Zabezpečení domácí sítě

Mezi LAN a WAN patří jen to, co ti poskytne ISP. Podle toho tam můžeš mít svůj router, ale stále to nemá smysl až tak řešit. Máš veřejnou IP? Tak si zvol silné heslo do routeru i do dalších zařízení za ním (třeba do NASu) a můžeš klidně spát. Věr že hackerům jsou joudové jako ty a já úplně u pééérdele. Zbytečná paranoia.

Díky Hackerům jsou možná joudové jako já úplně ukradený, ale poslední firmware na můj router je z roku 2015, nemá konfigurovatelný, možná žádný firewall a nemám zájem se stát součastí botnetu, případně aby si děcko od sousedů projíždělo obsah mého NAS..

Firewall ma. Prinejmensim SPI, bez ktereho zadny domaci router nesezenete. A ten docela staci pro bezny provoz.Soucasti botnetu se stanete i s firewallem (co byste tam chtel jako nastavit na tom domacim routeru?) a pokud mate zapnute SPI a zadnou vlastni diru, vas NAS je z tohoto pohledu v bezpeci.Samozrejme muzete si poridit hw firewall s behavioralni analyzou a heuristikou, ale vetsina lidi si za ty penize koupi radeji vilu nebo tak.

Díky za odpověď. SPI není uveden v specifikaci. Proto mé pochyby.Botnet nemyslím ve spojitosti s firewallem, ale výrobcem neudržovaným firmware.

Netis nahram malym levnym mikrotikem a budes spokojen. aktualizace se vydava temer kazdy mesic. Jednou nastavis a mas klid. naprhttps://www.czc.cz/mikrotik-routerboard-rb95...

Díky moc za konkrétní tip Z důvodu provozu na LAN potřebuji GLAN, nakonec Netis kompletně nahradím tímto: https://www.alza.cz/mikrotik-rbd52g-5hacd2hnd...

Co teče od providera k tobě ti může být jedno, protože i když nemáš firewall, tak všechna spojení z venku, pro které nemáš nastavený port forward, stejně skončí na NATu.Máš veřejnou IP-adresu? Pokud ne, tak jsi za vodou úplně, protože tě chrání už první NAT u providera a k tobě se dostane nanejvýš komunikace od pár zákazníků stejného poskytovatele.

Ano o ty zákazníky mi jde především a o router s posledním vydaným firmwarem z roku 2015, pravděpodobně plným chyb..

Pravděpodobně proč?

Protože bezpečný software neexistuje a pokud výrobce kašle na údržbu, nikdo to nezazáplatuje?

Třeba od té doby nebyla zjištěna žádná zásadní zranitelnost, ne?

Kolik lidí zkoumá zranitelnosti na několik let starém routeru za tisícovku?

Ten prvni odstavec je lez, velmi nebezpecna lez.NATem, respektive maskaradou, takova spojeni samozrejme projdou. Od toho je tu SPI, aby neprosly. Googlete, studujte, zkousejte. Ale nelzete, respektive nemelte srajdy o vecech, kterym nerozumite.

Projdou kam? Na kterou IP-adresu jsou NATem přeloženy?

Koukám odpovědi se nedočkám. Když NAT neví, kam má paket poslat (není součástí již navázaného spojení nebo je to pokus o vavázání spojení na neznámém portu, pro který není zřízen port forward...), tak ho zahodí. Jestli chceš trvat na slovíčkaření, že porovnání flagů datagramu s NAT tabulkou je SPI, ano, jistě, ale je to součást toho NATU, který neznámé pakety nepřeloží, ale zahodí.(Neplést s SPI-firewallem což je doplňková ochrana, která na routerech bývá, ale je ji možno vypnout bez toho, aby NAT přestal fungovat.)

Jeden z možných vektorů útoku, který SPI zastaví, a skrz NAT se to dostane:Na WAN rozhraní dorazí paket s next-hop adresou WAN rozhraní a destination adresou z vnitřní sítě. Router jej vezme a doručí. Skrz SPI to neprojde, protože takové spojení nebylo iniciováno zevnitř.

-router Mikrotik-ten Netis konfigurovatelný firewall má

Ok, pouze velmi základní. Hledám komplexnější řešení.Firewall Filtering: Domain/URL blocking, IP Address filtering, MAC Address filtering

Ty sis evidentně někde něco přečetl, sice vůbec nechápeš, co to znamená, ale musíš to mít :D Hele, pokud máš NAT, tak jsi od sítě poskytovatele oddělený a žádný soused ti tam fakt nevleze.

Paranoia se dá léčit...

Díky, díky.. až budu mít pocit, že mám paranoidní stavy obrátím se jinam, než na živě.. Prozatím mi jde o nějaké rozumné zabezpečení domácí sítě a nespoléhání se na tři roky neaktualizovaný router..

Kolegové Ti doporučili Mikrotik: IMHO je to špičkový SoHo router za slušný peníz. Stačí zakázat defaultně povolenou administraci z WAN (= bezpečnostní chyba všech routerů).Základní doporučení ke komplexnímu zabezpečení LAN nabízí NÚKIB:https://www.govcert.cz/cs/informacni-servis/dopo... Je to ovšem pro pokročilé nebo profi ajťáky.V Tvém případě bude stačit, když budeš dodržovat základní pravidla (včetně dalších BFU v LAN):https://www.govcert.cz/cs/informacni-servis/dopo... Chybí tam jen tři důležité body (vyplývající z mnoha základních bezpečnostních chyb architektury MS Windows):1) Nikdy nepracovat v účtu s admin právy.2) Nevypínat základní bezpečnostní prvky OS.3) Nastavit DEP v BIOSu|UEFI i v OS.Btw:Nepodezírám Tě ze stihomamu jako kolegové. Jinak by ses podivoval, proč si téměř každý výrobce sw i hw staví zadní vrátka.

Milan

Ak by si rad Mikrotik, precitaj si ake su s nim poslednu dobu problemy:https://ispforum.cz/viewtopic.php

Jak pisi, pokud nepovoli SMB nema se to jak sirit. ja smb povolene mam a mel jsem, delam na nej zalohy dokumentu ze serveru. (neboj je to jen jedna ze zaloh, ktere mam na 4 mistech ruznych) a mam i verejnou a nikdy jsem s MTIKem nemel problemy. sluzby typu telnet ssh mam zakazny, admin ucet zakazan a vytvoren jiny s admin pravy. povolene jen 443 a winbox. www pres 80 zakazan.

Problémy nebudú ak si ho užívatel správne nastaví. V defaulte je dosť zraniteľný. Povedal by som, že zraniteľnejší než ten Netis.

pokud necha nastaveni z QuickSetupu zmenu uzivatele a admina zakaze. a zahesluje, pak zakaze sluzby telnet tak je to OK. Ale pokud smaze nastaveni a bude delat sam, je treba nastavit pravidla ve FW a nenechat to prazdne.

Ešte bude treba vypnúť aj roaming...https://www.root.cz/zpravicky/nova-metoda-pro...

SMB potřebuji mít povolené v rámci LAN, to je předpokládám OK?Zvenku SMB nepotřebuji :)

Díky za info. Předpokládám, že na mikrotiku SSH a telnet jdou zakázat z venku a z LAN na portu 22 nechat být. Je to tak?

anosnad je to tak nastavene i by default, co se pamatuju

Muzes si za router ISP dat vlastní router, pak si monitorujes vlastní provoz a nastavuješ si tam co chces. Ale na router ISP se nedostanes.Jestli chces pouze monitorovat LAN provoz tak to taky jde, ale vyžaduje to nejake investice do switche s managementem a s funkci port mirroring.