"každý den tisícům útoků"Počítač môže byť na starej IPv4 za desiatimi nezmyselnými NAT-mi s aktuálnym systémom a licencovaným antivírusom.Stačí aby si Pepa z Brna, alebo Alžbetka z Michaloviec otvorila GMail.Tam sa dozvie, že jej "nevlastný cousin, king of Uganda" zanechal $10.000.000 dolárov a on/ona tam (veľmi ochotne) napíše všetky osobné údaje, skeny z občianskeho a pošle (pre istotu dvakrát) požadovaných $1500 za "processing dedičské konanie".Myslíte si, že takejto hlúposti nikto neuverí, no tieto maily Vám chodia, pretože to stále funguje. Celý Facebook je plný rôznych "súťaží" a denne mi chodia SMS z "Amazonu", alebo "DoorDashu" kde mi ponúkajú free food, free gift, len stačí vyplniť taký malý formulár.No a potom tu máme lenivých sysadminov a skostnatené korporáty, ktoré bežia na 30 rokov starých Solarisoch, IBM 360-kách a Win2K.Takže zaujímavé technické riešenie, ale ani Turris, prípadne enterprise riešenie od Barracuda, Fortinet, alebo Solarwinds Vám v reálnom svete príliš nepomôže 😗
Tak zrovna i ten Solarwinds měl v poslední době brutální bezpečnostní selhání.
Pssst. Ale Fortinet je dneska docela v kurzu.
Myslis tenhle Fortinet? 🙂 https://thehackernews.com/2021/04/hackers-exploit-u...
Názor byl 1× upraven, naposled 13. 5. 2021 03:27
Každý den tisíce útoků na domácí router - a on, mrška, spokojeně odolává, i když to není Turris za sedmičku, ale třeba TP-Link za třistapade... 😀
To je samozřejmě pravda - nicméně pokud máte ten tp-link jako krabičku ven a doma pár počítačů co občas koukají na Internet tam Vám to pravděpodobně stačí a nevadí Vám, že nevidíte co se děje. Ti ostatní, kteří mají domů přístup přes SSH a VPN a spoustu služeb sdílených ven (ovládání domácnosti bez (nebezpečného) prostředníka (cloudová služba), přístup na svůj stroj odkudkoliv atd) jsou rádi, když mají nad vším kontrolu a mohou sledovat a případně reagovat 😃
Případně jenom koukat, protože reagovat nestihnou...
Router za 350kc asi nebude mit log ze ktereho se neco dozvite. Takze spis zijete v pocitu falesneho bezpeci. Spousta NASu je dnes napadana malwarem a majitel o tom nevi.
Kecy v kleci..
Lidi jsou schopny si vymyslet naprosto cokoli, aby uhajili svoje videni sveta.
K čemu to vlastně je dobrý, když nemám na linux routeru ven žádnej port otevřenej? Tak můžou si skenovat moji IP jak chtějí a přijdou jen na to že jsou všechny porty uzavřený. Zkoušel jsem různý intrusion prevention a snort, ale jediný co to tak vlastně dělá je, že to omylem zablokuje nějakej můj provoz kterej potřebuju a já pak akorát zkoumám proč se na internetu nedokážu na nějakou IP připojit, než přijdu na to že to zablokovalo omylem intrusion prevention. Poslední dva roky mám všechny tyhle věci vypnutý, akorát to zatěžuje cpu na routeru a nějakej přínos jsem nezaznamenal, na rizikový weby nelezu-nepotřebuju chůvu která mi je bude blokovat, vir nebo mallware je hodně malá šance že bych někdy dostal, jelikož nic pochybnýho neotvírám a neinstaluju.
Jen do té doby, než se v SW který realizuje ten firewall nebo u služby která poslouchá zvenčí (SSH, VPN apod) najde nějaká chyba. Ve vašem případě se o tom nedozvíte, v případě majitelů Turrisů dostanou automaticky velmi rychle záplatu. (Protože se na to velmi rychle přijde)
Názor byl 1× upraven, naposled 12. 5. 2021 12:09
Ano, pokud nemas skutecne nic otevreneho, pokud mas router nastaveny primitivnim zkusobem (dovnitr nic, ven vsechno), pokud za tim routerem neprovozujes zadne sluzby do sveta, tak na IPv4 za NATem ti temer nic nehrozi.
