Grandstream HT814 po resetu do tovární nastavení přestane fungovat

[xsouku04]

Dnes jsem vyplýtval hodinu času, než po resetování do továrního nastavení nechtěl fungovat adaptér  HT814.

 

image.png (326.73 KiB) Zobrazeno 33 x

Do továrního nastavení jsem jej resetoval, protože zákazník k němu neznal heslo.

Vypadá to ale,  že restartem do továrního nastavení se nahraje nějaký prehistorický firmware, který nefunguje. SIP se vůbec nepřihlásí.
Řešení je nastavit adresu pro stahování firmware na firmware.grandstream.com a změnit protokol z https na http, protože Grandstream https dost možná nepodporuje. Pak se po restartu provede upgrade firmware.

Poté SIP registrace začne fungovat, ale  jste donuceni si změnit heslo. Aby mělo alespoň 8 znaků, jedno velké písmeno a jednu číslici.
A  tím se cyklus uzavírá.  Heslo můžete zapomenut a časem to celé kolečku budete nuceni zopakovat.
Totiž důvod proč tam někdo dal to heslo bude, že jej k tomu Grandstream donutil se svým novým firmware, když starý firmware nefungoval.


Když vás tedy Grandstream donutí změnit heslo a nevyužíváte funkci routeru (je to tak lepší), je pak dobré zařízení přepnout zařízení do režimu Bridge. Čímž vypnete funkci routeru a dva porty se pak chovají jako switch.

image.png (92.45 KiB) Zobrazeno 77 x

Konfiguraci je pak možné provádět z libovolného zařízení v lokální síti a není tak nutné připojovat notebook do portu LAN. Což je pro mnohé uživatele velká komplikace.
 
 

[alfi]

Poté SIP registrace začne fungovat, ale  jste donuceni si změnit heslo. Aby mělo alespoň 8 znaků, jedno velké písmeno a jednu číslici.
A  tím se cyklus uzavírá.  Heslo můžete zapomenut a časem to celé kolečku budete nuceni zopakovat.
Totiž důvod proč tam někdo dal to heslo bude, že jej k tomu Grandstream donutil se svým novým firmware, když starý firmware nefungoval.


 

Vynutit netriviální heslo je základní security pravidlo - nechat výchozí heslo je díra, která může majitele nebo vás jako provozovatele stát dost peněz na fraudových hovorech, i v LAN síti V případě takového hw je vhodné to heslo napsat přímo na něj
 
 

[xsouku04]

Poté SIP registrace začne fungovat, ale  jste donuceni si změnit heslo. Aby mělo alespoň 8 znaků, jedno velké písmeno a jednu číslici.
A  tím se cyklus uzavírá.  Heslo můžete zapomenut a časem to celé kolečku budete nuceni zopakovat.
Totiž důvod proč tam někdo dal to heslo bude, že jej k tomu Grandstream donutil se svým novým firmware, když starý firmware nefungoval.

 

Vynutit netriviální heslo je základní security pravidlo - nechat výchozí heslo je díra, která může majitele nebo vás jako provozovatele stát dost peněz na fraudových hovorech, i v LAN síti V případě takového hw je vhodné to heslo napsat přímo na něj

 

Spíše než nutit lidi do hodně obskurních hesel, které si nejde pamatovat, je lepší omezit počet neplatných pokusů o přihlášení.  Např. pětkrát špatně a konec, pak pro další pokusy je nutné zařízení restartovat, což ale útočník na dálku neudělá. Vždyť i vaší platební kartě stačí čtyřmístný pin, navíc jej při placení ani často nechtějí.  Dlouhá neslovníková hesla má smysl volit jen v případě, že heslo máte zašifrované na disku , kterého se může někdo zmocnit a pak jej hrubou silou dešifrovat. Ve všech ostatních případech je to nesmysl, snadnější je omezit počet pokusů.
Stejný nesmysl je vyžadovat velké písmeno a číslice či další často problematické znaky.  Bezpečnost hesla mnohem více určuje délka hesla a to, že se heslo nedá odvodit pomocí slovníků nebo z databáze nejčastěji používaných hesel, než vynucené nesmyslné znaky.  Tedy tak nějak všechno špatně. Zjevně nějaký manažer po bezpečnostních průšvizích začal vyvíjet činnost.  Taky zde mohla být možnost, zařízení odemykat po telefonu, což by mohlo jít vypnout, stále je to mnohem bezpečnější než defaultní přihlašovací údaje.


