win7 gehackt + synology diskstation 411j

maandag 1 juli 2013 22:10

Topicstarter

mee eens.
Daarom heb ik ook bij mijn isp aan de lijn gehangen.
Zij geven aan dat er rond die tijd een firmware update heeft plaats gevonden.
Ik heb ze dus gelijk gevraagd of ze na kunnen kijken welke de laatste firmware versie van hun in omloop is, en welke officeel is.

Beste man kon me dat niet doorgeven, waardoor hij het doorgestuurd heeft naar de tweedelijners. Ze zullen me zodra terug bellen.

Beste man gaf ook aan dat ze via wireless binnen gekomen zouden kunnen zijn. Moet even kijken wat voor wachtworden erin staan en ff alles reseten. Ik wou daarmee zolang mogelijk wachten, zodat in ieder geval de 2de lijners ff door mijn router kunnen speuren.

Ik snap dat die reset wat logs verwijdert, maar je zou op z'n minst een mac address moeten hebben. Afgezien daarvan, heb ik macfiltering aanstaan, en er worden alleen 4 machines toegelaten.
Laptop;
dlna tv;
nas;
samsung s2 geval.

Voor de rest hoort er niks door te komen als mac filtering aan staat? Ongeacht de beveileging?

Zo ie zo ga ik dat nog eens nalopen.
Afgezien daarvan, ik woon op de 3de verdieping (tevens laatste verdieping), heb wireless N niet aan staan.
Woonkamer raam staat niet wagenwijd open. Je zou dus denken dat het singaal dus niet eens op straat niveao komt. Tenzij iemand natuurlijk met een of andere 100 db antene te werk is gegaan (waarom? alleen om data te deleten?)

Voorloopig ga ik ff geen wireless meer gebruiken. Alleen bekabelt (nas en tv zijn al via 1 gb cat 6e),

Vond het firmware verhaal van de helpdesk medewerker niet zo heel fijn om te horen..
ff afwachten wat wat de 2º lijners te zegen hebben.

Acties:

architok

mac adres filteren is vrij zinloos helaas. Het is niet moeilijk om het mac adres van 1 van jouw apparaten te vinden, en die vervolgens te spoofen.

ik zou inderdaad, zolang je jouw wireless sleutels niet veranderd hebt dat in zijn geheel uitzetten.

verder heb je dus ook vrij weinig aan gevonden mac adressen in je logs, aangezien dat simpel te vervalsen is

[ Voor 19% gewijzigd door architok op 01-07-2013 22:15 . Reden: typo ]

maandag 1 juli 2013 22:10

Acties:

maandag 1 juli 2013 22:32

fcs schreef op maandag 01 juli 2013 @ 21:23:
Heb zo het vermoeden dat ze via mijn laptop )asus nv54 met win7 en laatste updates (firefox is mijn default brouwser).

Lijkt me onwaarschijnlijk, tenzij je allerhande obscure services draait op dat ding en deze in een DMZ subnet staat.

een linux variant op mijn laptop installeren.
Zo dicht mogelijk dicht timmeren (disk beveleging, moeilijkere passworden ect ect).

Elk OS heeft zijn brakke punten, dus alleen maar overtappen naar Linux maakt het niet per definitie veiliger. Sterkere wachtwoorden wel, belangrijke bestanden altijd versleutelen, en natuurlijk (offsite) back-ups maken wel.

Mijn disk station ga ik ook maar wat porten dicht gooien, en alleen ssh toestaan.

Sowieso zou ik dichtzetten wat je niet gebruikt, en persoonlijk zou ik zo'n ding ook niet port forwarden zodat je vanaf het internet thuis bij je spul kunt. Dan wacht ik wel even tot ik thuis ben.

Qua windows weet ik eerlijkgezegd niet meer zo heel veel. Mijn werkgebied is netwerken.
Heeft iemand tips waar ik in windows 7 logs kan vinden?

Windows logs kun je vinden in het Computer Management, onder Event Viewer. Maar bereidt je vast voor, per default wordt niet enorm veel gelogd en de kans is redelijk groot dat je hierin geen spannende acties kunt terugvinden.

Mocht iemand nog tips hebben qua beveileging, dan hoor ik het graag.

Zoals gezegd zijn ze waarschijnlijk via je je wifi binnen gekomen, en dan waarschijnlijk WPS (of je moet nog WEP gebruiken). Als je eenmaal op een LAN bent, dan wordt e.e.a. een stuk makkelijker; via een brak ingeregelde share kan men dan al verder pivotten naar het volgende deel.

Anderzijds lijkt me dit ook niet iets dat je 'zomaar' vanuit een auto gaat doen ofzo, dus sta er niet raar van te kijken dat het wellicht ook een 'handige' buurjongen heeft kunnen zijn.

Hoe dan ook, begin eens met wat meer netwerk security. WPA2 aan (met volledig wachtwoord), een non-default SSID (tegen de bekende SALT attacks), WPS uit, mac filtering kan aan (maar biedt een beetje pseudo-security omdat die te klonen is). Ook hier weer de remote management beperken tot één IP (en natuurlijk niet vanaf het WAN), met een lange passphrase erop.

