[Thread Ufficiale] AVM FRITZ!Box 7590

[nelson1]

Quote:

Originariamente inviato da purpe

Cmq non serve avere un 7590 : https://it.lmgtfy.com/?q=disabilitare+icmp+7590

dall'ultimo tuo messaggio io capisco che la risposta al ping non è da considerare una vulnerabilità (così scriveva il guru)

Ho comunque selezionato modalità Stealth firewall del 7590.

Dalla tua schermata si notano due sole voci nel tab Liste, forse le altre sono nascoste dallo scroll. Sulla mia pagina vedo Bitorrent, emule desktopremoto e altri che non utilizzo direttamente a meno che non siano di sistema. Si possono eliminare?

[purpe]

Quote:

Originariamente inviato da nelson1

dall'ultimo tuo messaggio io capisco che la risposta al ping non è da considerare una vulnerabilità (così scriveva il guru)

Ho comunque selezionato modalità Stealth firewall del 7590.

Rispondere ad un ping non è una vulnerabilità.

Assodato questo, ti spiego una cosa base:

- Sono uno script kiddie (maledetti quelli che parlano di haker) e ho voglia di rompere le scatole a qualcuno con il nuovo sfavillante 0day proof of concept che ho trovato in rete per un servizio che sta sulla porta 12345
- Prendo una subnet a caso.
Caso 1:
1) Faccio un ping su tutta la subnet.
2) Mi annoto tutti gli ip che rispondono (e qui il fritz risponde)
3) Verifico la presenza di un servizio sulla porta 12345 dei soli ip che hanno risposto.
4) Su quelli che hanno il sevizio attivo sulla porta 12345, testo la proof of concept che ho trovato (perchè? perchè mi sento un hacker e sono un pò frustrato)
Caso 2:
1) Uguale al caso uno ma salto i punti 1 e 2 e cerco direttamente il servizio su tutta la subnet.

Nel caso 1, si salvano tutti quelli che hanno il servizio attivo ma hanno l'icmp echo disabilitato.

Nel caso 2, non si salva nessuno (ok si salvano solo quelli che avevano delle regole firewall su quel servizio limitate a determinati ip o chi ha già patchato 0day, gente sto semplifcando)


Quindi il ping di per se NON E' UNA VULNERABILITA', ma certo non aiuta averlo attivo in alcuni casi.

Quote:

Originariamente inviato da nelson1

Dalla tua schermata si notano due sole voci nel tab Liste, forse le altre sono nascoste dallo scroll. Sulla mia pagina vedo Bitorrent, emule desktopremoto e altri che non utilizzo direttamente a meno che non siano di sistema. Si possono eliminare?

Quello è l'elenco dei servizi configurati, NON UTILIZZATI, puoi riempirla la lista di tutto quello che vuoi, se poi non sono usati nel tab "profili di accesso", sono inattivi.

[nelson1]

Quote:

Originariamente inviato da purpe

Rispondere ad un ping non è una vulnerabilità.

Assodato questo, ti spiego una cosa base:

- Sono uno script kiddie (maledetti quelli che parlano di haker) e ho voglia di rompere le scatole a qualcuno con il nuovo sfavillante 0day proof of concept che ho trovato in rete per un servizio che sta sulla porta 12345
- Prendo una subnet a caso.
Caso 1:
1) Faccio un ping su tutta la subnet.
2) Mi annoto tutti gli ip che rispondono (e qui il fritz risponde)
3) Verifico la presenza di un servizio sulla porta 12345 dei soli ip che hanno risposto.
4) Su quelli che hanno il sevizio attivo sulla porta 12345, testo la proof of concept che ho trovato (perchè? perchè mi sento un hacker e sono un pò frustrato)
Caso 2:
1) Uguale al caso uno ma salto i punti 1 e 2 e cerco direttamente il servizio su tutta la subnet.

Nel caso 1, si salvano tutti quelli che hanno il servizio attivo ma hanno l'icmp echo disabilitato.

Nel caso 2, non si salva nessuno (ok si salvano solo quelli che avevano delle regole firewall su quel servizio limitate a determinati ip o chi ha già patchato 0day, gente sto semplifcando)


Quindi il ping di per se NON E' UNA VULNERABILITA', ma certo non aiuta averlo attivo in alcuni casi.


Quello è l'elenco dei servizi configurati, NON UTILIZZATI, puoi riempirla la lista di tutto quello che vuoi, se poi non sono usati nel tab "profili di accesso", sono inattivi.

ok, che di per se il ping attivo non è una vulnerabilità è stato ripetuto più volte, e lo avevamo capito.

quindi se, come nella tua schermata, metto il flag su Modalità Stealth firewall del 7590 va bene o male? (per favore non mi rispondere ni )

Nel tab "profili di accesso" non c'è nessun valore nella colonna "applicazione bloccate", quindi nessun servizio viene usato ... ?

