Jump to content

Человек в команде может авторизоваться в веб-интерфейсе роутера с правами администратора не зная пароль


Recommended Posts

Добавляем роутер, авторизовываем его, добавляем человека в команду, через иконку "открыть веб-интерфейс" этот человек имеет полный доступ к роутеру. 

 

Пересекается с темами

Доступ к веб-интерфейсу даже, если он запрещён
Человек в команде может авторизовывать роутеры
 

 

Edited by 3-50
Link to comment
Share on other sites

  • 3-50 changed the title to Человек в команде может авторизоваться в веб-интерфейсе роутера с правами администратора не зная пароль
22 часа назад, 3-50 сказал:

Добавляем роутер, авторизовываем его, добавляем человека в команду, через иконку "открыть веб-интерфейс" этот человек имеет полный доступ к роутеру. 

 

Пересекается с темами

Доступ к веб-интерфейсу даже, если он запрещён
Человек в команде может авторизовывать роутеры
 

 

Все верно, если вы расшарили устройство члену команды, ему открыт доступ в вэб-интерфейс устройства. 

То есть, вы например администратор сети и у вас есть еще администраторы, которые могут администрировать эти же устройства. То есть доступ им также открыт напрямую. 

Link to comment
Share on other sites

12 минуты назад, Julia Rybakova сказал:

Все верно, если вы расшарили устройство члену команды, ему открыт доступ в вэб-интерфейс устройства. 

То есть, вы например администратор сети и у вас есть еще администраторы, которые могут администрировать эти же устройства. То есть доступ им также открыт напрямую. 

1. Права у человека "Can view", полный администраторский доступ это не "может смотреть", это "может сломать вообще всё к чёртовой матери".

image.png.cdc0d2e27785b14a7bba3c28bdbf2601.png

2. Приглашённый не обязательно может быть администратором, это может быть секретарь, которая если видит, что роутер исчез из сети, то значит нужно звонить провайдеру и узнавать в чём дело.

3. Это может быть подчинённый администратора задача, которого мониторить сеть, но не лезть в настройки, поэтому прав у него нет и не должно быть.

4. А если злоумышленник каким-то образом перехватили ссылку (поправьте, если ошибаюсь, но кажется линк приглашения не динамический) или получили доступ к компу приглашённого?

Вы этой кнопочкой огромную брешь в безопасности создали.

Edited by 3-50
Link to comment
Share on other sites

  • 2 weeks later...
В 29.06.2021 в 15:42, Julia Rybakova сказал:

Все верно, если вы расшарили устройство члену команды, ему открыт доступ в вэб-интерфейс устройства. 

То есть, вы например администратор сети и у вас есть еще администраторы, которые могут администрировать эти же устройства. То есть доступ им также открыт напрямую. 

Это в корне неверное поведение! Can view - это только мониторинг без управления.

Но кто бы не зашел в RMM, в веб-интерфейс роутера всё равно необходимо авторизовываться. Разрешения автоматически авторизовываться RMM не запрашивал, никому такого права не должно быть предоставлено.

Как всегда начинает страдать безопасность... Сначала надо делать безопасно, а потом думать как упростить. А не всё открыть, а потом по сообщениям на форуме прикрывать дыры.

Link to comment
Share on other sites

On 6/29/2021 at 3:54 PM, 3-50 said:

Права у человека "Can view", полный администраторский доступ это не "может смотреть", это "может сломать вообще всё к чёртовой матери".

On 7/9/2021 at 6:48 PM, realAndrei said:

Это в корне неверное поведение! Can view - это только мониторинг без управления.

Был неточный текст, поправили. На текущий момент RMM сделал с шерингом на полный доступ. Ваше право им не пользоваться

 

On 6/29/2021 at 3:54 PM, 3-50 said:

Приглашённый не обязательно может быть администратором, это может быть секретарь, которая если видит, что роутер исчез из сети, то значит нужно звонить провайдеру и узнавать в чём дело.

On 6/29/2021 at 3:54 PM, 3-50 said:

Это может быть подчинённый администратора задача, которого мониторить сеть, но не лезть в настройки, поэтому прав у него нет и не должно быть.

Уровни доступа в работе

 

On 6/29/2021 at 3:54 PM, 3-50 said:

А если злоумышленник каким-то образом перехватили ссылку (поправьте, если ошибаюсь, но кажется линк приглашения не динамический) или получили доступ к компу приглашённого?

Да, на текущий момент ссылка пока статичная. Но человеческий фактор никто не отменял и мы не можем ограничить доступ в компьютеру приглашенного. А если человек получить доступ к железке? А если в линию кто-то сможет врезаться? А если пароль поставить admin/admin?

 

On 6/29/2021 at 3:54 PM, 3-50 said:

Вы этой кнопочкой огромную брешь в безопасности создали.

On 7/9/2021 at 6:48 PM, realAndrei said:

Но кто бы не зашел в RMM, в веб-интерфейс роутера всё равно необходимо авторизовываться. Разрешения автоматически авторизовываться RMM не запрашивал, никому такого права не должно быть предоставлено.

Это не брешь в безопасности. Мы исходим из того, что администраторы, люди умные и не будут давать кому попало доступ, тем более через открытые каналы. С таким же успехом можно сказать, вы создали брешь, сделав возможным добавлять сети в RMM. А если от вашего Keenetic Account кто-нибудь получит доступ?

