Siirry uusimpaan kommenttiin
Etsimäsi kommentti on joko siirretty toiseen keskusteluun tai poistettu kokonaan.

SagemCom modeemin firewall blokkaa medium tilassa Internet Radio Streamauksen ja WhatsApp puhelut

Minulla on SagemCom 3686AC kaapelimodeemi ja haluan lisää tietoturvaa kodin lähiverkkooni ja siksi modeemin firewall asetus on tilassa 'Medium'. Olen kuitenkin huomannut, että tässä firewallin asetuksessa, Internet Radio streamaus ei enää toimi (Yamaha vahvistimesta, eikä puhelimen Streamaus appeista eikä iTunes ohjelmasta) eikä myöskään WhatsApp puhelut toimi (puhelut saapuu tai lähtee, mutta eivät yhdistä) WhatsApp viestit toimii silti normaalisti. Kyse on tasan tarkkaan modemin firewallista, koska radio streamaus ja whatsapp puhelut toimii jos käytän muuta verkkoa (mobiililaajakaista tai puhelimen hotspot) ja samoin palvelut toimivat kyllä, jos vaihdan modeemin firewall tilan 'low' moodiin.
Tätä samaa asiaa on kysytty tällä foorumilla myös erilaisten verkkopelien käyttämien protokollien johdosta, joskaan itse en harrasta pelaamista. Mutta oletan, että kyse on samasta teknisestä ongelmasta.
Onko siis tosiaan ainoa mahdollisuus vaihtaa modeemin firewall asetus tilaan 'low'? Kun asetus on 'low', niin porttilistan mukaan mitään portteja ei blokata. Minulle on kerrottu erään toisen DNA:lle raportoimani ongelman (DNA tapausnumero #3022281) yhteydessä, että 'Medium' tilaan ei voi itse lisätä puuttuvia portteja/protokollia vaan, että ne on poltettu Flash muistiin. No eikö laitetta voi tuoda DNA:lle ja poltatte muistiin lisää portteja? Ylipäätään, eikö nyt kuluttaja voisi olettaa, että 'Medium' asetuksessa sellaiset tuiki tavalliset portit/protokolla kuten Internet Radio Streaming ja WhatsApp puhelut toimisivat?
Jos nyt sitten asettaisin modeemini tilaan 'low', mutta jättäisin 'Port scanning' ja 'Ip-Flood detection' ja 'Block Fragmented ip-packets' ruksit päällen, niin mihin kaikkeen altistan lähiverkkoni laitteet? Kotiverkossani on tietty muitakin kuin tietokoneita ja vain tietokoneissa on omat tietoturvatuotteet (virustutkat ja firewallit). Aiheuttaako 'low' tila tietoturvaongelman itse modeemille? Onko asiaan muita teknisiä ratkaisuja, jos nyt tuosta modeemista en luopuisi? Eli ostaisin jonkun muun reititin tuotteen, joka yksin kytketään modeemiin ja reitittimeen kytketään kaikki laitteeni ja olettaen, että reitittimen firewall asetuksia saa säätää vapaasti.
Kimmo Ilmoita asiaton sisältö

Kommentit

  • Hei Kimmo!

    Modeemin palomuuritasot ovat ennaltamääriteltyjä joten jos medium tasolla laite estää haluamasi palvelut niin asetus tulisi pitää low tilassa. IP-flood detectionin osalta tämä kannattaa pitää pois päältä sillä kyseessä on vanhempi asetus josta on enemmän ongelmia. Tämä näkee usein tavallisen liikenteen uhkana ja pudottaa nopeuden etanavauhtiin.

