F-Secure Router Checker

Liittynyt
11.04.2022
Viestejä
54
Löytyy; F-Secure Router Checker — Onko Internet-yhteytesi turvallinen?

Kompastuin tähän sivuun ja sitä ihmetellessä rupesi mietityttämään. En ole mikään IT insinööri joten ilmeisesti en vaan osaa/tiedä.

Väittää testaavan reitittimen asetukset, ihmettelin kun antoi DNS osoitteeksi 162.158.237.31. Vaikka verkkoasetusten tietojen mukaan on 193.229.0.40.

Asiaa tutkiessani näyttäisi että kyseinen tieto on selaimen (Firefox) käyttämä DNS palvelin, eikä reitittimen mitä sivu käsittääkseni väittää olevan?
 
Väittää testaavan reitittimen asetukset, ihmettelin kun antoi DNS osoitteeksi 162.158.237.31. Vaikka verkkoasetusten tietojen mukaan on 193.229.0.40.

Asiaa tutkiessani näyttäisi että kyseinen tieto on selaimen (Firefox) käyttämä DNS palvelin, eikä reitittimen mitä sivu käsittääkseni väittää olevan?
Koska testi käyttää selainta, selaimen asetukset vaikuttavat tuloksiin. Toki se paljasti sen seikan, että reititintäsi ei ole konffattu niin, että se estäisi clientien tekemiä suoria DNS/DoH/DoT jne kyselyitä (F-Securen ilmoittama DNS-palvelin ei ollut se, mitä odotit).

Eli testin ajaksi Firefoxin verkkoasetuksista DoH pitäisi deaktivoida, jotta reitittimen osuus tulisi esiin.
 
Tämä alkoi kiinnostaa ja tuloksena tällainen:

routechecker.JPG


Sanoo että 'kaikki vaikuttaisi olevan kunnossa'. Mutta miksi tuo näyttää noin huonolta omaan silmään? Ja mitä tuolle pitäisi tehdä? Rautalankaa kiitos, en ole nörtti.
 
Koitin tuota palvelua nopeasti kännykällä j aminulle näytti Elisa, Suomi jne. Jos sinulla on jokin vpn tai muu esimerkiksi selaimen anonymisointi plugin käytössä niin tuo voi näyttää mitä tahansa.
Ainakin aiemmat vastaavat tarkistusplavelut testaavat millaisia portteja reitittimellä/tietokoneella on kuuntelussa ja päättelevät tietoturvan tasoa avointen porttien ja vastausten perusteella. Tämä selittäisi että olet "turvassa" vaikka nettiyhteys näyttäisi mahdollisesti kiertävän venäjän kautta.
On myös mahdollista että liikenne ei oikeasti ohjaudu venäjälle vaan tuloksia jostain syystä tulkitaan väärin.
Koita samalla koneella jotain toista nettiyhteyttä esim jakamalla netti puhelimesta niin näet muuttuuko tulokset. Tällä voisi päätellä johtuuko oudot tiedot nettiyhteydestä tai tietokoneesta.
 
Taitaa olla F-securella väärät tiedot tuolle IP:lle.


Ripen mukaan on Creanovan hallinnassa.
Mikä DNS-palvelin sulla on käytössä? Tai ainakin pitäisi olla.
Ja toki jos on VPN päällä, niin se vaikuttaa.
 
Ei ole vpn päällä. Elisa 5g nettiyhteys, muuta en tiedä. Samassa verkossa on kolme muuta peeseetä jotka antaa route checkeristä Elisan tiedot. Eli vain oma pöytäkoneeni tarjoilee tuon kuvan mukaiset tiedot.
Eli pitääkö tuolle tehdä jotain?
 
Eli testin ajaksi Firefoxin verkkoasetuksista DoH pitäisi deaktivoida, jotta reitittimen osuus tulisi esiin.
Juu, antoi tuon 193.229.0.40.

Puhelimella kokeilin (selain firefox sielläkin), ja se antoi suoraan elisan palvelimen, mutta eri osoitteen kuin tietokone. Jännä.
Edit: siis puhelin on wlanin kautta yhteydessä nettiin.
 
Viimeksi muokattu:
Ei ole vpn päällä. Elisa 5g nettiyhteys, muuta en tiedä. Samassa verkossa on kolme muuta peeseetä jotka antaa route checkeristä Elisan tiedot. Eli vain oma pöytäkoneeni tarjoilee tuon kuvan mukaiset tiedot.
Eli pitääkö tuolle tehdä jotain?

Mitä sanoo nimipalvelimiksi komentokehotteessa ipconfig /all

Onko mikä selain käytössä ja mikä Windows?
nslookupilla tuo DNS resolvaa tällaisen domainin: hiemie.tezerobla.org.uk

Kannattaa kyllä katsoa homma kuntoon. Kaapatulla DNS:llä kun esim. voivat ohjata feikki pankin sivulle vaikka menisit aivan oikeaan domainiin tai syöttää sivuille vaikka omia mainoksia.
Lisäksi ajaisin haittaohjelmaskannerit läpi jos siellä nyt kaapattu dns on käytössä. Esim. Malwarebytes free ja Adwcleaner. Lisänä vaikka F-securen online scanneri.
 
Viimeksi muokattu:
Win 10 ja Firefox. Mutta sama tulos tulee Chromella.
En tiedä mikä tuossa inconfig/all tuloksessa on nimipalvelin. Rautalankaa kiitos.

Kertooko tämä jotain?

routechecker 2.JPG


Eli onko reitittimessä jotain feelua vaiko koneessa?
 
DNS Servers kohta. Luultavasti jonkun alla, jossa lukee Local Area Connection tai Wireless LAN adapter jos wlan on käytössä.

Nähtävästi Avast asennettuna? Tuo Avast Secureline on Avastin VPN, tosin näyttäisi olevan Media disconnected tilassa, joten ei ainakaan tun adapterin kautta tällä hetkellä käytössä. Tarkastapa varmuuden vuoksi vielä itse Avastista ettei siellä ole mitään VPN-yhteyttä päällä.

Ja jos Avastille ei ole mitään pakollista tarvetta, niin heittäisin tuon menemään ja menisin kympin av:lla. Se on nykyään oikein hyvä. Tuo Avast on muutenkin jakanut ja myynyt käyttäjien tietoja aikoinaan, jonka takia itse en tuohon koskisi pitkällä tikullakaan: Avast Scandal: Why We Stopped Recommending Avast & AVG

Voit myös ajaa komennon nslookup google.fi
Tuo näyttää samalla mihin palvelimille dns-kyselyt lähtee.

Powershellin puolella voi myös ajaa komennon: Get-DnsClientServerAddress
Tuo näyttää kaikkien verkkosovittimien DNS-nimipalvelimet.

Toki on myös mahdollista, että joku haittaohjelma kaappaa nuo kyselyt välistä jos noista ei mitään vikaa löydy.

Jos muilla koneilla ei tuota hämärää DNS-palvelinta näy ja noissa ei ole manuaalisesti määritetty Elisan DNS-palvelimia niin taitaa olla vika vain tuolla koneella. Jos vika olisi reitittimen puolella niin kaikille koneille tulisi tuo sama DNS-palvelin.
 
Viimeksi muokattu:
Kiitoksia. Ei ole Avast vpn päällä. Katsotaan jos löytäisi sille jonkun vaihtoehdon jos kerran ei ole suositeltava.

DNS servers näyttää tältä:
routechecker 3.JPG


Ja nslookup google tältä:
routechecker 4.JPG


Powershell:
routechecker 5.JPG


Sanokaa jos noissa näkyy enemmän kuin turvallisesti pitäisi niin poistan kuvat sitten.
 

Liitteet

  • routechecker 2.JPG
    routechecker 2.JPG
    23,8 KB · Luettu: 29
Noiden mukaan käytössä olisi reitittimen DNS. Katso vielä ettei nyt vahingossakaan esim. Chromen puolella ole joku oma DNS. Onnistuu osoitteesta: chrome://settings/security?search=dns
Tuolla kohta Use secure DNS.

Ajapas samalla tämä: What’s My DNS Server? Check Your DNS Server Address

Itse ajaisin varmuuden vuoksi nuo haittaohjelmaskannerit läpi.
 
Ok. Käytän enimmäkseen firefoxia mutta tuolla chromessa on täppä 'käytä suojattua DNS:ää nykyisellä palvelullasi'.

