Dobrý den,chtěl bych si zakoupit veřejnou IP os svého poskytovatele připojení, ale nejsem si jistý s bezpečností. Doma používám jen základní domácí router od Asusu, tak to není zrovna světové zabezpečení. Takže, myslíte si, že mohu být v klidu, nebo bych měl investovat do nějaké lepší ochrany?
Zakaz pristup na management z WAN smeru a jsi v pohode.
To má defaultně většina routerů stejně zakázané, takže to je OK.
No, kdyby to bylo jen takhle jednoduché, tak nevím, co by všichni správci sítí dělali 😀
Spravovali ty dalsi desitky (nekde i stovky az tisice) dalsich zarizeni, protoze pak tam jsou AAA servery, IDS, IPS, treba mail servery, FTP servery...
Tak předveď, jak napadneš zařízení, na kterém není přístupná žádná služba?
Nenapadne ;) i kdyby tam bylo zranitelnych sluzeb 10, tak to (pokud neokopiruje neci kod/program) nezvladne, jinak by vedel, co networking lidi delaj.
Ne? A vy víte přesně, co u vás běží?Co třeba slavný problém s napadením Intel ME přes síť?https://www.andreafortuna.org/2017/12/18/how...nt-engine/AMD má podobnou veš. Spousta ARMů už dneska také. K tomu je třeba připočítat uzavřený hardware s uzavřeným firmwarem.Zkrátka dneska může říct opravdu málokdo, že ví, co že všechno to k tomu internetu vlastně připojil.
A co sem taháš Intel ME (mimochodem, díky bohu za něj. Něco jako iLO, iDrac atp. mi na osobních počítačích hodně chybělo)Stroj, na kterém není přístupná žádná služba, je nenapadnutelný, za tím si stojím.
Jenže kdyby zakázal všechny porty, tak proč by extra kupoval veřejnou IP-adresu? Asi nějaké porty otevřít bude chtít a až budeme vědět, co a za jakým účelem, pak se můžeme bavit o nějakém riziku.
cif navíc uvažuje jen IP komunikaci na službách v operačním systému.Že nějaké služby mohou běžet na síťovce, která má přístup do DMA, to zcela odignoroval. Aktivovat to navíc může jakýkolo paket, který tam přijde (pokud se bavíme o IP síti - ona to totiž mohou být teoreticky úplně jakákoli data.Nebo si cif důkladně prostudoval dokumentaci k síťovce, přesvědčil se, že dokumentaci dokonale odpovídá, prošel si zdrojáky firmware a sám si jej tam nahrál. A při tom všem nezapomněl totéž udělat i se vším, co k té síťovce má přístup, třeba právě s IME.
No a hlavne neni jen takove to napadnout a dostat se do OS.Pravda domaci pripojky pomale pripojky se to moc netyka, ale jeste tu mam DDoSy, amplified attacky, atd. a o tech "zadnych" sluzbach si lze taky realne nechat zdat, jak na desktopech, tak na tehle krabickach ci hrajou na routery 😀
Ne.Out-of-band management, kam iLO, iDrac nebo třeba IPMI (když se bavíme o IME), má úplně stejný bezpečnostní problém. Až na dva zásadní rozdíly:1. Uživatel o nich ví2. Mají samostatné síťovky3. Nemusí být zapojenéNarozdíl od toho IME používá integrovanou síťovku od Intelu (proto v serverech vyžaduji integrované Broadcom nebo jiné síťovky, jakmile to mám vystavit do netu) a drtivá většina uživatelů vůbec netuší, že tam ten šmejd je. Další věc je, že ta zranitelnost na IME reálně existuje.Bavíme se o managementu, který má přístup k síťovce, k paměti i procesoru, beží v něm uzavřený firmawe, a ta zranitelnost reálně existuje. Nikdo s jistotou neví, co všechno za věci na IME beží, a nějaký softwarový firewall je až ve vrstvách nad tím. Jedinou obranou je strčit firewall před to, pokud tu inteláckou síťovku chcete použít.
Na levnejsich strojihn nemusi byt pro ILO dedikovana sitovka, ale sdilena (resp sdileny Eth port)MP
Buď v klidu, veřejnou IP má hromada lidí, kteří o tom ani neví. Všichni klienti NETBOXu, dřívější klienti O2, dříve měly veřejnou IP i všichni klienti UPC atd. Nejsi jediný a žádnou výraznou zranitelnost to neznamená.
No, tu adresu kupuješ kvůli čemu? Protože pro tuto službu budeš muset otevřít porty ve firewallu na routeru a pak se můžeme začít bavit o bezpečnosti dané aplikace (jestli chceš na web vystrčit třeba nějaké webkamery atd.)
Tak jestli je ten routen záplatovaný, tak jsi v klidu, jestli ... ne, tak do něj nahrej openwrt, to je komunitně záplatované, teda pokud je router v seznamu podporovaných. Spíš jsou nebezbečné jednoduché hesla. Vypni přístup z venku na WAN, zakaž ping .
Zdravím, prosím jak zjistit na facebooku tel.nebo skutečného majitele.pod fotkou generála petera pravého se vydává nějaký Thom Raymond a láká z žen peníze i na mě to zkusil,
Takovejch je 😀Obraťte se na podporu Facebooku. V případě podezření ze spáchání trestného činu pak podejte trestní oznámení na služebně PČR nebo nejbližší pobočce Státního zastupitelství. Lze i anonymně.
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.