OT Exploiting SOHO Routers
Per512
per512 na seznam.cz
Čtvrtek Březen 19 19:51:13 CET 2015
Dne 19.3.2015 v 17:53 Petr Tomasek napsal(a):
> Já osobně jakou router doporučuji nějakou slušnou konzervativní
> linuxovou distribuci - např. Debian - na něčem jako je APU od
> PC Engines nebo podobné desce. Prostě malé PC.
Hm,
ale to jsme opět u nutnosti studovat poměrně velký objem dokumentace
a být trvale v obraze a vědět co si instaluji a proč. V podstatě mít
nastavování FW a routeru jako své hobby. Pokud jste pilotem bojového
letounu nebo jiného podobně adrenalinového získávání peněz, tak je to
vhodná forma kompenzace, ale krabičky mají sloužit Vám, ne Vy jim.
> Výhodou jsou časté aktualizace a daleko větší úroveň software daná
> už jenom otevřeností vývoje (Stačí se podívat na chyby v těch SOHO
> routerech, většinou jsou to naprosto školácké chyby, kdy web server
> si vůbec neošetří vstupy nebo ještě hůř "zapomenuté" debugovací rozhraní.
> A ty chyby jsou často >10 let staré, protože výrobce koupil od kohosi
> jakýsi operační systém a pak ho zaflikoval, aby to nějak fungovalo -
> a nikdo už se pak nestaral o to, co se v tom kódu děje.
> V tomto je open-source daleko důvěryhodnější - i přesto, že nelze
> zaručit, že tam nikdo nikde žádná zadní vrátka neschoval, pořád
> je to o několik "levlů" jinde...)
>
>
Hezky napsáno, ale viz výše.
Domácí uživatel chce funcionalitu bez nutnosti se v tom týdně špárat
a instalovat patche, balíčky, distribuce.
Tímto vláknem se pořád ale vine snaha řešení All in One, která jde
tak trochu proti smyslu funkcionality.
1. bezpečnost - FW a router mají dělat obranu a třídění dovnitř<>ven a
mají to umět dobře, byť je to malá experimentální síťka doma v
panelákovém bytě, ale i ta chce mít pocit jistoty bez křidélek >>
samostatný box, který to umí a je jednoduše konfigurovatelný bez
nutnosti se zaobírat činnostmi popsanými o 15 řádků výše.
2. pokud chci další funkcionalitu - server - udělám si na
FW/routeru/switchi demilitarizovanou zónu, tam připojím třeba Malinu Pi
a můžu si hrát, aniž bych ohrozil bezpečnost intranetu a potažmo celého
přístupu všech ostatních uživatelů síťky na internet, nebo je vystavil
nebezpečí při průniku špatně nastaveným web serverem ( a věřte mi, že je
to ještě jednodušší než se zdá - bezpečnost je přímo úměrná znalostem
uživatele a jeho studia a sledování bezpečnostních chyb v té dané
distribuci...). Další server - třeba NAS opět jednoduše připojím do LAN
nebo DMZ a můžu si jej vypnout/zapnout kdy potřebuji, ale opět neohrozím
funkcionalitu všeho ostatního.
3. Pokud jsem dominantní a nezajímá mě to, jestli ostatní uživatelé na
moji síťce jsou někam připojeni nebo nee, neb já sihraji zrovna s
konfigurací webu na firewallu a nějak se to nepovedlo katastrofálně a
musím jít do resetu, pak je to jiná a All in One má oprávnění, ale....
--
Rtepp
Další informace o konferenci Hw-list