Acties:

maandag 1 juli 2013 22:33

Topicstarter

mee eens.
Kwam er net achter dat de default admin op mijn router aangepast was, en wachtwoordt daarvan.
Heb die weer verandert. Daarnaast, zal ik zo de log files onder windows doornemen.

SSID ga ik hiden, andere channel zeten, en met een password generator een pass aanmaken.

Yep. Ben er ook wel mee eens dat de beveileging voornamelijk te maken heeft met passworden en disk encryptie. Os is vaak een 2º zaak.
Ik heb hier thuis nog een netscreen firewall liggen (hardwarematige) die van mijn vorige werk af stamt...
Misschien dat ik daar eens mee ga spelen.
Momenteel vertrouw ik de huidige windows installatie niet, dus die gaat her geinstalleerd worden (heb geen zin om 20 uur te zoeken naar mogelijke virusen/backdoors/trojans ect ect).

Ik krijg idd steed meer het idee dat dit het werk is geweest van een "handige" buurgatje die dacht ff leuk te zijn..
Dacht ik leuk even wat filmpjes te pakken voordat ik ga slapen, mag ik verder in de techniek duiken..
Momenteel krijg ik meer dan genoeg techniek voorgeschoteld op mijn werk..
Mischien dat ik daarom met mijn thuis netwerkje een beetje laks ben om gegaan...
Hehehe.... weet wel welke ssid ik ga gebruiken.. (en de eerste paar dagen niet hidden)...

try_now_Mtfckr!! (maar dan voluit geschreven

Acties:

maandag 1 juli 2013 22:35

fcs schreef op maandag 01 juli 2013 @ 22:00:
Beste man gaf ook aan dat ze via wireless binnen gekomen zouden kunnen zijn. Moet even kijken wat voor wachtworden erin staan en ff alles reseten. Ik wou daarmee zolang mogelijk wachten, zodat in ieder geval de 2de lijners ff door mijn router kunnen speuren.

En hoe gaan ze dat doen dan? Als dat mogelijk is, wie kan er dan nog meer op die manier bij? Lijkt me niet echt wenselijk dat andere mensen (wie dan ook/hoe dan ook) in je router kunnen komen. Al dat soort remote management opties moet je echt uitzetten.

Ik snap dat die reset wat logs verwijdert, maar je zou op z'n minst een mac address moeten hebben. Afgezien daarvan, heb ik macfiltering aanstaan, en er worden alleen 4 machines toegelaten.
Voor de rest hoort er niks door te komen als mac filtering aan staat? Ongeacht de beveileging?

Mac adressen kun je clonen, dat is geen beveiliging. Ook al zou je het 'echte' mac adres van de aanvaller kunnen herleiden, die zijn nergens geregistreerd. In het beste geval kun je nog zelf met scanning tools aan de gang om dan eens te kijken of je het mac adres kunt oppikken uit de ether, rondom je eigen woning. Maar ik geef dat weinig kans, omdat men hoogstwaarschijnlijk cloning heeft toegepast van een bestaand device in je WLAN.

Zo ie zo ga ik dat nog eens nalopen.
Afgezien daarvan, ik woon op de 3de verdieping (tevens laatste verdieping), heb wireless N niet aan staan.
Woonkamer raam staat niet wagenwijd open. Je zou dus denken dat het singaal dus niet eens op straat niveao komt. Tenzij iemand natuurlijk met een of andere 100 db antene te werk is gegaan (waarom? alleen om data te deleten?)

Dat maakt het verhaal van de scriptkid buurjongen alleen maar waarschijnlijker toch? Overigens de gebruikte standaard heeft niet enorm veel te doen met je signaal. N kan zowel op 2,4 als 5 Ghz. 5Ghz is 'pseudo' veiliger, omdat nu eenmaal minder mensen apparatuur hebben die op 5 Ghz kan werken, alsmede dat het 5Ghz signaal niet zo ver door muren kan penetreren. Door het in feite niet te gebruiken (als je 5Ghz bedoelt) is het dus onveiliger (want B/G is altijd 2,4).

Overigens kun je met simpele richtantennes redelijk wat uithalen, mogelijk vanaf een appartement aan de andere kant van de straat...

Voorloopig ga ik ff geen wireless meer gebruiken. Alleen bekabelt (nas en tv zijn al via 1 gb cat 6e),

Sowieso als je het niet nodig hebt altijd de veiligste keuze natuurlijk. Als je WLAN alleen wilt gebruiken voor je telefoon of tablet kun je ook denken aan captive portal achtige set-ups. Je WLAN toegang wordt dan geknepen tot je eerst via een website inlogd, zoals je wel eens ziet in hotels enzo. Met custom firmware als dd-wrt is dat redelijk eenvoudig in te stellen.

Vond het firmware verhaal van de helpdesk medewerker niet zo heel fijn om te horen..
ff afwachten wat wat de 2º lijners te zegen hebben.

