Inhoud:
Etappe 0: De kabel werkt nauwelijks meer
Etappe 1: Installeer de hardware
Etappe 2: De software kant bij Linux (1) -
het modem geeft de geest
Etappe 3: De software kant bij de iMac
Etappe 4: Een beetje spelen
Etappe 5: De software kant bij Linux (2)
Snelheid
Veiligheid
Postscript: Een ISA kaart
Etappe 0:
De kabel werkt nauwelijks meer
De UPC kabel service gaat zo snel bergafwaarts dat er nauwelijks
meer mee te werken valt.
ADSL / Mxstream aangevraagd en twee weken later het pakket ontvangen.
Etappe 1:
Installeer de hardware
De KPN heeft zeer veel informatie bijgesloten, allemaal van
het wollige, waardeloze soort. Eigenlijk zegt al die informatie alleen:
"de telefoonleiding die het huis binnenkomt mag geen aftakkingen
hebben voor het punt waar de splitter gemonteerd wordt;
monteer de splitter bij het eerste telefoonstopcontact, of
als dat er niet is knip de kabel door voor het eerste contact".
Helaas woon ik in een oud huis, en in de meterkast tref ik
een wirwar van draden aan. Kabel doorgeknipt, splitter gemonteerd,
in de Primafoonwinkel een verlengsnoer gekocht en van meterkast
naar computerkamer gelegd, modem verbonden met computer en
verlengsnoer. Klaar.
Twee opmerkingen:
1A. Het pakket bevat een tang om RJ11 stekkertjes te verbinden
met een telefoonsnoer. Helaas werkt die tang alleen met een
plat snoer, en het snoer in mijn meterkast is rond.
Het lijkt erop dat de isolatie van de aders iets te dik is,
en deze aders daarom niet in het stekkertje passen. Twee pogingen
een stekkertje te bevestigen mislukken, en dit kost twee stekkertjes.
Maar de aders ontdaan van isolatie passen wel, en de laatste twee
stekkertjes worden succesvol geinstalleerd.
(Controle: na monteren van de splitter doet de telefoon het weer.)
1B. In de Primafoonwinkel vraag ik om snoer van splitter naar modem,
en krijg een plat snoer (met RJ11 stekkertjes aan de uiteinden).
Er was ook ISDN snoer met RJ45 stekkers, kennelijk niet van toepassing.
Later, nadat dit snoer allang is gelegd, zegt iemand van een helpdesk:
"kabel tussen splitter en modem moet rond zijn, minstens CAT3",
en www.mxstream.nl/support
zegt dat alleen een CAT5 kabel gebruikt kan worden.
Het lijkt erop dat de Primafoonwinkel een verkeerd snoer geleverd heeft
(en dat de KPN verzuimd heeft de aan dit snoer te stellen eisen in de
meegeleverde documentatie te vermelden).
Overigens werkt alles goed.
Etappe 2:
De software kant bij Linux (1) - het modem geeft de geest
De KPN levert instructies voor Windows en Mac maar niet voor Linux.
Jammer, want ik gebruik Linux. (Zou Linux in Nederland ondertussen
niet meer gebruikers hebben dan MacOS?) Gelukkig heeft Xs4all een
configuratie pagina
met goede informatie.
2A. pppd - was al geinstalleerd.
2B. pptp - installeer ik.
(pptp-linux-1.0.3.tar.gz opgehaald, uitgepakt, vertaald;
pptp gecopieerd naar /usr/sbin.)
2C. Met ifconfig het modem via ethernet
benaderbaar gemaakt. Het interface is bij mij eth1, bij
anderen zal dit vaak eth0 zijn.
ifconfig eth1 down
ifconfig eth1 10.0.0.150 netmask 255.255.255.0 broadcast 10.0.0.255
ifconfig eth1 up
(De 10.0.0.150 moet vooraan staan, niet achteraan
zoals de Xs4all instructies aangeven. Onder Linux 2.0 maakt dit
niets uit, onder Linux 2.2 en 2.4 werkt het alleen als het adres
eerst gegeven wordt.)
