Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: belzebub 13. 08. 2014, 20:09:38
-
Potrebuji domu novy router (pripojeny k modemu UPC) - a protoze nejsem odbornik na bezpecnost a ani na site, rad bych vas pozadal o radu. Co se funkce tyce, mam celkem jednoduche pozadavky - 1GBit (ethernet, wifi rychlost me nezajima), alespon 4x RJ45 a moznost vypnuti wifi (kdyby umel pomoci tlacitka/prepinace bylo by to idealni, ale staci i pres rozhrani) - ale co se bezpecnosti tyce, rad bych neco nema zadne zname exploity a backdoory, chyby v implementaci, apod. Cenu pod 5000,-
Muzete nejaky router (nebo obecne vyrobce) doporucit?
-
Nejlepší router je home-made...
http://www.pcengines.ch/apu1c.htm
-
Nejlepší router je home-made...
Diky, ale tim jsem si prosel pred cca 8 lety a z meho pohledu je s tim prilis prace. Co se routeru tyce, chci byt pouze "uzivatel" - nechci si s tim "hrat" - chci to pouze vybalit, zapojit, nastavit a zapomenout (ok, cas od casu upgradovat firmware).
-
chci to pouze vybalit, zapojit, nastavit a zapomenout (ok, cas od casu upgradovat firmware).
Hmmm... upgradovat většinou není co. Pokud tam nenacpeš DD-WRT/OpenWRT nebo něco podobného. No, a jsme na začátku.
-
A co takhle neco od cisca? Do peti tisic sezenes docela peknou krabicku.
-
A co takhle neco od cisca? Do peti tisic sezenes docela peknou krabicku.
To je ta firma co nevyžádaně přesouvá funkce firmwaru do cloudu (http://arstechnica.com/gadgets/2012/07/cisco-backpedals-after-uproar-drops-cloud-from-default-router-setting/)? :o ::)
-
ddwrt openwrt. vyrobcovia rutrof seru na updaty. takto mas aku taku kontrolu nad tym rutrom. homemade vyzera dobre ale neviem aky soft na tom fici.
-
homemade vyzera dobre ale neviem aky soft na tom fici.
pfSense (http://www.pfsense.org/), IPFire (http://planet.ipfire.org/post/pc-engines-apu1c-a-review)...
-
A co takhle neco od cisca? Do peti tisic sezenes docela peknou krabicku.
To je ta firma co nevyžádaně přesouvá funkce firmwaru do cloudu (http://arstechnica.com/gadgets/2012/07/cisco-backpedals-after-uproar-drops-cloud-from-default-router-setting/)? :o ::)
Kristova noho, to snad neni mozne, jak jsou nektere firmy oprskle! :o
-
Takový router neexistuje.
A co takhle neco od cisca? Do peti tisic sezenes docela peknou krabicku.
Chtěl něco bez backdoorů.
http://www.root.cz/zpravicky/byl-nalezen-backdoor-v-routerech-linksys-a-netgear-a-dalsich/
http://thehackernews.com/2014/04/router-manufacturers-secretly-added-tcp.html
http://www.theregister.co.uk/2014/07/02/cisco_you_cant_just_leave_your_ssh_keys_lying_around/
-
Tiez odporucam home-made.
Riesim podobnu vec a uz o ziadne uzatvorene riese nemam zaujem. Bud to ma o nejaky cas bezp. dieru, ktoru uz nikto neopravi, tragicke menu, chybajuce funkcie, slaby vykon alebo je to predrazene.
V mojom pripade m0n0wall.ch (http://m0n0wall.ch) v kombinacii s embedded HW to isti(vlastny HW alebo uz spominane apu).
Hotovu krabicku si vies kupit a instalaciu + nastavenie takehoto niecoho nepovazujem za extra narocnejsie ako nastavovat klasicky router.
-
Doporučuji Mikrotik, konfiguračně toho poskytuje mnoho, lze ovládat přes ssh...
-
Neviem ako velmi si paranoidny. Ja by som to riesil niecim beznejsim do coho ide nahrat openwrt/ddwrt.
Bezudrzbovy router asi uplne neexistuje. Ja pokukavam po niecom takomto http://www.alza.cz/tp-link-tl-wdr4300-d334211.htm?lang=CZ a do toho nahrat ddwrt.
-
A ma to i tlacitko na vypnutie wifi. ;)
-
jj, viz flack. mam sice o generaci starsi 1043 ale je to skvely kousek.
-
Kurva co to resite za srance? Do 5K? Vetsina domacnosti ma routry cca za 500 kachli tak co je za problem si do pozadovane castly vybrat router?
Home made? To urcite ne.
Proste si kup http://www.czc.cz/cisco-rv110w/91335/produkt?q-category-id=ao711bsph0go3amgas9c7hjb0a&q-c-0-producer=s94op5mkh82dmta60th64cpgc3c
BTW... Bezpecny router neexistuje.
-
Danieli, precetl sis co vlastne totycny pozaduje? Ja myslim ze ne.
-
taky doporucuju nejakej tp-link, mam jeden doma, lepsi nez linksys a netgyr
jde do nej dat i openwrt (asi ne do vsech, ale do myho jo), ale zatim mi stacil origos fw
-
Danieli, precetl sis co vlastne totycny pozaduje? Ja myslim ze ne.
No jo vono to chce gigac.
-
Kurva co to resite za srance? Do 5K? Vetsina domacnosti ma routry cca za 500 kachli tak co je za problem si do pozadovane castly vybrat router?
Home made? To urcite ne.
Proste si kup http://www.czc.cz/cisco-rv110w/91335/produkt?q-category-id=ao711bsph0go3amgas9c7hjb0a&q-c-0-producer=s94op5mkh82dmta60th64cpgc3c
BTW... Bezpecny router neexistuje.
Ale jo pokud z venku bude jen routovat, riziko napadení je téměř nula. Útok zevnitř zase je limitován dosahem Wifi a LAN.
Bohužel, dneska většina zařízení a tím myslím i ty "značkové" jsou děravé a ven příliš otevřené.
Pokud například budu mít jen SSH z vnitřní sítě a rozumné heslo a tím veškerý access končí, router jen routuje.
Je zranitelné jen to SSH a jen zevnitř, tudíž "no problem" ... ovšem dneska chce každej dementní klikátko, přiblblou administraci.
TCP protokol celkem drží, tak s IPv6 se možná dočkáme nějakého "překvapení"... ale dneska už to dávno není co bývalo.
Kdysi dávno se chyby využívali sofistikovaně, v poslední době je tolik neprosto "stupidních a amatérských" chyb ve všech produktech, že stačí jen vybírat. Rychlá doba a jednoduché věci si žádájí své.
-
Kurva co to resite za srance? Do 5K? Vetsina domacnosti ma routry cca za 500 kachli tak co je za problem si do pozadovane castly vybrat router?
Home made? To urcite ne.
Proste si kup http://www.czc.cz/cisco-rv110w/91335/produkt?q-category-id=ao711bsph0go3amgas9c7hjb0a&q-c-0-producer=s94op5mkh82dmta60th64cpgc3c
BTW... Bezpecny router neexistuje.
Ale jo pokud z venku bude jen routovat, riziko napadení je téměř nula. Útok zevnitř zase je limitován dosahem Wifi a LAN.
Bohužel, dneska většina zařízení a tím myslím i ty "značkové" jsou děravé a ven příliš otevřené.
Pokud například budu mít jen SSH z vnitřní sítě a rozumné heslo a tím veškerý access končí, router jen routuje.
Je zranitelné jen to SSH a jen zevnitř, tudíž "no problem" ... ovšem dneska chce každej dementní klikátko, přiblblou administraci.
TCP protokol celkem drží, tak s IPv6 se možná dočkáme nějakého "překvapení"... ale dneska už to dávno není co bývalo.
Kdysi dávno se chyby využívali sofistikovaně, v poslední době je tolik neprosto "stupidních a amatérských" chyb ve všech produktech, že stačí jen vybírat. Rychlá doba a jednoduché věci si žádájí své.
Tak urcite... Ale musis si to vzit takhle, nikdo ti nebude delat routry za 500 - 1500 kc pro domacnosti "zabezpecene". Vetsine domacnosti neni ani co ukrats, kdyz vezmeme v potas ze nejcitlivejsi proces domacnosti je pripojeni k internetovemu bankovnictvi, ktere nastesti nepouzivaji open source zabezpeceni takze se neni ceho bat.
Pokud chces bezpecnou LANku a bezpecny router musis hold sahnout po enterprise reseni Cisco, Juniper, Checkpoint, ...
-
K předchozím:
Pokud vím, OS Mikrotik je komplikovaný, placený (když ho někde nekoupíte použitý), uzavřenězdrojový, hardware drahý. Takže myslím, že jsou lepší varianty.
Osobně to řeším doma starými Wrapy - jsou za pár šlupek(!), díky kartě CF na ně jde nacpat Openwrt s kdečím (mraky místa), instalace je primitivní, nehrozí bricknutí, záloha jednoduchá, má to 2 sloty na karty wifi, celé zařízení je spolehlivé. Pro 2 drátem připojené počítače lze použít Wrap (nebo Alix) s 3 dírami (mimoto je k dispozici to wifi). Univerzálním řešením je Wrap s switchem (pro 2děrový Wrap stačí switch bez VLAN - z jedné strany modem, z druhé switch; k jednoděrovému Wrapu to chce switch s VLAN, kdy modem má svou podsíť, ale asi by to šlo i s hloupým switchem).
Do Alixů a Wrapů jde údajně taky Monowall (klikací, nezkoušel jsem, ale vypadá to dobře) a další.
Když použijete hotový, kupovaný router, musíte počítat s pouze 4 MB flash, to je pro některé OS natěsno.
Na Openwrt jsou obecně dobré Tp-Linky, ale kupovat kvůli tomu model 1043 za 2000 (či kolik) a hled oflashovat, mi přijde jako kravina.
Já používal doma s Openwrt i D-Link, ten měl 4 MB, takže webová administrace se tam např. nevešla a další věci taky ne - bylo to plné. Ale fungovalo to.
-
Pokud chces bezpecnou LANku a bezpecny router musis hold sahnout po enterprise reseni Cisco, Juniper, Checkpoint, ...
Nesuhlasim, ze Cisco, Juniper,.... su jedinym, riesenim. To vsetko su predrazene veci, ktore maju tiez svoje muchy. A urcite niesu bez chyby. Pozri si kolko nevyriesenych problemov ma kazdy z tychto enterprise vyrobcov. Kolko stoji kazda prkotina a rozne licencne obmedzenia.
Tiez bezpecnost nieje o routri ale o uzivatelovi a tam mu nepomoze ani mega-super router od cisca.
Tu hladame riesenie na doma a nie BGP chrbticovy router.
belzebub chce super riesenie na dva kliknutia a taketo riesenie neexistuje. Bud sa zmiery s uzavretym riesenim na dva kliknutia(bezne hotove krabicky ) alebo venuje tomu nejaky cas a postavi si tak bezpecne riesenie ako chce(pfsense, m0n0wall, *WRT,... na vybranom HW).
-
mikrotik je de fakto standard v bezdratovych sitich, proverene reseni nejmene od r.2006, kdy jsem do toho trochu delal.
gigabit je treba tady, nejlepsi na optiku ;)
http://www.i4wifi.cz/MikroTik-RouterBoardy/RouterBoardy/RB2011UiAS-2HnD-5x-Gbit-LAN-5x-100-Mbit-LAN-WiFi-2-4Ghz-SFP-USB-PoE-L5.html
-
K předchozím:
Pokud vím, OS Mikrotik je komplikovaný, placený (když ho někde nekoupíte použitý), uzavřenězdrojový, hardware drahý. Takže myslím, že jsou lepší varianty.