Toi ylläoleva testi tuotti tällaisen:

routechecker 6.JPG


Onko tuo nyt sitten ok vai ei?
 
Kyllähän tuo Creanova vähän oudolta kuulostaa, eli yrittäisin saada selville mistä tuo tulee. Aja nuo haittaohjelmaskannerit jos häviäisi sen jälkeen. Voit myös kokeilla ajaa tuon saman sivun muilla koneilla. Toki reitittimen asetuksistakin voi vilaista mitä DNS-palvelimia siellä on.
 
Ainakin osa VPN-palveluista käyttää Creanovan palvelimia Suomessa. Eli katsopas vielä ettei koneella nyt vahingossakaan ole mitään VPN-softaa asennettuna. Avastin voisi myös kokeilla poistaa, voi hyvin olla että hekin tuota Creanovaa käyttävät.
 
Toisella koneella tuo testi näyttää pelkkää Elisaa.
Haittaohjelmaskannerit ei löydä mitään.
Muita vpn softia ei ole tuon avastin lisäksi. Kokeilen poistaa koko avastin ja katotaan mitä sanoo.
 
No jep. Sillähän tuo lähti ja oikeni.
Ehkäpä katselen jostain uuden vpn ja av softan :)
Muissa koneissa taitaa olla ilmais AVG joka tuntuu olevan ihan jes.
 
Itse jättäisin vaan Windowsin oman Defenderin. Tuo on oikeasti oikein hyvä nykyään. AVG on Avastin omistuksessa, joten jättäisin senkin asentelematta.
 
Avastilla on ollut huono tapa myydä käyttäjiensä dataa, joten kiertäisin sen tuotteet kaukaa. Kannattaa muutenkin miettiä mistä ilmaiseksi palvelujaan tarjoavat tietoturvayhtiöt rahansa voisivat kerätä.
 
No jep. Sillähän tuo lähti ja oikeni.
Ehkäpä katselen jostain uuden vpn ja av softan :)
Muissa koneissa taitaa olla ilmais AVG joka tuntuu olevan ihan jes.
Kuten jo suositeltiin, Windowsin oma Defender on riittävä, kun sen kanssa käyttää UAC-toiminnallisuutta ja maalaisjärkeä. Ihan suotta tahmauttamaan konetta näillä kaupallisilla "haittaohjelmilla", kuten Avast jne. VPN-yhteyden tarve ja siihen palveluntarjoajaan luottaminen on sitten vielä oma juttunsa.
 
Viimeksi muokattu:
Miten hirveenä porukka alkanu tuolla skannailee, ku ilmoittaa vain:

Palvelu on ylikuormittunut nyt. Yritä myöhemmin uudelleen!

:)
 
Puhelimella kokeilin (selain firefox sielläkin), ja se antoi suoraan elisan palvelimen, mutta eri osoitteen kuin tietokone. Jännä.
Onko se silti sama mitä reititin näyttää primary ja secondary DNS-serveriksi? Ihan redundanssimielessä noita on aina enemmän kuin yksi
 
Onko se silti sama mitä reititin näyttää primary ja secondary DNS-serveriksi? Ihan redundanssimielessä noita on aina enemmän kuin yksi
Ei, router checkerin mukaan on elisan osoite kumminkin.

Koneen verkkoasetuksissa on kaksi 193.229. alkuista ja puhelimella antoi 195.74.2.10. Mikä on jännä kun kumminkin yhteys menee wlanin kautta.
Kokeilin ottaa puhelimesta wlanin pois päältä, mobiiliverkon kautta mennessä antaa 195.74.4.5. Renasin tuota sivua hieman puhelimella, wlan on/off - sivu päivittäen - testi. Lopputulos näyttää että puhelimella testin mukaan dns osoite on 195.74. alkuinen, loppu ei välttämättä sama. Oli yhteys wlanin kautta tai ei.
Mitä tästä nyt sitten voi päätellä? Puhelimella dns kyselyt menee omaa reittiä? Jos ajatellaan että ihmiset käyttää vaikka kahvion wlania, siellähän voi olla ihan mikä vaan dns palvelu tarjolla. Turvallisuuden kannalta puhelimen on parempi käyttää omaansa. Vaikka itse data menisikin wlanin kautta.
 