2D. Nu de instellingen van het modem veranderen zoals aangegeven
in de KPN documentatie. Het blijkt dat het modem een ingebouwde
webserver heeft. Grappig. Instellingen veranderd.
Ik kopieer alle web paginas vanaf het modem naar mijn harde schijf
(wget -r http:10.0.0.138 -- DOE DIT NIET!). Halverwege het kopieren
blijft het modem hangen, reageert niet meer op ping, lampjes zijn
niet langer groen. Wat nu weer? Modem uitgezet en aangezet, maar dat helpt niet,
het modem komt niet door de POST (Power On Self-Test), en het Power/Alarm
lampje blijft oranje branden. De bijgeleverde documentatie zegt niets
over de mogelijkheid van een oranje brandend Power lampje. Achterop
het modem zit een knop voor "reset to defaults" maar die helpt niet.
De KPN helpdesk zegt me het modem terug te sturen.
Ondertussen op het net gezocht naar meer informatie.
Op security.sdsc.edu/self-help/alcatel
wordt verteld over fouten van dit Alcatel SpeedTouch Home ethernet ADSL modem.
Meer in het bijzonder schrijft
recover-speedtouch:
If the Power light turns orange, and stays that way, even after a
forced restore to defaults, the flash file system may have become
corrupted and the device will no longer boot.
Onderzoek van de al door wget gekopieerde paginas suggereert dat
de crash optrad na het opvragen van de "Upgrade" pagina.
Misschien verwachtte het modem een firmware upgrade?
Slordig. Van een apparaat met de mogelijkheid de firmware te vervangen
zou je verwachten dat het nieuwe firmware controleert: de eerste
16 bytes een afgesproken code, de laatste 16 bytes een checksum,
een time-out tijdens het laden, en pas wegschrijven naar flash
als alles in orde is.
Drie dagen later een nieuw modem ontvangen.
Etappe 3:
De software kant bij de iMac
Eerst maar eens Mxstream op de iMac van mijn vrouw geinstalleerd.
Dat ging tamelijk probleemloos. De handleiding (sectie 10.1)
praat over een bestand TUNNELBU.SEA maar dat bestaat niet.
Installeer "Install TunnelBuilder Intl 509a".
Onervaren als ik ben met de iMac kon ik eerst het Tunnelbuilder icoon
in de taakbalk niet vinden, maar het blijkt dat de pijltjes in die
taakbalk horizontaal scrollen en het gezochte icoon zichtbaar maken.
(Overigens kunnen de benodigde menus ook via het Apple menu en
Regelpanelen en Appletalk of TCP/IP benaderd worden, terwijl
LAN TunnelBuilder Settings onder MacintoshHD in NTS TunnelBuilder
blijkt te leven.)
Het is een beetje onhandig dat eerst (Afb. 62) wordt vertoond hoe
TCP/IP (PPTP) moet staan, en daarna (Afb. 65) het weer veranderd wordt
om met het modem te praten.
Het is makkelijker om voor het modem een nieuw stel instellingen
te maken: TCP/IP (ethernet naar modem). Tenslotte wordt helemaal geen
PPTP gebruikt om met het modem te praten.
Bij "service provider username" blijkt niet "naam" maar
"naam@xs4all-basic-adsl" te moeten staan, natuurlijk
alleen als de service provider Xs4all is.
Dit werkt.
Etappe 4:
Een beetje spelen
Onder Linux eerst nog wat spelen. Ik durf niet meer in de buurt van de
Upgrade pagina te komen met een browser. Probeer een telnet
verbinding. Zonder loginnaam wordt ook niet om een password gevraagd.
