Grandstream HT814 po resetu do tovární nastavení přestane fungovat

[xsouku04]

Dnes jsem vyplýtval hodinu času, než po resetování do továrního nastavení nechtěl fungovat adaptér  HT814.

 

image.png (326.73 KiB) Zobrazeno 16 x

Do továrního nastavení jsem jej resetoval, protože zákazník k němu neznal heslo.

Vypadá to ale,  že restartem do továrního nastavení se nahraje nějaký prehistorický firmware, který nefunguje. SIP se vůbec nepřihlásí.
Řešení je nastavit adresu pro stahování firmware na firmware.grandstream.com a změnit protokol z https na http, protože Grandstream https dost možná nepodporuje. Pak se po restartu provede upgrade firmware.

Poté SIP registrace začne fungovat, ale  jste donuceni si změnit heslo. Aby mělo alespoň 8 znaků, jedno velké písmeno a jednu číslici.
A  tím se cyklus uzavírá.  Heslo můžete zapomenut a časem to celé kolečku budete nuceni zopakovat.
Totiž důvod proč tam někdo dal to heslo bude, že jej k tomu Grandstream donutil se svým novým firmware, když starý firmware nefungoval.


Když vás tedy Grandstream donutí změnit heslo a nevyužíváte funkci routeru (je to tak lepší), je pak dobré zařízení přepnout zařízení do režimu Bridge. Čímž vypnete funkci routeru a dva porty se pak chovají jako switch.

image.png (92.45 KiB) Zobrazeno 60 x

Konfiguraci je pak možné provádět z libovolného zařízení v lokální síti a není tak nutné připojovat notebook do portu LAN. Což je pro mnohé uživatele velká komplikace.
 
 

[alfi]

Poté SIP registrace začne fungovat, ale  jste donuceni si změnit heslo. Aby mělo alespoň 8 znaků, jedno velké písmeno a jednu číslici.
A  tím se cyklus uzavírá.  Heslo můžete zapomenut a časem to celé kolečku budete nuceni zopakovat.
Totiž důvod proč tam někdo dal to heslo bude, že jej k tomu Grandstream donutil se svým novým firmware, když starý firmware nefungoval.


 

Vynutit netriviální heslo je základní security pravidlo - nechat výchozí heslo je díra, která může majitele nebo vás jako provozovatele stát dost peněz na fraudových hovorech, i v LAN síti V případě takového hw je vhodné to heslo napsat přímo na něj
 
 

[xsouku04]

Poté SIP registrace začne fungovat, ale  jste donuceni si změnit heslo. Aby mělo alespoň 8 znaků, jedno velké písmeno a jednu číslici.
A  tím se cyklus uzavírá.  Heslo můžete zapomenut a časem to celé kolečku budete nuceni zopakovat.
Totiž důvod proč tam někdo dal to heslo bude, že jej k tomu Grandstream donutil se svým novým firmware, když starý firmware nefungoval.

 

Vynutit netriviální heslo je základní security pravidlo - nechat výchozí heslo je díra, která může majitele nebo vás jako provozovatele stát dost peněz na fraudových hovorech, i v LAN síti V případě takového hw je vhodné to heslo napsat přímo na něj

 

Spíše než nutit lidi do hodně obskurních hesel, které si nejde pamatovat, je lepší omezit počet neplatných pokusů o přihlášení.  Např. pětkrát špatně a konec, pak pro další pokusy je nutné zařízení restartovat, což ale útočník na dálku neudělá. Vždyť i vaší platební kartě stačí čtyřmístný pin, navíc jej při placení ani často nechtějí.  Dlouhá neslovníková hesla má smysl volit jen v případě, že heslo máte zašifrované na disku , kterého se může někdo zmocnit a pak jej hrubou silou dešifrovat. Ve všech ostatních případech je to nesmysl, snadnější je omezit počet pokusů.
Stejný nesmysl je vyžadovat velké písmeno a číslice či další často problematické znaky.  Bezpečnost hesla mnohem více určuje délka hesla a to, že se heslo nedá odvodit pomocí slovníků nebo z databáze nejčastěji používaných hesel, než vynucené nesmyslné znaky.  Tedy tak nějak všechno špatně. Zjevně nějaký manažer po bezpečnostních průšvizích začal vyvíjet činnost.  Taky zde mohla být možnost, zařízení odemykat po telefonu, což by mohlo jít vypnout, stále je to mnohem bezpečnější než defaultní přihlašovací údaje.


Problém bývá hlavně to, když webové stránky umožní získat SIP údaje ze zařízení. Což je obecná chyba výrobce, bez ohledu na to, jaké je heslo. Také problém bývá to, když kromě přihlašovacího jména admin, existuje ještě přihlašovací jméno "user", na které všichni, včetně výrobce zapomenou že existuje. Ale jde na něm přesměrovat hovory, někdy i vytáčet nové hovory.

[alfi]

Spíše než nutit lidi do hodně obskurních hesel, které si nejde pamatovat, je lepší omezit počet neplatných pokusů o přihlášení.  Např. pětkrát špatně a konec, pak pro další pokusy je nutné zařízení restartovat, což ale útočník na dálku neudělá. Vždyť i vaší platební kartě stačí čtyřmístný pin, navíc jej při placení ani často nechtějí.  Dlouhá neslovníková hesla má smysl volit jen v případě, že heslo máte zašifrované na disku , kterého se může někdo zmocnit a pak jej hrubou silou dešifrovat. Ve všech ostatních případech je to nesmysl, snadnější je omezit počet pokusů.
Stejný nesmysl je vyžadovat velké písmeno a číslice či další často problematické znaky.  Bezpečnost hesla mnohem více určuje délka hesla a to, že se heslo nedá odvodit pomocí slovníků nebo z databáze nejčastěji používaných hesel, než vynucené nesmyslné znaky.  Tedy tak nějak všechno špatně. Zjevně nějaký manažer po bezpečnostních průšvizích začal vyvíjet činnost.  Taky zde mohla být možnost, zařízení odemykat po telefonu, což by mohlo jít vypnout, stále je to mnohem bezpečnější než defaultní přihlašovací údaje.

 

Odborná komunita to vidí jinak https://sisa.ai/resource/blog/the-owasp ... igate-them, https://cheatsheetseries.owasp.org/chea ... Sheet.html . Ano, vyžadování velkých znaků nejspíš odpovídá době vzniku firmwaru..

There should be no requirement for upper or lower case or numbers or special characters.