RT-AC68U bezpečnost
Mám tento router a všude čtu jak je jeho provoz nebezpečný. Kdybych neměl podezření tak je mi to jedno. Nahrál jsem nejnovější firmWare a výsledek je ještě drastičtější. Dotaz je zda lze bezpečnost zajistit na tomuto routeru. Případně jaký jiný?
Zakladem je, mit do internetu vystavenu co nejmensi cast site. Rohodne ne admistracni rozhrani routeru.
Zapnuty firewall, ktery bude filtrovat vse mimo konkretnich povolenych veci.
Pokud potrebujes neco videt ze site, pak konkretni porty, idealne jen pro vyjmenovane IP adresy nebo rozsahy.
Pokud se potrebujes dostavat zvenku do site, pak VPN, treba WireGuard.
Co nejmenší část sítě - právě nastavení zda má jít síť kam chci/nechci je v nastavení v tom routeru.
Firewall ve windows zapnutý, nežádoucí zakázáno. Freefirewall, zakázal jsem vše vnější, vntřní pohyb jsem nechal povolený. Přes 30 připojení windows + programy lkol.
Přes router jde internet.
VPN jsem měl CyberGhost 3 roky, IKE, openVPN nebo ten WireGuard. Přínos jsem nepociťoval, tak už ho nemám.
Mám silné podezření na odlaďovací kanály Arduino IDE. Všechno je tím firewalem zakázaný a program mi řekne že jsou k dispozici nové aktualizace. Aktualizace nejdou nainstalovat protože jsou zabanovaný, ale jak to ví ten program že jsou nové aktualizace když je zabanovaný taky?
Je to asi tejden co v televizi pověděli o viru co napadá routery. Asi to bylo velký. Prý stačí restartovat routr. No taky že jo, pak už to šlo OK. Když jsem po letech otevřel administraci toho routeru, přeplo se to na www.asus.com a začala tam skákat ty debilní kreslený postavičky s tím že stránky nejsou zabezpečený. Po několika dobejvání se do administrace to zkončilo. A zase, nechápu připojování k Asusu.
Kdysi dávno byl aktuelní dos útok, čtvereček zůstáva po aktualizaci nezaškrtnut. Předtím sem ho zašktnutý měl, protože sem ho zaškrt já.
Tyhlety ESP32, ty jsou jak sondy na to aby ukázaly že se něco děje. Zřejmě se testuje útok na vše co tyto malý mrchy používá.
Tak na co jsem ještě zapoměl? Jěště mám na síti 4xRPI-4 s TVHeadent. Tomu vypnout internet nemužu protože by se nenastartoval program. Pomsta programátorů že pro DVB-T stream musí být internet, ikdyž si stremuju do svý sítě.
Tak co dál?
Firewall na routeru, aby ti chranil celou sit. Na PC ti k ochrane routeru nepomuze
VPN, o ktere jsem psal je k bezpecnemu vstupu do vnitrni site zvenku (pokud to potrebujes), ne kvuli maskovani IP, jak jsi to pouzival ty.
Pokud utocnik zvenku router nevidi - nic mu neodpovi, pak jednak nezjisti, ze na neco muze utocit a ani nezjisti typ routeru, aby vedel, cim ma utocit. Takze nesmi jit ani ping zvenku.
Kdyz mas napadene neco uvnitr site, tak uz firewall nepomuze, protoze bez nejakeho dalsiho nastavovani je komunikace zahajena zavnitr automaticky povolena.
Kdyz mas napadeny router, mas smulu, protoze utocnik vi, co je pripojene uvnitr a muze zacit hledat diry. Krome toho muze manipulovat s DNS, presmetovat a odposlouchavat komunikaci atd.
Potrebujes router, na ktery je spoleh a ktery je aktualizovany i po x letech. U mne v pomeru vykon cena vede Mikrotik.
Firewall na routeru, a co tam mam napsat aby ochránil celou mojí síť? Je potřeba to nechat otevřený celýmu světu.
Jak to udělat aby nešel pingnout? A ještě, jde to zjistit přes jednoho poskytovatele internetu aby se to neupřednostnilo přímo?
Firewall ve windows je nutnej protože 99 % virů a červů a čeho všeho se dostává do PC z prohlížeče. Takže červ se musí s nákladem dostat ven, tudíš je cesta známá, když se teda dostane ven a řekl bych že nějakej "ping" je už v tomto k ničemu.
No tak to tenhle routr má taky aktualizace dýl jak 10 let a je vyhlášenej z hlediska nebezpečnosti na I. místě.
Má ten výběr něco podle čeho se dá určit že je bezpečný? Né jen podle značky.
Aby nesel ani ping, tak staci mit na firewallu routeru pravidlo, aby zahazoval veskerou komunikaci z internetu (neni zahajena zevnitr). Nevim, jestli ten stary TP link je neceho takoveho schopny.
Hlavne tam zakaz administraci zvenku - melo by to byt v oddilu zabezpeceni.
Co se tyka pocitace, jakmile si neco stahnes a pustis, tak uz to muze vesele komunikovat jak pres firewall v pocitaci, tak i pres firewall na routeru. To bys musel vypsat vsechnu aktivni komunikaci a projit to.
To už sem nastavil před léty když jsem ho koupil. Defaultně je nyní nastaveno na "ne". Asus píše i česky.
