A homebrew Linux router is right for a hobbyist or junior sysadmin who is genuinely interested in how these things work under the hood, though. Setting up and managing one will teach you a lot. It's also a pretty good fit for a veteran sysadmin who already understands the majority of the systems and only has to brush up on a thing or two to get comfortable with it—the raw performance is just plain jaw-dropping, and the simple nature of the system will leave that veteran sysadmin free to manage it and back it up in the ways they're already very comfortable with. And finally, it's perfect for the incredibly tin-foil-hatted types (also, unfortunately, like me these days) since its stripped-down nature lets them be absolutely certain they understand what it is, and isn't, doing and plan around that accordingly when they're mapping out their security setup.
The Ars guide to building a Linux router from scratch:
http://arstechnica.com/gadgets/2016/04/the-ars-guide-to-building-a-linux-router-from-scratch/
The LEDE project is founded as a spin-off of the OpenWrt project and shares many of the same goals. We are building an embedded Linux distribution that makes it easy for developers, system administrators or other Linux enthusiasts to build and customize software for embedded devices, especially wireless routers. The name LEDE stands for Linux Embedded Development Environment.
TL;DR: un pcengines APU 1D sait router, via openvpn chiffré, 76Mbps ou 100kpps
Packet-journey (pktj) permet à des opérateurs réseau de monter des routeurs logiciels faciles à configurer et capables de monter en échelle. Pour ce faire, l'applicatif se base sur les bibliothèques et drivers de DPDK et utilise des fonctionnalités natives du noyau Linux, faisant le pont entre fast-forwarding et routage logiciel souple.
libreCMC is an embedded GNU/Linux-libre distro with out non-free software or binary blobs. The project's goal is to provide an embedded distro that respects user freedoms and allows users to control what their hardware does. Since libreCMC is 100% free software, it allows the user to use supported platforms as a way to host their own services, like email, chat or file sharing; learn about how the device works.
What platforms does libreCMC support?
Currently, we support the following targets:
TP-link
TL-MR3020 v1
TL-WR741ND
TL-WR841ND
ThinkPenguin
TPE-NWIFIROUTER2
Netgear
WNR2200
WNDR3800
Qi-Hardware
Ben Nanonote
draft-song-router-backdoor-00Y a t'il une backdoor dans mon routeur RFC
Apparemment, le problème venait de heartbeat.belkin.com, un amer que les routeurs Belkin pinguent régulièrement pour voir s’ils sont connectés à l’Internet. Le serveur en question ayant planté, tous les routeurs se croyaient déconnectés et refusaient tout service.
Petit tuto pour flasher un Buffalo WBMR-HP-G300H sur OpenWRT 12.09 - Attitude Adjustment.
Le protocole RTR (RPKI to Router Protocol), normalisé dans le RFC 6810, est utilisé entre un routeur et un cache/validateur qui vérifie les objets signés de la RPKI. Ce nouveau RFC fait le point sur les mises en œuvre effectives de RTR et leur degré de couverture de la norme.
Exploitation d'une vulnérabilité dans l'interface web des routeurs WRT120N pour accéder aux pages d'admin.
La sécurité, ce n'est pas facile et il faut faire attention à beaucoup de choses. Ce RFC est entièrement consacré à un oubli de pas mal de programmeurs lorsqu'ils mettent en œuvre une technique de sécurité pour IPv6, le RA guard : il est en effet courant d'oublier qu'un paquet IPv6 peut avoir plusieurs en-têtes, chaînés, et que chercher un motif dans le paquet, à un nombre d'octets fixes depuis le début du paquet, est une mauvaise stratégie. (Le RFC décrit également un second problème, lié à la fragmentation.)
Recently a critical vulnerability has been found in TP-LINK routers and few other router devices. This particular vulnerability to which I am referring was described here. Basically it is so called ROM-0 attack. In short attacker by requesting ROM-0 through HTTP request (ie. http://192.168.1.1/ROM-0) can download all important and secret data stored in your router. This includes your ADSL login/password combination, WIFI password and basically all of your configuration data.
The list of vulnerable devices is presented below:
- TD-W8901G
- TD-8816
- TD-W8951ND
- TD-W8961ND
- D-Link DSL-2640R
- ADSL Modem
- AirLive WT-2000ARM
- Pentagram Cerberus P 6331-42
- ZTE ZXV10 W300
A year after purchasing the Linksys home networking division from Cisco, Belkin today brought back the design of what it called "the best-selling router of all time" but with the latest wireless technology.
