Odpowiedz 
 
Ocena wątku:
  • 0 Głosów - 0 Średnio
  • 1
  • 2
  • 3
  • 4
  • 5
Bezpieczeństwo routerów
04.07.2018, 13:39
Post: #1
Bezpieczeństwo routerów
Może teraz trochę o bezpieczeństwie naszych routerów wypowiedzą się znawcy tematu?
Jak myślicie, które oprogramowanie na router jest bezpieczniejsze - gargoyle czy asuswrt merlin? Gargoyle jest open source, ale czy merlin również? Które z ww. przeszło audyt bezpieczeństwa?
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
04.07.2018, 18:15 (Ten post był ostatnio modyfikowany: 04.07.2018 20:50 przez kr2y510.)
Post: #2
RE: Bezpieczeństwo routerów
Jest PRZERĄBANE.
Bezpieczeństwo wszystkich otwartych WRT z czasem dąży do zera.

Sprawa pierwsza - IPv6.
Jest to potrzebne, by można było się łączyć z TOR, I2P itp. Generalnie przyspiesza wszelkie P2P. Można tego użyć do omijania cenzury, bo tunele do brokera są trudne do monitorowania dla ISP.
Ale IPv6 to jedna wielka dziura w bezpieczeństwie. Większość ludzi ma to włączone, ale praktycznie nikt tego nie konfigurował!
Powinna być możliwość wyłączenia tej opcji z poziomu menu (z restartem systemu - bo inaczej się nie da). Ale czy jakieś WRT to ma?
No a o proxy IPv6 czy NAT IPv6 nie wspominam.
(czytaj to: https://beamstat.com/chan/po_polsku/da97...8bef6c03cc )


Sprawa druga - drukarki, kopiarki i inne badziewia.
Dobrze jest jak są widziane w sieci. Ale jest bardzo źle gdy mogą się łączyć z netem. Co to kogo obchodzi kto co drukuje? A na pewno nie powinno to obchodzić producenta tych badziewi. Niestety nie ma opcji, by uniemożliwić dostęp do netu wybranym urządzeniom.

Sprawy kolejne to idiotyczne pomysły niektórych deweloperów.
Albo jeden kretyn pisze wtyczkę z Tor, co niemal zawsze się kończy wyciekami DNS. Albo kolejny imbecyl wpada na kolejny pomysł zapominając o kolejności ładowania poszczególnych programów. Nie mam siły komentować dalej.

(04.07.2018 13:39)marcin12 napisał(a):  Gargoyle jest open source, ale czy merlin również?
Poszukaj w Google.

(04.07.2018 13:39)marcin12 napisał(a):  Które z ww. przeszło audyt bezpieczeństwa?
Pewnie żadne.

IMO najlepiej wypada dd-WRT. Gargoyle na dziś odradzam. Bezpieczne są OpenBSD i FreeBSD. Jest jednak problem z hardwarem. Drogi i mało funkcjonalny. Więc trzeba i coś z pfSense i coś z otwartym WRT, choćby do WiFi. Kilka boxów i kilka zasilaczy.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
01.03.2019, 18:43
Post: #3
RE: Bezpieczeństwo routerów
kr2y510 napisał(a):Ale IPv6 to jedna wielka dziura w bezpieczeństwie

to jakiś mit:

https://www.firegate.pl/83-286-baza-wied...-ipv6.html

kr2y510 napisał(a):Większość ludzi ma to włączone, ale praktycznie nikt tego nie konfigurował!

No to już raczej ich problem, że sobie nie skonfigurowali a nie problem protokołu. poza tym wyłączyć na porządnych systemach (OpenWRT i wszystkie jego forki jeżeli mówimy o routerach) można bardzo prosto i to już na poziomie jądra w sysctl.conf

Kod:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

albo zwyczajnie dropnąć cały ruch ipv6 w iptables:

Kod:
ip6tables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
04.03.2019, 0:22
Post: #4
RE: Bezpieczeństwo routerów
IPv6 jest jedną wielką dziurą w bezpieczeństwie dlatego bo:
- większość (99%?) tego nie konfigurowało, czyli np. nie ustawiło brokera IPv6 mając możliwość 6in4
- większość urządzeń w tym routerów nie ma opcji, by to skonfigurować lub wyłączyć
IMO daje to niemal nieograniczone możliwości spoofingu i innych ataków.
Stąd w praktyce, korzystając z zasobów wewnętrznych takich sieci lepiej to wyłączyć.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
Odpowiedz 


Skocz do:


Użytkownicy przeglądający ten wątek: