Názory k článku Turris pod lupou: jaký je router s distribuovanou bezpečností od CZ.NIC?

To co píšete je píčovina, resp. motáte dvě věci dohromady - modem a router.

Modem je lepší mít od providera, zatímco router je lepší mít svůj. V případě že změním providera jenom do routeru napojím nový modem a nemusím nic dalšího řešit, překonfigurovávat síť apod.

Ten neoliberalismus už je opravdu zvrácený – chtít něco omezovat jenom proto, aby na tom mohly firmy vydělávat.

To není rozvedení tématu, to je psaní o nesmyslu. Úspěch toho hardwaru za nedotovanou cenu nikoho nezajímá, protože to s projektem nijak nesouvisí. Projekt potřebuje mít asi tisíc sond na běžných SOHO přípojkách. Tak nabízí router za korunu na tři roky. Jiné podobné projekty to řeší tak, že si uživatel dá krabičku jen mezi router a internetovou přípojku. Taky nikdo neřeší, že by si takovou krabičku jako router nikdo nepořídil (protože ani routovat neumí), protože účelem té krabičky je něco jiného. To, že to teď CZ.NIC dává za korunu na tři roky, samozřejmě je normální situace.

Tomu se říká rozvést téma. Proto jsem taky zdůrazňoval ...za nedotovanou cenu nemá skoto takový HW u koncových uživatelů žádnou šanci na úspěch.... Protže to že to teď Nic.cz dáva "zadara" není normální situace.

To je ale v článku i všude jinde napsané. Takže jste si to mohl zjistit před tím, než jste o tom začal psát.

Aha takže nedorozumění Nic.cz taky to zařízení dalo do symbolistického pronájmu, nikoliv komerčně k prodeji na trh.

Pořád píšete, že o těch 1000 Turrisů zájem nebude. Např. 9:53 "Ano u většino o to zájem nebude.", 8:56 "Asi tak, za nedotovanou cenu nemá skoto takový HW u koncových uživatelů žádnou šanci na úspěch."

Teď jste mně dostal, Můžete mě připomenou kde jsem psal že NIC.cZ nesežene 1000 zájemců?

Když jste poprvé tvrdil, že CZ.NIC těch tisíc zájemců nesežene, když už přitom počet zájemců tisícovku dávno překročil, mohlo to být vtipné. Když jste to i po upozornění na pravý stav věcí opakoval podruhé, bylo to podivné. Ale když to opakujete i po třetí, nelze to už brát jinak, než jako projev hlouposti.
Máte pro nás nějaké další předpovědi tohoto typu? Třeba že letadla těžší vzduchu nikdy nebudou létat, protože je to fyzikální nesmysl. Nebo že se nikdy nepodaří Zemi obeplout kolem dokola, protože je placatá a na konci moře je propast.

Ano u většino o to zájem nebude. Pravděpodobně vám nedošlo že i tady na lupě tvoříme v ČR Internetovou minoritu. Většina uživatelů Internetu v ČR se o Lupu a nic.cz nezajímá.

Ano jsou takový zákazníci, kteří chtějí nebo potřebují svoje železo, ale položte si otázku, jestli jste zrovna součástí reprezentativního vzorku zákazníků. SSH , VPN, přesměrování portů běžní uživatelé neřeší. To samé veřejné a pevné adresy.

UPC nabící modemů s routerem několik i s Wifi . Jak pronájem a tak odkoupení. „Zdarma“ modem už nemají vůbec ani k nejvyššímu tarifu. Ale UPC nerovná se Internet v ČR
Po problémech s reklamacemi a vracením modemů\routerů se samo snaží většina ISP zařízení zákazníkovi prodat. Protože to je pro ně „výhodnější“. Koncové zařízení ve správě uživatele takže odpadá velká část zodpovědnosti a i to nastavení jde pak účtovat .
Protože spousta lidí na to nesáhla, výrobci začali OutOffTheBox implementovat zapnutý firewall, zakázaný přístup z vnějšku, WPS, změnu hesla admina hned po startu atd…

Jinak k děravosti, u několik výrobců a modelů byly nalezeny zranitelnosti. Ale reálně nebyly počty nalezených děr úměrně počtu napadení skrz router. Pokud charakter HW není zrovna pro moc multimediální domácnost a stejně modem\wifi klient nenahradí tak o tolik bezpečnost proti novému ( né x let starý model) routeru nezvedá.

Nabízí se otázka proč tedy nevsadili na alternativní firmaware ve spolupráci s nějakým lepším výrobcem routerů pro domácí využití. D-Link, Netgear, Cisco…. …rozhodně né Tenda či jiný odpad. Ani né na druhé straně Microtick který primárně určen do firemního sektoru.

Už dávno se ví, že zájemců o Turris bylo víc, než kolik jich CZ.NIC dokázal uspokojit. Argumentovat i v takovém okamžiku pro to, že o to zájem být nemůže - to chce opravdu silné přesvědčení a velkou zaslepenost.