First released in December 2002, the blue and black WRT54G is an instantly recognizable consumer product despite not being a smartphone, tablet, or laptop. Belkin's Linksys division unveiled a new router with the same design today at the Consumer Electronics Show. It's planned to be available in the spring for $299.99
Craig Heffner has recently discovered an easy-to-exploit backdoor in several D-Link and Planex routers. As usual guys at devttys0.com made a great work!
One week later a similar backdoor was discovered on some NETGEAR devices.
Researchers have discovered a Linux worm capable of infecting a wide range of home routers, set-top boxes, security cameras, and other consumer devices that are increasingly equipped with an Internet connection.
Lest anyone think that D-Link is the only vendor who puts backdoors in their products, here’s one that can be exploited with a single UDP packet, courtesy of Tenda. (http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/)
Dans un moment de profonde solitude nocturne, Craig de /dev/ttyS0 s'est lancé dans le reverse d'un firmware de routeur D-Link. Il y a en particulier trouvé une version custom de thttpd dont la fonction d'authentification, faite maison, se trouve inclure ce qui ressemble fort à une backdoor.
Utilisation d'une carte mère de netbook en tant que routeur
Dans son médiatique rapport, le sénateur Bockel affirmait que « Rien n'empêcherait, en effet, un pays producteur de ce type d'équipements [les routeurs de cœur de réseau] d'y placer un dispositif de surveillance, d'interception, [..] ». Est-ce réaliste ?
Si c'est possible, alors, comme la totalité des routeurs de cœur de réseau utilise du logiciel privateur sur lequel l'utilisateur n'a aucun contrôle, on peut en effet imaginer que le gentil routeur qu'on a installé nous trahit et envoit une copie de nos messages à Pékin (Bockel, qui est un nationaliste de mauvaise foi, ne cite que les routeurs Huawei comme si les Cisco, les Juniper ou même les Alcatel tricolores n'avaient pas exactement les mêmes possibilités. Cisco va jusqu'à les documenter publiquement.) Un routeur étant un engin très complexe, une fonction supplémentaire dans son logiciel pourrait être difficile à voir.
Mais, franchement, je ne pense pas, pour des raisons de limites physiques, que ce soit réaliste. Il y a deux façons d'espionner le trafic : analyser sur le routeur et envoyer au maître espion une synthèse. Ou bien transmettre la totalité du trafic au maître qui pourra alors l'analyser.
Le premier nécessite des processeurs puissants puisqu'il faut analyser un trafic cumulé qui peut être de plusieurs Tb/s. Les routeurs typiques ont, curieusement (vu leur prix), des processeurs plutôt petits, l'essentiel du travail étant fait par des ASIC. On ne peut pas espérer faire une recherche de mots-clés avec ces processeurs. Il faudrait donc dissimuler dans le routeur des processeurs spécialisés, et espérer qu'ils ne seront jamais repérés. Or, les gens qui installent de tels routeurs les ouvrent souvent, ne serait-ce que pour installer de nouvelles cartes, et sont souvent curieux et compétents techniquement. Un tel dispositif matériel ne resterait sans doute pas longtemps secret (lisez un récit de découverte d'un tel dispositif). Et ce serait la fin des ambitions commerciales du constructeur qui serait ainsi attrapé la main dans le sac.
Notez que les fonctions d'espionnage pourraient en théorie être dans les ASIC, sur lesquels on n'a aucune information (même si tout le logiciel standard du routeur était libre). Cela affecterait toutefois leur taille et leur consommation électrique donc cela semble peu vraisemblable.
Enfin, l'arrivée de routeurs programmables (OpenFlow et autres SDN) introduit de nouvelles possibilités d'attaques : on pourrait reprogrammer le routeur pour lui faire écouter.
Je parlais ici d'une analyse complète du paquet, genre recherche plein texte, ou bien genre DPI. Mais on peut aller plus vite si on se contente d'analyser les méta-données (comme les adresses IP de source et de destination). C'est moins riche mais, dans certains cas, cela peut être mieux que rien pour l'espion (analyse de trafic). Les routeurs savent déjà faire, avec leur matériel actuel, ce genre de travail, nécessaire pour les statistiques NetFlow. Autre hypothèse, si on veut filtrer très vite le trafic, le routeur peut n'envoyer à l'espion que le trafic de/vers une adresse IP spécifique.