Jakmile něco spustíš a domáhá se to přístupu na internet, tak se Free Firewall aktivuje a nepustí ven spojení pakliže ho nechceš. To se o vbudovaném firewalu ve Windows (defender) říct určitě nedá. Je-li s tím spuštěním spuštěn i zápis do FW aby se nic nedělo, tak se vytvoří záznam aby to tiše prošlo. Pak si to můžeš sice opravit aby víckrát už nic, ale poprvé to projde. Defender je naprostá skurvenina. Jen tak na okraj
Defender neni "zkurvenina", jen je v zakladu nastaven tak, aby aspon trochu chranil (coz pro prichozi pripojeni dela) a neobtezoval.
Jestli si ho nastavis nebo vypnes nebo nahradis za jiny, je na tobe.
Když to nefunguje, tak je to zkurvenina, nebo jak to nazvat jinak? Šmejd! To co jsem napsal výš je ten nejlepší příklad, tady to ještě trochu funguje. Zkus si třeba FreeFileSync. Ten tam neuvidíš vůbec a komunikace vesele kvete, nějak to obchází přes api. Komunikační IP je vidět třeba v NetworkMiner. Freefirewal ho zastaví. A jak sem uvedl výš stejně se to dá obejít oboje, možná desítkama cest, takže asi tak. Co je ten Firewal v routru? To jde přes nějakej server kterej cenzůruje zjištěný nebezpečný weby?
V minulým OS jsem měl seznam v HOSTS. Do dob kdy autor zemřel tam našel útočníků jak mraků. Jestli něco zachránil, nepustil, to jsem se nikdy nedozvěděl. To samý antivirus. Vždy bude ochrana fungovat až nějakej čas po útoku. To je zpátečnická cesta. Už možná více jak 10let nemám antiviráky nalezen žádný virus. Vyjímku tvoří "Produ key", jeden z nejvážnějších zákeřníků pro defender.
Funguje, jen to v zakladu je nastavene jinak, nez by sis predstavoval.
Změň si nastavení (vlastnosti brány firewall) a nastav firewall tak, aby blokoval odchozi připojení, která nejsou povolena. Pak ho budeš mít ve stavu, v jakém jsou firewally, o kterých jsi psal.
Budeš si muset vše postupně povolit.
Ale nefunguje to, u toho FreefileSync na 100% ne. Žij si v bludech, a nebo si to zkus. Ikdyž ho tam napíšeš.
Nefunguje co?
uz sis prepnul FW, aby ti blokoval vsechny odchozi mimo povolenych?
Místo bezpečnosti routeru řešíš FW na počítači. Pochop,. že pokud útočník má pod kontrolou router, tak si může přesměrovat provoz z tvého počítače do internetu přes vlastní server a v klidu odposlouchávat internetovou komunikaci. A neskončí to jen zobrazováním reklamy na PC, ale je to mnohem vážnější.
nesmysl.
80-90% malware, který napadá pc, jde přes prohlížeč jako skript nebo doplněk, firewall ho neumí odlišit.
nat v routeru by měl stačit na vzdálené vykonání kódu (zranitelnost služeb v neaktualizovaném systému), ale firewall ve windows pomůže.
fw v routeru chrání hlavně router a snad zneužití nějakých jednoduchých protokolů.
klasické viry prakticky vymizely, ačkoliv ms pro jejich rozšíření dělal co mohl, naposledy ransomware skrz neošetřené skripty v dokumentech office, ale to už je taky dost dlouho.
dnes nejčastěji jako příloha na neoficiálních stránkách k driverům, může být jako bonus u warezu.
fandím jen síťovým virům výš, všechno ostatní je trapné.
ad zranitelnost routerů: u kritických zranitelností bývá asus bývá uváděn snad nejčastěji. konkrétně jistý RT-AC68U celkem nedávno.
edit:
jestli ti ani tolik nezáleží na pofiderním firewallu v routeru, jako spíš na aktualizacích a dlouhodobé podpoře, pak se vykašli na omalovánkový asus (jako ap za jiným routerem je ok) a pořiď si mikrotik.
v článcích vpravo máš ukázky menu, ať víš do čeho jdeš.
No a co s tím? A ještě to jsou služby kde útočníci si dělají v PC co chtějí. Navíc používají soubory které nejsou vidět, nemyslím ty skryté co jdou zobrazit, ale ty co zobrazit nejdou.
Mě by zajímalo PROČ je tenhle routr vyhlášenej jako nejvíc "zranitelnej".
Protože ho výrobce nedovede zabezpečit a má děravý firmware už od začátku
Jestli byl útok cílený záměrně na Asus, je možné že v případě cílení na Mikrotik by to dopadlo stejně. Opět mi chybí argument. Co píšou o nějakým připojení přes Cloud je k smíchu.
kdybys to napsal hned na začátku, ani bych se neobtěžoval reagovat, ztráta času.
srovnávat asus s mikrotikem ...
čili nechápeš jak se šíří viry a co s tím může fw udělat nebo ne, celou dobu jsi nenapsal s čím ty máš problém a proč řešíš zrovna fw v asusu, no a ty reakce úplně mimo - měl jsem si všimnout dřív.
nějaké řešení jsi dostal:
- jiný firmware na asus (open-wrt), pokud řeší to co potřebuješ
- výrobce, který není tak profláklý bezpečnostními chybami (v tom mi tplink přijde o bod lepší)
- mikrotik bych ti po tvých názorech spíš nedoporučil, je to trochu jiná liga
a pěkný zbytek dne.