakou zranitelností chvilku googluj a najdeš jak se do admina dostat i bez hesla. A pokud sis modem koupil ani neděláš nic nelegálního.
-
Blokování 53 bude dál než na tvém routru, takže přístup na něj to bohužel nevyřeší, pokud blokuje jeden port patrně narazíš na to že jich bude blokovat a omezovat více. V minulosti bylo i oblíbené blokovat smtp s tím, že jediné to pravé smtp je od ISP.
Blokování udp/53 (dns) i tcp/25 (smtp) má poměrně racionální důvod, protože spousta virů / malwaru / ransomwaru potřebuje k životu právě tyto porty. Malý ISP nemá možnost tyto hrozby v reálném čase detekovat a řídit; jak na kabelovce, tak na DSL má ISP možnost zasáhnout automaticky na dálku a blokovat případě hrozby na modemu. Malí ISP mají u každého zákazníka obyčejné SOHO routery, které se pro takovou automatizaci nedají použít.
ISP pak nezbývá (a nesouhlasím s tím!), než preventivně blokovat, protože je to menší zlo. Menší zlo = 95 % zákazníků si ničeho ani nevšimne.
Tento problém úzce souvisí právě i s nedostatkem IP. Malí ISP "žhaví" provoz přes něco málo routerů, na kterých je NAT a tím pádem rozsáhlý connection tracking. Statefull tracking je výkonově náročný, a přidávat k tomu ještě centrální detekci hrozeb je nad jejich (finanční) možnosti.
Nebo dost modemů trpí nějakou zranitelností chvilku googluj a najdeš jak se do admina dostat i bez hesla. A pokud sis modem koupil ani neděláš nic nelegálního.
Vzhledem k vlastnímu majetku neděláte nic nelegálního. Ale pokud se takto "hacknutým" routerem pokoušíte připojit k síti ISP, je to už protiprávní jednání, mimo ujednání smlouvy. Rozhodně nelze takový postup doporučit. Analogicky, když si platíte HBO / HBO GO, taky nesmíte hacknout přístupový program a televizní program stahovat. A to i přesto, že si jak službu platíte, tak Vám patří hardware. Prosím nešiřte blbosti, když právu nerozumíte ani zbla.
Celkově doporučuju zvážit pro a proti, alternativy a rozhodnout se. Realita je opravdu taková, že malý ISP za dvě, tři stovky nemůže konat jinak. Silou ho nedonutíte, můžete leda jít jinam a tím přispět k vývoji trhu.
-
Bezna prax byva bud si kupis router, a posleme nastavenia, alebo si ho od nas bud kupis za lacnejsie, alebo prenajmes, ale vtedy don nemas pristup. Ina situacia je pri wifi, tak antena (mikrotik, nanostation) byva na 99% zaheslovana poskytovatelom, ale zvykne byt potom v rezime bridge, kde si na druhy koniec mozes pripojit svoj router.
blokovanie dns - ked je ISP mensi, tak predpoklada, ze vacsina jeho zakaznikov netusi ako funguje siet, a staci im, ze funguju stranky. V pripade nakazy, kedy sa snazi podvrhnut dns je to celkom dobra ochrana, nikto si nic nevsimne, a ludia sa nestazuju na nefunkcny internet.
-
...
Osobně bych se klonil k tomu, aby ISP zase začali dodávat koncová zařízení sami, a za ně si mohl zákazník pořídit, co by chtěl. Tak bych se klonil k tomu, aby ISP nedělali zoufalci, kteří nejsou schopní ani vyplnit papíry pro RIPE a získat blok IP adres a svoje počínání schovávají za to, že jich mají nedostatek. A na konce bych se přimlouval za to, aby i zákazníci tak nějak tušili, že nejde, aby dostali za 200 Kč měsíčně rozpuštěnou cenu routeru.
...
U toho RIPE s Tebou nebudu souhlasit, protože abys ten blok IP adres od RIPE dostal, tak musíš být jejich členem. A pokud vím tak vstupní členství na první rok stolí 2000€ a "udržovací" pak 1400€ a to je prostě pro většinu malých lokálních ISP moc, obzvláště jak sám píšeš, s těma koncovýma cenama internetu. S tím že jsou nesmyslně "nízko" v mnoha případech soulasím.
-
jak psali jiní, zkusit se domluvit nebo jít jinám, nic jiného se moc dělat nedá. Šachovat s paragrafy a jít na ně přes zákony, není často vůbec produktivní a nikam to nevede, odejítí daleko jasně sdělí tvůj postoj a spíše donutí s tím něco dělat (když vás bude víc).
V ideálním světě se mi tohle chování nelíbí, ale v reálných podmínkách to je za mě přiměřené. Zatím jsem byl schopný se domluvit se všemi malými ISP, aby mi tyhle divnosti nedělali, abych měl svůj router, abych měl celou škálu portů. V jednom případě jsme dokonce započali nějakou spolupráci, rád jsem jim pomohl, poradil a dohodil pár vyřazených ks HW ze servovny atd.
