24 Wrzesień 2018 18:26:56
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· [MOD] FreshTomato-ARM
· 3500l cegła ?
· Mocny ruter pod tomato
· Orange IPTV - konfig...
· Tomato - bugi/proble...
· Router do 300 z
· Asus 4G-Ac68u
· [S] Routery
· OptWare - co to jest...
· Jaki router kupić? Z...
· Zmiana usługodawcy=b...
· WNR3500lv2 powrót na...
· WRT54g-TM
· DS110J
· [S] iConnect przerob...
· [MOD] FreshTomato-MIPS
· Netgear R7800 DDWRT/...
· Kilka VLANów na Tomato
· stream do serwera op...
· cos blokuje wyjscie ...
Najciekawsze tematy
· Tomato - bugi/pro... [975]
· OptWare - co to j... [539]
· Jaki router kupić... [505]
· [MOD] FreshTomato... [283]
· Router do 300 z [29]
· 3500l cegła ? [7]
· Mocny ruter pod t... [7]
· Zmiana usługodawc... [6]
· WNR3500lv2 powrót... [4]
· Orange IPTV - kon... [2]
· Asus 4G-Ac68u [2]
· [S] Routery [0]
· WRT54g-TM [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
40% [132 głosy]

Broadcom ARM
Broadcom ARM
49% [163 głosy]

Atheros
Atheros
6% [19 głosów]

Marvell
Marvell
1% [4 głosy]

Ralink
Ralink
1% [2 głosy]

Intel/AMD/VIA
Intel/AMD/VIA
1% [3 głosy]

Żaden z powyższych
Żaden z powyższych
3% [10 głosów]

Ogółem głosów: 333
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
54.196.13.210
Reklama
Jak zabezpieczyć router i sieć domową?
SiecJak zabezpieczyć router i sieć domową? Oto 14 porad:

- Należy unikać używania routerów dostarczanych przez ISP. Routery te są mniej bezpieczne niż te sprzedawane przez wyspecjalizowanych producentów. Poza tym urządzenia należące do dostawców internetu mają często dedykowane poświadczenia obsługi zdalnej, których użytkownik nie może sam w żaden sposób zmienić, oraz definiowany firmware często aktualizowany znacznie później, niż wymaga od tego dynamiczny świat złośliwego oprogramowania. Trzeba przyznać, że producenci routerów działają w tym zakresie znacznie szybciej.

- Zmień domyślne hasło administratora. Wiele routerów dostarczanych jest z ustawionymi domyślnymi hasłami administratora. Cyberprzestępcy z kolei nieustannie starają się łamać tego typu hasła, bo dałyby im one dostęp do wielu urządzeń jednocześnie. Gdy po raz pierwszy zalogujesz się do konsoli zarządzania swoim routerem, koniecznie zmień hasło dostarczone przez ISP/producenta.

- Strona do zarządzania routerem zdalnie nie powinna być osiągalna przez zwykłe połączenie internetowe. W większości przypadków zmiana jakichkolwiek ustawień routera poza siecią lokalną (LAN) nie jest potrzebna. Tym bardziej powinno się zablokować taką możliwość z innych miejsc internetu. A jeśli z jakiegoś powodu potrzebujesz takiej opcji, używaj do tego zawsze połączenia szyfrowanego usługą VPN.

- Nawet w sieci LAN warto ustalić restrykcyjnie, który adres IP (Internet Protocol) może zarządzać routerem. Jeśli ta opcja jest możliwa, to zawsze pozwalaj na dostęp pojedynczego adresu IP, który nie należy do puli wydzielonej w tamach protokołu DHCP (Dynamic Host Configuration Protocol). Przykładowo skonfiguruj ustawienie DHCP, by przydzielał adresy z puli od 192.168.0.1 do 192.168.0.50, ale pozwalaj na dostęp do konsoli zarządzania routerem tylko dla adresu 192.168.0.53. Komputer powinien być ręcznie konfigurowany, by nawiązać połączenie z tym adresem, a tym samym z routerem.