Dat firmware verhaal hoeft niet alles te zeggen. Het kan ook zijn dat de firmware is geupdate omdat het modem is gereset. Dat resetten van het modem kan een 'geintje' zijn geweest van de scriptkiddie die is gaan kijken hoe ver die in jouw netwerk heeft kunnen komen.

Als het inderdaad een WPS aanval is geweest, dan is het zelfs mogelijk dat de persoon in kwestie al langer op jouw netwerk zat, en pas sinds vandaag echt kwaadaardige dingen is gaan doen. Mogelijk heeft deze dus al langer een spoor achtergelaten van 'hackpogingen' om bijvoorbeeld je windows wachtwoord te achterhalen. Dus toch even je logs verder analyseren, ook van een tijdje terug...

Acties:

maandag 1 juli 2013 22:39

fcs schreef op maandag 01 juli 2013 @ 22:32:
SSID ga ik hiden, andere channel zeten, en met een password generator een pass aanmaken.

SSID hiden heeft absoluut geen nut, die is in één tel te achterhalen met een scanner. Je maakt het jezelf alleen maar lastiger met sommige apparaten die niet goed kunnen omgaan met een verborgen SSID.

Andere channels gaat ook niet helpen voor veiligheid. Dat heeft alleen nut wanneer je last hebt van de buren die hetzelfde channel gebruiken.

Acties:

maandag 1 juli 2013 22:43

loves wheat smoothies

fcs schreef op maandag 01 juli 2013 @ 22:32:
SSID ga ik hiden..

nutteloos

..andere channel zeten..

nutteloos

...en met een password generator een pass aanmaken.

Je kan beter een goed wachtwoord bedenken dat je kan onthouden op een of andere manier dan zo'n lastig pw bedenken dat het overal rondslingert op papiertjes e.d.

Gebruikte je toevallig het default pw (fabrieks pw ?) Er zijn diverse key gens die zo de key generen.
Ook iets anders.. als ze op je lan zijn geweest is het natuurlijk wel mogelijk om 10Gbyte te kopieren.

[ Voor 19% gewijzigd door DukeBox op 01-07-2013 22:41 ]

Duct tape can't fix stupid, but it can muffle the sound.

Acties:

maandag 1 juli 2013 22:54

Topicstarter

ebia schreef op maandag 01 juli 2013 @ 22:33:

En hoe gaan ze dat doen dan? Als dat mogelijk is, wie kan er dan nog meer op die manier bij? Lijkt me niet echt wenselijk dat andere mensen (wie dan ook/hoe dan ook) in je router kunnen komen. Al dat soort remote management opties moet je echt uitzetten.

ebia, ik werk al geruime tijd bij isp's en bij andere netwerk bedrijven. Elk isp (waar dan ook) heeft
altijd een admin/root wachtwoord voor hun modems. Daar kunnen ze op afstand in komen.
Weet niet welke isp je hebt, maar weet wel dat elk triple play dienst z'n soort constructie heeft.
Die zijn verborgen voor de bekende users die in de modem zitten. Je kunt zoeken wat je wilt,
je zult ze niet vinden. ISP komt binnen dmv een of andere netwerk beheer tool (meestal webbased,
moet je dmv citrix inlogen op de beheer omgeving, en vandaar uit kun je dan een brouwser openen
naar een beheeromgeving van de modem).

Mac adressen kun je clonen, dat is geen beveiliging. Ook al zou je het 'echte' mac adres van de aanvaller kunnen herleiden, die zijn nergens geregistreerd. In het beste geval kun je nog zelf met scanning tools aan de gang om dan eens te kijken of je het mac adres kunt oppikken uit de ether, rondom je eigen woning. Maar ik geef dat weinig kans, omdat men hoogstwaarschijnlijk cloning heeft toegepast van een bestaand device in je WLAN.

Mee eens. Ik vermoed dat dit ook het geval is geweest. Scannen ga ik niet doen, heb geen netwerk kaart
die injectie ondersteund.

Dat maakt het verhaal van de scriptkid buurjongen alleen maar waarschijnlijker toch? Overigens de gebruikte standaard heeft niet enorm veel te doen met je signaal. N kan zowel op 2,4 als 5 Ghz. 5Ghz is 'pseudo' veiliger, omdat nu eenmaal minder mensen apparatuur hebben die op 5 Ghz kan werken, alsmede dat het 5Ghz signaal niet zo ver door muren kan penetreren. Door het in feite niet te gebruiken (als je 5Ghz bedoelt) is het dus onveiliger (want B/G is altijd 2,4).

Overigens kun je met simpele richtantennes redelijk wat uithalen, mogelijk vanaf een appartement aan de andere kant van de straat...

Klopt. Heb me een tijd geleden best wel ingelezen over deze materie (zelf nog niet uitgevoerd).

Sowieso als je het niet nodig hebt altijd de veiligste keuze natuurlijk. Als je WLAN alleen wilt gebruiken voor je telefoon of tablet kun je ook denken aan captive portal achtige set-ups. Je WLAN toegang wordt dan geknepen tot je eerst via een website inlogd, zoals je wel eens ziet in hotels enzo. Met custom firmware als dd-wrt is dat redelijk eenvoudig in te stellen.