Ma niekto skusenosti s Asus aiprotection?
upřímně, měl sem router Asus RT-AC88U a za ty peníze žádná sláva. Dost se zahříval a po půl roce začaly výpadky wifi, odpojování zařízení a celkově znatelný pokles výkonu. V 1. kole reklamace mi hned vrátili peníze. Zkoušel jsem i ten jejich systém ochrany, ale stále bylo lepší mít prostě vše za firewalem a co není explicitně dovoleno, je zakázáno. Teď mám MicroTik a sem spokojený. Asus router už bych si nekoupil (předchozí zkušenost u známého s levnějším routerem, který přežil s problémy 2 měsíce a pak letěl do koše)
Mam ASUS DSL-AC68U a jsem zatim spokojen. Zadne vypadky. Jak hreje nevim mam to u rodicu. Ale zvlada bezproblemu i 10 zarizeni pres WIFI asi 5 na kabelu. A narozdil od jinych vyrobcu na to vychazi novy FW.Mikrotik mam doma. Sice jsem se bal nastavovani, ale zakladni nastaveni neni vubec slozite. Nektere slozitejsi veci jsou sice divne, ale na Internetu se daji najit navody jak na to.
Mám opačnou zkušenost než kolega výše. Mám Asus DSL-AC56U už asi tři roky a bez problémů. AI Protection snad funguje, ale jak, to nedokážu posoudit. Mám samozřejmě zapnutý firewall, vypnutou odezvu na ping a bloknuté porty, které nevyužívám. Nejsem síťař, takže nastavil jsem tam pouze vše podle svého nejlepšího svědomí.
Informace ekvivalentu, ze kolem Vaseho baraku nebo bytu projde denne 1000 lidi…
... kteri berou za kliku a zkousi, jestli je otevreno, aby mohli vlizt dovnitr a delat tam kdo vi co. Coz sice nezni tak hrozne, pokud otevreno neni, ale i tak by mi to nedelalo uplne radost.
Jenze ono nejen ze neni otevreno, ono je dokonce zamceno (a zamceno je hned nekolik vchodovych dveri). A i bez draheho HW Turris.
Presne tak...Ted posledni roky se rozmohlo takovy to, ze na internetu nekdo na nekoho porad "utoci" a je to strasne nebezpecne. Tyhle Avasti, Turrisove apod. se snazi vyvolat atmosferu strachu, aby meli kseft, protoze jejich pisecek uz neexistuje, byl vyresen evolucne a zautomatizovan. Po internetu behaji packety co internet internetem je, ktere jsou hodne a ktere jsou zle uz jsme davno vyresili zpusobem, asi jako ze dnes maji kazde dvere od baraku zamek na klic...
Jen do té doby, co se někdo ten Vás zámek naučí velmi efektivně vyplanžetovat a během pár vteřin je uvnitř a aniž si kolemjdoucí všimnou že se děje něco nekalého a že do domu vchází ten kdo nemá. (najde se v SW firewallu nebo službě vystrčené ven chyba). Majitelé krabiček za třistapade budou dál klidně spát, protože se o tom ani nedozví 😃
Názor byl 2× upraven, naposled 12. 5. 2021 12:13
Ale to jsou takovy kecy typu "Bitcoin pujde na nulu", "Co kdyz pujdes z prace, upadnes na schodech a umres", atd.... Za ta leta jsem pouzil stovky TPlinku, Mikrotiku, Asusu...Jak openWrt tak s originalem...Ja fakt nevim o tom, ze by mely nejaky problem. Driv byl problem, ze mely management vystrceny do netu a roboti hadaly hesla...To je co se tyka firewall thats all...Ze ma zranitelnost sluzba vystavena do netu beru...Ale tyhle nekonecny kecy o krabickach...Mam mista, kde provozuju wl500gp s ddwrt z roku 2008 a hadej co? Vubec nic, protoze co by se asi tak delo...
Názor byl 1× upraven, naposled 12. 5. 2021 14:38
Uplne bezne pouzivam TPlinky za trista pade a hadej co? Vubec nic. Tyhle firmy se vzdycky snazej nekomu namluvit kecy typu "JAK KVALITNI a DRAHA JE VASE KRABICKA, TAK JE BEZPECNA". Ne, firewall je jen jeden. Neni drazsi, horsi, je to proste iptables. A kdyz je input drop all, je uplne jedno jestli ta krabicka stoji pet tisic nebo pet korun z bazaru...
A dochází ti, že tohle je zejména kvůli tomu sběru dat o útočnících a jejich praktikách a způsobech? A že bez sběru informací o aktuálních stylech útoků je ti úplně na hovno jakýkoliv bezpečnostní systém a je jedno, jestli se bavíš o světě PC nebo o čemkoliv jiném? 😃 A pokud máš kabel do netu, tak prostě potenciálně ohrožený jsi, end of story.
To je story asi jako ze na me na ulici ciha nebezpeci, ze me prepadne samuraj s katanou a na hlavaku me jednim svihem rozpuli a zabije. Proste ne, nedeje se to. Jestlize nejsem datacentrum, housing nebo ISP, tak realne nemam vubec co nejakymu "utocnikovi" nabidnout.