HW a SW opravdu z podstaty nechrání stejně. Síťový prvek nepozná že se něco snaží instalovat toolbar, activex prvek , mění homepage, instaluje sw atd...
SW může být ukradené na jaké adrese to komunikuje. SW řeší proces v rámci běhu OS né až komunikaci to SW když už tam je.

Turris a vnitřní síť jako celek, ne jen izolovaně jednotlivé stanice.... ...Nevím v jakém úhlu pohledu tohle myslíte? Myslíte že SOHO uživatelé chtějí\potřebují být součástí "NIC sítě" nebo aby jejich síť byla přístupná plně "z vnějšku"?

Asi tak, za nedotovanou cenu nemá skoto takový HW u koncových uživatelů žádnou šanci na úspěch.
Dostane se zhruba tam kde je u koncových uživatelů stavebnice Microtick a spol. Tedy naprostá menšina.
Důvodem je cena, která je vyšší, přidaná hodnota nepostihuje tak sektor SOHO, podpora domácích multimédií je minimální. Konče tím že designově to je odporné. Pokud to je součástí domácnosti mělo by to i vypadat, jenže tyhle koncové zařízení nebyly do domácností primárně určeny.

Tady opravdu je rozdíl mezi odbornou veřejností a většinou která má naprosto jiné požadavky a finanční možnosti.

To je pochvala, závist, muselo to ven, kritika? Pokud kritika, pak tam chybí, co by podle vás měli dělat jiného.

Myslíte, že Turris zadání neplní? Myslíte, že třeba základní výzkum má jasnou návratnost?

"Normální komerční doba" je ale zajímavá mikrostudie toho, co vše lze považovat za normální.

V čem psal jsem to už na začátku

-pokud to je SOHO segment těžko to budou zkoušel lidé z kategorie geek, technoid a spol.

-analýza provozu na HW je expost a není všemocná, sem příznivcem SW řešení.

Podle toho, co píšete, nemá smysl vyrábět a prodávat žádné domácí routery. protože každý, kdo nějaký potřeboval, už router má, nové přípojky nevznikají a stávající routery budou funkční a vyhovující věčně.

Už víme, že vašim požadavkům Turris nevyhovuje. Je dobře, že to víme. Také víme, že zájemců, kterým Turris vyhovoval, bylo víc, než kolik jich CZ.NIC do projektu potřebuje. V čem je tedy problém?

To já naopak router od providera nechci. Když už jsem někde něco takového viděl, buď tam nebylo možné skoro nic nastavit proto, že to ISP prostě nějak zablokoval, nebo to dotyčné zařízení ani neumělo. A já chci nastavovat docela dost věcí - IP adresy přidělované konkrétním zařízením podle MAC adresy, SSH nebo OpenVPN, přesměrování některých portů, pořádná kontrola nad firewallem...

Mám doma také připojení od UPC, po rozvodu kabelové televize. Od nich mám také EuroDOCSIS modem - jenže ten modem pokud vím routovat neumí - normálně se za něj dalo připojit jen jedno zařízení - buď počítač, nebo router. Tohle se měnilo myslím až v poslední době - ale je to až u nějakých vyšších nebo firemních tarifů, že vám dají v rámci jednoho tarifu třeba tři veřejné IP adresy - pak počítám, že k tomu dají i nějaké zařízení, s kterým toto půjde realizovat.

Ale myslím, že spousta lidí, co má UPC to právě takto má - modem a za něj si koupili "nějakou tu WiFi krabičku". Pokud chtěli připojit víc než jeden počítač, nebo WiFi po bytě, tak si tu krabičku prostě koupit museli. A od té doby na ní třeba nešáhli - žádné aktualizace firmwaru, nic. A výrobci těchto krabiček už v minulosti předvedli, že je umí udělat také pěkně děravé - třeba zrovna v tomhle bych těm krabičkám od CZ.NICu věřil víc.

Ano, existuje dnes i modem, který obsahuje i WiFi router, ale to je věc posledních několika málo let a pokud se nepletu, je to za příplatek (resp. dřív byl samotný modem zadarmo a za tohle se platilo buď nějaká částka jednorázově, nebo nějaký měsíční paušál - dneska už chtějí paušál i za ten obyčejný modem, pokud nemáte nějaký speciální tarif).

Tak tohle je především WIFI \Ethernet router. Není to ani kabelový, nebo xDSL modem, není to v základu ani WIfi klient. Takže pokud někdo potřeboval připojit patřičný počet zařízení v domácnosti, tak už lepší než základní model má. Opravdu doteď na Turris nečekaly.
Takže koruna by byla super, jenže nula od nuly pojde.

