Vlákno názorů k článku Turris: Jak jsme si nechali nabořit router a jak to dopadlo od rat - Z článku kromě hromady balastu vyplývají pro BFU...
-
rat (neregistrovaný)
Z článku kromě hromady balastu vyplývají pro BFU pouze dvě podstatné informace:
1) Zvykněte si, že router pro přípojku do internetu už v dnešní době není nic, co je bezpečné a "zdravé" si instalovat a zabezpečovat svépomocí, nebo pomocí Toníka studentíka odvedle. Kdo chce mít klid (že mu nehrozí bezpečnostní problém) a čisté svědomí (že jeho zařízení nebude působit problémy jiným), má svěřit výběr, instalaci a konfiguraci odborníkům, a zaplatit si ji jako pokročilou službu.
2) Zlaté pravidlo říká, že zařízení jako je router má dělat přesně jen to, co je třeba aby dělal, a ani kousek navíc. Je tedy naprosto absurdní, že jakýkoliv router má instalováno a spuštěno cosi jako "web management", telnet, uPnP a další obskurity, ještě ke všemu dostupné přes WAN rozhraní!
Takže si můžete vybrat - buďto si koupíte podivnou krabičku za pár stovek, a "nainstalujete" si ji sami - pak se ale vůbec ničemu nedivte a nestěžujte si, že výrobce krabičky "zapomněl" zprovoznit nějaké zázračné updatovací "klikátko".
Anebo se skutečně zeptáte někoho, kdo tomu rozumí, připlatíte si, a získáte jistotu nebo alespoň záruku.Což koneckonců (možná nevědomky) dovozuje v závěru i sám autor článku:
"Je to obecný problém zařízení, která nejsou pod přímým dohledem, a vzhledem k jejich ceně si výrobce často ani nemůže dovolit je donekonečna aktualizovat. " - toto tesat do kamene! -
Ale on je na tom ASUSu defaultně ten firewall zapnutý. A management z LAN nepřístupný. Takže ten váš BFU si musí firewall aktivně vypnout aby celá ta sranda s hackováním fungovala. Navíc každý i nejlevnější router dnes ma aktivně zapnuto šifrování wifi a opět musíte vykonat poměrně dost aktivity na to abyste ho vypnuli.
-
Nox (neregistrovaný)
Bohuzel, v realu vetsina domacnosti nema na to, aby dala nekolik tisic za router nebo si platila odbornika za podobne castky. Jinak router si vetsina BFU stejne nenastavi a musi to delat nekdo alespon se zaklady sitariny, byt to z nej nedela odbornika.
I v jinych oborech se v tom lide stouraji, vzhledem k caste nekvalite prace napr. remeslniku obcas uspesneji nez ti, co se tim zivi. -
E-Ryc (neregistrovaný)
IPv4 adresy dochazely uz pred skoro 20 lety, kdyz jsem zacinal vysokou a verim, ze tu jeste chvili budou.
A co se tyce NATu, nenapada me zadna aktualni aplikace (s netrivialnim poctem uzivatelu), ktera by za nim nebezela. Mozna nejake multi hry, nevim...
To cele se samozrejme muze zmenit s masivnim nastupem internetu veci (uzivatel bude chtit kontrolovat lednicku primo, ne prostrednictvim serveru vyrobce). Ale to taky tak zhave nebude
-
M. (neregistrovaný)
Už dneska je většina domácností za CGN u operátora. U malých totální většina a u O2 už to také 2 roky dělají a nezdá se, že by jim lidi utíákali. Zkrátka to lidi většinou neřeší a jdou jen po nejmenší ceně.
A ohledně té správy - ano, dneska už řada menších ISP dfělá správu routerů domácností v té ceně cca 300 Kč/měsíc jako svoji konkurenční výhodu! A kolikrát je problém je vyhnat, že nechci, aby mi na to sahali. :-)
Část jich to dělíá tak, že funkci home routeru dělají na své infrastruktuře a člověk má doma jen hub, případně tupé AP. Router je přesunut na krabici ISPíka. Když je to wifista, tak router někde centrální v baárku, co port to koncák a na jeho port je puštěno DHCP, NAT (někdy ne), ... Pokud je to jeden koncák, tak ta funkce je součástí koncového rádia a zákazník do toho nemá přístup. Na optice je to někdy dotažneo přes VLANy jako L2 až na hlavní router a teprve tak se to obsluhuje - občas je sranda koukat do routeru, kde je několik set VLAN, na každé DHCP server, ....