Mitä tästä nyt sitten voi päätellä? Puhelimella dns kyselyt menee omaa reittiä?
Siltä vaikuttaa. Luulisi, että jos puhelimen mobiilidatan laittaa pois päältä, se käyttäisi pelkkää wlania ja reitittimen antamia vaihtoehtoja. Tosin normi-Firefoxin kanssa sen DoH on päällä, eikä UI:lla sitä näy ollenkaan. Beta-versiolla voi säätää about:config :in kautta jos osaa.

Kyse on luottamuksesta, mihin luottaa vähiten: verkkoon (reitittimeen), puhelimen valmistajaan vai sen käyttäjään.
Kotiolosuhteissa jollakin voi olla luottamus suurin reitittimeen ja clientit joutuvat taipumaan sen dominanssiin, jos ylipäätään internetiin pääsevät.
Kahvilassa taas omaan puhelimeen luotto on suurin, ja kaikki liikenne pitäisi mennä oman VPN:n yli, vähintään turvallisen DNS-ratkaisun kautta.
Jos puhelin, selain tms. tekee jotain ikävää tai varomatonta, mistä käyttäjä ei ole tietoinen, niin se johtaa tietysti luottamuksen menetykseen
 
Kuten jo suositeltiin, Windowsin oma Defender on riittävä, kun sen kanssa käyttää UAC-toiminnallisuutta ja maalaisjärkeä. Ihan suotta tahmauttamaan konetta näillä kaupallisilla "haittaohjelmilla", kuten Avast jne. VPN-yhteyden tarve ja siihen palveluntarjoajaan luottaminen on sitten vielä oma juttunsa.
Kokeilin tuota AVG:tä. Onkin niin että maksullinen versio tarjoaa tuon saman Creanovan mutta ilmaisversio antaa Elisan. Liekö kyse DNS suojauksesta jota tuossa ilmaisversiossa ei ole. Tuo Russia homma ei kyllä selvinnyt eikä miellytä vaikka en tiedä mistä on kyse.
 
Siltä vaikuttaa. Luulisi, että jos puhelimen mobiilidatan laittaa pois päältä, se käyttäisi pelkkää wlania ja reitittimen antamia vaihtoehtoja. Tosin normi-Firefoxin kanssa sen DoH on päällä, eikä UI:lla sitä näy ollenkaan. Beta-versiolla voi säätää about:config :in kautta jos osaa.
Eipä tullut tuo mieleen, niin oli pakko kokeilla. Eli wlan on, mobiilitiedonsiirto off, testiä... dns osoite on 195.74.2.5. Ettei sitten jäänyt johonkin välimuistiin.
Luulisi että jos mobiili firefoxissa on DoH päällä olisi cloudfaren dns osoite mitä tietokoneella tehdessä, joka on oletus jos on DoH päällä tietokoneella.
 
Kokeilin tuota AVG:tä. Onkin niin että maksullinen versio tarjoaa tuon saman Creanovan mutta ilmaisversio antaa Elisan. Liekö kyse DNS suojauksesta jota tuossa ilmaisversiossa ei ole. Tuo Russia homma ei kyllä selvinnyt eikä miellytä vaikka en tiedä mistä on kyse.

Taitavat jonkunlaista "suojausta" tarjota tuolla omalla DNS:llä. Tosin Avastin historian tuntien en tuota itse haluaisi yksityisyyssyistä käyttää.
Jos tarvetta on turvallisemmalle DNS-palvelimelle, niin kannattaa tarkistaa NextDNS. Tuolta saa myös säädettyä mitä kaikkea suodatetaan ja mahdollisuus on myös mainosten estolle.

Itse käyttäisin edelleen vaan sitä Windowsin omaa av:ta. Avastin ja AVG:n VPN:ää en taas käyttäisi, nuo taitaa logittaa aikalailla kaiken mitä irti lähtee. Eli hyöty on minimit.

Russia hommassa oli tosiaan vain kyse siitä, että F-securella on tuolle IP-osoitteelle väärät tiedot.

Taitaa olla F-securella väärät tiedot tuolle IP:lle.


Ripen mukaan on Creanovan hallinnassa.
Mikä DNS-palvelin sulla on käytössä? Tai ainakin pitäisi olla.
Ja toki jos on VPN päällä, niin se vaikuttaa.
 