Problém bývá hlavně to, když webové stránky umožní získat SIP údaje ze zařízení. Což je obecná chyba výrobce, bez ohledu na to, jaké je heslo. Také problém bývá to, když kromě přihlašovacího jména admin, existuje ještě přihlašovací jméno "user", na které všichni, včetně výrobce zapomenou že existuje. Ale jde na něm přesměrovat hovory, někdy i vytáčet nové hovory.

[alfi]

Spíše než nutit lidi do hodně obskurních hesel, které si nejde pamatovat, je lepší omezit počet neplatných pokusů o přihlášení.  Např. pětkrát špatně a konec, pak pro další pokusy je nutné zařízení restartovat, což ale útočník na dálku neudělá. Vždyť i vaší platební kartě stačí čtyřmístný pin, navíc jej při placení ani často nechtějí.  Dlouhá neslovníková hesla má smysl volit jen v případě, že heslo máte zašifrované na disku , kterého se může někdo zmocnit a pak jej hrubou silou dešifrovat. Ve všech ostatních případech je to nesmysl, snadnější je omezit počet pokusů.
Stejný nesmysl je vyžadovat velké písmeno a číslice či další často problematické znaky.  Bezpečnost hesla mnohem více určuje délka hesla a to, že se heslo nedá odvodit pomocí slovníků nebo z databáze nejčastěji používaných hesel, než vynucené nesmyslné znaky.  Tedy tak nějak všechno špatně. Zjevně nějaký manažer po bezpečnostních průšvizích začal vyvíjet činnost.  Taky zde mohla být možnost, zařízení odemykat po telefonu, což by mohlo jít vypnout, stále je to mnohem bezpečnější než defaultní přihlašovací údaje.

 

Odborná komunita to vidí jinak https://sisa.ai/resource/blog/the-owasp ... igate-them, https://cheatsheetseries.owasp.org/chea ... Sheet.html . Ano, vyžadování velkých znaků nejspíš odpovídá době vzniku firmwaru..

There should be no requirement for upper or lower case or numbers or special characters.

 
 

[xsouku04]

A na to, že měnit heslo každé tři měsíce nic neřeší, ti experti už přišli ?

No problém dnešní doby je to, že na všechno jsou dneska specialisti. A pokud je někdo "specialita" na bezpečnost, tak z tohoto pohledu jsou dlouhá a obskurní hesla, pravidelně měněná, vždy lepší než krátká jednodušší hesla. Protože neuvažují problémy, které tyto doporučení způsobí běžný uživatelům a lidem, kteří jim dělají podporu. A způsobům jak tyto problémy budou lidé pravděpodobně obcházet. (např. všude budou používat stejné heslo). Podobně se jim může zdát, že povinnost měnit heslo každé tři měsíce bezpečnost zlepší, ve skutečnosti ji zhorší.

Problém ale je, že tento specialista neumí a nechce vzít v úvahu to, že velká část uživatelů, často starších lidí, má problém už třeba s tím dlouhé obskurní heslo správně opsat. Natož si jej někam poznačit a vzpomenout si/najít kde jej mají. 

Je samozřejmě rozdíl, když se týká o zabezpečení třeba nějaké větší firmy a VoIP zařízení domácího uživatele, např. důchodce. Tam by opravdu stačilo pro otevření webové stránky zavolat nějaké speciální telefonní číslo, nebo i relativně slabé heslo s kontrolou počtu pokusů. Samozřejmě za předpokladu, že zařízení není na veřejné adrese. Přecijen webové stránky vašeho VoIP zařízení nepotřebují zabezpečení bankovního účtu. Možnost zapnout si větší bezpečnostní politiku by tam být mohla.

To že většina systémů neblokuje hádání hesel hrubou silou  a místo toho klade až nesmyslné požadavky na uživatele považuji za bezpečnostní chybou. Protože je to změna na jediném místě, která dá minimum práce a nikoho moc neobtěžuje. No "experti" na to možná přijdou třeba až za 30 let. Stejně jak jim trvalo 20 let přijít na to, že podivné znaky v hesle také nic neřeší, protože hesla delší o jeden znak obskurní znaky více než nahradí a je to uživatelsky přívětivější.