Oni často nemají zálibu v šikanování zákazníků, ale chtějí jen minimalizovat náklady, aby se vešli do rozpočtu, se stovkami až tisícovkami klientů není ten rozpočet kdovíjak vysoký a jsem za jejich snahu rád, jsem rád za každou alternativu k nefungujícímu xdsl monopolu.
-
abys ten blok IP adres od RIPE dostal, tak musíš být jejich členem
No praxe je taková, že IP dostanete od ISP, od kterého nakupujete konektivitu. Ale ten zas potřebuje vykázat RIPE alokaci adres, a na to musí ten koncový ISP vyplnit formuláře... Pak se IP dají získat... Nemyslel jsem rovnou pořizovat si vlastní AS :)
-
No praxe je taková, že IP dostanete od ISP, od kterého nakupujete konektivitu. Ale ten zas potřebuje vykázat RIPE alokaci adres, a na to musí ten koncový ISP vyplnit formuláře... Pak se IP dají získat... Nemyslel jsem rovnou pořizovat si vlastní AS :)
To sice ano a ani v mém okolí nevím o žádném lokálním ISP co by to neudělal, ale dosaneš ji relativně jen "pár stovek" a to není nic moc proto abys je dával automaticky klidnetum k přípojce za 200-300Kč...
-
To sice ano a ani v mém okolí nevím o žádném lokálním ISP co by to neudělal, ale dosaneš ji relativně jen "pár stovek" a to není nic moc proto abys je dával automaticky klidnetum k přípojce za 200-300Kč...
To je jasné, souhlasím. Myslím si, že jsme se "preferencemi spotřebitele", orientací na cenu, dostali mnohde už do stádia nepoužitelnosti. Holt místo masa jíme piliny napuštěné vodou, místo internetu máme zoufalost :(. Internet se v plné kvalitě za 200-300 Kč / měs. nedá poskytovat. Nelze to srovnávat s UPC nebo VDSL, které mají jen vybranou lokální působnost (tam, kde se to kvůli koncentraci přípoje vyplatí), a i tak mají cenu vyšší a ještě k tomu využívají synergický efekt kombinovaných objednávek (televize, internet, telefon, ...). Tomu chtějí malí ISP konkurovat, navíc chtějí být levnější, a nakonec si uživatelé ještě stěžují.
-
... to je prostě pro většinu malých lokálních ISP moc...
To jiste, oni chudaci nevydelaj na poplatek 3kKc/mesic ... to by me pak zajimalo, z ceho platej konektivitu ... Laskave si uvedom, ze i "jednomuznej" pidiprovider musi at chce nebo ne mit mesicne minimalne 100-150k prijem. A v tom sou 3k jak kdyz flusne.
-
... to je prostě pro většinu malých lokálních ISP moc...
To jiste, oni chudaci nevydelaj na poplatek 3kKc/mesic ... to by me pak zajimalo, z ceho platej konektivitu ... Laskave si uvedom, ze i "jednomuznej" pidiprovider musi at chce nebo ne mit mesicne minimalne 100-150k prijem. A v tom sou 3k jak kdyz flusne.
Já myslím, že hlavní problém není ani poplatek RIPE, který se dá rozpustit, ale mít router, který zvládne dobře BGP nebo full BGP není taky zadarmo, zkušenosti také nenajde v HOWTOs... Ta překážka stát se z nicky normálním ISP je obrovská, málokdo ji dokáže přelézt.
-
Blokování udp/53 (dns) i tcp/25 (smtp) má poměrně racionální důvod, protože spousta virů / malwaru / ransomwaru potřebuje k životu právě tyto porty.
Tu 25 chápu (spam) a osobně bych to také tak dělal (defaultně blokovat, když se někdo ozve, tak bez řečí povolit; případně dát do objednávky checkbox jestli chci tcp/25), ale tomu DNS nevěřím. Malware bude téměř určitě využívat resolver nastavený na počítači/přidělený DHCP, což bude rekurzivní DNS od ISP.
co takhle ten router resetovat do továrního nastavení, nebo ho odpojit a dát tam svůj, nebo něco v tom smyslu? ;D
Může tam být nějaký klíč nebo jiná konfigurace, bez které se po resetu nepřipojí.
Většina routerů má ale flashku připájenou na desce v nějakém normálním nožičkovém pouzdru. Není problém ty menší vyčíst přímo na desce a ty větší vyndat a přečíst externí čtečkou (a třeba rovnou změnit heslo -- s trochou štěstí tam bude Linux a půjde identifikovat /etc/shadow).
-
... ale tomu DNS nevěřím. Malware bude téměř určitě využívat resolver nastavený na počítači/přidělený DHCP, což bude rekurzivní DNS od ISP.
DNS/UDP sa používa na multiplication DDoS. Botnet posiela DNS požiadavky s podvrhnutou IP odosielateľa (v skutočnosti IP obete) na rôzne DNS resolvery, tie potom odpovedajú na tú podvrhnutú IP odpoveďou, ktorá je väčšia než pôvodná požiadavka. Botnet tak efektívne znásobí svoju silu a ako bonus do útoku zanesie aj cudzie nič netušiace DNS servery.
S DNS/TCP to nefunguje, pretože s podvrhnutou IP odosielateľa nespraví 3-way handshake.