В целом, свои предложения можете высказывать в ветке с предложениями, возможно нужно внедрить на уровне RMM дополнительный этап валидации инвайта – пароль, который можно послать по другому каналу связи с приглашаемым и еще одноразовую ссылку (но ее опять могу перехватить). К почте, телеграму и вообще к телефону приглашаемого может иметь доступ злоумышленник и вы никак об этом не узнаете. А если у человека включены уведомления на телефоне? Или телефон без пароля? Нету блокировки спустя 15 секунд бездействия?

 

В целом, коллеги, вопросов больше чем ответов и в наших руках сделать удобный и максимально безопасный сервис вместе. Не забывайте, что сейчас бета версия сервиса

Link to comment
Share on other sites

Еще добавлю, для большего контроля безопасности, мы добавили уведомления в Телеграм о новых юзерах в вашей команде и поэтому если вы переживаете про перехват постоянной ссылки на инвайт людей, то телеграм уведомление вам поможет быстро среагировать на внештатную ситуацию и в будущем перегенерировать ссылку и удалить участника команды

  • Upvote 1
Link to comment
Share on other sites

В 13.07.2021 в 17:31, Evgeny Korytov сказал:

Еще добавлю, для большего контроля безопасности, мы добавили уведомления в Телеграм о новых юзерах в вашей команде и поэтому если вы переживаете про перехват постоянной ссылки на инвайт людей, то телеграм уведомление вам поможет быстро среагировать на внештатную ситуацию и в будущем перегенерировать ссылку и удалить участника команды

Нет, ситуация совсем другая. Есть "главный" админ, который настраивает роутеры и отвечает за них. А есть "местные" админы, которые должны видеть все роутеры с разных локаций, получать уведомления, что нет сети, мониторить нагрузку и т.д., решать проблемы с каналом, но не менять настройки роутеров.

Получается сейчас либо всё делает один человек, либо все имеют доступ и концов не найдешь. Банально, имея доступ к веб-интерфейсу, админ может создать пользователя и никакого уведомления нигде не будет... Потом он уволится, а доступы к роутерам у него остались, о которых никто и не знал.

И не утверждайте, что это не брешь в безопасности, что в команду добавляются сотрудники осознанно. Да, но потом они увольняются. Средств мониторинга за деятельностью сотрудников нет, информирования о добавлении пользователей в роутерах тоже нет.

Link to comment
Share on other sites

@realAndrei, сделают со временем:

Разработка уровней доступа в процессе и не возможность перейти бесшовно в админку тоже в процессе, после этого такая возможность будет.

Edited by 3-50
Link to comment
Share on other sites

15 часов назад, 3-50 сказал:

@realAndrei, сделают со временем:

Разработка уровней доступа в процессе и не возможность перейти бесшовно в админку тоже в процессе, после этого такая возможность будет.

Понятно что сделают что-то... Вопрос в том, чтобы были учтены все сценарии использования.

Ранее я писал предложение, кратко - сделать группы роутеров (или даже сетей) и группы пользователей, и настраивать доступ использую их.

Ведь мало того, что нужно read-only для каких-то пользователей (групп пользователей), так еще и чтобы видели не все роутеры (сети).

Link to comment
Share on other sites

В 15.07.2021 в 11:58, realAndrei сказал:

Понятно что сделают что-то... Вопрос в том, чтобы были учтены все сценарии использования.

Ранее я писал предложение, кратко - сделать группы роутеров (или даже сетей) и группы пользователей, и настраивать доступ использую их.

Ведь мало того, что нужно read-only для каких-то пользователей (групп пользователей), так еще и чтобы видели не все роутеры (сети).

Действительно, мы прорабатываем разные сценарии, которые возможны для случаев 1/2...х команд, сетей и членов команды, так же как и уровни доступа. Если вы опубликовали в разделе Развитие это предложение - то мы дополнительно смотрим кол-во проголосовавших. Мы понимаем, что это может быть удобно и ценно для вас. 

Link to comment
Share on other sites

7 часов назад, Julia Rybakova сказал:

Действительно, мы прорабатываем разные сценарии, которые возможны для случаев 1/2...х команд, сетей и членов команды, так же как и уровни доступа. Если вы опубликовали в разделе Развитие это предложение - то мы дополнительно смотрим кол-во проголосовавших. Мы понимаем, что это может быть удобно и ценно для вас. 

Если вы в развитие переносите ошибку сохранения количества отображаемых записей, то это о многом говорит... Добавить целую строку кода сохранения параметра - это же развитие-развитие, даже сроки назвать не можете.

Вы точно делаете что-то из пожеланий пользователей? Пока ни на одно предложение нет сроков, на многие нет даже ответов...

Вот встречный вопрос вам - вы прорабатываете-прорабатываете, а когда выложите ваши варианты для обсуждения? Толку от вашей проработки, если делать будете из предложений? Или наоборот, толку от предложений, если делать будете то, что сами придумаете?

Link to comment
Share on other sites

12 часа назад, realAndrei сказал:

Если вы в развитие переносите ошибку сохранения количества отображаемых записей, то это о многом говорит... Добавить целую строку кода сохранения параметра - это же развитие-развитие, даже сроки назвать не можете.

Вы точно делаете что-то из пожеланий пользователей? Пока ни на одно предложение нет сроков, на многие нет даже ответов...

Вот встречный вопрос вам - вы прорабатываете-прорабатываете, а когда выложите ваши варианты для обсуждения? Толку от вашей проработки, если делать будете из предложений? Или наоборот, толку от предложений, если делать будете то, что сами придумаете?

Мы не планируем переносить ошибки. Мы смотрим и учитываем пожелания пользователей.

Наша команда работает над развитием сервиса и над баг фиксингом, которые находят. Это требует время. Спасибо за понимание. 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...