A pak jsou ti, co strkají lidem domů router, klasická malá krabička, dost často nějaký TPlink a pak ISPík řeší často jak provést downgrade firmware na verzi 2-3 roky zpět, aby mu snadno fungoval management přes WAN port, protože u nových to nějak zkomplikovali.... U tohoto je jen dobře, pokud je zákazník za CGN a jeho WAN domácí port je dostupný snadno jen ze sítě daného ISP. Opět koncák vůbec nemá přístup do routeru (ale jsou i tací střelci, a to subjekty velikosti kraj, kde ten domácí router je nezahelsován, takže se do něj dostane každý a aspoň si pak můžu sousedy přenastavit a přeházet jim wifiny tak, abych měl pro svoji pěkně volné místo)....
Takže ono je to dneska v tom našem rybníčku dosti složitější s tím, kdo co ne/dělá v tom minipaušálu (někteří s nadšením, někteří z donucení a neví jak z toho pryč). -
fd (neregistrovaný)
Jiste, a take jim proto nic nefunguje a pokud maji libovolnou jinou moznost, prchaji pryc. Staci se porozhlednout, miliony dotazu proc nefunguje to ci ono a ve 100% pripadu je odpoved "protoze nemate internet".
Tyka se to veskere p2p komunikace, prakticky vsech IM, spousty her atd atd.
-
M. (neregistrovaný)
Takovou zkušenost u rezidentního segmentu nemám. Zkrátka při nabídce připojneí přes neveřejku (plus přesměrováno pár portů) za 250 Kč/měsíc a nebo s veřejkou, ale třeba o 150 Kč/měsíc dráž, tak si vleká část žadatleů to rozmyslí (ať už přechod k jinéme nebo zůstat a připaltit si). A to ještě minimálně polovina těch ISPíků si pod pojmem veřejná IP představuje, ž eudělá na své hlavní bráně NAT1:1 a v routeru mám stále neveřejku...
Něco málo zachrání kombo neveřjená IPv4 a k tomu blok IPv6, ale také moc po tom se neshání.
Jistě, stále je dost věcí, co s CGN mají problém. Největší je asi reálný u herních konzolí, kdy je problém, pokud chce spolu hrát víc hráčů a jsou za stjeným NATem. Nicméně u těch konzolí, např Xbox to řeší ta IPv6.
Těch utečenců kvůli veřejné IPv4 adrese, když to znamená zdražit, je zcela minimálně. Hlavně v případě menších měst, kde obvykle nejsou ISPíci, kteří dávají veřejku globálně v ceně, větěina těch okresního formátu je rádo, pokud má aspoň jedno Céčko na ten svůj houf oveček a tak s ním silně škudlí. Tady začíná platit, že kde nic není, tka ani smrt nebere a těch lokalit s levně dostupným ISPíkem automaticky dávající veřejku je už minimum. -
M. (neregistrovaný)
To nemá smysl znova točit, že CGN/NAT nemá sám o sobě ochrannou funkci. Nicméně řada těch ISPíku už tma nějaký základní firewall i u CGN má, takže takto otevřené routery jsou proti jednoduchému skenovacímu útoku z vnějšku odstíněné. Buďme rádi, že ISPíci
pokročili aspoň sem.
Že jde stále dělat snadno útoky z vnitřku jejich sítí, to ještě bude chvíli trvat, než to většinou pochopí... -
Ten, co tomu rozumí, musí vědět, že dnes nejde pořídit síťové zařízení, o které se nikdo nebude starat. Takže buď nějaký router klidně za pár stovek, ale pak se o něj musí starat někdo, kdo tomu rozumí, nebo něco jako Turris, kde se o to bude starat dodavatel - mimochodem, tohle by měli nabízet ISP jako bezpečnostní řešení, ne nějaké pochybné antiviry.
-
Těch dalších pár set napadených Asusů je důkaz, že nemáš pravdu.
