RT-AC68U bezpečnost

RT‑AC68U je starší router, ale dá se zabezpečit. Stačí mít aktuální firmware, vypnout vzdálenou správu a WPS, nastavit silná hesla a případně použít Asuswrt‑Merlin. Pokud chceš jistotu do budoucna, vyplatí se přejít na novější model z AX řady.

Stačí mít aktuální firmware, ... nastavit silná hesla

to nepomůže, pokud je zranitelný firmware routeru = obdoba nezáplatovaných služeb ve windows.
poslední firmware je z r.2021. proto je bezpečnější, když není zastaralý router vystavený ven do celého světa, jen do omezené sítě za operátorem.
ale silná hesla nijak nepomůžou proti napadení zranitelných služeb (v linuxu daemons), které běží právě proto, že řeší události zvenčí.

když kopíruješ nápady ay, zamysli se, jestli v tom konkrétním případě dávají smysl.

Díváme se na to samé?
Verze 3.0.0.4.386_52062
99.39 MB
2025/10/27

máš pravdu, já nechal výchozí výběr os - nějaká restore utilita pro PC, moje blbost. když překliknu na firmware, je tam tvůj výpis:

ASUS RT-AC68U Firmware version 3.0.0.4.386_52062
Verze 3.0.0.4.386_52062 , 99.39 MB , 2025/10/27

edit: ze seznamu oprav to vypadá, že tazatel může být celkem v klidu, že v říjnu zalátali vážné chyby.

Tazatel v klidu není, nejnovější firmware jsem nainstaloval již začátkem roku a výsledek byl horší než při 5 let starém FW. V předposledním FW vymysleli povinné rošíření hesla i na číslice. No nic proti tomu, ale zdá se mi že o "zalátování" chyb nemuže být ani řeč, a to v ani posledním FW. Spíš naopak. No prostě jako ve Windows, od deseti k pěti.

Děkuji všem za informace.

Něco vyberu jinýho a zkusím.

Furt si jenom stěžuješ, že po upgrade firmware je výsledek horší, ale nic konkrétního jsi nenapsal. Že je povinné, aby heslo obsahovalo číslice, na tom nevidím nic hrozného.

dole mas tip na ax model za malo penez.
nepises jak se projevuji udajne problemy routeru, kolik wifikramu a dalsich ap mas na nej povesenych, tezko vestit z koule.

jedna technicka: pri problemech se strankami na pc neni spatne to proscanovat adwcleanerem.
pripadne nahradit dns nespolehliveho providera nejakymi lepsimi public dns.

Zakladem je, mit do internetu vystavenu co nejmensi cast site. Rohodne ne admistracni rozhrani routeru.
Zapnuty firewall, ktery bude filtrovat vse mimo konkretnich povolenych veci.
Pokud potrebujes neco videt ze site, pak konkretni porty, idealne jen pro vyjmenovane IP adresy nebo rozsahy.
Pokud se potrebujes dostavat zvenku do site, pak VPN, treba WireGuard.

Co nejmenší část sítě - právě nastavení zda má jít síť kam chci/nechci je v nastavení v tom routeru.
Firewall ve windows zapnutý, nežádoucí zakázáno. Freefirewall, zakázal jsem vše vnější, vntřní pohyb jsem nechal povolený. Přes 30 připojení windows + programy lkol.
Přes router jde internet.
VPN jsem měl CyberGhost 3 roky, IKE, openVPN nebo ten WireGuard. Přínos jsem nepociťoval, tak už ho nemám.

Mám silné podezření na odlaďovací kanály Arduino IDE. Všechno je tím firewalem zakázaný a program mi řekne že jsou k dispozici nové aktualizace. Aktualizace nejdou nainstalovat protože jsou zabanovaný, ale jak to ví ten program že jsou nové aktualizace když je zabanovaný taky?