    Uusin 3.436.0 päivitys korjasi medium ja high palomuurien toimintaa porttiohjauksen kanssa. Tekemällä portinsiirtoasetukset tarvituille palveluille, portit avautuvat myös medium ja high palomuuriasetuksilla. Modeemin kanssa on mahdollista käyttää myös erillistä reititintä jos haluat asettaa tarkat palomuurin asetukset vain haluamillesi palveluille tai käyttää esimerkiksi rautapalomuuria.

    https://www.dna.fi/dna-valokuitu-plus-modeemi-f-3686ac-kaapelitalouksiin#paivitykset
    DNA Iiro palveluneuvoja
  • Hyvä DNA palveluneuvoja, todennäköisesti tunnette ongelman, että WhatsApp puhelut eikä Internet Radio kanavien kuuntelu toimi modeemin firewallin 'medium' tilassa(kokeile vaikka jouluradio.fi). Voitko ohjeistaa tässä foorumissa, miten portinsiirtoasetuksilla ne saisi toimimaan?
    Puhutaanko nyt 'Port Forwarding' osiosta? Modeemin omat admin sivustot sanoo seuraavaa: "This allows for incoming requests on specific port numbers to reach web servers, FTP servers, mail servers, etc. so they can be accessible from the public internet". Joten eikö tuo tarkoita sitä tilannetta, jos minulla olisi verkossani jokin web-sivusto tai ftp-palvelin, joihin olisi tarve saada yhteyttä internetistä niin tuota port forwarding voisi käyttää? Vai onko Internet radio streamauksessa kyse samasta tekniikasta eli nettiradio lähettää minulle dataa, kun minulla on kuuntelija (listener)?
    Minusta varsinkin WhatsApp puhelut luulisi olevan yleisiä kotiverkossa, kun puhelimet on yleensä konffattu käyttämään Wi-Fi aina kun se on saatavilla, etenkin kotiverkossa. Joten eikö tämä kannattaisi ohjeistaa, tai lisätä sallittuihin portteihin, koska näköjään tuon mainitsemasi päivityssivuston mukaan viimeisimmässä päivityksessä on lisätty tämä: "Palomuuriin lisätty aukot verimatrixille".
    Yritin alkuperäisessä kysymyksessäni saada asiantuntija selitystä sillä, onko lainkaan turvallista käyttää modeemia firewall tilassa 'low'. Siinä kun on kaikki portit auki, mitä yleensä ei haluta. Minulla oli edellinen modeemi teiltä hankittu Cisco EPC3825 ja siinä toimi internet radio ja WhatsApp puhelut. Nyt se on tosin pimeänä, enkä en muista oliko siinä firewall missä moodissa.
    Kimmo
  • Näissä peruskuluttajavehkeissä tuskin on eroa turvallisuudessa onko "palomuuri" low tai high tasolla. High vain blokkaa enemmän portteja oletuksena. Perussuojaus tulee jo NATista sekä tästä pahimpien porttien blokkauksesta.

    Vaihtoehtoina siis modeemi siltaavaan ja kunnon rautapalomuuri/reititin tälläisellä ominaisuudella perään, modeemin pitäminen low tasolla tai avaamalla portteja manuaalisesti port forwardingillä jos haluat mediumissa jostakin syystä käyttää.
    Aapeli
  • Hei Kimmo! Kerroit että yrität lisätä kotiverkkosi turvallisuutta Sagemcomin palomuurin avulla. Palomuurin korkeammat tasot 'Medium' ja 'High' toimivat niin, että ne estävät sisäverkosta avattuja yhteyksiä ja lähetettyjä paketteja kulkemasta ulkoverkkoon käytettäessä tiettyjä portteja. Tämä todellakin johtaa siihen etteivät monet arkiset palvelut toimi, palomuurin tarkoitus on juuri estää niiden toiminta.

