Új hozzászólás Aktív témák
-
#70234880
törölt tag
válasz
zsolt_64
#199
üzenetére
Csak azoknak a felhasználóknak kell beállítani, akik ki iktatják a szolgáltatói routereket, és saját eszközt használnak. A szolgáltatók döntő többségében olyan eszközöket adnak az előfizetőknek amiknek az aljára fel van ragasztva a web gui user/password, és a wireless password. Szóval ez megvan Magyarországon is, a probléma sokkal inkább az, hogy a user/password páros alkalmazása napjainkban már nem bizonyul annyira hatékony megoldásnak, és szükség lenne valamilyen 2fa azonosításra pluszban. Vannak gyártók akik már kezdik megtenni ezt a lépést is. Továbbá illene azt is időnként megváltoztatni. Az is probléma hogy ezek a routerek döntő többségében web gui állíthatóak be, rendszerint 80 porton, vagy éppen 443, de nincs hozzá hiteles cert. Nem minden gyártó biztosít custom felhasználó név létrehozását se, csak a default admin. Ha már biztonságról van szó, sok esetben az ssh is kihívásokkal küszködik, ugyanis ott sincs semmilyen 2fa megoldás. Bizonyos esetekben meg lehet oldani arra is 2fa azonosítás. De szerintem annak is kevés a tábora akik beállítják, legfőképpen azért mert nem felhasználó barát megoldás jelen esetben. A public key, privat key megoldásokkal az a baj, hogy ha az illetéktelen kezekbe kerül semmit nem ér. Ha megsérül, vagy megsemmisül, akkor az üzemeletető se tud belépni. Azoknak a felhasználók akik saját eszközt használnak a döntő többségében nem kap értesítést arról hogy új FW érhető el, így annak telepítése is sok esetben elmarad. Persze vannak gyártók, akik már erre is keresnek megoldást, és pl értesítést küld az üzemeltetőnek arról hogy új FW érhető el. De ezek az eszközök nem éppen elterjedtek lakossági felhasználók körében. Ennek oka elsősorban az ár/érték arány. Hogy mi ebben a slussz poén, felhasználói szinten. Hát az hogy 8K TV-re van pénz, legújabb telefonra van pénz, legújabb PC, Laptopra van pénz, Okos otthon kiépítésére van pénz stb... De ezeknek az eszközöknek a védelmére már nincs, miközben ezek az eszközök vannak a fronton, és kapják a nem kívánatos inputokat.
-
Male
nagyúr
válasz
zsolt_64
#199
üzenetére
Igen, PPPoE-nél kell, bár mostanában szerintem egybe cuccot adnak a szolgáltatók leginkább, ott meg ezt nem látja belőle a felhasználó.... de ettől még ráköt plusz eszközt, pl DIGinél én is két portosat kaptam, amiből ráadásul az egyik csak 100 Mbit-es, a wifi meg csak N-es, és nem is túl stabil nálam (bár ez egyedi gond is lehet).
Amúgy szintén digis cucc, itt a wifi név-jelszó egyedi amikor kihozzák, ráírva... szóval ennyi erővel az admin felületé is lehetne egyedi rajta valóban.
A másikban: "Ja és idióta júzerre úgysincs orvosság" ...na igen, ez kétségtelen
-
zsolt_64
senior tag
Szir3na, male egyéertek, bár a problémákat ez nem oldja meg...
Tudatosítani kellen az átlaguzerrel is hogy ezek a biztonsági problémák olyanok mintha valaki a lakáskulcsára tesz ilyen csini műanyag cetlit rajta a lakáscímmel, vagy mintha a bankkártyájára felírja a pin kódot.
Többször tapasztaltam én is hogy amikor router vásárlásra kerül sor és ajánlok 1 jobb fajtát akkor jön a felhördülés hogy méér olyam drááága van óccsóbb is. ötezeréé
Ja de wifi az működjön a pincétől a padlásig és 300 m-es kert végében is...
Aztán elmennek a madaras teszkóba és vesznek valami dzsuvát.[ Szerkesztve ]
-
#70234880
törölt tag
válasz
zsolt_64
#203
üzenetére
Azért ennyire nem drámai a helyzet, pl szolgáltatói eszközöket, maga a szolgáltató frissíti, és tartja naprakészen. Ha megnézi valaki a shodan-t 1db szolgáltatói eszközt se lát benne. Van egy bizonyos réteg, aki azzal érvel azért mert annyira ... hogy egyszerűen nincs rá szükség. Hogy mi az igazság mindenki maga döntse el magának. És ha már biztonság, akkor a wireless jelszavak rendszeres változtatása is megér egy figyelem felkeltő cikket. A jelenlegi piacon lévő olcsó lakossági hálózati eszközöknek, amik már nem kapnak támogatást egyszerűen nem lenne szabad megtalálni a termék polcokon. De addig amíg a boltok polcain olyan eszközök is megtalálhatóak, amikre már nincs termék támogatás, kár is erőltetni a rendszeres jelszó cseréket, és hálózati felügyeletről beszélni. Én értem hogy mindent rá tolunk a felhasználókra, de azért tennie kell valamit a gyártóknak is. Mert ez így csak beszélnek emberek a semmiről. Egyszóval, ez a router mizéria sajnos több sebből vérzik. És addig nem lesz rend, amíg a gyártók gagyitális elektronikai hulladékokat adnak ki, és értékesítik. A hamis biztonsági érzetet keltő megoldásokról már nem is beszélve. De az már egy másik történet. Egy biztos, arra kellene törekedni, hogy a lehetőségekhez képest a maximumot kell kihozni a rendelkezésre álló eszközökből. Mindezt úgy, hogy a biztonság kompromisszumokkal ne menjen kényelem rovására.
-
zsolt_64
senior tag
válasz
#70234880
#204
üzenetére
"arra kellene törekedni, hogy a lehetőségekhez képest..."
Oké , bár ez itt 1 szakmai blog foglajuk össze amit most most megtehetünk 1 háztartási router esetében:
1.erős jelszavak mindenhol
2.Admin felület csak LAN-belül, mégjobb ha csak kábelen
3.SSH,Telnet ha nem kell (100 ból 99) off. ha kell ne a 22 legyen...
4. tűzfal ping off
5 wan oldal ftp felejtős
6.Nat-pnp, upnp off
7. Ha lehet wifi vendéghálózat kialakítása, persze ez sem nyílt..Ez utóbbi a kedvencem, nagy szívfájdalmam hogy el kellett hagynom a Freshtomato-t. Ott volt rá lehetőség hogy a wifit, és vendégWifit külön-kükön ipcímtartományba tegyem...
Van még 5tlet ?
[ Szerkesztve ]
-
#70234880
törölt tag
válasz
zsolt_64
#205
üzenetére
1.erős jelszavak mindenhol
Az erős jelszavak használata sokszor napjainkban már nem elegendő, főleg ha több helyen is alkalmazzuk. Tehát mindenhol egyedi jelszó használata, + 2FA azonosítás alkalmazása, ahol lehetséges.
2.Admin felület csak LAN-belül, mégjobb ha csak kábelen
Ezt lehet fokozni, hogy csak 1 dedikált privát címről lehessen elérni az eszköz web gui felületét.
3.SSH,Telnet ha nem kell (100 ból 99) off. ha kell ne a 22 legyen...
Ez rendben van, de ha szükség van rá, akkor valami plusz védelem, ha más nem public key, vagy privat key használata. Amennyiben lehetséges.
4. tűzfal ping off
Ennek nem sok értemét látom, hacsak nem csinálsz valami custom ping firewall szabályokat.
5 wan oldal ftp felejtős
Ez rendben is van, de mindig vannak felhasználók akik megmagyarázzák miért is kell neki, akkor inkább sftp használata, custom port használata.
6.Nat-pnp, upnp off
Az upnp is folyamatosan frissítik, és ott is van már secure upnp, amit ha van rá lehetőség, akkor inkább azt használjuk, ha már szükség van rá, pl xbox...
7. Ha lehet wifi vendéghálózat kialakítása, persze ez sem nyílt..
Ennek alapban nem sok értelmét látom, főleg lakossági szinten. De ha már wifi, akkor mac filter, erős jelszó használata, és ha lehetséges teljesen más tartományba, vlan-ba. Elszeparálva a lan forgalomtól. De ezt egy átlagos, mezei router nem tudja az esetek döntő többségében. Abban az esetben ha tudja, és megvalósítható, akkor külön tűzfal szabályok alkalmazása, egyedi igényeknek megfelelően, figyelve arra hogy csak azok a szolgáltatások legyenek elérhetőek amikre szükség van, hogy wifi hálózaton elérjük. De lehet még ezt fokozni, de az már nagyon eszköz specifikus megoldások. -
zsolt_64
senior tag
válasz
#70234880
#207
üzenetére
Ez rendben is van, de elfelejted hogy azt írtam hogy a meglevő eszközön, tehát a madarasteszkóban vett dzsuva routerre gondolok, ott nem lesz sftp, meg talán kulcspáros se, sem secure upnp meg vendég wifi se.
Minazonáltal amit lehet azt érdemes megcsinálni. Soha nem fogod elérni azt hogy 20-30Khuf-ot kiadjanak azért mert a dzuva routerben biztonsági lukak vannak.
"Ennek alapban nem sok értelmét látom, főleg lakossági szinten"
ezzel azért vtába szállnék, az bizony 1 jó dolog. pláne ha gyerek van és annak haverjai (sok okstojás) látogatják... mondom, pont az a bánatom hogy jó vendégwifit csak a Freshtomato tudta (vlan, tartomány). ha elolvastad a linkemet akkor megértetted miért kellett merlinre váltanom.[ Szerkesztve ]
-
#70234880
törölt tag
válasz
zsolt_64
#208
üzenetére
Őszintén megmondom, nem használok se custom fw, se tp-link, asus stb.. kategóriás eszközöket. De még csak vendég wireless hálózatot se üzemeltetek. Ennek elsődleges oka, hogy nincs rá igény. Természetesen ha szükség lenne rá, akkor üzembe helyeznék én is, ami teljesen el lenne szeparálva természetesen. A mac filter mint + védelem kiegészítő alap, de ehhez hozzá jön az dinamikusan változó egyedi wireless jelszó alkalmazása. Plusz ha elment a srác, akkor a regisztrált eszköz ( telefon ) csatlakozásának kikapcsolása. Szóval .... Ha nagyon kellene én megtudnám oldani, relatív biztonságosan.
[ Szerkesztve ]
-
Male
nagyúr
válasz
zsolt_64
#203
üzenetére
Mintha valaki... hát ezt meg is teszik sajnos
Jah, hát az ilyenek, akik tanácsot kérnek, aztán az ajánlott helyett vesznek valami gagyit, sokszor még drágábban is, mert olyan szépen állt a polcon a két kifli mellett... addig teszik meg, amíg tudják, hogy utána te szívsz majd vele nekik ingyen. Ha ezt nem teszed, hamar változik a dolog
-
zsolt_64
senior tag
Ez már témyleg off de:
"Jah, hát az ilyenek, akik tanácsot kérnek, aztán az ajánlott helyett vesznek valami gagyit, "
Már belefáradtam az ilyesmibe, az volt az utsó csepp a pohárban amikor kérdezték hogy milyen tv-t kéne venni, levadászom az inernetet, telefonálok saját pénzemen elmagyarázom felbontás , hdmi,usb, stb... jó ok aztán madarasteszkóban vesznek akciós lósz...rt , kérdem miért mi is volt a fő kiválasztási szempont ? hát hogy beleférjen a régi tv helyére az ótvar 45 éves szekrénysorba..
azóta aztán inkább azt mondom hogy nem értek hozzá...[ Szerkesztve ]
azóta aztán inkább azt mondom hogy nem értek hozzá...Új hozzászólás Aktív témák
ph A szigetországban bevállt az egyedi belépési azonosító használata, illetve a frissítések automatikus telepítése is.
- Intel Core i5 / i7 / i9 "Alder Lake-Raptor Lake/Refresh" (LGA1700)
- Volkswagen ID.7 menetpróba
- Xiaomi Redmi Note 5 Global
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Autós topik
- Gmail
- Kerékpárosok, bringások ide!
- Ukrajnai háború
- Elektromos rásegítésű kerékpárok
- OFF TOPIC 44 - Te mondd, hogy offtopic, a te hangod mélyebb!
- További aktív témák...
