Vlákno názorů k článku Neřešme původ, největším nebezpečím je uživatel a jeho levné krabičky mimo bezpečnostní pravidla sítě od anonym - Neřešte původ? Ale tím se musí začít. Absolutní...
-
Neřešte původ? Ale tím se musí začít. Absolutní většina čínských značek má nějaký problém co se týče bezpečnosti či šifrování. Čím levnější šunt tím větší jistota. Čínský výrobce nakupuje a lepí do kupy velmi divné celky kterí v prvním okamžiku kdy začnou trošku fungovat tak spouští velkovýrobu a chrlí výrobky. Sw na něm běžící se už neřeší, firmware už taky ne. On totiž za měsíc soudruh v nákupu už nesežene ten puvodní čip a tak se bastlí zas nějaká jiná verze.
Mám domácí a firemní síti celkem slušnou řadu krabiček co jsem je nakoupil protože jsou levné s tím že bezpečnost si vyřeším až u mne na síti (typicky pravidlem na routeru abych je odříznul od vnějšího světa) Když to neudělám tak výsledkem je např kontinuální tok dat na čínské ip adresy. Rekordmanem je NVR server co i když na něm není jediná kamera , tak vytváří tok 7-30kbit/s na 3 čínské IP adresy. Mám tu taky GSM bránu na rozesílání smsek která při každé odeslané sms vygeneruje datový provoz na dvě čínské IP adresy. Kdybych měl čas to analyzovat víc tak bych se asi divil. Takhle jim jen zakazuju na mikrotiku jakýkoli provoz ven a dál to neřeším. Stačí mi ta základní funkcionalita co ty krabičky dělají. Samozřejmě mám v sítích asi dost děr , ale život je příliš krátký na to abych řešil bezpečnost na 100%. -
Bohužel tohle je nad rozlišovací schopnost většiny uživatelů. A "krabičky" ISP i velkých operátorů nejsou zárukou ničeho, často obsahují tuny balastu, za bezpečnější je rozhodně považovat nelze.
Bohužel řešením není ani modla Mikrotik nebo dnes populární Ubiquity, viděl jsem na nich mnoho instalací (školy, hotely) s default nastavením, ideální pro další článek do kroniky "hrůza a děs" (default loginy, přesměrované porty pro web, RDP, DNS přístupné z venku) ;-( -
Tak samozřejmě, že upustit někam MK a nezajímat se už co se na něm děje je chyba. V každém případě defaultní instalace NAT na MK s tím, že se veřejná IP dotáhne na vnější port je celkem v pohodě nastavení a jediné proti čemu to není odolné je nějaký DOS útok.
No a kdo si do sítě promapuje port třeba na nějakou čínskou kamerku místo aspoň základního VPN připojení a do toho nezmění výchozí heslo pro admina na MK, tak tomu nepomůže sebelepší router.