[wrad3n]

Quote:

Originariamente inviato da Tennic

No, la parte voip funziona a prescindere dai DNS che utilizzi per la navigazione

Nel senso che la parte VOIP usa dei DNS appositi e non fa riferimento a quelli generali della connessione?
Perché se vanno bene dei server DNS qualunque, l'avviso di TIM che trovi nelle info dei parametri VOIP non ha molto senso:



Per curiosità, quali DNS usa effettivamente il router, oltre a quelli impostati manualmente ne compaiono altri?:

ipleak.net
www.dnsleaktest.com

Quote:

Originariamente inviato da purpe

Sfortunatamente, nonostante anche un modem da 2 lire e uno sputo, abbia il discard del ICMP Echo (il Ping, giusto per chi non lo sapesse), AVM è compliance e quindi ci si attacca e si tira forte (o si cambia apparato).

Si, il server ICMP dev'esserci, serve anche ad altro, ma il fatto che debba per forza rispondere ad un Ping proveniente dall'esterno mi pare una scelta discutibile, può disabilitarlo anche il firewall di un router base come il TIM HUB (da bloccato, da sbloccato è tutt'altro discorso) che ha due funzioni in croce, di cui una è la disabilitazione del risposta al Ping proveniente dall'esterno

[purpe]

Quote:

Originariamente inviato da nelson1

quindi se, come nella tua schermata, metto il flag su Modalità Stealth firewall del 7590 va bene o male? (per favore non mi rispondere ni )

Ok evito i ni, attivalo.

Quote:

Originariamente inviato da nelson1

Nel tab "profili di accesso" non c'è nessun valore nella colonna "applicazione bloccate", quindi nessun servizio viene usato ... ?

Non hai compreso bene il meccaniscmo di quelle 2 voci.

Quelle sono regole in uscita, non in entrata.

Sono regole fatte per impedire che il pc X, identificato dalle regole del tab "profili di accesso" della tua rete possa utilizzare IN USCITA quella determinata applicazione, che determina un set di protocolli e porte indicate nelle regole nel tab "liste".

Sei te che stai facendo il dittatore con i client della tua rete interna, non c'incastra nulla con quello che arriva dell'esterno. (che non sia stato precedentemente sollecitato dal client interno)

Quello che riguarda il traffico in entrata è nella voce "Abilitazioni" tab "Abilitazioni Porte"

[massie]

Quote:

Originariamente inviato da wrad3n

l'avviso di TIM che trovi nelle info dei parametri VOIP non ha molto senso:

Per risolverlo servono i dns di tim ma non occorre più farlo dall'ultimo firmware stabile, quindi inserisci direttamente quei parametri.

[MircoT]

Quote:

Originariamente inviato da wrad3n

Nel senso che la parte VOIP usa dei DNS appositi e non fa riferimento a quelli generali della connessione?
...

se non ricordo male da qualche versione di firmware, la parte voip usa comunque i dns acquisiti dal provider. quindi nella sezione dns del router si possono mettere i dns preferiti e il voip funzionerà comunque.
però non ho provato..

ipleak.net ne trova 5: 85.38.28.232 - 236

[Tennic]

Quote:

Originariamente inviato da wrad3n

Nel senso che la parte VOIP usa dei DNS appositi e non fa riferimento a quelli generali della connessione?
Perché se vanno bene dei server DNS qualunque, l'avviso di TIM che trovi nelle info dei parametri VOIP non ha molto senso:



Per curiosità, quali DNS usa effettivamente il router, oltre a quelli impostati manualmente ne compaiono altri?:

ipleak.net
www.dnsleaktest.com

Non si trovano altre impostazioni DNS oltre a quelle nelle schermata della connessione ad internet (quindi nella configurazione della telefonia non si trova alcun riferimento ai DNS).
Io utilizzo i DNS di cloudflare (più veloci di quelli TIM) e la telefonia funziona perfettamente

E nei link che hai scritto, compare solo il DNS cloudflare

[MircoT]

Quote:

Originariamente inviato da purpe

Devo darti ragione, e mio malgrado ho scoperto anche perchè.

Come dicevamo pocanzi il Fritz!Box è l'iPhone dei router.

...

non che sia un gran problema, ma avrei preferito poter decidere se essere pingabile o meno.

"il Fritz!Box è l'iPhone dei router" mi è piaciuta

[nelson1]

Quote:

Originariamente inviato da purpe

Quelle sono regole in uscita, non in entrata.