- Włącz dostęp HTTPS do interfejsu konfiguracji, dodatkowo ustaw niestandardowy port, pod którym jest dostępny interfejs konfiguracji routera i zawsze wyloguj się po zakończeniu tej czynności. Używaj trybu incognito lub prywatnego, pracując z routerem, tak aby w przeglądarce nie zapisywały się żadne sesje zawierające pliki cookie, z których cyberprzestępca mógłby wyciągnąć login i hasło.

- Zmień adres LAN IP routera, jeśli tylko to możliwe. W większości wypadków router zostanie przydzielony do pierwszego zdefiniowanego bloku, np. 192.168.0.1. Jeśli tylko to możliwe, zmień ten adres na 192.168.0.99 lub cokolwiek innego i łatwego do zapamiętania, a co jednocześnie nie należy do puli DHCP. Warto dodać, że całą tę pulę można wymienić (w prywatnych sieciach).

- Wybierz skomplikowane hasło Wi-Fi i silny protokół bezpieczeństwa (WPA2-AES + minimum 12 znaków, małe, duże litery, cyfry, znaki specjalne i nie słownikowe). WPA2 (Wi-Fi Protected Access II) powinno być już standardem, ponieważ starsze WPA i WEP są podatne na ataki typu brute-force. Jeśli router oferuje tę opcję, stwórz oddzielną sieć Wi-Fi dla gości, także zabezpieczoną protokołem WPA2 i silnym hasłem. Poproś przyjaciół i innych wizytujących, by korzystali z tej sieci, a nie z twojego głównego Wi-Fi. Najprawdopodobniej znajomi nie będą mieli złych intencji, ale ich urządzenia mobilne mogą być zarażone złośliwym oprogramowaniem. Uwaga: jeśli masz nowoczesny router, wybierając standard WPA2, od razu włącz szyfrowanie CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol). W niektórych routerach szyfrowanie to nosi nazwę AES (Advanced Encryption Standard). Stosuje się w nim klucz o długości 256 bitów. Moc obliczeniowa obecnych komputerów nie pozwala złamać go w akceptowalnym czasie. Mniej skuteczne szyfrowanie WPA-PSK (Pre-shared key) w połączeniu z TKIP (Temporal Key Integrity Protocol) wykorzystuje klucz długości 40 lub 128 bitów. Jeśli agresor ma do dyspozycji sprzęt o dużej mocy obliczeniowej, może - przynajmniej teoretycznie - złamać szyfrowanie i wedrzeć się do sieci metodą wielokrotnych prób (atak metodą siłową).

- Wyłącz w swoim routerze DSL funkcję WPS (WiFi Protected Setup). WPS ma zapewniać użytkownikowi większą wygodę podczas nawiązywania połączeń w sieci WLAN, pozwala bowiem ustanawiać Wi-Fi z wykorzystaniem kodu PIN zwykle znajdującego się na naklejce routera. Jednak funkcja ta może równie dobrze ułatwiać hakerom wdzieranie się do cudzych sieci.

- Im mniej usług twój router wykorzystuje do łączenia się z internetem, tym lepiej. Trzeba o tym pamiętać, zwłaszcza gdy korzystasz z usług, o których działaniu prawdopodobnie nawet nie wiesz, takich jak: Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell) i HNAP (Home Network Administration Protocol), które przecież teoretycznie dostępne są przez Internet, a zatem służą jako drzwi dla potencjalnych hakerów. Weźmy jako przykład UPnP. Fakt, że pozwala programom i urządzeniom modyfikować ustawienia routera, abyś nie musiał za każdym razem własnoręcznie zmieniać konfiguracji, ale przemycony do sieci WLAN trojan mógłby w ten sposób poprzestawiać ustawienia routera. Dlatego zaleca się wyłączyć UPnP. W niektórych modelach można zabronić zmieniania opcji zabezpieczeń przez UPnP, wówczas nie trzeba całkowicie rezygnować z tej funkcji. Warto sprawdzić usługę internetową https://www.grc.com/shieldsup, która skanuje publiczne IP routera i wyszukuje otwarte porty. Sprawdza także UPnP.

- Aktualizuj firmware routera. Odwiedzaj w regularnych odstępach czasu witrynę producenta, sprawdzając, czy jest nowa wersja firmware'u do routera. Aktualizacje w wielu wypadkach usuwają nowo odkryte luki w zabezpieczeniach urządzenia.

Dla wymagających:

- Segmentacja sieci może się przydać, by izolować ryzykowne urządzenia. Niektóre routery dla konsumentów mają funkcję tworzenia sieci VLAN (virtual local area networks) jako część większej sieci prywatnej. Te sieci wirtualne mogą być używane np. do izolowania urządzeń internetu rzeczy (internet-of-things), które wciąż określane są przez ekspertów jako najbardziej podatne na ataki ze strony cyberprzestępców. Wiele urządzeń IOT może być kontrolowanych z poziomu aplikacji smartfonowych albo poprzez zewnętrzne usługi chmurowe. Tak długo jak te urządzenia będą miały własny dostęp do sieci, nie będą musiały na bieżąco korzystać z połączenia ustanowionego za pośrednictwem smartfona (z wyjątkiem może pierwszej konfiguracji). To dobre rozwiązanie, bo w innym przypadku złośliwe oprogramowanie mogłoby wykorzystać podatności urządzenia IOT, by zainfekować urządzenia sterujące, takie jak smartfon czy komputer.

- Filtrowanie adresów MAC i IP się sprawdza. Adresy MAC, inaczej zwane adresami fizycznymi, są wizytówkami urządzeń korzystających z sieci. Routery obsługujące Wi-Fi umożliwiają stworzenie listy zaufanych podzespołów, które mogą się z nim łączyć. Komputer o adresie spoza listy zostanie zablokowany. Wprawdzie możliwe jest podszycie się pod adres MAC, ale filtr stanowi poważną barierę ograniczającą ewentualność włamania. O ile to możliwe, warto również skorzystać z filtrowania IP. Włączenie filtrowania adresów MAC może bardzo utrudnić, o ile nie uniemożliwić, atakującemu połączenie się z siecią Wi-Fi, nawet gdy zostanie skradzione hasło do niej.

- Przekierowywanie portów powinno iść w parze z filtrowaniem IP. Usługi uruchamiane na komputerze za routerem mogą być dostępne z zewnątrz, jeśli przekierowywanie portów w routerze nie jest odpowiednio zdefiniowane. Wiele aplikacji automatycznie otwiera porty, korzystając z funkcji UPnP, co nie zawsze jest bezpieczne. Gdy UPnP jest wyłączone, użytkownik może dodawać reguły dotyczące otwierania portów. Niektóre routery oferują możliwość wskazania źródła adresu lub puli adresów IP, które mogą łączyć się z konkretnym portami w celu obsługi wskazanych usług w danej sieci. Przykładowo, jeśli chcesz podłączyć się do serwera FTP na swoim domowym komputerze z pracy, możesz utworzyć regułę przekierowania portu 21 (FTP) w twoim routerze, ale tylko dla połączeń z bloku należącego do adresów IP firmy, w której pracujesz.

- Własny firmware może być bardziej bezpieczny niż preinstalowany. W sieci dostępnych jest kilka opartych na Linuksie i rozwijanych przez społeczność projektów oprogramowania układowego (firmware) dla szerokiej grupy routerów domowych. Tomato, OpenWRT, DD-WRT i Asuswrt-Merlin (dla urządzeń Asusa) to tylko niektóre z popularnych projektów. Takie oprogramowanie oferuje bardziej zaawansowane i modyfikowalne możliwości konfiguracji niż firmware udostępnione dla urządzeń fabrycznie. Jego twórcy bardzo szybko też łatają wszelkie dziury w oprogramowaniu (zwykle szybciej niż producenci sprzętu). Także relatywnie niska popularność takiego oprogramowania sprawia, że to rzadziej znajduje się na celowniku hakerów. Oczywiście, są też wady. Przede wszystkim trzeba mieć świadomość, że zabawa z tego typu oprogramowaniem wymaga od użytkownika naprawdę dużej wiedzy technicznej i świadomości tego, co się robi, oraz zwykle oznacza także utratę gwarancji na sprzęt (który można w ten sposób łatwo uszkodzić). Żeby nie było, że nie ostrzegaliśmy!

Źródło
Komentarze
#1 | b3rok dnia 17 styczeń 2017 21:29:32
Dobra robota, przydatny artykuł. Nasunął mi 2 sprawy do wdrożenia - VLANy oraz zdefiniowanie zaufanego IP z którego jest dostęp do panelu administracyjnego routera.
#2 | kille72 dnia 17 styczeń 2017 21:33:05
Bound to - Enforce static ARP binding of this particular IP/MAC address pair, tez nie glupie.
#3 | servee dnia 23 styczeń 2017 23:30:44
Fajny artykuł, dzięki!
O jednej rzeczy nie pomyślałem i na pewno z niej skorzystam, ale nie napiszę z jakiej, żeby słabego punktu swojej sieci nie ujawniać Pfft.
#4 | Anter34 dnia 12 czerwiec 2017 14:18:30
Dla mnie najbardziej przydatna informacja to wyłączenie nieużywanych usług. Jakoś nie wpadło mi to do głowy.
Dodaj komentarz
Zaloguj się, aby móc dodać komentarz.
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 4

· Użytkowników online: 0

· Łącznie użytkowników: 23,769
· Najnowszy użytkownik: dex80
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

djwujek
19-09-2018 13:06
man1 Niestety nie da się z tego co wiem.

Steel_Rat
18-09-2018 08:01
Ja do tej pory używam xmail + dovecot. Konfiguracja trudna ale nie niemożliwa.

Jacek5
17-09-2018 22:57
Posiada ktos manual dla laikow "jak skonfigurowac mail"? W tak rozwinietym swiecie, nawet qnapy nie maja serwera pocztowego.

man1
17-09-2018 19:17
Czy da sie miec dzialajace "Bandwith / Last 24hrs" z włączonym CTF na Tomato?

kille72
12-09-2018 21:50
Skopiuj a nie przerzucaj.

Jacek5
12-09-2018 20:17
Wczoraj stworzylem taki katalog, wlasnie w opt i do niego wrzucilem swoje, przerzucajac co bylo mozliwe z /www. Czesc katalogow byla niemozliwa do przeniesienia.. Dzieki

kille72
12-09-2018 17:02
Popatrz na Administration-Web
Admin-Directory with GUI files.

Jacek5
11-09-2018 20:19
Laickie ale coz.. Smile Chce wrzucic pliki do katalogu www na tomato, ale ma mozlwiosci zapisu. Zmiana atrybutow chmod nie jest mozliwa. Jak tego dokonac? Smile

p4v3u
28-08-2018 00:12
czy ktos probowal podlaczyc ddwrt jako klienta do sewrera openvpn na tomato ?

pedro
23-08-2018 19:06
@shibby: a co z moim problemem?

shibby
21-08-2018 08:31
poszło pw

sadamkusz
19-08-2018 14:41
How much is the fish? shibby - a może PW albo temat w dziale K/S?

shibby
17-08-2018 18:56
Sadamkusz, ja mam raspbiana na dysku 1.8" 250gb po USB. Jak chcesz to mam taki jeszcze jeden komplet. Obudowa wielkości rpi Smile

slawko
17-08-2018 16:51
Wystarczy do RPi podpiąć dysk ssd i będzie stabilna nic się nie wysypie, zainteresuj się też NetTemp

sadamkusz
17-08-2018 13:38
prościej ale czy możliwe do ogarnięcia przez zwykłego usera (czyt bez kompilowania) ? RPi mam ale chce weliminować bo i tak przecież router działa 24h a rozsypywanie się systemu plików na RPi mnie den

shibby
17-08-2018 13:18
nie używałem tego ale na forum był o tym temat. Z tego co pamiętam prościej postawić RPi.

sadamkusz
16-08-2018 14:06
shibby czy ty uruchomiłeś Domoticz u siebie na routerze? R7000 lub podobnym z tomato?

36,588,324 unikalne wizyty