    Tämän lisäksi Sagemcomin korkeampi suojausasetus ei lisää verkon käyttäjien tietoturvaa millään mitatavalla tavalla, tämä johtuu monesta syystä. Keskeinen havainto on se, ettei Sagecomin palomuuri suojaa haitallisilta sähköpostiviesteiltä, haittasivuilta tai muilta yleisimmiltä uhkilta. Jos verkossasi on laitteita joiden epäilet olevan tavanomaista haavoittuvaisempia, kuten IP-kameroita tai teollisuuden PLC-laitteita, kannattaa ne eristää oikean palomuurin avulla, sellaista Sagemcomissa ei ole.
    AP
  • Oikeastaan eniten olin huolissani internetistä kotiverkkooni päin tulevista uhista, mikäli modeemin firewall on 'low' tai peräti 'off' tilassa. Eikö siis medium tila suojaa yhtään sen paremmin kotiverkkoni laitteita kuin low tila? Tai itse modeemia? Olen tähän asti luullut, että medium tila sallii vain ne ennaltamäärätyt portit ja protokollat - siis myös ulkoa päin (internetistä) tuleville yrityksille. Vai onko NAT yksinään niin tehokas, että ulkoa ei voi sisäverkon laitteisiin päästä vaikka modeemi olisikin low tai off-tilassa. Ne laitteet, mistä olen huolissani kotiverkossani ovat ihan muut kuin tietokoneet, eli radiot/vahvistimet, pelikoneet, printterit, älyvalaisimet, jääkaapit, kamerat, turvakamerat, sensorit, yms. (ei mulla ole noita kaikkia, mutta voisi olla), joilla ei ole omaa palomuuriohjelmistoa suojanaan.
    Kävisikö tuon modeemin perään F-Securen Sense-laite? Se ei tosin väitä olevansa palomuuri vaan reititin+tietoturvaohjelmisto. Mutta idea vaikuttaa siltä mitä olin hakemassa: Sense kytketään modeemiin, ja Sense muodostaa uuden lähiverkon, johon vasta laitteet kytketään.
    Hei, aukeaako siis WhatsApp puhelut 'medium' tilassa, jos lisään Sagemcomin port-forwarding osioon tarvittavat portit? Sitä sääntöä ei voi laatia kiinteästi johonkin sisäverkon ip-osoitteeseen, koska puhelimet ja tablet-laitteet voivat saada modeemilta eri päivinä eri ip-osoitteen. Näkyykö modeemin lokilla se portti, joka on blokattu?
    Pieni osa Internet radiokanavista toimi sittenkin. Toimivuus ilmeisesti johtuu siitä, että ao. radioasema käyttää jotain sellaista porttia, joka on sallittu modeemin 'medium' tilassa.
    Mutta DNA asiakaspalvelu voisi tosiaan ohjeistaa yleisiin ohjeisiinsa, miten SagemComm laite pitää konfiguroida WhatsApp puheluita varten. Eli joko portforwardin sääntö (miten tehdään) tai ohje vaihtaa 'low' tilaan mutta varoituksen kera. Ihanteellista olisi, jos firmware päivityksillä saisi WhatsApp puhelujen portit auki, kun kerran jo avattiin DNATV Hub portit samasta syystä. Ilmeisesti WhatsApp puhelujen blokkaus modeemeissa ei ole kovin yleistä, muuten siitä varmaan huudettaisi netin keskustelupalstoilla enemmänkin.



    Kimmo
  • Port forwardingissa eli porttiohjauksessa sallitaan internetin laitteiden muodostaa yhteyksiä kotiverkon laitteisiin. WhatsApp käyttää puheluissaan WebRTC tekniikkaa, jossa puhelin muodostaa yhteyden yleensä palvelimen porttiin 3478/tcp. Porttiohjauksesta ei siis ole apua. Sagemcomissa ei ole toimintoa jolla tämä portti voitaisiin sallia 'Medium' tilassa.

    Valitettavasti kuluttajille myytävien verkkolaitteiden turvaominaisuudet ovat usein hämäriä ja huonosti dokumentoituja, niin myös DNA:n tapauksessa. Tavallisen kuluttajan on usein myös vaikea hahmottaa omaan kotiverkkoon kohdistuvaa uhkaa, joista suurin muodostuukin näistä kotiverkkoon livahtaneista esineistä ja muista ei-tietokoneista. Onneksi kaikilla suomalaisilla operaattoireilla on omissa verkoissaan käytössä palomuurit jotka suojelevat asiakkaan verkkoa sulkemalla muutaman, tarkoin valitun portin joiden tiedetään olevan poikkeuksellisen haavoittuvaisia. Tätä palomuuria ei asiakas voi kytkeä pois. Lisää DNA:n sulkemista porteista on osoitteessa täällä.

