modem routeur inventel DW-B 200 : faille de sécurité!!!

[stockerz]

bonjour,

Lors d'une opération commerciale Wanadoo, j'ai acheté un routeur modem adsl WIFI DW-B 200.
Ce routeur fait beaucoup de chose mais certains services semblent ne pas fonctionner et plus grave encore, des failles de sécurité béantes semblent aussi le caractériser.

Je m'explique:
Je viens de monter un serveur web apache sur l'une de mes machine, enregistré un nom de domaine et le but est donc de paramétrer le routeur inventel pour que des clients puissent se connecter à mon seveur http.
Donc : je paramètre le soft client NO-IP du routeur et entre les paramètres de routage NAT. Je teste ensuite dans mon navigateur www.mondomaine.net... et là : je me retrouve sur le page web d'administration du routeur inventel!!!!!!!!
étonné, j'essaie http://80.*.*.* (IP public de mon routeur) et là : évidemment même chose : me voilà sur l'interface d'administration du routeur!

Et d'un, il semble que le routage NAT n'ai pas fonctionné mais en plus, je découvre que l'on peut se logger sur l'interface d'administration du routeur à partir de son adresse IP public WAN..... cela me semble complétement abérrant du point de vue sécurité. cela fait trois mois que n'importe qui peut accéder à l'administration de mon routeur comme s'il était en face de ma machine, dans ma chambre (à condition d'avoir le mot de passe heureusement). On contôlant le routeur, on peut faire sauter le firewall et accéder à des services tel que mon serveur de fichiers NFS, telnet, etc... a quoi bon utiliser des systèmes BSD si wanadoo distribue du matériel pareil?!?

Au fait : il y a une autre faille de sécurité sur ces modem routeur inventel. lors de la procédure d'intégration d'un client WIFI au réseau, à un moment, je me voie demander un log et un passwd.... apreès avoir essayé plusieur combinaisons, c'est le log et le pass de l'administrateur du routeur qui passe! En plus, de mesures de sécurité assez importantes comme la clé WEP, et l'association (qui sont tout à fait satisfaisant), pourquoi divulger à ses clients les clés du routeur : stupide et sans intéret!
mais c'est pas fini !!! : lorsque le client wifi entre le log et le mot de passe de l'admin, ceux-ci sont par la suite réinitialisés!!! Lors d'une tentative ultérieur de connection à la page d'administration du routeur, les logs et passwd était ceux d'usine : admin, admin.... RIDICULE! et sans compter que ce qu'ils appelle "wireless magic" se résume à une portée de 5 mètres!

Je suis peut être paraoiaque, mais ces constatations semblent démontrer que ce produit et de la M.... Et france telecom les distribue à tout va.

Si vous possédez ce type de modem : vérifiez et faites savoir si vous avez les mêmes pbs.
Pour ma part, je vais me racheter un autre modem routeur.

[michel2607]

Bonjour,

As-tu essayé depuis le Wan ou le Lan ? Il me semble que depuis le Wan tu verra bine ton serveur et pas le routeur

A+

[Methos_Hi]

C'est tout à fait çà. Le NAT ne fonctionne toujours que depuis le WAN. Si depuis le LAN, tu utilises l'adresse IP public ou privée de ton routeur c pareil. Le routeur sait que c'est une requête locale et à aucun moment la requête part vers le wan pour revenir. Lorsque elle arrive au niveau du routeur, ce dernier sait que c'est pour lui. Les règles de NAT WAN vers LAN ne peuvent donc pas s'appliquer.


çà fait au moins dix fois que je raconte çà sur ixus. c'est lassant.

[stockerz]

ok, je viens de faire le test : un ami s'est connecté à mon URL et à réussi à afficher les pages de mon serveur web...
Vous avez raison : il ne faut pas faire les tests depuis son propre LAN mais du WAN...

Donc, je dois admettre avoir été un peu dur avec inventel sur ce coup là... mais bon, reste les bug du wifi. LOL