WLAN is voor mij alleen handig als ik met mijn werk laptop (die heeft wachtworden om voorbij het bios te komen, disk encryptie (1024) en alle beveilegingen die maar mogelijk zijn) en mijn telefoon.

Maar goed, bedrijfs laptop kan ik natuurlijk ook aan de kabel hangen..

Dat firmware verhaal hoeft niet alles te zeggen. Het kan ook zijn dat de firmware is geupdate omdat het modem is gereset. Dat resetten van het modem kan een 'geintje' zijn geweest van de scriptkiddie die is gaan kijken hoe ver die in jouw netwerk heeft kunnen komen.

Als het inderdaad een WPS aanval is geweest, dan is het zelfs mogelijk dat de persoon in kwestie al langer op jouw netwerk zat, en pas sinds vandaag echt kwaadaardige dingen is gaan doen. Mogelijk heeft deze dus al langer een spoor achtergelaten van 'hackpogingen' om bijvoorbeeld je windows wachtwoord te achterhalen. Dus toch even je logs verder analyseren, ook van een tijdje terug...

Yep. ook mee eens. Ik zal mijn windows logs even doorspitten, laatste virus defs binnen halen en kijken wat er zoal rond hangt. mijn nas ga ik ook eens onderhanden nemen.

Voor de rest, thx voor het meedenken.

[ Voor 1% gewijzigd door fcs op 01-07-2013 22:47 . Reden: wat beter leesbaar gemaakt... ]

Acties:

maandag 1 juli 2013 22:56

Topicstarter

DukeBox schreef op maandag 01 juli 2013 @ 22:39:
Je kan beter een goed wachtwoord bedenken dat je kan onthouden op een of andere manier dan zo'n lastig pw bedenken dat het overal rondslingert op papiertjes e.d.

Gebruikte je toevallig het default pw (fabrieks pw ?) Er zijn diverse key gens die zo de key generen.
Ook iets anders.. als ze op je lan zijn geweest is het natuurlijk wel mogelijk om 10Gbyte te kopieren.

Nop. was al gewijzigd. En ja, weet van die pass gens voor wireless.

Bedrijf is al op de hoogte van de hack. Mijn wachtwoorden zijn al aangepast.
Maar dan nog, zie ik ze niet binnen komen..
Ik werk met 4 verschillende landen (vandaar die 10 gb aan info) en elk land moet ik inloggen met andere vpns.
We hebben vpn's voor 2g, en 3g netwerken. Elk vpn en elk land heeft zijn verschillende usernames en wachtworden. Daarnaast voor het netwerk apparatuur, heeft elk merk, en elk netwerk (2g en 3g) verschillende passwords. En die hebben ze niet ( ze worden in een passprogje van het bedrijf bewaard, en in een beveiligde excell op een pen die op mijn werk zit).

Dat zit wel ok. Ik zal morgen op het werk toch mijn bedrijfs laptop wachtwoord wijzigen (kan nooit paranoid genoeg zijn..) Na, ze mogen dan wel de info hebben (vermoed eerlijk gezegd niet, maar dat ga ik zo ff doorspeuren in de logs), maar op het netwerk komen ze echt niet.. (alsnog ga ik maatregelen nemen!!!)

edit: ter info: heb wpa-psk....

Acties:

maandag 1 juli 2013 23:08

Ja maar!

Had je al een volledige scan gedaan op de desbetreffende PC?
Met bijvoorbeeld Anti Malware bytes of de ESET Online scanner?

Acties:

maandag 1 juli 2013 23:28

loves wheat smoothies

fcs schreef op maandag 01 juli 2013 @ 22:43:
...disk encryptie (1024)...

FYI, 1024bits wordt al niet meer beschouwd als 'veilig'.

fcs schreef op maandag 01 juli 2013 @ 22:54:
...en in een beveiligde excell...

:proest: daar kan je net zo goed geen pw op zetten

edit: ter info: heb wpa-psk....

Er is een reden dat er WPA2 is.

[ Voor 42% gewijzigd door DukeBox op 01-07-2013 23:11 ]

Duct tape can't fix stupid, but it can muffle the sound.

Acties:

maandag 1 juli 2013 23:31

Topicstarter

@proest

snap wat je bedoelt. Daarom blijft die pen ook op het werk.
Alleen password tool is niet genoeg, geloof me, afgezien van die lijst die ik opnoemde, hebben
we natuurlijk nog 20 andere tools om ons werk "makkelijk" te maken..

ben met je eens, is niet het beste, maar goed, we kunnen ff niet anders totdat het bedrijf een betere oplossing bied..
wpa2 heeft dit kreng van een router niet. en kan er geen andere router aan hangen. ISP verplicht in het contract het gebruik van hun apparatuur...

Ik heb mijn lesje wel geleerd... Voorlopig wireless uit!!!

Heb mijn logs nagekeken, en kwam er kwamen wel wat dingen naar boven die ik niet zo leuk vond..
Windows heeft logs van users aanmaken, users admin rechten geven, en weer verwijderdt.