Luulisi että jos mobiili firefoxissa on DoH päällä olisi cloudfaren dns osoite mitä tietokoneella tehdessä, joka on oletus jos on DoH päällä tietokoneella
Niin se kohta onkin:
Samsung S21:
Firefox 99.2.0, wlan DNS
Firefox Beta 100.0.0-beta.5, CloudFlare (wifi:n kanssa)

Mutta jos puhelin käyttää mobiiliverkon DNS:ää (aina), niin olisi kiva tietää, mikä puhelin
 
Aikamoisia virityksiä tuossa Avastissa :)
Itse olen tehnyt pfSense palomuuriin säännön, ettei DNS toimi jos menee laittamaan LAN koneen verkkokorttiin käsin vaikka Googlen DNS palvelimen 8.8.8.8.
Puhelin taas kun tippuu WLAN yhteydestä mobiiliverkkoon niin VPN menee automaattisisti päälle tuohon pfSense purkkiin eli olen aina kotiverkossa ja käytössä pfSenseen määritettyt DNS palvelimet.
 
Hmm kokeilin tota niin antaa DNS Ip xxxxxxx ja googlen mukaan intiassa toi ip. Verkossa on siis pi-hole unboundilla joten dns kyselyt pitäisi tulla sieltä eikä ulkomaailmasta.
 
Viimeksi muokattu:
Näköjää. ihme että tollee näyttää

Näyttää siksi kun sulla on oma DNS-palvelin (Resolver), eli tuo pi hole ja toki muille näkyy silloin, että kyselyt tulee liittymäsi iipparin takaa.
 
Viimeksi muokattu:
Itse ajoin tämän nyt kanssa ja ongelmia ei kuulemma ollut, kun Avast taas oli sitä mieltä että Elisan talokuidun routerissa olisi joku portti avoinna nettiin. Kumpaahan tässä sitten nyt uskoa? Toisaalta käsitteekseni Elisa tuota kai netin välityksellä päivitteleekin.
 
Itse ajoin tämän nyt kanssa ja ongelmia ei kuulemma ollut, kun Avast taas oli sitä mieltä että Elisan talokuidun routerissa olisi joku portti avoinna nettiin. Kumpaahan tässä sitten nyt uskoa? Toisaalta käsitteekseni Elisa tuota kai netin välityksellä päivitteleekin.
Ainaskin VDSL purkit jotka on Elisan "virallisia" niin näkevät jopa sen että mitkä RJ45 portit ovat aktiivisena. Pelottavan paljon näkevät tietoja noista.
 
Ainaskin VDSL purkit jotka on Elisan "virallisia" niin näkevät jopa sen että mitkä RJ45 portit ovat aktiivisena. Pelottavan paljon näkevät tietoja noista.

Laitoin Elisalle tuosta löydöksestä viestiä, mutta mitä nyt internetistä katselin tuolla reitittimen mallilla tietoja, niin en ainakaan mitään tiedotetta isommasta haavoittuvuudesta löytänyt. Sitä lähinnä tässä mietin, että voisikohan kyseinen portti olla sitten esim. se jota kautta Elisa itse noiden purkkiensa ohjelmistoja päivittää?
 
Itse ajoin tämän nyt kanssa ja ongelmia ei kuulemma ollut, kun Avast taas oli sitä mieltä että Elisan talokuidun routerissa olisi joku portti avoinna nettiin. Kumpaahan tässä sitten nyt uskoa?
Usko molempia. F-Securen Router Checkeristä kerrotaan varsin selkeästi, että se on pelkkä DNS-testi. Avoimia portteja ei skannata lainkaan, mikä kestäisi huomattavsti kauemmin.
Sitä lähinnä tässä mietin, että voisikohan kyseinen portti olla sitten esim. se jota kautta Elisa itse noiden purkkiensa ohjelmistoja päivittää?
Softapäivitykset eivät tarvitse avoimia reikiä internetistä sinun laitteeseesi. Itse tukkisin ne vaikka vuokralaitteeseen, ja ellei se onnistu, heittäisin vesilintua
 