Problem je, pokud ma ten firewall pravidla zadratovana ve firmwaru, ktera nejsou uzivatelsky viditelna.O problemu ROM0 u routeru jsi slysel?
Je rok 2021. Vsechny podobny trivialni chyby jsou ve firmwarech davno opraveny.
Ty jsi takhle naivni nebo to jenom hrajes? O tom, ze pulka Dlink zarizeni (dneska!) ma pevne zadratovane heslo a zadny opravny firmware se nekona asi netusis, ze?
Kamo a ted si predstav, ze olej v aute menim po 30 tisicich km a rozvody prejizdim o 60 tisic. A ted si predstav, ze tohle cely pisu z pet let neaktualizovanych Windows 8.1. Tak bacha, at odeme pri cteni prispevku nechytnes Covid. 🙂
Názor byl 1× upraven, naposled 13. 5. 2021 10:45
A pointa? Sdělil jste nám že jste buďto a) nezodpovědný nebo za b) máte všechno na salámu (nebo obojí). Zkuste si představit, že existují i lidé, kteří mění olej včas, svoz odpadu platí také včas a zajímají se i o to, jaké nekalosti se jim dějí na domácím routeru. To že Vy na všechno kašlete neznamená ani že je to správné ani že ostatní mají sdílet Vás bohorovný přístup k životu.A je (objektivně) zřejmé že riziko že se něco podělá a vymstí se Vám to je u Vás vyšší než u těch druhých. Možná se Vám za celý život nikdo do routeru nenabourá a možná dokonce ani nezrušíte motor - ale rozumný člověk míru rizika minimalizuje.
Názor byl 2× upraven, naposled 14. 5. 2021 16:13
A teď mi řekněte, kdo Vám opraví na tom Vašem TP-Linku třeba tohle https://www.zive.cz/clanky/fragattacks-vetsin...
Mas uplnou pravdu. Skoda, ze tve znalosti a zkusenosti nemaji v USA. Kdyby pouzivali TP-link, tak se jim to nestane 😀https://www.cnbc.com/2021/05/11/colonial-spot-...
To je sladka nevedomost. Treba zrovna MikroTik, jehoz jsem jinak velkym fanouskem, mel zhruba pred tremi lety takovou super diru, ze RouterOS vykecal uzivatelsky jmena i s heslama komukoliv kdo se zeptal. Bylo to ve vsech verzich za tri roky. Jeste predtim meli vzdaleny spusteni kodu v http serveru. Vyzadovalo to sice pristup na port WinBoxu nebo webserveru, coz je tak trosku chyba uzivatele, protoze bezpecnejsi je takovy veci z venku nepovolovat. Ale zatimco dneska uz to vychozi konfigurace blokuje, driv tomu tak nebyvalo. A tak hromada uzivatelu pusobila jako soucast botnetu a vubec netusili, ze je nekde nejaky problem. Krabicky jinych vyrobcu moc nesleduju, ale semtam nejaky zpravy o zneuzitelnych zranitelnostech nebo backdorech taky jsou.
"komukoli, kdo se zeptal, pokud byl povolen pristup k administraci z WAN, coz nebylo defaultni nastaveni".
Samozrejme ze je lepsi administraci omezit. Ale na druhou stranu, primarni problem je porad existence takovy osklivy chyby. Kdyby neco podobnyho udelali treba ve VPN serveru, tak by asi tezko slo tvrdit, ze nema byt z venku dostupnej, kdyz tam je to naopak zamer. I kdyz tam jsou standardni protokoly, takze prostor pro "kreativitu" je mensi.
Jiste. Ale ve VPN serveru ta chyba nebyla, ze? Ja jenom opravuju to tvou formulaci "kazdemu, kdo se zeptal", protoze to proste neni pravda. Narozdil od routeru, ktere komukoli (i pres WAN) vypsaly kompletni konfiguraci pres ROM0 apod.
Kazdymu kdo se zeptal na spravnym portu, tzn. spravny sluzby bezici na routeru, tu podminku jsem tam mel, ale pravda, az o kousek dal.
... a ze spravne strany, coz nastesti hodne omezilo skupinu moznych utocnuku 😉
Pokud mate trochu lepsi router ktery loguje pokusy o prihlaseni tak se podivejte obcas do logu. Ja mam z ruznych duvodu otevrenych par portu do Internetu. A obcas to byvalo hodne divoke. Co 5min pokus o prihlaseni z ruznych adres.Jako pokud ma nekdo slabe heslo, tak se tam utocnik dostane pomerne brzy.Ja sice nemam slabe hesla, ale i tak me to vadilo. Jak by se vam libilo kdyby vam kazdych par minut nekdo bral za kliku od vchodu do domu? Mi ne. Proto jsem omezil IP ze kterych se da prihlasit na ceske. A pocet utoku klesl o 99%.