Wat ik ook in de logs van de nas zag, is dat ik gisteren bij het opschonen van ongebruikte bestanden op de nas, een file verwijderd heb (zonder bij na te denken wat het kon zijn) die als naam had server.exe..

wel, nu is dus alles duidelijk..

Men had een remote server geinstalleerd op de nas (ding heeft 8 tb aan films) en dacht dat het wel leuk was om die als prive voor hunzelf te gebruiken. Ze vonden het dus minder leuk dat ik die server eraf gemikkert heb.
Dus hebben ze vandaag weer ingelogd om wat te bekijken, komen ze erachter dat die server er niet meer is, en hup, data gedeleted als wraak actie...

Maar goed, zoals aangegeven, er gaat ook thuis het een en andere georganiseerd worden qua beveileging.
Afgezien van zinnen als wachtworden (met leestekens en alles erop en eraan) gaat wireless uit, nas gaat alleen aan wanneer ik thuis ben.

Er gaat evnt een netscreen firewalletje tussen (weet ik nog niet zeker).
Zit er zelfs aan te denken om een apart netwerkje op te zeten om mijn nas uit het internet te houden.
Nas hoeft alleen te praten met DLNA apparatuur in huis. Niet extern.
Hier kan ik dus een simpel 1 gb routertje halen (zonder inet) alles aan elkaar knopen, en nat serveert zooi naar tv... punt..).
Als ik info van mijn laptop naar de nas wil schakelen, switch ik wel ff van netwerkje dmv kabeltje prik te doen..
Denk dat laatst genoemde wel de beste oplossing voor mij is.

Acties:

maandag 1 juli 2013 23:33

Ja maar!

Je weet wel dat .exe bestanden niet op een NAS werken? Die server.exe stond waarschijnlijk op je PC.
Zo als ik net zei, heb je de PC al gescant? Bijna 100% zeker dat je nu gewoon in een botnet hangt.

Doormiddel van een RAT, Remote Administration Tool.

Acties:

maandag 1 juli 2013 23:39

loves wheat smoothies

Wat voor (wifi)router heb je eigenlijk ?

Duct tape can't fix stupid, but it can muffle the sound.

Acties:

maandag 1 juli 2013 23:42

Topicstarter

een of andere vage custem made thomsom router die in brigde staat met de hoofd modem.
Het is een vage constructie, daarom kan ik er geen eigen router aan hangen..

@ Releases,

Yep, Weet dat .exe niet op een nas werken. Ding zat er toch echt wel.

En nee, zit niet in een RAT admin tool. Heb net gescand (meerdere av overheen gehaalt), en alles wat er niet in hoorde is pleite.
Misschien zat ik idd in een of andere RAT netwerk, nu niet meer.

Hoe dan ook, vandaag nog gaat windows hergeinstalleerd worden totdat ik een andere alternatief heb (hoogstwaarschijnlijk dualboot met een linux distro die de laptop snapt).
Ik kan helaas niet gelijk nu met de herinstall beginnen, aangezien ik wat decoding taken heb lopen op deze machine. Wel heb ik nu 3 in plaats van 1 av lopen, win firewall op max staan (al mag joost weten of dat wel werkt). En alle updates die er zijn ff binnen geharkt.

Nu ff afwachten totdat de decoderings processen klaar zijn, dan kan ik met een schone versie win7 erop knallen.

Acties:

maandag 1 juli 2013 23:49

Ja maar!

Super! Kale installatie is toch het verstandigst. Weet je zeker dat je er klaar mee bent. Ben bang dat je gewoon in een RAT terecht bent geraakt en vervolgens vanaf daar zijn gaan stoeien met je NAS.

Achjah, het kan de beste overkomen he. Een keer op nu.nl kan al genoeg zijn met die exploit packs van tegenwoordig.

Acties:

maandag 1 juli 2013 23:53

Topicstarter

heheheheh. Snap 100% wat je bedoelt (heb ook die nieuws bericht gelezen).
En nee, mag dan wel 2de lijn netwerk operations doen bij Nokia Siemens Networks, maar ben ver verwijdert
van de beste

. Alhoewel ik een redelijke goede leer omgeving zit... Dus misschien kom ik er nog wel

Helaas voor die gasten die RATS beheren... ze zijn 1 zoombie kwijt..
Toch ga ik straks mijn nas nog even naspeuren op virusen...
Heb geen zin om een virus/rat/what ever op te lopen.. Mocht ik een of ander bestandje overgeheveld heben naar mijn nas die geinfecteerd is...
ik ga dat natuurlijk doen voordat ik mijn windows schoon heb na een install.

Ja maar,.... nee, niks ja maar... gewoon scannen, dan pas install doen

Acties:

maandag 1 juli 2013 23:58

Ja maar!

Strak plan verder! Wellicht dat je met Wireshark nog kan uitlezen of er nog bepaalde connecties lopen naar buiten toe?

Acties:

dinsdag 2 juli 2013 00:03

Topicstarter

Kan ik proberen yep. goede tip! thx (had ik eerder aan moeten denken)....