Je to asi tejden co v televizi pověděli o viru co napadá routery. Asi to bylo velký. Prý stačí restartovat routr. No taky že jo, pak už to šlo OK. Když jsem po letech otevřel administraci toho routeru, přeplo se to na www.asus.com a začala tam skákat ty debilní kreslený postavičky s tím že stránky nejsou zabezpečený. Po několika dobejvání se do administrace to zkončilo. A zase, nechápu připojování k Asusu.
Kdysi dávno byl aktuelní dos útok, čtvereček zůstáva po aktualizaci nezaškrtnut. Předtím sem ho zašktnutý měl, protože sem ho zaškrt já.
Tyhlety ESP32, ty jsou jak sondy na to aby ukázaly že se něco děje. Zřejmě se testuje útok na vše co tyto malý mrchy používá.

Tak na co jsem ještě zapoměl? Jěště mám na síti 4xRPI-4 s TVHeadent. Tomu vypnout internet nemužu protože by se nenastartoval program. Pomsta programátorů že pro DVB-T stream musí být internet, ikdyž si stremuju do svý sítě.

Tak co dál?

Firewall na routeru, aby ti chranil celou sit. Na PC ti k ochrane routeru nepomuze

VPN, o ktere jsem psal je k bezpecnemu vstupu do vnitrni site zvenku (pokud to potrebujes), ne kvuli maskovani IP, jak jsi to pouzival ty.

Pokud utocnik zvenku router nevidi - nic mu neodpovi, pak jednak nezjisti, ze na neco muze utocit a ani nezjisti typ routeru, aby vedel, cim ma utocit. Takze nesmi jit ani ping zvenku.

Kdyz mas napadene neco uvnitr site, tak uz firewall nepomuze, protoze bez nejakeho dalsiho nastavovani je komunikace zahajena zavnitr automaticky povolena.
Kdyz mas napadeny router, mas smulu, protoze utocnik vi, co je pripojene uvnitr a muze zacit hledat diry. Krome toho muze manipulovat s DNS, presmetovat a odposlouchavat komunikaci atd.

Potrebujes router, na ktery je spoleh a ktery je aktualizovany i po x letech. U mne v pomeru vykon cena vede Mikrotik.

Firewall na routeru, a co tam mam napsat aby ochránil celou mojí síť? Je potřeba to nechat otevřený celýmu světu.
Jak to udělat aby nešel pingnout? A ještě, jde to zjistit přes jednoho poskytovatele internetu aby se to neupřednostnilo přímo?

Firewall ve windows je nutnej protože 99 % virů a červů a čeho všeho se dostává do PC z prohlížeče. Takže červ se musí s nákladem dostat ven, tudíš je cesta známá, když se teda dostane ven a řekl bych že nějakej "ping" je už v tomto k ničemu.

No tak to tenhle routr má taky aktualizace dýl jak 10 let a je vyhlášenej z hlediska nebezpečnosti na I. místě.

Má ten výběr něco podle čeho se dá určit že je bezpečný? Né jen podle značky.

ak to udělat aby nešel pingnout?

Jestli mas ten router ASUS, tak muzes zkusit zablokovat/zakazat adekvatni smer routeru^adresu pres ICMP, typu ICMP Echo Request (ping) .
Nektere routery to maji pod zabezpeceni > wan > Respond to Ping on WAN Port. Nebo v menu klini na Firewall > General> Respond/Odpoved "ICMP" viz obrazek, klikni na policko "No" a hlavne potvrd (Apply) :
(jestli ti jde jen o PING z venci, vic jak upresnit WAN nema imho vyznam. Jen tusim ceho chces dosahnout, jestli tomu tak je, jsou urcite lepsi postupy, nebo volby nastaveni).

ZDROJ : Asus Firewall
https://www.asus.com/us/support/faq/1013630/

Je to tak nastavený na default, i ten dos sem nechal po aktualizaci nezaškrtlý.

Aby nesel ani ping, tak staci mit na firewallu routeru pravidlo, aby zahazoval veskerou komunikaci z internetu (neni zahajena zevnitr). Nevim, jestli ten stary TP link je neceho takoveho schopny.
Hlavne tam zakaz administraci zvenku - melo by to byt v oddilu zabezpeceni.

Co se tyka pocitace, jakmile si neco stahnes a pustis, tak uz to muze vesele komunikovat jak pres firewall v pocitaci, tak i pres firewall na routeru. To bys musel vypsat vsechnu aktivni komunikaci a projit to.

