OT Exploiting SOHO Routers

Per512 per512 na seznam.cz
Čtvrtek Březen 19 19:51:13 CET 2015



Dne 19.3.2015 v 17:53 Petr Tomasek napsal(a):
> Já osobně jakou router doporučuji nějakou slušnou konzervativní
> linuxovou distribuci - např. Debian - na něčem jako je APU od
> PC Engines nebo podobné desce. Prostě malé PC.
   Hm,

   ale to jsme opět u nutnosti studovat poměrně velký objem dokumentace 
a být trvale v obraze a vědět co si instaluji a proč. V podstatě mít 
nastavování FW a routeru jako své hobby. Pokud jste pilotem bojového 
letounu nebo jiného podobně adrenalinového získávání peněz, tak je to 
vhodná forma kompenzace, ale krabičky mají sloužit Vám, ne Vy jim.

> Výhodou jsou časté aktualizace a daleko větší úroveň software daná
> už jenom otevřeností vývoje (Stačí se podívat na chyby v těch SOHO
> routerech, většinou jsou to naprosto školácké chyby, kdy web server
> si vůbec neošetří vstupy nebo ještě hůř "zapomenuté" debugovací rozhraní.
> A ty chyby jsou často >10 let staré, protože výrobce koupil od kohosi
> jakýsi operační systém a pak ho zaflikoval, aby to nějak fungovalo -
> a nikdo už se pak nestaral o to, co se v tom kódu děje.
> V tomto je open-source daleko důvěryhodnější - i přesto, že nelze
> zaručit, že tam nikdo nikde žádná zadní vrátka neschoval, pořád
> je to o několik "levlů" jinde...)
>
>
   Hezky napsáno, ale viz výše.
   Domácí uživatel chce funcionalitu bez nutnosti se v tom týdně špárat 
a instalovat patche, balíčky, distribuce.
   Tímto vláknem se pořád ale vine snaha řešení All in One, která jde 
tak trochu proti smyslu funkcionality.
  1. bezpečnost - FW a router mají dělat obranu a třídění dovnitř<>ven a 
mají to umět dobře, byť je to malá experimentální síťka doma v 
panelákovém bytě, ale i ta chce mít pocit jistoty bez křidélek >> 
samostatný box, který to umí a je jednoduše konfigurovatelný bez 
nutnosti se zaobírat činnostmi popsanými o 15 řádků výše.
2. pokud chci další funkcionalitu - server - udělám si na 
FW/routeru/switchi demilitarizovanou zónu, tam připojím třeba Malinu Pi 
a můžu si hrát, aniž bych ohrozil bezpečnost intranetu a potažmo celého 
přístupu všech ostatních uživatelů síťky na internet, nebo je vystavil 
nebezpečí při průniku špatně nastaveným web serverem ( a věřte mi, že je 
to ještě jednodušší než se zdá - bezpečnost je přímo úměrná znalostem 
uživatele a jeho studia a sledování bezpečnostních chyb v té dané 
distribuci...). Další server - třeba NAS opět jednoduše připojím do LAN 
nebo DMZ a můžu si jej vypnout/zapnout kdy potřebuji, ale opět neohrozím 
funkcionalitu všeho ostatního.
3. Pokud jsem dominantní a nezajímá mě to, jestli ostatní uživatelé na 
moji síťce jsou někam připojeni nebo nee, neb já sihraji zrovna s 
konfigurací webu na firewallu a nějak se to nepovedlo katastrofálně a 
musím jít do resetu, pak je to jiná a All in One má oprávnění, ale....
--


Rtepp


Další informace o konferenci Hw-list