Acties:

dinsdag 2 juli 2013 00:08

fcs schreef op maandag 01 juli 2013 @ 22:43:
[...]

ebia, ik werk al geruime tijd bij isp's en bij andere netwerk bedrijven. Elk isp (waar dan ook) heeft
altijd een admin/root wachtwoord voor hun modems. Daar kunnen ze op afstand in komen.
Weet niet welke isp je hebt, maar weet wel dat elk triple play dienst z'n soort constructie heeft.

Ja modem, maar we hadden het toch over een router?

Overigens is niet in alle gevallen het modem ook van de provider (denk aan ADSL), in dat geval kan een ISP ook niet zomaar in het modem.

[...]
Mee eens. Ik vermoed dat dit ook het geval is geweest. Scannen ga ik niet doen, heb geen netwerk kaart
die injectie ondersteund.

Injectie hoeft niet eens, zolang je hem maar in promiscuous mode krijgt om te luisteren naar alles wat voorbij komt.

DukeBox schreef op maandag 01 juli 2013 @ 23:08:
[...]

FYI, 1024bits wordt al niet meer beschouwd als 'veilig'.

Wel voor symmetrische encryptie, en daar gaat dit over.

fcs schreef op maandag 01 juli 2013 @ 23:39:
een of andere vage custem made thomsom router die in brigde staat met de hoofd modem.
Het is een vage constructie, daarom kan ik er geen eigen router aan hangen..

Dat het modem geen WPA2 ondersteunt is echt een schande, daarmee laten ze willens en wetens hun klanten onnodige risico's lopen.

Waar een wil is, is een weg. Je bent toch van de netwerken? Hang er eens iets tussen en kijk wat er overheen loopt. Kans is groot dat als je het MAC adres van het WAN-poortje cloont je er gewoon je eigen apparatuur aan kan hangen. Er zijn vast andere klanten die zoiets hebben gedaan, dat moet vast te achterhalen zijn. Glas zei je? Mogelijk iets met VLAN's...

Acties:

8088

NaN

Releases schreef op maandag 01 juli 2013 @ 23:31:
Je weet wel dat .exe bestanden niet op een NAS werken?

Waarom niet? De extensie zegt helemaal niets.

Do you seek to engage in or have you ever engaged in terrorist activities, espionage, sabotage, or genocide?

dinsdag 2 juli 2013 00:13

Acties:

dinsdag 2 juli 2013 00:14

Ja maar!

8088 schreef op dinsdag 02 juli 2013 @ 00:08:
[...]

Waarom niet? De extensie zegt helemaal niets.

Op de PC kon die zooi zien of het ''gespooft'' was.

Acties:

dinsdag 2 juli 2013 00:15

Topicstarter

ebia schreef op dinsdag 02 juli 2013 @ 00:03:
[...]

Ja modem, maar we hadden het toch over een router?

Overigens is niet in alle gevallen het modem ook van de provider (denk aan ADSL), in dat geval kan een ISP ook niet zomaar in het modem.
Injectie hoeft niet eens, zolang je hem maar in promiscuous mode krijgt om te luisteren naar alles wat voorbij komt.

Wel voor symmetrische encryptie, en daar gaat dit over.

Snap je vergissing. Het zit als volgt:

glas komt binnen in de "hoofdmodem".Daar heb ik geen toegang.
Daaraan zit de router, die naar de telefoon, en netwerk gaat.
Als je tv hebt afgenomen, gaat tv coax ook daaraan. Vage constructie, weet het en ben met je eens, maar das wat hier gebruikt wordt. Kan wel een andere modem dan de thomson gebruiken, maar die "moet" volgens hun in brigde gehangen worden aan de modem. MAW, ze willen totaal beheer tot de pc's hebben op hun netwerk....

Over ADSL ben ik het wel met je eens. Ten minste, als de provider zich netjes houd..
Alles is mogelijk met modems... Het hoeft maar in de firmware ingebaken te zitten..

Dat het modem geen WPA2 ondersteunt is echt een schande, daarmee laten ze willens en wetens hun klanten onnodige risico's lopen.

100% mee eens. Men gaat hier gewoon kort door de bocht, wat is het goedkoopste???
Wat levert het meest op? en de rest nemen ze maar voor lief...
Schande!

Waar een wil is, is een weg. Je bent toch van de netwerken? Hang er eens iets tussen en kijk wat er overheen loopt. Kans is groot dat als je het MAC adres van het WAN-poortje cloont je er gewoon je eigen apparatuur aan kan hangen. Er zijn vast andere klanten die zoiets hebben gedaan, dat moet vast te achterhalen zijn. Glas zei je? Mogelijk iets met VLAN's...

Hmmm.. zo heb ik er niet over nagedacht nee (alhoewel ik soortgelijke oplossingen heb voorgedragen aan andere om een andere issue op te losen

... Zal eens gaan sniffen en kijken wat eruit komt.

zeg, he, gaan we "slechte" invloed uitoefenen op mede gotters???

Acties:

dinsdag 2 juli 2013 00:30

Topicstarter

Releases schreef op dinsdag 02 juli 2013 @ 00:13:
[...]