Ono totiž bezpečnost by měla být nastavena už standardně, a ne, že si náhodou jeden ze 100 BFU uživatelů (což jsi ty) to nastaví dobře, a druhých 99 (kteří to prostě neumí, protože routery se dnes kupují jako housky na krámě, a vrchol vědění lidí, je u nich nastavit šifrování Wifi) budou mít vesele doma botnet...
-
Rat (neregistrovaný)
Nekolik tisic je naprosto adekvatni castka za funkcni a prijatelne bezpecne reseni s kontinuitou a zarukou supportu a update. A potom je uplne jedno, jakou platformu a jake reseni kdo zvoli, ale rozhodne se to neda delat tak, ze si BFU dojde koupit krabicku do Tesco a kouma nad tim doma sam.
Meritum veci je v tom, ze budto investujete nekolik tisicovek a pak vam pojmy jako LAN, WAN, firewall, telnet, port, NAT apod. nemusi vubec nic rikat a nemusite brecet nad kvalitou ci nekvalitou te ci one "zazracne krabicky", anebo to vyresite par stokorunami za krabicku a svepomoci, ale potom je jen a pouze vas problem, ze to nedela co delat ma, ze tomu nerozumite anebo ze to dokonce je relativne nebezpecne.
Zajimave je, ze v jinych oborech by nikoho ani nenapadlo stourat se v necem, cemu nerozumi, svepomoci, a bez problemu si za sluzbu zaplati, ale v teto oblasti se vsichni nepochopitelne a nelogicky snazi byt "sobestacni" a prijde jim divne platit za neco, co je prece "tak jednoduche"...
-
Dobrovolně to asi dělat nebudou. Buď to po nich musí chtít zákazníci (což by podle mne nastalo jedině tehdy, pokud by byl zákazník za tu svou přípojku zodpovědný), nebo pokud by za tu přípojku musel být zodpovědný ISP. A nebo, což mi připadá nejpravděpodobnější, se budou muset ISP postupně zapojovat do projektů, jako Fenix (akorát že aktivní neustále - protože bez toho budou jejich sítě neustále terčem útoků a jejich klienti se nedostanou k jiným zdrojům, které už v té chráněné síti budou), budou tedy muset určitým způsobem ručit za provoz ze své sítě a tohle bude jeden ze způsobů, jak to zařídit.
-
TIRO (neregistrovaný)
Asusů mám několik. Vzdálená správa se přes ně dá omezit na konkrétní IP dresu. Nebo ji zrušit a připojovat se na něj přes VPN. Pro mě jediná pointa. Celý proces včetně té prasárny byl nasimulován úmyslně zřejmě s cílem oslavovat Turris. Než si pořídit Turris a nechat si špiclovat domácí LAN, tak to raději Asus.
-
Rat (neregistrovaný)
Ale jistě - Linux nebo FreeBSD, Mikrotik nebo OpenWRT-like box, klidně i Cisco SOHO 70 nebo 90 - jak je libo. Ale o možné alternativy tady ani tak nejde, jde spíše daleko více o to, že danou technologii musí opatřit, nainstalovat a spravovat někdo, kdo té technologii rozumí a umí s ní pracovat. Pak lze docílit velmi robustního a bezpečného řešení, aniž by BFU musel klikat někde na nějaké podivné tlačítko "Update" a myslet si, že tím bude zachráněn.
-
Jo jo, donutili ASUS vyrobit firmware s takovouhle chybou, pak ho rozdistribuovali po celém světě, donutili 9000 majitelů vypnout firewall, aby se ta chyba projevila, a pak ještě hackli ASUSu servery, aby nefungovalo vyhledání nové verze firmwaru z webového rozhraní. A vy jste součástí toho spiknutí, protože pokud by někdo měl takové podezření, přečte si váš komentář a dojde mu, že je to kolosální pitomost, takže na své podezření rychle zapomene. Jenže já jsem vás teď odhalil.
Jinak když má kdokoli přístup k plné administraci toho ASUSu, může domácí LAN špiclovat také. Takže předpokládám, že jste to myslel tak, že jste pro rovné podmínky, a když už někdo může špiclovat vaši domácí LAN, tak ať to mohou dělat všichni.
ČLÁNKY DO MAILU