Huawei a ZTE jsou bezpečnostní hrozbou

[Gemb]

To by som chcel vidiet teda ako chcu donutit operatorov aby vymenili hua a zte za daco ine, hlavne teda tych velkych. Ved natom maju core siete....pri takom gpone ktory je skoro u kazdeho na hua.... Za co taky gpon zmigruju ked nie zte a huawei? To by museli obehat v podstate stovky tisic klientov kvoli vymene....nerealne. Zas si kamarati z USA vymysleli picovinu....

a ja bych docela i trval na prisne kontrole a vymene , alespopn se jim malinko prodrazi ten jejich zazracnej 5G inet

To je fajn ale aj vela mensich ISP pouziva huaweii na GPON. Potom by sa to predrazilo aj im.

[reset]

ono spise zalezi ktery prvky v siti jsou tak nejak "zneuzitelny" , ale kdyz se kaci les ...

[Gemb]

ono spise zalezi ktery prvky v siti jsou tak nejak "zneuzitelny" , ale kdyz se kaci les ...

V tomto momente si myslim, ze sa neriesi ktore prvky ale len to, ze to ma nalepku Huawei/ZTE a nic ine sa neriesi

[Sidi]

To je zas haló. Intelácký IME nikomu nevadí, NSA je taky OK, pochybný/nezabezpečený skladování ISP dat za posledních 6 měsíců není problém ... někdo někdo něco plácne o huawei a všichni se z toho můžou po....t.

Opravdu důležitý přenosy nešifruje jen blázen, takže ať si pohrajou s tou hromadou šifrovaných dat ... stejně to je jen špinavej konkurenční boj přenesenej na vyšší level

[johnson]

Já nevím, proč tolik paniky. Stalo se snad dobrým zvykem core hw nepovolovat přístup do netu. U nás v síti nemají nastavenou ani defaultni gw. Jak to potom data může poslat ven?

[TTcko]

Odstínit to můžeš, ale zařízení může třeba reagovat na speciální paket, co pošleš zevnitř sítě..

[Sidi]

Odstínit to můžeš, ale zařízení může třeba reagovat na speciální paket, co pošleš zevnitř sítě..

U nás mají páteřní prvky extra rozsah, ten je mimo internet a mimo vnitřní síť. Takže jedinej způsob jak se k němu dostat je zavirovaný jedno z pár povolených PC (který maj až paranoidní zabezpečení).

I kdyby jednotliví výrobci chtěli na "svoje" zařízení, tak to nějakej automatickej skript nezvládne ...

[hapi]

standardní cestou určitě ne. Umím si živě představit to co popisuje TTcko. Přes ty prvky stále teče provoz který teče do internetu takže proč by si tak namakaná krabička nemohla do provozu přimixovat cokoliv a pak cokoliv zase vytahnout pro svojí potřebu.

[Selič]

standardní cestou určitě ne. Umím si živě představit to co popisuje TTcko. Přes ty prvky stále teče provoz který teče do internetu takže proč by si tak namakaná krabička nemohla do provozu přimixovat cokoliv a pak cokoliv zase vytahnout pro svojí potřebu.

Zvládne to levou zadní - odsniffuje si provoz, zjistí bránu a podvrhne pakety, aby se tvářily jako od nějakého klienského zařízení a pak si odpovědi z netu opět odfiltruje. Prostě variace man in the middle útoku.
Pokud přes to jede PPPoE nebo nějaký tunel je to obtížnější, ale taky řešitelné.
Oddělení správy nic neřeší, pokud je breberka v daném zařízení.

[TTcko]

Mno, uvnitř sítě máš zotročený stroj, který začne posílat pakety, obsah těch paketů v takovém, byť odstíněném zařízení vyměníš .. takže se sice navenek komunikace tváří jako mezi PC-PRC, ale ve skutečnosti data uvnitř paketů patří tomu routeru, který komunikaci zprostředkovává.

edit: byls rychlejší .. a MITM je složitější pokud je to šifrovaná komunikace. Dneska v podstatě nezměníš, pokud je DNSSEC, HTTPS, HSTS ...

[rsaf]

Neříkám že to je nemožné nebo že se to neděje. Tak jednoduché to ale taky nebude. Ono něco filtrovat a nějak s něčím cvičit na boxu, kde běží velký provoz není úplně easy - packet se kterým se má pracovat by musel mít nějaké naprosto jednoznačné znaky, aby na ně šel udělat jednoduchý ACL/filtr v hardware...

[fujara]

Stalo se snad dobrým zvykem core hw nepovolovat přístup do netu.

No neviem si predstavit ze core-router na 10G linke nema nastavenu gateway, tak ako aj vsetky routre ktore su v NIX-e/SIX-e. Dovodov na paniku je myslim dost, hlavne ked na silnej linke nemas moznost odsledovat co sa kde posiela.
https://www.lupa.cz/clanky/stat-nasadil ... rsd-a-cez/

[honzam]

http://www.internetprovsechny.cz/afera- ... operatora/

[halamicek]

Konečně zajímavý a nezaujatý článek

[honzam]

https://connect.zive.cz/clanky/nukib-vy ... fault.aspx