Vždy je lepší vědět že se děje nějaká neplecha a mít o ní přehled než nevědět vůbec nic.
Existuje možnost si tento SW plnohodnotně zprovoznit i na vlastním HW nebo si musím koupit jejich drahé krabičky?
Názor byl 1× upraven, naposled 11. 5. 2021 20:06
Standardní OpenWrt jede na kdečem, viz.https://openwrt.org/toh/startAle domnívám se, že v Turris bude OpenWrt "heavily customized".😀Avšak je to jen domněnka. Nic o tom ve skutečnosti netuším.
Ty jejich krabičky budou myslím dost výkonné, takže klasický domácí router by to nemusel utáhnout.
Podileni se na zasilani dat do Turris Sentinel je zatim mozne pouze z Turris routeru, protoze pouzivame hardware Turrisu ("crypto cip") pro overeni odesilanych dat. Nicmene zvazujeme a resime moznosti, jak se zapojit i z jinych zarizeni, serveru apod.Dynamicky firewall ma ale otevrene API a klienta je mozne nainstalovat "kamkoliv". Vice viz dokumentace [1] a vzorova implementace [2].Pak je tu jeste HaaS [3], ktery je v clanku tez zminovan. To je projekt laboratori CZ.NIC, jehoz klient ("haas proxy") je do routeru Turris integrovan a nasazen stejnym zpusobem jako na jakykoliv jiny linuxovy stroj.Vojtech MyslivecTurris tym[1] https://docs.turris.cz/basics/collect/dynfw/coll... [2] https://gitlab.nic.cz/turris/sentinel/dynfw-exa... [3] https://haas.nic.cz/
Sice nemám Turris, ale jako domácí gw mám Cisco C896VA na kterém jsem provedl základní hardening a logování když se někdo zvenčí snaží dobývat dovnitř.Pro ty, které by to snad třeba mohlo zaujmout. Tohle je access-list navěšený na vstup zvenčí (interface Dialer1) s výpisem četností pokusů za cca. 5 týdnů provozu:Extended IP access list 101 10 deny tcp any any eq telnet log (10333 matches) 20 permit icmp any any ttl-exceeded (1006 matches) 30 permit icmp any any time-exceeded 40 permit icmp any any port-unreachable (3355 matches) 50 deny tcp any any eq www log (3064 matches) 60 deny icmp any any echo log (2842 matches) 70 deny tcp any any eq 22 log (5692 matches) 80 deny tcp any any eq 443 log (2029 matches) 90 deny ip 127.0.0.0 0.255.255.255 any 100 deny ip 172.16.0.0 0.15.255.255 any 110 deny ip 255.0.0.0 0.255.255.255 any 120 deny ip 10.0.0.0 0.255.255.255 any 130 deny ip 224.0.0.0 7.255.255.255 any 140 deny ip 192.168.0.0 0.0.255.255 any 150 deny ip host 0.0.0.0 any 160 deny tcp any any eq finger (62 matches) 170 deny icmp any any timestamp-request 180 deny icmp any any mask-request 190 deny icmp any any information-request 200 deny icmp any any redirect 210 deny tcp any any eq exec (44 matches) 220 deny udp any any eq tftp (127 matches) 230 deny udp any any eq who 240 deny udp any any eq xdmcp (49 matches) 250 deny udp any any eq 443 (118 matches) 260 deny udp any any eq 22 (4 matches) 270 deny icmp any any log (2941 matches) 280 deny ip any any log (1099264 matches)
Tak ale tohle povazovat za utok, uz je hodne pritazene za vlasy 🙂Ping, DHCP request, pokus o otevreni webu?Ale priznavam, ze ten telnet me desi - to jako fakt nejakej utocnik dneska ceka, ze nejake zarizeni ma v dnesni dobe jeste telnet a ze je povoleny ven?
Kde přesně jsem tvrdil, že všechno to "ťukání" považuji za útok?Co se týče toho "telnetu", záznam jsem nijak neupravoval, takže se evidentně děje několik stovek pokusů denně. Naprostou většinu "ťukání" zvenčí nijak nerozlišuji, takže netuším o co vlastně jde. To by se dalo zjistit přesměrováním provozu zvenčí na nějaký sendboxový honeypot, který by zaznamenával veškerou aktivitu. Třeba by se z toho dala dělat zajímavá videa s hackerskou tématikou. 😝😝
Clanek je o "utocich" (byt predpokladam, ze i autor nerozlisuje mezi skutecnym utokem, scannem portu a jak je videt ve tvem vypisu treba i obycejnym pingem).
Ehm, Mirai?
to neni zadny utok ale normalni skenovani pingani.. doporucuju nmap to je nejlepsi jednoduchy skener
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.