Dans tous les cas, une fois la synthèse faite, il faut l'envoyer au maître espion, ce qui peut être détecté. Une solution possible pour l'espion serait de ne pas transmettre directement les données mais indirectement, par exemple en faisant passer certains paquets envoyés par le maître et en en bloquant d'autres, selon la valeur des données qu'on veut faire sortir du routeur.
Bref, c'est peut-être possible mais avec des capacités d'espionnage plutôt limitées. Est-ce de cela que parlait le rapport Bockel ? Pour les consultants en cyberpeur, cela serait certainement moins efficace de ne parler que de surveillance ciblée.
Bon, si analyser un tel trafic total en temps réel sur le routeur n'est pas possible, peut-on le transmettre en vrac afin de l'analyser tranquillement dans des centres de données où le maître espion aurait tous les moyens matériels nécessaires ? Là, on se heurte aux limites de la physique. Si un routeur a quinze interfaces à 10 Gb/s (c'est petit, pour un routeur de cœur, songez aussi que les interfaces à 100 Gb/s commencent à apparaître), il faudrait pouvoir faire passer 150 Gb/s de trafic vers Pékin ! Non seulement c'est physiquement impossible avec les interfaces réseau dont dispose le routeur, mais cela se remarquerait (tous les opérateurs regardent leur données NetFlow, c'est le cœur de leur métier).
Surtout, ce qu'oublie de dire le rapport Bockel (mais ce n'est pas un oubli : son vrai but est le protectionnisme, pas la sécurité) est que le vrai espionnage ne se fait pas par des astuces techniques sophistiquées sur les routeurs. Il se fait surtout aux extrêmités, où le trafic est facilement écoutable (et pas uniquement par les chinois, cf. PRISM, une attaque extrêmement low-tech).
Ceci dit, dans tous les cas, il est prudent, lorsqu'on fait une analyse de sécurité, de supposer que le trafic est écouté (après tout, mon analyse peut avoir des failles, ne basez pas votre sécurité uniquement sur cet article). Si ce n'est par le routeur, cela peut être par d'autres biais. Et, donc, pensez à chiffrer tout votre trafic. C'est le B. A. BA de la confidentialité, que ce soit contre l'APL ou contre d'autres espions. Attention, cela ne protège que le voyage, la sécurité des extrêmités est une autre question.
Dans un article récent d'Andréa Fradin, un autre risque est discuté, celui où une porte dérobée dans le routeur permettrait l'arrêt soudain de celui-ci, faisant ainsi une attaque par déni de service. Ce point est également mentionné dans le rapport Bockel (« voire un système permettant d'interrompre à tout moment l'ensemble des flux de communication »). Là, on ne peut rien dire. Une telle porte dérobée est techniquement possible quoique non triviale (les routeurs de cœur sont en général configurés de manière à ne pas recevoir de trafic de l'extérieur ; il faudrait donc que l'ordre vienne dans un des paquets qui transite par le routeur). Elle serait difficile à détecter puisque, comme indiqué plus haut, le logiciel des routeurs n'est pas du logiciel libre (notez que le rapport Bockel, tout occupé à voir des chinois partout, ne mentionne pas du tout cette possibilité évidente d'améliorer la sécurité).
Il est rigolo de se dire que, compte tenu du nombre de bogues accidentelles dans les routeurs (un routeur, cela ressemble à une grosse boîte bruyante, mais en fait c'est plein de logiciel), une telle porte dérobée pourrait facilement passer pour une bogue. Cela permettrait au fabricant de nier toute action malveillante. Moins drôle, comme des mécanismes d'espionnage existent déjà dans les routeurs (cf. la documentation de Cisco citée plus haut), on pourrait imaginer un espion qui, sans avoir besoin d'instrumenter le routeur lui-même, se contente d'exploiter une fonction d'espionnage existante (celles-ci ne sont pas forcément bien protégées).
Notez qu'une telle porte dérobée pourrait être utilisée pour bien d'autres choses que d'arrêter le routeur brutalement. Elle pourrait permettre par exemple de détourner ou de jeter une partie du trafic, par exemple en tripotant les tables de routage.