To už sem nastavil před léty když jsem ho koupil. Defaultně je nyní nastaveno na "ne". Asus píše i česky.

Jakmile něco spustíš a domáhá se to přístupu na internet, tak se Free Firewall aktivuje a nepustí ven spojení pakliže ho nechceš. To se o vbudovaném firewalu ve Windows (defender) říct určitě nedá. Je-li s tím spuštěním spuštěn i zápis do FW aby se nic nedělo, tak se vytvoří záznam aby to tiše prošlo. Pak si to můžeš sice opravit aby víckrát už nic, ale poprvé to projde. Defender je naprostá skurvenina. Jen tak na okraj

nesmysl.
80-90% malware, který napadá pc, jde přes prohlížeč jako skript nebo doplněk, firewall ho neumí odlišit.
nat v routeru by měl stačit na vzdálené vykonání kódu (zranitelnost služeb v neaktualizovaném systému), ale firewall ve windows pomůže.
fw v routeru chrání hlavně router a snad zneužití nějakých jednoduchých protokolů.

klasické viry prakticky vymizely, ačkoliv ms pro jejich rozšíření dělal co mohl, naposledy ransomware skrz neošetřené skripty v dokumentech office, ale to už je taky dost dlouho.
dnes nejčastěji jako příloha na neoficiálních stránkách k driverům, může být jako bonus u warezu.
fandím jen síťovým virům výš, všechno ostatní je trapné.

ad zranitelnost routerů: u kritických zranitelností bývá asus bývá uváděn snad nejčastěji. konkrétně jistý RT-AC68U celkem nedávno.

edit:
jestli ti ani tolik nezáleží na pofiderním firewallu v routeru, jako spíš na aktualizacích a dlouhodobé podpoře, pak se vykašli na omalovánkový asus (jako ap za jiným routerem je ok) a pořiď si mikrotik.
v článcích vpravo máš ukázky menu, ať víš do čeho jdeš.

asusy jsou tradičně proslulé chybami fw a krátkou dobou podpory.
pokud ho máš v síti operátora (na wan vstupu máš neveřejnou adresu 10.x.x.x, 172.16.x.x, 192.168.x.x)*, pak se to dá přežít.
jinak bych ho prodal, pořídil z bazaru třeba tplink řady ax20 (taky starší, ale má support), anebo aktuální mikrotik, ale ten je spíš pro labužníky nastavovače. (a ti teda určitě nekupují routery asus)

*) při ipv6 připojení netuším, jestli existuje neveřejná síť, v tom se nevyzná ani trumpeta.

třeba: https://pc.bazos.cz/inzerat/214177254/spickovy-designovy-router-tp-link-archer-ax23.php
Dual-Core CPU: https://www.tp-link.com/cz/home-networking/wifi-router/archer-ax23/#specifications

OT:
Dnes mi volal zakaznik, ktoremu so domov k Alien routru od UBNT odporucil ako daslie AP prave dalsi Alien, kedze mal obrovske problemy s roznymi TP-Linkami, aj najnovsimi archermi.
Bol uplne nadseny, ze si to sam nainstaloval a ze namiesto biednych 40Mb/s mu to teraz beha 200-300Mb/s a hlavne stabilne.

Srovnavas N-kovy router s aX. Za cenu jednoho Aliena jsem mel 3 aX Mirotiky

Dal som to ako OT, proste zakaznik mal doma asi 3 TP-Linky a ked uz bol uplne zufaly kupil si Aliena a dnes mi nadseny volal, ze konecne mu to ide tak ako si predstavuje.
Cena tych 3 TP-Linkov uz prekonala aj toho Aliena.

mal obrovske problemy s roznymi TP-Linkami, aj najnovsimi archermi.

Provozuju několik TP-Linků (různé routery, switche, powerline) a žádné problémy s nima nemám. Hm, zajímavý. Možná PEBKAC.

Nie. je to ucitel na ZS, ktory je tam aj iteckarom a a za tie roky som ho uz nieco naucil;o).
TP-Link je dobry pokial funguje, ale akonahle su s nim nejake problemy je naprd. Miziva diagnostika a moznost akokolvek problem vyriesit + nelogicke spravanie...napriklad nepravidelne odpajanie, strata signalu, odmietanie klienta a pod.
Ja mu to verim, korepsnduje to aj s mojimi skusenostami.