Ano, je uzavřený, ale za cenu co nabízí, tak si myslím, že na tom nakonfiguruješ úplně všechno a nemusíš umět "buildovat jádro"..
VPN, oddělené sítě, oddělené WIFI, případně virtuální router.. Jediný co mi trochu vadí, že nejde přihlásit se na ssh pomocí klíče.
-
Jediný co mi trochu vadí, že nejde přihlásit se na ssh pomocí klíče.
U mna v pohode, asi zalezi na routeri. Treba si vygenerovat ten spravny kluc (dsa), verejnu cast nahrat cez FTP a potom zavolat nieco ako
user ssh-keys import file=vygenerovany_kluc.pub
-
tak si myslím, že na tom nakonfiguruješ úplně všechno a nemusíš umět "buildovat jádro"..
No, jestli je pro tebe největší problém kompilace jádra, tak opravdu hodně štěstí s konfigurací Mikrotiku. ::) ::) ::)
-
Pokud chces bezpecnou LANku a bezpecny router musis hold sahnout po enterprise reseni Cisco, Juniper, Checkpoint, ...
Nesuhlasim, ze Cisco, Juniper,.... su jedinym, riesenim. To vsetko su predrazene veci, ktore maju tiez svoje muchy. A urcite niesu bez chyby. Pozri si kolko nevyriesenych problemov ma kazdy z tychto enterprise vyrobcov. Kolko stoji kazda prkotina a rozne licencne obmedzenia.
Tiez bezpecnost nieje o routri ale o uzivatelovi a tam mu nepomoze ani mega-super router od cisca.
Uvědom si jednu věc, 100% bezpečnost neexistuje ani NSA. Všechno má chyby a víš proč? Protože vše na vrhují lidé a ti prostě dělaj chyby. Samozřejmě bezpečnost není o devicu ale o člověku co ho spravuje.
-
Já osobně bych taky doporučil kombinaci TP-Link + OpenWRT. Mám TL-WR1043ND a myslím, že je to tak běžná a roky odzkoušená kombinace, že tam žádný backdoor nebo zásadní díra nebude. Navíc to má Gb porty, v pohodě uroutuje přes 100Mbit, wifi má solidní dosah a stojí to jen asi 1400,-
-
Diky vsem za rady a zkusenosti. Zatim se mi nejvice libi asi ta varianta s tp-linkem a ddwrt/openwrt, rekl bych ze je to rozumny kompromis mezi tim "mit veci pod kontrolou" a jednoduchosti instalace/nastaveni.
-
Nedavno jsem poridil Mikrotik a naprosta spokojenost. Levny a velmi vykonny. Povypinat a odinstalovat vsechno, co nepotrebuju, to na domacim routeru pro me znamena i ssh, webove rozhrani a vlastne vsechny sluzby, co otviraji porty - pristup, pokud je treba, resim pres seriovy port. Dal jsem si s tim praci a poradne vyladil firewall, i co se tyka spojeni ven. V klidu na tu krabicku muzu zapomenout a o bezpecnost se rozhodne nebojim. Slape vyborne. Ja ovsem od toho potrebuju jen staticke routovani, firewall a funkcionalitu switche.
-
Nedavno jsem poridil Mikrotik a naprosta spokojenost. Levny a velmi vykonny.
Nešlo by to zpřesnit? Mikrotiků je přece jen několik.
-
RB450G. Nema wifi, ale tu ja nepotrebuju, ja chtel vic portu a 1Gbps. Je to starsi model, me naprosto vyhovoval cenou a vykonem.
-
Jak zmíněno, RB450G je starší a výběhový model. Aktuální nástupce je RB850Gx2, v prodeji v řádu dnů/týdnů v ČR. Nicméně pro řadu aplikací, zvláště na doma, bych šáhl po RB951G-2HnD, pokud mi stačí 5 portů. Výkonostně o něco lepší než RB450G, all in one krabička i s wifinou a USB, navíc levnější jak RBx50.