Výběr routeru z hlediska bezpečnosti

[Daniel]

Kurva co to resite za srance? Do 5K? Vetsina domacnosti ma routry cca za 500 kachli tak co je za problem si do pozadovane castly vybrat router?
Home made? To urcite ne.

Proste si kup http://www.czc.cz/cisco-rv110w/91335/produkt?q-category-id=ao711bsph0go3amgas9c7hjb0a&q-c-0-producer=s94op5mkh82dmta60th64cpgc3c

BTW... Bezpecny router neexistuje.

[Reklama]

[Mirectec]

Danieli, precetl sis co vlastne totycny pozaduje? Ja myslim ze ne.

[trubicoid2]

taky doporucuju nejakej tp-link, mam jeden doma, lepsi nez linksys a netgyr
jde do nej dat i openwrt (asi ne do vsech, ale do myho jo), ale zatim mi stacil origos fw

[Daniel]

Danieli, precetl sis co vlastne totycny pozaduje? Ja myslim ze ne.

No jo vono to chce gigac.

[Jan Forman]

Kurva co to resite za srance? Do 5K? Vetsina domacnosti ma routry cca za 500 kachli tak co je za problem si do pozadovane castly vybrat router?
Home made? To urcite ne.

Proste si kup http://www.czc.cz/cisco-rv110w/91335/produkt?q-category-id=ao711bsph0go3amgas9c7hjb0a&q-c-0-producer=s94op5mkh82dmta60th64cpgc3c

BTW... Bezpecny router neexistuje.

Ale jo pokud z venku bude jen routovat, riziko napadení je téměř nula. Útok zevnitř zase je limitován dosahem Wifi a LAN.
Bohužel, dneska většina zařízení a tím myslím i ty "značkové" jsou děravé a ven příliš otevřené.

Pokud například budu mít jen SSH z vnitřní sítě a rozumné heslo a tím veškerý access končí, router jen routuje.
Je zranitelné jen to SSH a jen zevnitř, tudíž "no problem" ... ovšem dneska chce každej dementní klikátko, přiblblou administraci.

TCP protokol celkem drží, tak s IPv6 se možná dočkáme nějakého "překvapení"... ale dneska už to dávno není co bývalo.

Kdysi dávno se chyby využívali sofistikovaně, v poslední době je tolik neprosto "stupidních a amatérských" chyb ve všech produktech, že stačí jen vybírat. Rychlá doba a jednoduché věci si žádájí své.

[Reklama]

[Daniel]

Kurva co to resite za srance? Do 5K? Vetsina domacnosti ma routry cca za 500 kachli tak co je za problem si do pozadovane castly vybrat router?
Home made? To urcite ne.

Proste si kup http://www.czc.cz/cisco-rv110w/91335/produkt?q-category-id=ao711bsph0go3amgas9c7hjb0a&q-c-0-producer=s94op5mkh82dmta60th64cpgc3c

BTW... Bezpecny router neexistuje.

Ale jo pokud z venku bude jen routovat, riziko napadení je téměř nula. Útok zevnitř zase je limitován dosahem Wifi a LAN.
Bohužel, dneska většina zařízení a tím myslím i ty "značkové" jsou děravé a ven příliš otevřené.

Pokud například budu mít jen SSH z vnitřní sítě a rozumné heslo a tím veškerý access končí, router jen routuje.
Je zranitelné jen to SSH a jen zevnitř, tudíž "no problem" ... ovšem dneska chce každej dementní klikátko, přiblblou administraci.

TCP protokol celkem drží, tak s IPv6 se možná dočkáme nějakého "překvapení"... ale dneska už to dávno není co bývalo.

Kdysi dávno se chyby využívali sofistikovaně, v poslední době je tolik neprosto "stupidních a amatérských" chyb ve všech produktech, že stačí jen vybírat. Rychlá doba a jednoduché věci si žádájí své.

Tak urcite... Ale musis si to vzit takhle, nikdo ti nebude delat routry za 500 - 1500 kc pro domacnosti "zabezpecene". Vetsine domacnosti neni ani co ukrats, kdyz vezmeme v potas ze nejcitlivejsi proces domacnosti je pripojeni k internetovemu bankovnictvi, ktere nastesti nepouzivaji open source zabezpeceni takze se neni ceho bat.

Pokud chces bezpecnou LANku a bezpecny router musis hold sahnout po enterprise reseni Cisco, Juniper, Checkpoint, ...

[SB]

K předchozím:

Pokud vím, OS Mikrotik je komplikovaný, placený (když ho někde nekoupíte použitý), uzavřenězdrojový, hardware drahý. Takže myslím, že jsou lepší varianty.

Osobně to řeším doma starými Wrapy - jsou za pár šlupek(!), díky kartě CF na ně jde nacpat Openwrt s kdečím (mraky místa), instalace je primitivní, nehrozí bricknutí, záloha jednoduchá, má to 2 sloty na karty wifi, celé zařízení je spolehlivé. Pro 2 drátem připojené počítače lze použít Wrap (nebo Alix) s 3 dírami (mimoto je k dispozici to wifi). Univerzálním řešením je Wrap s switchem (pro 2děrový Wrap stačí switch bez VLAN - z jedné strany modem, z druhé switch; k jednoděrovému Wrapu to chce switch s VLAN, kdy modem má svou podsíť, ale asi by to šlo i s hloupým switchem).

Do Alixů a Wrapů jde údajně taky Monowall (klikací, nezkoušel jsem, ale vypadá to dobře) a další.

Když použijete hotový, kupovaný router, musíte počítat s pouze 4 MB flash, to je pro některé OS natěsno.

Na Openwrt jsou obecně dobré Tp-Linky, ale kupovat kvůli tomu model 1043 za 2000 (či kolik) a hled oflashovat, mi přijde jako kravina.

Já používal doma s Openwrt i D-Link, ten měl 4 MB, takže webová administrace se tam např. nevešla a další věci taky ne - bylo to plné. Ale fungovalo to.

[ondro]

Pokud chces bezpecnou LANku a bezpecny router musis hold sahnout po enterprise reseni Cisco, Juniper, Checkpoint, ...

Nesuhlasim, ze Cisco, Juniper,.... su jedinym, riesenim. To vsetko su predrazene veci, ktore maju tiez svoje muchy. A urcite niesu bez chyby. Pozri si kolko nevyriesenych problemov ma kazdy z tychto enterprise vyrobcov. Kolko stoji kazda prkotina a rozne licencne obmedzenia.
Tiez bezpecnost nieje o routri ale o uzivatelovi a tam mu nepomoze ani mega-super router od cisca.

Tu hladame riesenie na doma a nie BGP chrbticovy router.

belzebub chce super riesenie na dva kliknutia a taketo riesenie neexistuje. Bud sa zmiery s uzavretym riesenim na dva kliknutia(bezne hotove krabicky ) alebo venuje tomu nejaky cas a postavi si tak bezpecne riesenie ako chce(pfsense, m0n0wall, *WRT,... na vybranom HW).

[jenda]

mikrotik je de fakto standard v bezdratovych sitich, proverene reseni nejmene od r.2006, kdy jsem do toho trochu delal.

gigabit je treba tady, nejlepsi na optiku

http://www.i4wifi.cz/MikroTik-RouterBoardy/RouterBoardy/RB2011UiAS-2HnD-5x-Gbit-LAN-5x-100-Mbit-LAN-WiFi-2-4Ghz-SFP-USB-PoE-L5.html

[Boban]

K předchozím:

Pokud vím, OS Mikrotik je komplikovaný, placený (když ho někde nekoupíte použitý), uzavřenězdrojový, hardware drahý. Takže myslím, že jsou lepší varianty.

Ano, je uzavřený, ale za cenu co nabízí, tak si myslím, že na tom nakonfiguruješ úplně všechno a nemusíš umět "buildovat jádro"..

VPN, oddělené sítě, oddělené WIFI, případně virtuální router.. Jediný co mi trochu vadí, že nejde přihlásit se na ssh pomocí klíče.

[student]

Jediný co mi trochu vadí, že nejde přihlásit se na ssh pomocí klíče.

U mna v pohode, asi zalezi na routeri. Treba si vygenerovat ten spravny kluc (dsa), verejnu cast nahrat cez FTP a potom zavolat nieco ako

Kód: [Vybrat]

user ssh-keys import file=vygenerovany_kluc.pub

[Lol Phirae]

tak si myslím, že na tom nakonfiguruješ úplně všechno a nemusíš umět "buildovat jádro"..

No, jestli je pro tebe největší problém kompilace jádra, tak opravdu hodně štěstí s konfigurací Mikrotiku. 

[Daniel]

Pokud chces bezpecnou LANku a bezpecny router musis hold sahnout po enterprise reseni Cisco, Juniper, Checkpoint, ...

Nesuhlasim, ze Cisco, Juniper,.... su jedinym, riesenim. To vsetko su predrazene veci, ktore maju tiez svoje muchy. A urcite niesu bez chyby. Pozri si kolko nevyriesenych problemov ma kazdy z tychto enterprise vyrobcov. Kolko stoji kazda prkotina a rozne licencne obmedzenia.
Tiez bezpecnost nieje o routri ale o uzivatelovi a tam mu nepomoze ani mega-super router od cisca.

Uvědom si jednu věc, 100% bezpečnost neexistuje ani NSA. Všechno má chyby a víš proč? Protože vše na vrhují lidé a ti prostě dělaj chyby. Samozřejmě bezpečnost není o devicu ale o člověku co ho spravuje.

[mi]

Já osobně bych taky doporučil kombinaci TP-Link + OpenWRT. Mám TL-WR1043ND a myslím, že je to tak běžná a roky odzkoušená kombinace, že tam žádný backdoor nebo zásadní díra nebude. Navíc to má Gb porty, v pohodě uroutuje přes 100Mbit, wifi má solidní dosah a stojí to jen asi 1400,-

[belzebub]

Diky vsem za rady a zkusenosti. Zatim se mi nejvice libi asi ta varianta s tp-linkem a ddwrt/openwrt, rekl bych ze je to rozumny kompromis mezi tim "mit veci pod kontrolou" a jednoduchosti instalace/nastaveni.