И да вопрос, что с UPnP делать? Там какой-то Ace Stream стоит. У меня такая прога есть, но я не понял что роутер ей разрешает-то?
>в настройках роутера стоит по умолчанию запрет на управление извне
Не все снимают галку с WPS.
1.Поставь обновляемый каштом, вроде дд-врт. От производителя что не прошивка, то бекдор.
2.Отключи ВПС.
3.Пароль на вай-фай посложнее. Сгенерируй случайно.
4.Скоро должны сделать WPA 3, попробуй перейти на него.
5.Админка не должна смотреть во внешние интернеты. Если же смотрит, то это SSH с fail2ban.
>дд-врт
Лол, блять. Вместо нормальной прошивки от произволителя, блохастый долбоёб советует дырявое васяноподелие с бесплатным подключением к ботнету.
Необучаемая пидораха/10.
Если это не микротик, то прошивка будет ненормальной и необновляемой.
оп, у тебя какое-то болезненное стремление защититься. если ты обычный пользователь, а не сотрудник разведслужб. зачем так заморачиваться? вполне достаточно сгенерить пароль в каком-нибудь манагере, отключить QSS/WPS, не использовать wep, отключить вебморду(сейчас она по-дефолту во всех роутерах выкл.)
>Что не так они делают?
у многих роутеров уязвимости прошивок. взять тот-же tp-link у меня на старую модель прошивка на сайте с 12 года не обновляется.
уязвимости 0 дня известные единицам, ну хуй с ним, десяткам. тот же роутерскан использует насколько я помню уязвимости прошивки роутера.
я, думаю способов у подготовленных людей море, но ты им не нужен. а от школохакеров и выше советов хватит
Чет я постоянно получаю обновления
Год-два пополучаешь и будешь сосать писос.
С 2015 на мой нетгир до сих пор обновления приходят.
Третий год заканчивается, а я все получаю. Не брыкайся.
>5.Админка не должна смотреть во внешние интернеты. Если же смотрит, то это SSH с fail2ban.
Можешь расшифровать, дружище? Какая админка и какие внешние интернеты?
Не вижу первого пункта -
>0. Купил Mikrotik.
>взять тот-же tp-link у меня на старую модель прошивка на сайте с 12 года не обновляется.
Маня сидит с дырявым тплинком и всячески маняубеждает себя, что никому не нужен. Спизди бабушкину пенсию и купи таки достойное железо, нищук.
>что никому не нужен
конечно не нужен. если у кого-то приступы паранои, то пусть заглянет под кровать. достаточно разумных мер предосторожности, а вести себя, как оп, можно только, если у тебя дома сверхсекретная лаборатория и к тебе сутками ломятся хакеры
>Спизди бабушкину пенсию и купи таки достойное железо, нищук
а ты смешной
UPnP автоматически порты открывает. Без этой технологии тебе придётся для каждой программы вручную открывать порты. Для обычного сёрфинга не нужно. Порты разве что для сервера или торрентов открывать нужно. Но торренты и с закрытыми портами скачиваются. Можешь отключить UPnP.
Школьник, ты?
Поясните, если есть роутер, то получает что брандмауэр не нужен?
Не нужен, если в роутере есть брандмауер. Но так только на стационарных компьютерах. На ноутбуках нужен.
у меня есть фаервол в роутере, который вкл. галочкой и больше никаких настроек. что он уж там закрывает хз. фаервол нужен хотя бы для контроля приложений на твоей машине
Алсо подскажите что делать чтобы устройства подключаемые к роутеру через вайфай - выходили в сеть через прокси/впн, а сам комп - напрямую. На Зухелях такое возможно или следует брать Микротик?
Можешь скрин кинуть?
>Mikrotik
>Микротик
Что за форс, посоны? Глянул сайты и вот этот ваш Микротик выглядит оверпрайснутым говном типа айфона, который берут люди, свято верящие в то что можно возвыситься на другими путем покупки оверпрайснутой техники.
>Микротик выглядит оверпрайснутым говном типа айфона
Так оно и есть.
На деле, говно говном. Хотя раньше были достойными, но с тех пор уже много лет прошло.
Раз уж такой тред, то спрошу вопрос.
Какие подводные от использования WLAN без пароля и какой-либо защиты? Ну кроме того, что мой трафик меж роутером и устройством может читать любой васян, а также того, что кто угодно может моими интернетами пользоваться.
Какие подводные от использования WLAN без пароля и какой-либо защиты? Ну кроме того, что мой трафик меж роутером и устройством может читать любой васян, а также того, что кто угодно может моими интернетами пользоваться.
Васян скачает или разместит запрещённый контент, используя твою точку, а отбывать наказание поедешь ты.
Каким образом Васян будет читать? Он сможет расшифровать пакеты? Да и нужно ли это ему? Васяну бы пивко, футбол да тёлочки.
Тебе нужен любой роутер, способный держать vpn туннель и делать маршрутизацию. Любой из покупных недорогих роутеров обосрется на первом этапе (если конечно скорость до десяти мегабит тебя не устроит).
Я бы посоветовал ОС pfsense, но ей нужен полноценный компьютер для работы.
Можно ли прошить роутер на ip например польские? Или VPN задать изначально в роутере?
>прошить роутер на ip
Блять, сложно пиздец. Это как?
Скачиваешь прошивку для другой страны. Нет, я троллю.
> Но так только на стационарных компьютерах. На ноутбуках нужен.
В чём разница?
Ноутбук переносной. Роутер не будешь же с собой таскать. В новой сети фаервол может быть не включен.
Нужен, так как надо контролировать приложения и мониторить трафик от них. На роутере не заблокируешь троян или определённое приложение, только входящие порты или конкретный адрес для исходящих.
Тогда точнее будет сказать «если в роутере есть брандмауэр, и компьютер не подключается к другим сетям, то файрволл не нужен». Потому что я, например, ноутбук таскаю исключительно в пределах своего жилища.
В любом случае, в Windows есть умная фича — разные настройки файрволла для доверенных и остальных сетей, вплоть до включения/выключения.
> Нужен, так как надо контролировать приложения и мониторить трафик от них.
Мало кто этим заморачивается.
Я вот, например, закрыл вендовым файрволлом доступ как для входящего, так и для исходящего трафика. Нужно разрешить какому-то приложению доступ — сам разрешаю.
Но многие считают приемлемым, когда любое говно может соединяться с их компа с чем угодно и передавать что угодно.
>виндовым фаерволом
Наивный чукотский паренёк. :)
Что не так с вендовым файрволлом?
Решето :)
ValdiSS?
> ValdiS
А шо? Тебе што-то не нравится?
Бывает, часто сканю себе за пару часиков анус-роутеры с уязвимостью с какой-нибудь Гейропы и поднимаю на них VPN.
Валдис и ленка это один и тот же анон в XMPP чатах?
уже был пост, про то, чтобы закрыть вещание SSID?
а смысл и от чего это тебя обезопасит? имя очень быстро можно узнать
я предполагаю что ОП
1) боится сам не знает чего
2) он живет в человейнике
убрать вещание ssid - как минимум показать потенциальному взломщику, что делать тут нечего и вообще люди умные сидят обычные юзеры про это не знают - они более легкие жертвы
>На роутере не заблокируешь троян или определённое приложение
Ставим прокси сервер с авторизацией на роутере. Всем кто не проходит авторизацию и все что не через прокси сервер отрубаем иптаблес. Авторизацию настраиваем для белых приложений. Троян заблокирован. Как и система.
>убрать вещание ssid
И убить батарею на опрашивании это раз.
Два, нормальные юзеры мониторят сеть не Windows или wifi-манагере из коробки, нет, и там отключай не отключай сеть твоя будет видна.
Говорю это как человек "работающий с wifi" никто не смотрит сети, сразу грузимся в ПО и там уже начинаем работать по каналам.
Хороший вариант кстати. Но...
1. Не спиздит ли троян логин/пароль у белого приложения, никогда такого не встречал, но всё же.
2. Не все белые приложения могут в прокси. Проксификатор частично решает проблему, но это костыль и иногда работает криво.
3. Как быть с другими протоколами, UDP и прочие IGMP?
4. Входящие соединения: троян может грохнуть белое приложение и встать на его порт. Такое встречал, кстати, троян грохал ftp-сервер и настраивал rdp на 21-м порту.
5. Ну и мониторить всё равно надо то, что ломится в сеть, в любом случае.
Обязательно спиздит. Один троян таким уже десять лет занимается, спизживая без спросу настройки прокси у браузеров.
http://web.archive.org/web/20071203013602/http://forum.skype.com/index.php?showtopic=95261
Так только школохакеров обманешь.
Правильный ответ про трояны и потенциально опасные приложения: не допускать на свой ПК трояны и потенциально опасные приложения.
>Не спиздит ли троян логин/пароль у белого приложения
А способы авторизации приложения уже в прокси могут быть не только через связку пас/логин. Можно выдавать лимит, в моем случае в сеть ходить только браузер. Тут уже трояну нужно и пид подменять и еще много чего. Ну, тем более в моем случае даже (что очень маловероятно) такое произойдет, ничего все равно не выйдет, ниже пишу почему.
Для меня ситуация когда на ПК оказывается прямо вредонос уже не приемлема. Если так случилось то все что к машине подключено уже скомпрометировано. Я скорее про следящие программы, сливающие данные на свои сервера. Вот их обычно мониторят и банят файрволом (системным или прикладным), но к нему - то тоже доверия быть не должно, вот как раз тут на помошь приходит эта схема. У меня все это крутится через малину, на ней сразу и впн/I2P можно поднять и прочие радости (вот, не выйдет так как стоит белый лист сайтов, а если куда - то надо выползти за его пределы, то добавление в него на время сессии с подтверждением через физическую кнопку на малине.) настроить, а вот она уже подключается к домашнему роутеру.
Можно еще в deep analiz трафика углубиться, но это уже совсем для поехавших.
Согласен, сложно, глючно и сильно нагружать проц роутера будет, поставить фаиры на компы проще. Ещё и не каждый роутер поддерживает такое.
>Можешь скрин кинуть?
я немного обосрался. это тоже фаерволл, но из другого космоса
Уже было, но всё равно. Купить Mikrotik или накатить LEDE. И научиться пользоваться ими, начать лучше понимать, как работают сети, элементарно практикуясь и настраивая эти ОС. Дальнейшие вопросы о безопасности отпадут сами.
Первые, Mikrotik-и, имеют качественное железо и хорошую ОС, во многих случаях имеют даже switch-чип.
Hex или Hex Lite — самые казуальный варианты. Гигабитный, 5 портов.
На первом: 256MB оперативки, можно запихнуть на него VPN, если захочется; хардварное шифрование имеется, на случай, если будет нужен IPSec. На втором, Hex Lite этого скорее всего не будет, так как мощностей там меньше. При всём этом, вне зависимости от устройства, RouterOS везде одинаковый, полноценный, как проф. оборудовании.
> В DHCP ввел адрес типа 100.100.1.1-100.100.1.3 что позволяет роутеру выдавать не более 4х IP (у меня как раз 4 устройства).
Не вижу в этом смысла. У тебя, как ты говоришь, и так ограничение по MAC-ам. Верни обратно DHCP на всю подсеть. Всё равно ведь появится пятое устройство и у тебя начнёт проявляться геморрой.
> Алсо хочу спросить как люди попадают в RouterScan? Что не так они делают? Если не ошибаюсь, то в настройках роутера стоит по умолчанию запрет на управление извне, но на их роутеры можно заходить и делать че хочешь с ними. И даже наностанции за 7 тысяч рублей открытые, заходи меняй что хочешь. Как они так умудряются? Что с ними не так?
Кривые правила firewall-а, либо они вообще отсутсвуют. Что же еще? Чтобы убедиться, что всё хорошо, надо как-минимум прогонять nmap-ом свой IP из внешней сети. Один раз видел такое, что входящий не в NAT трафик на роутере блокируется не на уровне ОС, а на прикладном. Это полнейший пиздец, я считаю. Web интерфейс, получается, смотрит наружу и самостоятельно фильтрует входящие из подсети соединения. Не помню, что там за железо было.
Что то я накрутил в роутере и исходящий порезало почти в ноль и входящий до 5мб соснул в минуса. ХЕЛП!!!!
ой нахуй.Модератор удоли! Скрин нечаянно приклеился, я его неприклеивал сюда, СУКААААА
щас по ip будм бить морду
Какой впн на микротике? Они уже лет 7 не могут починить openvpn udp/lzo уж не говоря о совместимости с v2.4. Сторонний софт вроде ss/wg не загрузить, однопоточный мипс вместо процессора.
У них только одна железка хороша - свитч на 24порта и то только из-за цены в 9к. Все остальное застряло в прошлом.
>или накатить LEDE
Или lede или uqbt.
У них только одна железка хороша - свитч на 24порта и то только из-за цены в 9к. Все остальное застряло в прошлом.
>или накатить LEDE
Или lede или uqbt.
>однопоточный
Я не просто так именно Hex указал.
Про то, что с OpenVPN у него хуёво, не знал. Настраивал IPsec, когда игрался с RouterOS. Всё работало, на удивление.
>Настраивал IPsec
Подключение по доменному имени работало?
Не пробовал.
Аналитики неплохие тут сидят
1. Поменял логин и пароль на сложные
2. Поменял стандартный IP адрес на другой
3. Выключил QSS
4. В беспроводном режиме включил фильтрацию мак-адресов и внес маки своих 4х устройств.
4. В DHCP ввел адрес типа 100.100.1.1-100.100.1.3 что позволяет роутеру выдавать не более 4х IP (у меня как раз 4 устройства). В DHCP-список клиентов вбил макадреса тех самых 4х устройств, а в резервировании адресов зарезервировал для каждого устройства свой IP.
5. Установил ложный пароль Wi-Fi точки (20 символов) WPA2-Personal и шифрование AES. А также в период обновления группового ключа поставил 86400
Что еще я забыл? Знаю, что еще в родительском контроле можно установить разрешение на управление роутером только для макадреса компа. Но на этом собственно и всё. Слышал про DMZ, типа ставить туда левый IP можно на всякий случай, помогает.
Алсо хочу спросить как люди попадают в RouterScan? Что не так они делают? Если не ошибаюсь, то в настройках роутера стоит по умолчанию запрет на управление извне, но на их роутеры можно заходить и делать че хочешь с ними. И даже наностанции за 7 тысяч рублей открытые, заходи меняй что хочешь. Как они так умудряются? Что с ними не так? Приглашаю анонов к дискусси.