Op de PC kon die zooi zien of het ''gespooft'' was.

klopt. anders had je zo een soort constructie:

blaat.sh.exe.sh of iets in die trend. Weet niet wat tegenwoordig gebruikt wordt..

Acties:

8088

NaN

Releases schreef op dinsdag 02 juli 2013 @ 00:13:
Op de PC kon die zooi zien of het ''gespooft'' was.

Ik heb geen idee wat je bedoelt. Welke 'zooi' spooft wat?

Hoe dan ook, het uitvoeren van een bestand genaamd server.exe is prima mogelijk onder Linux (daar is DSM toch op gebaseerd?).

Do you seek to engage in or have you ever engaged in terrorist activities, espionage, sabotage, or genocide?

dinsdag 2 juli 2013 00:31

Acties:

dinsdag 2 juli 2013 00:36

fcs schreef op dinsdag 02 juli 2013 @ 00:14:
[...]
Kan wel een andere modem dan de thomson gebruiken, maar die "moet" volgens hun in brigde gehangen worden aan de modem. MAW, ze willen totaal beheer tot de pc's hebben op hun netwerk....

Die laatste zin snap ik niet helemaal. Krijgen ook al je apparaten een publiek IP adres dan? Of zit je met z'n allen (mede-klanten) in een zelfde RFC1918 subnet? Nee toch?

Als je het omschrijft zoals je het hebt gedaan dan is die router gewoon een router en helemaal niet gebridged. Want dat zou suggereren dat ie alleen maar netwerk doorpast zonder te kijken, maar je zei daarstraks dat je wel de optie hebt om bijvoorbeeld het WLAN uit te schakelen. Dat zou met een bridge niet kunnen, die is daar immers te dom voor (layer 2).

Of denk ik nu te simpel?

Acties:

dinsdag 2 juli 2013 00:38

Ja maar!

8088 schreef op dinsdag 02 juli 2013 @ 00:30:
[...]

Ik heb geen idee wat je bedoelt. Welke 'zooi' spooft wat?

Hoe dan ook, het uitvoeren van een bestand genaamd server.exe is prima mogelijk onder Linux (daar is DSM toch op gebaseerd?).

Ik bedoele met zooi ''zo''
Typ fout.
Hij kon zelf zien in Windows of het een andere extensie had gekregen als dat hoort.
Als het echt een executable bestand was dan kon DSM daar helemaal niks mee.

Acties:

dinsdag 2 juli 2013 01:01

Topicstarter

om het ff duidelijker te maken:

glas -> hoofdmodem -> thomson.

Hoofdmodem heeft 1 publike ip, zodat inet snapt waar de request ect naartoe moet sturen, standaard verhaal.
Daarnaast heeft het 2 interne ips/vlans.

1 voor beheer
1 voor telefoon (voip).
1 voor internet.

Dus eigelijk gaan er 3 vlans over het glas naar de modem:

internet
telefoon
beheer.

Van die beheer zien wij eind gebruikers helemaal niks (heb er een tijdje mee kunnen spelen (bij andere isp), leuk speel goed, maar als eind gebruiker best wel schrikbarend moet ik zegen).
Telefoon en internet is duidelijk denk ik zo?

Dit gaat allemaal direct naar de hoofdmodem.
De hoofd modem zit in een brigde (hoe weet ik niet) direct gekopeld aan de thompson.
Alle aansluitingen voor intern gebruik (denk aan tv telefoon en inet) hangen aan die thompson.

Hoofdmodem heeft alleen 2 aansluitingen:
1 voor glas,
1 voor ethernet.

Om te weten hoe die hoofdmodem gebrigded zit aan de thomson, zou ik er een dingetje tussen moeten hangen.

Daarop weer laptop + wireshark.

Het brigde gebeuren zit dus na het publike ip dus. Het is niet zoals kabel, als je daar gaat sniffen krijg je van alles en nog wat te zien, ook de open poorten die andere klanten hebben (al eens gedaan, een van de reden waarom ik niet aan kabel zit).

Wel, voor de rest kan ik je eigelijk ook niet veel meer vertelen, aangezien ik niet weet hoe deze isp zijn zaakjes geregeld heeft.

[ Voor 189% gewijzigd door fcs op 02-07-2013 00:55 ]

Acties:

8088

NaN

Releases schreef op dinsdag 02 juli 2013 @ 00:36:
Hij kon zelf zien in Windows of het een andere extensie had gekregen als dat hoort.

Als wat hoort?

Als het echt een executable bestand was dan kon DSM daar helemaal niks mee.

Als het een executable bestand is, dan kan het uitgevoerd worden. Anders is het geen executable bestand. En onder Linux is het de excutable bit die bepaalt of het executable is, niet de bestandsnaam of de oorspronkelijke intentie. Zelfs een ASCII bestand met als inhoud 'lol' en naam server.exe is uitvoerbaar te maken. Maar ik geloof dat deze discussie niet zinvol genoeg is en soepel genoeg verloopt om door te zetten. Dus fcs, succes met het beveiligen en ik zal me verder afzijdig houden.