Quello che riguarda il traffico in entrata è nella voce "Abilitazioni" tab "Abilitazioni Porte"

okk, grazie mille

[purpe]

Quote:

Originariamente inviato da MircoT

"il Fritz!Box è l'iPhone dei router" mi è piaciuta

Bhe quale altro device ha un sistema operativo proprietario, che ti lascia la libertà di scegliere quello che loro pensano sia meglio per te e che tutto sommato anche in mano ad un utente non base, meno, mantiene un mix decente di stabilità e sicurezza.

Non mi vengono in mente altri paragoni.

[Totix92]

Io ho notato già un bel po' di tempo fa, che nel file di configurazione vi sono molte opzioni non presenti nell'interfaccia web, può darsi che cercando bene c'è anche quella relativa alla risposta al ping.

[ebeb]

Quote:

Originariamente inviato da MircoT

non che sia un gran problema, ma avrei preferito poter decidere se essere pingabile o meno.

"il Fritz!Box è l'iPhone dei router" mi è piaciuta

Riporto quanto già chiaramente esposto da @purpe...

Se il 7590 (ovvero AVM) si comporta così è per seguire i dettami delle specifiche riportate.
Può piacere o no ma cosi è.
Come scritto al pari di quanto avviene con l'iPhone.. non devi stare a traviarti più di tanto per la sicurezza.. lo usi e STOP:

Se invece vuoi fare magheggi utilizzi Android e poi però non ti lamenti... sta qua qua..!!


"........Andando ad indagare su internet (cosa che tengo a sottolineare può fare chiunque, ma hai stuzzicato la mia curiosità quindi l'ho fatto io al posto tuo) AVM fa esattamente quello che l'RFC 1122 richiede per essere compliance.

Quote:
3.2.2.6 Echo Request/Reply: RFC-792

Every host MUST implement an ICMP Echo server function that
receives Echo Requests and sends corresponding Echo Replies.
Sfortunatamente, nonostante anche un modem da 2 lire e uno sputo, abbia il discard del ICMP Echo (il Ping, giusto per chi non lo sapesse), AVM è compliance e quindi ci si attacca e si tira forte (o si cambia apparato)......."

[verris]

Vi risulta che ritornando alla 07.13 dall'ultima beta ho in download 10 mega in più?

[ness.uno]

Quote:

Originariamente inviato da verris

Vi risulta che ritornando alla 07.13 dall'ultima beta ho in download 10 mega in più?

Alla 7.13 con driver DSL precedenti, secondo me, meglio la 7.10.

[purpe]

Ogni linea fa storia a sé, un driver che va meglio ad uno può essere peggio per un'altro

Inviato dal mio ONEPLUS A6003 utilizzando Tapatalk

[ebeb]

Quote:

Originariamente inviato da verris

Vi risulta che ritornando alla 07.13 dall'ultima beta ho in download 10 mega in più?

Se risulta a te si !

Ma siccome è sulla tua linea non è detto, anzi è certo che se provassi io od un altro non sarebbe così...

Non è un teorema matematico od una legge fisica replicabile...

Variando la posizione degli addendi il risultato non cambia..
ma in questo caso cambiano TUTTI gli addendi, quindi...

[elgabro.]

Quote:

Originariamente inviato da Yrbaf

Secondo un post recente (ultime 2 settimane credo) di chi è stato ad un convegno AVM, la deadline dovrebbe essere Giugno (che poi sia inizio o fine boh).

Grazie

[pietro667]

Quote:

Originariamente inviato da Yrbaf

Secondo un post recente (ultime 2 settimane credo) di chi è stato ad un convegno AVM, la deadline dovrebbe essere Giugno (che poi sia inizio o fine boh).

Probabilmente ero io la fonte.
Confermo quanto riportato in precedenza.
Secondo AVM Italia, la 7.20 dovrebbe essere rilasciata per giugno.
Inizialmente era prevista per metà maggio (circa) ma hanno affermato che ci sono un po' di ritardo causa coronavirus, che avrebbero comportato circa un mese di ritardo.
D. "quindi uscirà ai primi di giugno?
R. "Uscirà a giugno... "

[wrad3n]

Quote:

Originariamente inviato da MircoT

se non ricordo male da qualche versione di firmware, la parte voip usa comunque i dns acquisiti dal provider. quindi nella sezione dns del router si possono mettere i dns preferiti e il voip funzionerà comunque.
però non ho provato..

ipleak.net ne trova 5: 85.38.28.232 - 236

DNS TIM automatici senza aggiunta di altro?

Quote:

Originariamente inviato da Tennic

Non si trovano altre impostazioni DNS oltre a quelle nelle schermata della connessione ad internet (quindi nella configurazione della telefonia non si trova alcun riferimento ai DNS).
Io utilizzo i DNS di cloudflare (più veloci di quelli TIM) e la telefonia funziona perfettamente

E nei link che hai scritto, compare solo il DNS cloudflare

Interessante, allora non rimane che provare a settare dei DNS volutamente errati e vedere che succede a navigazione e VOIP