Inak ono je to aj o preferenciach...kedze ma doma optiku (900Mb/s) a z Aliena je zvyknuty mastit aj na telefonoch 600-700Mb/s tak mu nejaka 30-40Mb/s rychlost TP-Linku nepostacovala.

Takze ano, ide aj o narocnejsieho spotrebitela.

Pokud se jedná o náročného uživatele, pro ty existuje řada TP-Link Archer BExxx, např. BE550/BE700/BE800. Nebo může samozřejmě zvolit jiného "značkového" profi výrobce.

Já jsem jen konstatoval, že mě TP-Linky fungujou. Používám je už od modelu typu TL-WR740N, což je rok výroby 2012.

No vidis ja som s TP-Linkom zacal este skor a par rokov to bol moj primarny router, ktory som daval mal doma, daval zakaznikom domov, ci do firiem.
Ale problemov pribudalo a riesenia boli casto o vesteni z gule, takze som objavil Mikrotik a tomu som verny doteraz.

TP-Link je dobry pokial funguje, ale akonahle su s nim nejake problemy je naprd.

Tak jako vsechna zarizeni ze.

Uz sem se dostal do bodu, ze sem si router postavil svuj (na OpenWRT) a mam klid. Na dnesni vyrobce, jejich lhostejnost k zakaznikum a bezpecnostnich zaplat, mleko preteklo.

Ten Alien vypada zajimave, dobry HW podklad, ten LCD panel by mi nevadil a moznabych ho i uvital, ale docela mne zarazila vlna negativnich prispevku po Update na verzi Firmware 4.0.8, vypadky Wi-Fi nabo o polovinu omezeny bandwitch, nahodny restart routeru nebo naopak nutny rucni restart aby vse jelo normalne, problemy s mesh a SSID ktere pro nektere zmizelo (zadne zarizeni nedokazalo najit router).

Ale pak vis co, malo kdo pujde na internet aby napsal "vse jede ok, je to super", zpravidla si lide chodi na internet stezovat tak tech par prispevku nemusi nic vazneho znamenat.

S HOST jsem za pravdu v tom, ze jde sehnat korektni MikroTik router ktery by tazateli stacil za polovinu ceny. Pak jo, ten Alien se vykonem a funkcemi nemusi vubec stydet, ale pro nekoho to muze byt overkill.
Mozna jsem prehledl, ale jestli ma doma internet jeste na V/ADSL, tak by snad nedavalo ani smysl.

UBNT je hracka, kterou si zamilujes, kdyz mas rad omalovanky, statistiky, ktere zarizeni co stahovalo atd. Jakmile potrebujes veci jako presmetovani portu, firewall atd. pak uz si s temi omalovankami nevystacis a skoncis v terminalu a psanych prikazech.

Cast toho resim pres WireGuard (v prostredu GUI).

Ano, mam rad omalovanky, prostredi OpenWRT znas, tak vis ze Firewall nebo cokoliv jineho jde bez obtizi nastavit, upravit docela pohodlne pres GUI ktere jse celkem kompletni (pod IP routeru).

Znam dream router a tam jsi pres rozhrani schopny nastavit zakladni veci (po dlouhe dobe hledani, kde je to v tom rozhrani schovane). Zbytek jen rucne v konzoli.

Zrovna port forwarding, ci firewall na UBNT este ide. Horsie su tam ine veci, ale to je na roman.

Ak je na 1.mieste obava o bezpečnosť, potom by som sa oblúkom vyhol všetkým čínskym/taiwanským výrobkom = TP-Link, ASUS a pod...
Na doma, ale aj do firiem používam Ubiquiti - radu UniFi.

Profesionáli a ajťáci volia MikroTik, ale na to potrebuješ už aj nejaké vyššie vedomosti a znalosti, pre domáceho-bežného užívateľa, ktorý rieši bezpečnosť to asi nie je...

A ešte dodám, že základom bezpečnosti je mať dobrý a správne nastavený firewall.