Pokud vezmeme domácnost zajisté bude spíš normální lidi zajímat podpora UnPNP , podpora DLNA a GDI tiskáren, než Ipv6 a DNSSEC
Osobně bych do toho nešel, i když ta koruna je hezká. Podle mně aby to bylo terno, muselo by to být combo s možností WAN konektivity nejen přes ethernet, ale také A(V)DSL\ wifi\ docsis.

P.S. Ideje na kterých vznikl internet? WTH? Hippie jsou mrtvý ! Síť to byla především pro vojenské \ strategické účely.

U dost provideru ziskavate v cene sluzby pouze zakladni modem, coz je pri dnesni potrebe pripojeni vice zarizeni v domacnosti malo. Za lepsi se obvykle priplaci, takze nejakou dalsi krabicku potrebujete tak jako tak. Ta koruna mi pripada jako docela bezkonkurencni cena ;-)
A bezpecny router vas sice napoprve treba neochrani lip nez jakykoli jiny, ale pri opakovani utoku uz muze byt podstatne uspesnejsi. A samozrejme vhodne rozprostreni muze poslouzit i k identifikaci utoku postihujicich vice cilu, a tedy pomoci i ostatnim. To jsou ostatne ideje, na kterych Internet vznikl ;-)
Ja osobne bych do toho urcite sel.

Router\modem atd.. si zásadně pokud je to možné pronajímáme od ISP ! Důvodem je to že pokud ten HW odejde je na straně ISP problém že "nejde net". Nikoliv odešel vám router kupte si novej , slevu na připojení nedostanete.

Pan Peterka má taky pravděpodobně modem normy DOCSIS a k němu ten router tedy za modem\router neušetří , to samé jiní lidé.
Těch kterým vede do bytu\domu rovnou metalicků ethernet je minimum. Takže tenhle router neušetří protože to bude jen další krabička navíc. Takže k ceně jednoho koncového prvku přičtěte ještě tu symbolickou jednu korunu.

A to stále neřeší to, že ten „bezpečný“ router ho bezpečně ochrání až expost. Protože nejdříve se musí někdo „spálit“. Pak se teprve adresa dostane na blacklist, aby podle toho mohl danou komunikaci odstřihnou

Tady jaká motivace, další krabička navíc? Která není bezpečnější než aktualizovaný bezpečnostní SW?

ne, umí to, a zmiňuji to i v článku ....

Jakou má motivaci? No třeba router za 1 Kč o který se nemusí starat? Jasně, když si koupí nějaký Asus, tak se o něj sice pak taky třeba nebude starat - ale za prvé za něj dá 1000 Kč a víc a za druhé u tohohle si aspoň může říkat, že i když se o to nestará, může klidně spát, že se to aspoň samo aktualizuje. :-)

Jde ale o posloupnost příčina \ důsledek.... ....jakou má tedy motivaci zákazník v SOHO sáhnou po takovém routeru.? Podle mně průměrný zákazník žádnou. On chce řešení , nikoliv se zapojovat do výzkumného projektu. Ti kteří se zase do takového výzkumného projektu zapojují ( X>80%) jsou proti obyčejným uživatelů IT odborníci a opět nebudou asi reprezentativní vzorek.

Osobně vidím jako efektivnější bezpečnostní SW pro opravdu SOHO uživatele, než router pro pár vyvolených geeků.

Uživatelé v SOHO segmentu jsou ohroženi plošnými útoky. Na ty také Turris míří – statistickými metodami nemá smysl vyhodnocovat cílený útok na jednu síť, ale právě tyhle necílené útoky.

Podle mne router nemá novým útokům primárně předcházet, ale má je rozeznat. Malware asi nebude na napadeném počítači nečinně sedět, ale bude se snažit komunikovat se světem. A tady právě ta analýza pomůže, protože umožní nestandardní komunikaci odhalit, případně po odhalení zpětně dohledat, jaké další sítě byly napadeny.

Nikoliv řekl bych naopak přeceňovaná bublina.

Koncový uživatel v segmentu SOHO, tam takový router patří. Není cílem nějakých útoků z vnějšku. To jsou větší firmy instituce a ty zase nepotřebují takový nevýkonný router.

Další věc je to, že uživatele jsou primárně platformy WINTEL a ti jsou ohroženi primárně instalací malware a phisingem. Tomu se bránit kontrolou adres a protokolů není zrovna nejefektnější.

AV firmy mají proto mnohem lepší data pro analýzu z SW produktů nikoliv z SOHO routerů.

dobrý den,
umí. Přesněji: musíte si v OpenWRT (přes rozhraní LuCi) zapnout zapnout proxy bránu Tinyproxy. Umí filtrovat jak celé domény, tak konkrétní URL.

dobrý den,
Wi-Fi pracuje vždy jen v jednom pásmu, nikoli v obou současně. Kvalitu signálu jsem zatím systematicky netestoval, nicméně můj první subjektivní dojem z dosahu (cihlový dům, řada dalších Wi-Fi u sousedů) je stejný jako u jiných zařízení běžného "spotřebitelského" provedení.