Beschikbare commando's:
=>help
Following command groups are available :
config system software ip phonebook
pptp bridge td dns dhcp
=>help config
Following commands are available :
save erase load flush reset
help exit
=>help system
Following commands are available :
setpassword clearpassword reboot save load
help exit
=>help software
Following commands are available :
version setpassive deletepassive cleanup switch
help exit
=>help ip
Following commands are available :
apadd apdelete aplist ping sendto
iflist ifconfig rtadd rtdelete rtlist
arpadd arpdelete arplist config save
flush load help exit
=>help phonebook
Following commands are available :
list add delete save flush
load autolist help exit
=>help pptp
Following commands are available :
iflist ifconfig ifadd ifdelete save
flush load help exit
=>help bridge
Following commands are available :
portadd portlist portdelete portconfig macadd
maclist macdelete config save flush
load help exit
=>help td
Following commands are available :
call help exit
=>help dns
Following commands are available :
start stop status list add
rem delete clear stats clrstats
fwdtable toutfwd nslookup domain save
flush load fwdadd fwddelete fwdlist
tron troff help exit
=>help dhcp
Following commands are available :
start stop config policy spoof
status list add delete stats
clrstats tron troff client save
flush load help exit
=>ping 10.0.0.150
Unknown command.
=>ip
[ip]=>ping 10.0.0.150
Invalid option => 10.0.0.150
[ip]=>help
Following commands are available :
apadd apdelete aplist ping sendto
iflist ifconfig rtadd rtdelete rtlist
arpadd arpdelete arplist config save
flush load help exit
[ip]=>help ping
ping : Sends ICMP ECHO_REQUEST packets
addr=
[count=]
[size=]
[interval=]
[listen={off|on}]
[ip]=>ping addr=10.0.0.150 count=3
9 bytes from 10.0.0.150: icmp_seq=0
9 bytes from 10.0.0.150: icmp_seq=1
9 bytes from 10.0.0.150: icmp_seq=2
[ip]=>exit
=>exit
=>quit
Unknown command.
=>
telnet> quit
Connection closed.
Ja, het bestand Home.pdf zegt ook dat de verbinding
verbroken wordt hetzij door timeout, hetzij door het telnet
programma te sluiten. Hier typte ik Ctrl-] gevolgd door quit.
OK, dus telnet werkt.
Wat voor poorten zijn er nog meer open?
# nmap -sS -sU -O -v 10.0.0.138
Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Host (10.0.0.138) appears to be up ... good.
Initiating SYN half-open stealth scan against (10.0.0.138)
Adding TCP port 21 (state open).
Adding TCP port 23 (state open).
Adding TCP port 1723 (state open).
Adding TCP port 80 (state open).
The SYN scan took 1 second to scan 1541 ports.
Initiating FIN,NULL, UDP, or Xmas stealth scan against (10.0.0.138)
The UDP or stealth FIN/NULL/XMAS scan took 4 seconds to scan 1541 ports.
For OSScan assuming that port 21 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
Interesting ports on (10.0.0.138):
(The 3073 ports scanned but not shown below are in state: closed)
Port State Service
7/udp open echo
9/udp open discard
19/udp open chargen
21/tcp open ftp
23/tcp open telnet
53/udp open domain
69/udp open tftp
80/tcp open http
1723/tcp open pptp
Remote operating system guess: Alcatel 1000 ADSL (modem)
Nmap run completed -- 1 IP address (1 host up) scanned in 32 seconds
#
Hier schrok ik weer: de groene lampjes waren uitgegaan, en het
modem knipperde rood, toen oranje, tenslotte weer groen.
Het lijkt op een reboot sequence. Misschien crasht het modem
onder deze scan, en herstart het automatisch.