    Tavallisella käyttäjällä on varmaan verkossaan paljon erilaisia laitteita, joiden turvallisuudesta on vaikea varmistua. Yksi tapa rajoittaa kotiverkon laitteisiin kohdistuvaa uhkaa on estää yhteyksien muodostaminen internetistä sisään päin.

    Miten voin estää kaikki internetistä kotiverkkoon päin muodostettavat yhteydet?

    Kun puhutaan IPv4:tä, NAT yksin estää kaikki sisäänpäin tulevat yhteydet, ellei jotain seuraavista ole määritetty:
    • Porttiohjauksia
    • Port Triggering
    • DMZ-host
    Tarkista siis ettei näytä sääntöjä ole määritetty modeemin hallintapaneelissa.

    Kotiverkon laitteet voivat kuitenkin itse luoda porttiohjaussääntöjä kun UPnP:n avulla. UPnP kannattaa ehdottomasti kytkeä pois. 'Advanced'-välilehden 'Options'-sivulta. Täällä ollessa voit kytkeä pois myös 'SIP ALG', ja vain expert tunnuksille näkyvät muut ALG välitystoiminnot. Verkon laitteiden luomat porttiohjaussäännöt näkyvät samassa listassa muiden sääntöjen kanssa.

    DNA:n kaapelilaajakaistoissa on usein käytössä myös IPv6, on siis kytkettävä 'IPv6 Firewall Protection' päälle 'Firewall'-välilehdeltä. Tämä toiminto todellakin estää saapuvat yhteydet IPv6:n yli. ;-)

    Sillä, missä asennossa 'IPv4 Firewall Protection' on ei tunnu olevan mitään merkitystä tämän asian kannalta. Myöskään IP Flood Detectionista tai Port Scan Detectionista ei nyt ole hyötyä.

    Nyt kotiverkkoon ei voi muodostaa yhteyksiä internetistä.

    Mitä hyötyä tästä on?

    Vaikea sanoa. Joissain laitteissa varmasti on haavoittuvuuksia ja ongelmia, joilta on suojauduttava juuri näin. Monet laitteet on myös suunniteltu käytettäväksi vain suljetuissa verkoissa, kuten esimerkiksi monet tulostimet ja kamerat.
    Paras tapa varmistua kotiverkon turvallisuudesta on kuitenkin kytkemällä siihen vain turvallisia laitteita ja huolehtimalla niiden päivityksistä. Tämä ei tietenkään ole yleensä mahdollista.

    Miksi verkkopelaaminen ei onnistu?

    Monet verkkopelit vaativat toimiakseen kyvyn vastaanottaa yhteyksiä. Nyt kannattaa luoda niitä porttiohjauksia, älä kytke UPnP:ä uudestaan päälle. DMZ-host on helpompi vaihtoehto jos verkossasi on vain yksi pelikone, jos se on tietokone varmista että sen palomuuri on kunnossa, sillä DMZ-host ohjaa kaikki portit.

    Miten tästä eteenpäin?

    Kannattaa kartoittaa kotiverkon laitteita ja kysyä niistä kysymyksiä. Mitä jos laite;
    • ei toimikaan yhtäkkiä? (älylukko ei aukea)
    • vuotaa siihen liittyvää tietoa? (kamera lähettää kuvaa hyökkääjälle)
    • levittää tartuntaa verkon muihin laitteisiin?
    • osallistuu palvelunestohyökkäykseen? (Mirai)
    Voit myös tutkia verkkoasi esimerkiksi skannaamalla koko verkon kaikki laitteet ja tarkistamalla niiden kuuntelemat portit. Alkuun pääsee kuka tahansa ilmaisella Fing sovelluksella Android ja iOS laitteille. Muista että toisten laitteiden ja tietokoneiden skannailu ilman lupaa on tuhmaa.
    AP

Kommentoi tai kirjoita uusi viesti

Nimesi ja viestisi näytetään julkisesti.Sähköpostiosoitettasi ei koskaan näytetä julkisesti.