No może i w SSL znaleźli tylko, że internet od 1999 stoi już na TLS, za wyjątkiem jakichś tam trzeciorzędnych serwisów. Także, znowu straszą ludzi, że wszyscy zginiemy.

No mi przyszło może po 1h, w każdym razie szybko, tylko ja tam parę rzeczy poustawiać jeszcze musiałem na rzecz sprawdzenia czy to faktycznie szpieg. W każdym razie powinno zadziałać przy pierwszej próbie pomiaru, a te są przeprowadzane co godzinę.

To są puste pakiety zawierające ustawioną flagę ACK, wysyłane przez hosta by sprawdzić czy ten drugi żyje, jeśli nie uzyska odpowiedzi, to znaczy, że połączenie zdechło i można je zakończyć po tej stronie, zamiast czekać w nieskończoność na odpowiedź od tamtego hosta.

Ja tylko dopowiem, że jednostka czasu w tych SSHKeepAlive i IdleTimeout jest w sekundach i nie ustawiajcie tego na 1, myśląc, że to 1min. Ja niby to ustawiłem na 120, zresetowałem dropbeara i 2minuty minely i nic, to myślę sobie, że to 120min, więcej ustawiłem mu 1 ale też po 1min od resetu się nic nie dzieje, to wykomentowałem tę opcję z dopiskiem, że nie działa i wylogowałem się. Potem się próbowałem zalogować...

dropbear[23590]: Child connection from 192.168.1.150:49433
dropbear[23590]: Exit before auth: Idle timeout

Zajrzyj w skrypt startowy:

validate_section_dropbear()
{
        uci_validate_section dropbear dropbear "${1}" \
                'PasswordAuth:bool:1' \
                'enable:bool:1' \
                'Interface:string' \
                'GatewayPorts:bool:0' \
                'RootPasswordAuth:bool:1' \
                'RootLogin:bool:1' \
                'rsakeyfile:file' \
                'dsskeyfile:file' \
                'BannerFile:file' \
                'Port:list(port):22' \
                'SSHKeepAlive:uinteger:300' \
                'IdleTimeout:uinteger:0'
}

W pliku wireless definiujesz ustawienia radia i profile sieci. Konfiguracje adresów masz w pliku network, przykładowo:

config interface wifi
       option ifname 'wlan0'
       option proto 'static'
       option ipaddr '10.168.1.1'
       option netmask '255.255.255.0'

Dla dhcp to zmień sobie static na dhcp i wykomentuj dwa poniższe wpiszy:

Moim zdaniem to z tym mostem to nie ma sensu. Ja po prostu mam u siebie zbondowane interfejsy eth1 i wlan0, tak że mi się automatycznie między tymi dwoma przełącza po paru sekundach jeśli np. odłączę kabel, wtedy przełącza się na wifi, i jak podłącze kabel to wraca na wire.

Może to twoje ustawienie po prostu nie pobiera sobie adresu via dhcp? U mnie generalnie połączenie kończy się tym samym komunikatem z tym, że by w ogóle móc używać netu po podłączeniu potrzebny jest też adres ip. U ciebie pobiera adres?

Ustaw minimalny config, tj.

network={
  ssid="eduroam"
  ca_cert="/etc/config/certy.crt"
  identity=""
  password=""
}

I zobacz czy pójdzie na nim

Testowałem trochę ten router i z nie zaobserwowałem żadnej wrogiej aktywności z jego strony, przynajmniej w sieci.

Po uruchomieniu go, w sieci przez jakieś 60s wysyła pakiety udp na adres 239.255.255.250 port 1900 -- protokół SSDP , z tego co znalazłem na necie, to coś tam powiązane z UPNP. Żadnych innych pakietów nie rozsyła.

Pod kątem routera, to wysyła jedynie pakietu udp na port 53, czyli rozwiązuje sobie nazwy DNS na ip -- żadnych innych połączeń do routera nie ma z tego nsaboxa. Przynajmniej podczas testu nie było ale tam na pewno będzie coś jeszcze od dhcp.

Do zwykłych hostów w sieci, też nie przesyła żadnych pakietów. Bez znaczenia czy połączone przez nsaboxa czy bezpośrednio do głównego routera.

Natomiast jest spory ruch przechodzący przez główny router wyłaniający się z tego nsaboxa. Parę pakietów na serwery NTP. Trochę na http i https. Pozostałe lecą na porty z zakresu chyba 5000-6000 tcp/udp. Co godzinę wysyła/pobiera dane i iptables podlicza taki run na jakieś 30MiB.

Na nsaboxie jest postawiony dropbear na porcie 2222, hasło nieznane ale to nie stanowi żadnego zabezpieczenia -- można odpalić nsaboxa w trybie failsafe i przez telnet wbić bez hasła do systemu, po czym podmontować system plików routera i wio.

I to wszystko co ten nsabox robi. Przy czym, przy zbieraniu danych wszystko co nie leci przez niego dostaje koszmarnego laga. Tutaj poniżej są staty z pingu z 12h mojego routera:

Także jeśli nsabox nie ma podłączonych urządzeń i coś jest podłączone do naszego routera (w tym też sam router), to połączenie zacznie rwać -- dlatego gadają by podłączać przez nsaboxa -- przynajmniej kablem. Przy wifi nie ma takiego problemu, bo ten nsabox ciągle skanuje pasmo i potrafi rozpoznać czy coś jest przesyłane przez wifi, nie wie co ale wie ile, i ma zaprogramowane progi i jeśli stwierdzi, że próg został przekroczony, nie dokonuje testów i tam czeka 1 min, aż się łącze odciąży. Dlatego można bez większego problemu podłączyć się przez wifi głównego routera obchodząc całkowicie nsaboxa. Nawet na ich stronie w faq jest wzmianka o tym:

Z kolei jeśli nsabox nie jest świadom innych urządzeń podłączonych do głównego routera (kablem), wtedy będzie wysyłał fałszywe raporty i pewnie się dostanie po dupie naszemu ISP.

A jeśli ktoś nadal uważa, że szpiegują, to jak? Notują nazwy domen, na które włazicie? Można bez problemu zaszyfrować per host DNS i jedyne co zobaczą to IP. Hasła wam wykradną? Od tego są kanały TLS, które są na większości stron, nawet już strony porno powoli to implementują, także nikt się nie dowie, że jesteście zboczeni i całymi dniami oglądacie pokemony i nie dajecie nsaboxowi zrobić testów. A jeśli się boicie o treści przesyłane za pomocą jabbera, to zainwestujcie w gpg/otr.

Chyba, że coś przeoczyłem, jakieś jeszcze pomysły jak nsabox mógłby szpiegować?

Z tego co widzę, to ten syslog-ng3 gubi pewne logi, min. te od logowania. Wcześniej przeglądałem wątki na forum i obiło  mi się już to o oczy, jednak tam nie było rozwiązania. Ten domyślny syslog przesyła wszystkie komunikaty jak należy. Ktoś się orientuje jakie regułki dopisać do configu syslog-ng3 ?

Na peny dają teraz 5 lat gwarancji, także ja bym znowu nie przesadzał, że zarżniesz pena przy swap.