Met ftp ingelogd en filesysteem bekeken.
ftp> ls
drwxrwxrwx 1 0 0 176 Jun 29 1971 active
drwxrwxrwx 1 0 0 64 Jun 29 1971 dl
-rwxrwxrwx 1 0 0 16 Jun 29 1971 startup.cmd
-rwxrwxrwx 1 0 0 21215 Jun 29 1971 GV8AAA1.000
-rwxrwxrwx 1 0 0 276 Jun 29 1971 mount.cmd
ftp> ls dl
-rwxrwxrwx 1 0 0 997001 Jun 29 1971 GV8BAA3.253
-rwxrwxrwx 1 0 0 27 Jun 29 1971 start.cmd
ftp> ls active
-rwxrwxrwx 1 0 0 997001 Jun 29 1971 GV8BAA3.253
-rwxrwxrwx 1 0 0 27 Jun 29 1971 start.cmd
-rwxrwxrwx 1 0 0 0 Jun 29 1971 system.ini
-rwxrwxrwx 1 0 0 323 Jun 29 1971 ip.ini
-rwxrwxrwx 1 0 0 308 Jun 29 1971 phone.ini
-rwxrwxrwx 1 0 0 28 Jun 29 1971 bridge.ini
-rwxrwxrwx 1 0 0 92 Jun 29 1971 pptp.ini
-rwxrwxrwx 1 0 0 58 Jun 29 1971 dnsd.ini
-rwxrwxrwx 1 0 0 217 Jun 29 1971 dhcp.ini
Even kijken:
% cat startup.cmd
GV8AAA1.000 -t
% cat active/start.cmd
/active/GV8BAA3.253 dbg_no
% file GV8AAA1.000
GV8AAA1.000: MIPSEB COFF executable not stripped - version 0.0
% file GV8BAA3.253
GV8BAA3.253: data
Het bestand GV8BAA3.253 bevat onder andere een tar
archief met daarin alle webpaginas.
De beide files in dl zijn identiek aan de gelijkgenaamde
in active. Kennelijk is dl het download directory,
en het switch commando verwisselt active en dl.
Het geheel doet wat Unix-achtig aan.
Mount wordt gebruikt om de devices /dev/fda1 en /dev/fda2
(flash disk?) op de directories /active en /dl
te mounten.
Een foutmelding luidt: exit to shell... en er is een
commando fscheck. Het systeem wordt OSBA genoemd.
De machine is misschien een i960.
Mijn objdump werkt alleen op i386. Een nieuwe binutils opgehaald
en met ./configure --enable-targets=all geconfigureerd.
Segmentation fault Hmm.
Hoop hier later verder naar te kijken.
[Later: Ja, objdump kan goed gebruikt worden om de code van
GV8AAA1.000 te disassembleren. Hij verwachtte alleen een andere
endianness - een klein filtertje repareert dat. Op het net is ook een
uitpakker
beschikbaar die GV8BAA3.253 omzet in een drietal bestanden
GV8BAA3.253.head, GV8BAA3.253.coff,
GV8BAA3.253.tar. Dat tar-bestand was al ongecomprimeerd
zichtbaar in GV8BAA3.253, maar dit levert de objectcode van de
firmware op (ruim 2 MB).
% file GV8BAA3.253.coff
GV8BAA3.253.coff: MIPSEL COFF executable not stripped - version 0.0
Maar objdump herkent het formaat nog niet.
Het operating system is een versie van
pSOS
van WindRiver, een Unix-achtig systeem voor embedded toepassingen.]
Er blijkt een backdoor commando EXPERT te zijn, zoals Tsutomu Shimomura
en Thomas Perrine ontdekten (en ook eenvoudig zichtbaar is via
% strings GV8BAA3.253.coff
...
Invalid Password... No switch to expert Mode.
EXPERT
...
). Het password volgt via challenge-response waarbij de challenge de vorm
'model (MAC address)' heeft, en het juiste antwoord is
op het net
te vinden. Het algoritme blijkt heel eenvoudig, een leuk beginnerssommetje
voor cryptanalyse. Een
reactie
van Alcatel.
(Grappig detail: het aanvankelijke persbericht van Alcatel was een
Word document
inclusief revision history waar meer interne zorgen
uit bleken dan uit de uiteindelijke versie.)
Sessie:
=>software version
Active : GV8BAA3.253 Passive : GV8BAA3.253
=>EXPERT
'SpeedTouch (00-90-D0-31-61-88)'
Password :
Switch to expert mode.
Return to Normal mode by typing <NORMAL>
>help
Built-in shell commands :
cd cleandisk copy df dev
dir download dump echo fdisk
format fscheck link load mkdir
move mount protect pwd remove
rmdir sync unmount upload version
short
Following topics are available :
dbg err xapi guard rip
ni etha atm atm eth
llc atmf iwu sock ipoa
ipoa tcp pptp tftp config
system softwa phoneb bridge dns
dhcp dhcpc sachem eoc aoc
hs mlit msit golden tdsl
>df
Filesystem 512-blocks Used Available Capacity Mounted on
/dev/fda0 251 78 173 31% /
/dev/fda1 2292 2019 273 88% /active
/dev/fda2 2292 2004 288 87% /dl
>pwd
/
>dir
Inode dev uid gid link size mode
1 256 0 0 3 112 40777 [.]
1 256 0 0 3 112 40777 [..]
1 257 0 0 1 176 40777 [active]
1 258 0 0 1 64 40777 [dl]
15 256 0 0 1 16 100777 startup.cmd
9 256 0 0 1 21215 100777 GV8AAA1.000
17 256 0 0 1 276 100777 mount.cmd
BLOCK: 78 allocated, 173 free, 0 recoverable, 251 total
INODE: 7 allocated, 13 free, 0 recoverable, 20 total
>fdisk
Using /dev/fda0 as default device
Command (m for help) :
l - List partitions
n - Add new partition
d - Delete partition
w - Write partition table and exit
q - Quit
m - Print help
Command (m for help) :
part. noSectors startSector endSector BlockSize noInodes
--------------------------------------------------------------
/dev/fda0 3 0 2 512 20
/dev/fda1 19 3 21 512 100
/dev/fda2 19 22 40 512 100
Command (m for help) :
>help softwa
version : Displays active and passive software versions
setpassive : Installs a file as passive software version
file=
deletepassive : Deletes passive software
cleanup : Deletes all unused files on passive software partition
switch : Switches active & passive software versions & reboots
> NORMAL
Ingelogd als EXPERT kun je een Speed Touch Home omzetten in een
Speed Touch Pro, zoals Stefano Chiccarelli ontdekte.
(Italiaanse en
Engelse instructies.) De
reactie
van Alcatel suggereert dat dit vermoedelijk echt werkt (maar natuurlijk
geheel voor eigen risico is). Zie ook
Planet Multimedia
en bruring.
Foute commandos veroorzaken vaak een reboot. Bijvoorbeeld:
>rip
rip>drv_read 0 20 b
the data in hex is : 2d2d24d8860445333143363834304342434135302020202020203130323037523733203720202020
rip>drv_read 0 20 c
Connection closed by foreign host.
Etappe 5:
De software kant bij Linux (2)
Zoals gezegd, ppp was al geinstalleerd, en pptp
(om precies te zijn, pptp-linux-1.0.3) had ik geinstalleerd.
Ook ifconfig en route geven de goede uitvoer
zodat ik met het modem kan praten.
(Zie boven: http, telnet, ftp, ping werken alle.)
Nu nog twee configuratiefiles.
In /etc/ppp/pap-secrets username en password:
# Authenticatie via PAP
# login - server - pass - IP
NAAM@xs4all-basic-adsl * PASSWORD *
In /etc/ppp/options.adsl:
idle 0
debug
noauth
user NAAM@xs4all-basic-adsl
defaultroute
usepeerdns
nodetach
lcp-echo-interval 10
lcp-echo-failure 3
met voor NAAM en PASSWORD loginnaam en password by Xs4all.
Het commando
/usr/sbin/pptp 10.0.0.138 file /etc/ppp/options.adsl
levert nu als uitvoer:
Couldn't set tty to PPP discipline: Invalid argument.
Hij probeert vast een modem over een seriële lijn te benaderen.
Niet ter zake doende dingen, zoals een oud /etc/ppp/options file
opgeruimd, en alle PPP kernel config options aangezet.
Ditzelfde pptp commando levert nu als uitvoer:
Terminated, en /var/log/messages zegt:
pptp[31940]: log[pptp_dispatch_ctrl_packet:pptp_ctrl.c:548]: Client connection established.
pptp[31940]: log[pptp_dispatch_ctrl_packet:pptp_ctrl.c:643]: Error opening call. [callid 0]
pptp[31940]: log[call_callback:pptp_callmgr.c:88]: Closing connection
pptp[31940]: log[pptp_conn_close:pptp_ctrl.c:285]: Closing PPTP connection
Hmm. Is het modem na het spelen nog steeds goed geconfigureerd?
Nee, alle instellingen zijn weg, en zelfs de menus om ze te
wijzigen zijn weg. Ach. Ga met de browser naar System Setup,
click Defaults, OK, Save All. Volg nu weer de door KPN beschreven
procedure voor de Macintosh.
Probeer bovenstaand commando opnieuw. Alles werkt.
Verwijder de debug regel. Alles werkt nog steeds.
Uploaden van een 1361445-byte file gaat met ongeveer 7 kB/s.
Downloaden van hetzelfde file met ongeveer 50 kB/s.
Zie ook
de Xs4all pagina over het testen van de snelheid.
De test op www.mordax.nl
meet uploadsnelheid 6 kB/s en downloadsnelheid 52 kB/s.
Ter vergelijking: via UPC meet mordax nu 14-20 kB/s (up) en
120-173 kB/s (down). Zelf vind ik ongeveer dezelfde waarden.
Conclusie: als de kabel het doet kan hij drie keer zo snel zijn
als een ADSL verbinding. Helaas gebeurt het ook dat de
snelheid van de kabel tot vrijwel nul terugloopt, of dat
de kabel het gewoon een of twee uur lang helemaal niet meer doet.
Afwachten hoe dat bij ADSL is.
Merk op dat deze verbinding met de buitenwereld een ppp
verbinding is die via eth gaat. Een aanval van buiten
zal dus waarschijnlijk via ppp komen - tot eth hebben
als het goed is alleen mijn machine, het modem en de KPN toegang.
Een recent SuSE systeem heeft in /etc/rc.config.d/security.rc.config
een variabele REJECT_ALL_INCOMING_CONNECTIONS (voor de
"personal firewall"). Met deze gezet op "eth0 ppp0"
(als dit de betrokken interfaces zijn)
wordt alle binnenkomend UDP verkeer anders dan antwoorden van nameservers
en alle TCP verbindingen die elders geinitieerd worden geweigerd.
Een test op open poorten is bijvoorbeeld te vinden op
Steve Gibson's site
(en op de
nessus site,
en ook hier en
hier en
hier).
Zoals boven al bleek is het makkelijk om in te breken op het modem,
en bijvoorbeeld de firmware te vervangen door een programma naar keuze.
Dat betekent dat dit modem beschermd moet worden.
Om een echo aanval te vermijden moet de echo service
in /etc/inetd.conf uitgeschakeld zijn.
Als het locale net niet vertrouwd kan worden dan is
eenvoudige masquerading met
ipchains -A forward -j MASQ -s 192.168.1.0/24 -d 0.0.0.0/0
niet goed genoeg: iedereen kan 10.0.0.138 benaderen. Een regel
met iets als ipchains -I forward -j REJECT -d 10.0.0.0/24
is een goed idee.
Het CERT advisory.
Uit Italie wordt
gemeld
dat de modem firmware vervangen wordt zonder medeweten van de
eigenaar. (Onbevestigd.)
Na de geslaagde tests de ADSL verbinding verhuisd naar een andere
Linux machine. Een oude 3C509 ISA ethernetkaart gemonteerd naast
de twee andere ethernetkaarten die er al waren.
Hmm. Het commando ifconfig eth0 up faalt met
SIOCSIFFLAGS: Device or resource busy.
Een IRQ conflict. In het BIOS IRQ 10 gereserveerd voor ISA gebruik.
Nu werkt alles. De snelheid is dezelfde gebleven - dit oude kaartje
is goed genoeg.