Laitoin Elisalle tuosta löydöksestä viestiä, mutta mitä nyt internetistä katselin tuolla reitittimen mallilla tietoja, niin en ainakaan mitään tiedotetta isommasta haavoittuvuudesta löytänyt. Sitä lähinnä tässä mietin, että voisikohan kyseinen portti olla sitten esim. se jota kautta Elisa itse noiden purkkiensa ohjelmistoja päivittää?
Tämä ihan omakohtainen kokemus kun henkilöllä x ei meinannut sillatusta purkista tulla julkinen ip läpi kun käyttää parempaa kun käyttää parempaa reititintä. Tämä sillattu oli sellainen että näkivät suoraan jos käytti piuhaa irti portista tai takas että onko aktiivisena. Että missä oli laitteita kiinni niin näkivät statuksen.
 
Tämä sillattu oli sellainen että näkivät suoraan jos käytti piuhaa irti portista tai takas että onko aktiivisena. Että missä oli laitteita kiinni niin näkivät statuksen.
Koska sillattuun reitittimeen kytketyt laitteet ovat suoraan internetissä, ei niiden aktiivisena olon näkemiseksi tarvitse päästä käsiksi siihen reitittimeen. Laitteet hakevat tuossa tapauksessa suoraan IP-osoitteensa palveluntarjoajan DHCP-palvelimelta, joten ne ovat suoraan yksilöitävissä.
 
Koska sillattuun reitittimeen kytketyt laitteet ovat suoraan internetissä, ei niiden aktiivisena olon näkemiseksi tarvitse päästä käsiksi siihen reitittimeen. Laitteet hakevat tuossa tapauksessa suoraan IP-osoitteensa palveluntarjoajan DHCP-palvelimelta, joten ne ovat suoraan yksilöitävissä.
Näkivät ihan portit kun oli osittain sillattu ja osa porteista reitittävänä että ihan firmistasolta tuon näkivät. Jos käytti piuhaa irti niin käytönnässä viiveettä näkyi heillä status vikapalvelussa koneella.
 
Koska sillattuun reitittimeen kytketyt laitteet ovat suoraan internetissä, ei niiden aktiivisena olon näkemiseksi tarvitse päästä käsiksi siihen reitittimeen. Laitteet hakevat tuossa tapauksessa suoraan IP-osoitteensa palveluntarjoajan DHCP-palvelimelta, joten ne ovat suoraan yksilöitävissä.

Nuo Elisan omat reiskat/modeemit niiden omalla fimiksellä on aikalailla Elisan hallittavissa. Eli varmasti tuonkin näkee.
 
Se operaattorin hallinta on yleensä TR-069 toteutuksella ja tehty niin, ettei siihen ulkopuolelta pääse kiinni. Ainoastaan operaattorin hallintaverkosta. Ei pitäisi näkyä porttiskannauksissa siis.
 
Se operaattorin hallinta on yleensä TR-069 toteutuksella ja tehty niin, ettei siihen ulkopuolelta pääse kiinni. Ainoastaan operaattorin hallintaverkosta. Ei pitäisi näkyä porttiskannauksissa siis.

CWMP ilmoittaa Avast tuon portin palveluksi? Eli käsittääkseni juurikin johonkin tuollaiseen voisi liittyä? :hmm:

"TR-069 does however use a connection request mechanism over an open HTTP port. It’s important to note that no TR-069 messages are ever sent over this port; it is only insecure if not used for its intended purpose. It is also a best practice for devices to white-list those servers that will be using the connection request mechanism so that this interface is not abused." (qacafe.com)

Jonkun tuollaisen tekstinpätkän löysin myös, kun wikipediasta ja sen lähteistä noita TR-069 ja CWMP juttuja tutkin. Mutta itsellä ei siis näistä mitään ymmärrystä ole miten toimivat.

Ja lisätään vielä, että ilmeisesti en todellakaan ole ensimmäinen joka kyseiseen asiaan on törmännyt vaan Elisalle asiasta on raportoinut jo vuosia aiemmin pari muutakin käyttäjää, joihin aikalailla ainoa vastaus on ollut, että "Elisalla TR-069:ää hyödynnetään salatun https-yhteyden kautta".
 
Viimeksi muokattu:

Statistiikka

Viestiketjuista
261 360
Viestejä
4 536 020
Jäsenet
74 793
Uusin jäsen
Sasu Heikkilä

Hinta.fi

Back
Ylös Bottom