Do you seek to engage in or have you ever engaged in terrorist activities, espionage, sabotage, or genocide?

dinsdag 2 juli 2013 01:04

Acties:

dinsdag 2 juli 2013 12:42

Ja maar!

8088 schreef op dinsdag 02 juli 2013 @ 01:01:
[...]

Als wat hoort?

[...]

Als het een executable bestand is, dan kan het uitgevoerd worden. Anders is het geen executable bestand. En onder Linux is het de excutable bit die bepaalt of het executable is, niet de bestandsnaam of de oorspronkelijke intentie. Zelfs een ASCII bestand met als inhoud 'lol' en naam server.exe is uitvoerbaar te maken. Maar ik geloof dat deze discussie niet zinvol genoeg is en soepel genoeg verloopt om door te zetten. Dus fcs, succes met het beveiligen en ik zal me verder afzijdig houden.

Wellicht is mijn kennis wat betreft executable bits en noem maar op in de linux omgeving te min om hier me duidelijk in te verwoorden. Ik geloof direct wat jij zegt het juiste is.

Acties:

LnC

The offending line...

Kijk eens voor de zekerheid met het Net User command (met admin rechten natuurlijk) of er geen extra hidden accounts op je Windows machine zijn aangemaakt.

dinsdag 2 juli 2013 14:07

Acties:

sjosz

fcs schreef op maandag 01 juli 2013 @ 23:28:

Er gaat evnt een netscreen firewalletje tussen (weet ik nog niet zeker).
Zit er zelfs aan te denken om een apart netwerkje op te zeten om mijn nas uit het internet te houden.
Nas hoeft alleen te praten met DLNA apparatuur in huis. Niet extern.
Hier kan ik dus een simpel 1 gb routertje halen (zonder inet) alles aan elkaar knopen, en nat serveert zooi naar tv... punt..).
Als ik info van mijn laptop naar de nas wil schakelen, switch ik wel ff van netwerkje dmv kabeltje prik te doen..
Denk dat laatst genoemde wel de beste oplossing voor mij is.

Lees ik nou goed dat je een apart netwerk wilt opzetten op de nas buiten het internet te houden? Kwestie van de default gateway uitschakelen.

En kon je de NAS van buitenaf benaderen? Had je dan niet gewoon een erg simpel wachtwoord ingesteld, of zelfs de default pass/username?

En waarom geen andere wireless router plaatsen als de huidige geen WPA2 ondersteund, of misschien een firmware update uitvoeren? Welke ISP heb je nu, daar ben ik eigenlijk wel nieuwsgierig naar.

Die constructies om een netscreen firewall ertussen te plaatsen, en een extra router te plaatsen en dubbel te gaan NATten is allemaal niet nodig voor een simpel en veilig thuisnetwerkje.

Ik kan iets verkeerd gelezen te hebben, ik ben er snel overheen gegaan.

[ Voor 39% gewijzigd door sjosz op 02-07-2013 14:08 ]

dinsdag 2 juli 2013 14:11

Acties:

dinsdag 2 juli 2013 14:25

loves wheat smoothies

ictleerling schreef op dinsdag 02 juli 2013 @ 14:07:
[...]
Lees ik nou goed dat je een apart netwerk wilt opzetten op de nas buiten het internet te houden? Kwestie van de default gateway uitschakelen.

Dat is natuurlijk geen beveiliging. Buiten dat een firewall dataverkeer inzichtelijk maakt gaat simpelweg de gateway uitschakelen niet op bij een pass-through hack en/of ipv6.

Duct tape can't fix stupid, but it can muffle the sound.

Acties:

sjosz

Klopt, even te snel nagedacht. Je hebt een DMZ nodig.

dinsdag 2 juli 2013 14:53

Acties:

Verwijderd

Koop een goede WiFi access point, en laat verder de boel de boel.
(Schakel je modem WiFi uit, en gebruik geen WEP/WPS op nieuwe AP)

Scan nog even op virussen, en herinstalleer oude PC's in je netwerk.

woensdag 3 juli 2013 12:19

Acties:

Verwijderd

Je moet inderdaad nu ook niet paranoïde worden en allerhande security apparatuur in je netwerk smijten.
Het is niet zo dat wireless onveilig is.
Zorg gewoon dat je netwerk met WPA2 beveiligd is en je gebruik maakt van een passphrase.

Als je dan toch met scriptkiddies te maken hebt, kan het interessant zijn om je SSID te verbergen.
Verder kan je zelf eens testen welke je devices van buitenaf bereikbaar zijn.

Je zou ervan versteld staan hoeveel NAS systemen slecht geconfigureerd zijn en zomaar van buiten je
netwerk aanspreekbaar zijn.

Het deïnstallereren van Windows is niet de oorzaak van je probleem.
Schakel Windows FIrewall aan (helpt echt wel) en draai een degelijke (gratis) virusscanner.
Ik ben persoonlijk een avast liefhebber.

Indien je dan toch nog paranoïde bent, kan het interessant zijn om een IDS systeem te installeren.
Ik ben een grote fan van The Security Onion, een gratis IDS suite.

donderdag 4 juli 2013 19:50

Acties: