OT Exploiting SOHO Routers

Petr Tomasek tomasek na etf.cuni.cz
Čtvrtek Březen 19 21:54:56 CET 2015 

On Thu, Mar 19, 2015 at 07:51:13PM +0100, Per512 wrote:
> 
> 
> Dne 19.3.2015 v 17:53 Petr Tomasek napsal(a):
> >Já osobně jakou router doporučuji nějakou slušnou konzervativní
> >linuxovou distribuci - např. Debian - na něčem jako je APU od
> >PC Engines nebo podobné desce. Prostě malé PC.
>   Hm,
> 
>   ale to jsme opět u nutnosti studovat poměrně velký objem dokumentace 
> a být trvale v obraze a vědět co si instaluji a proč. V podstatě mít 
> nastavování FW a routeru jako své hobby. Pokud jste pilotem bojového 

Nezdá se mi to tak strašné. 1) vzhledem k tomu, že mám i na ostatních
strojích Debian, už člověk informace buď dávno ví, nebo ví, kde má hledat,
2) osobně je mi příjemnější dokumentace typu, co kde má být ve kterém
konfiguračním souboru, než do které prdele musím kliknout a do kterého
okna vlézt, aby to fungovalo, 3) k základnímu nastavení routeru
nepotřebujet víc než základní nastavní systému, trochu iptables,
DHCP server, možná ještě tak pořádný rekurzivní DNS server
a hostapd pro WiFi. To není tak moc. Nainstalovat slušně Windows
potrvá daleko déle ;-)

> Pokud jste pilotem bojového 
> letounu nebo jiného podobně adrenalinového získávání peněz, tak je 
> to vhodná forma kompenzace, ale krabičky mají sloužit Vám, ne Vy jim.

Popravdě řečeno, moc Vám nerozumím, co tím chcete říct.

Nemám pocit, že když jednou za uherský rok strávím 1-2 večery pořádnou
konfigurací routeru, že bych tomu nějak sloužil.

Konfigurace "krabiček" taky chce nějaký čas (taky se člověk toho musí
spoustu naučit, když to dělá poprvé) a blbé je, že spoustu věcí člověk
nemá jak ovlivnit.

P.T.

> >Výhodou jsou časté aktualizace a daleko větší úroveň software daná
> >už jenom otevřeností vývoje (Stačí se podívat na chyby v těch SOHO
> >routerech, většinou jsou to naprosto školácké chyby, kdy web server
> >si vůbec neošetří vstupy nebo ještě hůř "zapomenuté" debugovací 
> >rozhraní.
> >A ty chyby jsou často >10 let staré, protože výrobce koupil od kohosi
> >jakýsi operační systém a pak ho zaflikoval, aby to nějak fungovalo -
> >a nikdo už se pak nestaral o to, co se v tom kódu děje.
> >V tomto je open-source daleko důvěryhodnější - i přesto, že nelze
> >zaručit, že tam nikdo nikde žádná zadní vrátka neschoval, pořád
> >je to o několik "levlů" jinde...)
> >
> >
>   Hezky napsáno, ale viz výše.
>   Domácí uživatel chce funcionalitu bez nutnosti se v tom týdně 
>   špárat a instalovat patche, balíčky, distribuce.
>   Tímto vláknem se pořád ale vine snaha řešení All in One, která 
>   jde tak trochu proti smyslu funkcionality.
>  1. bezpečnost - FW a router mají dělat obranu a třídění 
>  dovnitř<>ven a mají to umět dobře, byť je to malá experimentální 
> síťka doma v panelákovém bytě, ale i ta chce mít pocit jistoty bez 
> křidélek >> samostatný box, který to umí a je jednoduše 
> konfigurovatelný bez nutnosti se zaobírat činnostmi popsanými o 15 
> řádků výše.
> 2. pokud chci další funkcionalitu - server - udělám si na 
> FW/routeru/switchi demilitarizovanou zónu, tam připojím třeba Malinu Pi 
> a můžu si hrát, aniž bych ohrozil bezpečnost intranetu a potažmo 
> celého přístupu všech ostatních uživatelů síťky na internet, nebo 
> je vystavil nebezpečí při průniku špatně nastaveným web serverem ( a 
> věřte mi, že je to ještě jednodušší než se zdá - bezpečnost je 
> přímo úměrná znalostem uživatele a jeho studia a sledování 
> bezpečnostních chyb v té dané distribuci...). Další server - třeba 
> NAS opět jednoduše připojím do LAN nebo DMZ a můžu si jej 
> vypnout/zapnout kdy potřebuji, ale opět neohrozím funkcionalitu všeho 
> ostatního.
> 3. Pokud jsem dominantní a nezajímá mě to, jestli ostatní uživatelé 
> na moji síťce jsou někam připojeni nebo nee, neb já sihraji zrovna s 
> konfigurací webu na firewallu a nějak se to nepovedlo katastrofálně a 
> musím jít do resetu, pak je to jiná a All in One má oprávnění, 
> ale....
> --
> 
> 
> Rtepp
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list at list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list

-- 
Petr Tomasek <http://www.etf.cuni.cz/~tomasek>
Jabber: butrus at jabbim.cz

Další informace o konferenci Hw-list