Bezpieczny router wifi


(venge) #1

Witam,
posiadam router wifi TP-Link model TL-WR340G podpięty do modemu z kablówki, mam go już od lat.
Przez ten czas w ogóle nie aktualizowałem firmware. Kiedy niedawno chciałem się za to zabrać, na stronie producenta ostatnia aktualizacja firmware była w 2010 r.
W związku z pojawieniem się takich ataków jak KRACK, oraz ogólnej ekspansji malware, trochę zacząłem martwić się o swoje bezpieczeństwo w sieci. Ten zdezaktualizowany router jest moim wąskim gardłem.
Pomimo iż zablokowałem do niego zdalny dostęp, włączyłem filtrowanie po adresie mac, ustawiłem mocne hasło dostępowe, obawiam się, że to nie wystarczy w tak przestarzałym produkcie.

Czy moje obawy są uzasadnione ? Jeśli tak, za jakim routerem powinienem zacząć się rozglądać dla mojej małej sieci domowej złożonej z pc+ notebook + smartfony


Router wifi do sieci domowej - max 150zł
(Bogdan_G) #2

Nie przesadzaj. Ważne, żeby router działał. Paranoiczne zabezpieczanie spowoduje tylko utrudnienia.
Pobierają cracki, piratują i myślą, że ukryją i przez router nie wydostanie się info? Dziwne…


(venge) #3

Witam,
twoje beztroskie podejście jest co najmniej dziwne jak na kogoś z rangą “Ekspert”. Mam nadzieję, że ogranicza się tylko do “dobrych rad” w internecie. Sugerujesz, że aktualizacja oprogramowania sprzętowego nie ma sensu ? że to objaw paranoicznego zabezpieczania ? przecież nie mówię tutaj o zakupie sprzętowego firewalla tylko wymianie starego routera, którego firmware nie jest aktualizowane od 7 lat i chodzi tu o urządzenie, które jest cały czas podpięte do sieci.

Pobierają cracki, piratują i myślą, że ukryją i przez router nie wydostanie się info? Dziwne…

Nie bardzo rozumiem sens tej nieskładnej wypowiedzi. Sugerujesz, że korzystam z cracków i jestem piratem ? Tak się składa panie kolego, że korzystam z linuxa, którego środowisko dostarcza mi wszelkich potrzebnych programów za darmo.

Niestety, poza zaznaczeniem swojej obecności, twoja wypowiedź nie zdała się na nic. Dzięki za chęci ale nie tego oczekiwałem. Być może, ktoś o większej wiedzy w chwili wolnej zerknie tutaj i wniesie coś wartościowego do tematu.

Tobie zaś polecam poczytać niebezpiecznika:
https://niebezpiecznik.pl/post/dziura-w-routerach-z-firmwarem-zyxel-a-m-in-tp-link/
https://niebezpiecznik.pl/post/miliony-domowych-routerow-wi-fi-podatnych-na-atak/
https://niebezpiecznik.pl/post/masz-router-tp-linka-mozesz-miec-problem/
https://niebezpiecznik.pl/post/krack-atak-na-ktory-podatne-sa-prawie-wszystkie-urzadzenia-z-wi-fi-jak-bardzo-powinienes-sie-go-obawiac/
https://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/


(Bogdan_G) #4

Akurat mam taki router tp-link z 2010 roku, kablówka i przez osiem lat nic nie wlazło. Było hasło, zabezpieczenia domyślne.
Od sierpnia tego roku zmieniłem dostawcę na UPC i dostałem connectbox. Zabezpieczenia o niebo wyższe. Też nic nie wlazi, chociaż wydajność łącza jest nieporównywalnie większa, niż było w tp-linku, tzn wydajność kabelkiem 99%, a bezprzewodowo 75% - mam 250Mbs.

Napiszę tak - jeśli coś zapora puści, to nie ma litości, gdy zezwoli się na wredny wirus, albo nieodpowiedzialnie klika. A są wirusy nie tylko infekujące router, ale i pliki rozruchowe, a nawet włażą do biosu.
Miałem 8 lat temu, że gamejack4 (sterownik) zrobił taki spaw w biosie, że po bluescreenie był martwy napęd, martwe usb i wielki ból. Ale na tym systemie, na tym samym komputerze piszę teraz.

Czy Twoje obawy są uzasadnione? Tak. Trzeba się pilnować.
Dla bezpieczeństwa należy wyłączać porty udostępniania sieciowego.

Co do kracków - to rozbawiło mnie. Ta technika rzadko jest dopracowana, gdyż niedorobiony crack może wyrządzić ogromne szkody w systemie. W tym temacie jest kontrowersja, gdyż cracki są światowym obiektem nagonki wszystkich producentów płatnego oprogramowania. Microsoft i inni oznaczają cracki jako trojany. Tępią to na każdym kroku. Więcej jest polityki korporacji w tych strasznych podatnościach na infekcje routerów, czy systemów - niż prawdy o zagrożeniach. A to, że słabe były zabezpieczenia routerów, to też trzeba mocniejszych haseł.

Na Windowsie, to znam programy mogące zabezpieczyć się przed włażenie zagrożeń do rejestru, omijającego zaporę, mogącego namieszać w routerze itp.
Na Linuxa nie znam bata, Miałem minta, ale krótko.


(LoliconSuspect) #5

Zmiana routera nie załatwi sprawy jeżeli urządzenia klienckie nie dostały aktualizacji.
https://www.krackattacks.com/#patch-client-and-ap
Rozpoznaj czy na tym routerze można wgrać jakiś alternatywny firmware typu tomato, dd-wrt itd gdzie są patche do KRACK.
Ogólnie jesteś na dobrej drodze bo sprawiasz wrażenie wystarczająco obeznanego.
Dodatkowo należy pamiętać, że spora cześć ruchu już wewnątrz sieci też jest szyfrowana (HTTPS, protokoły pocztowe przy odpowiedniej konfiguracji, smb w odpowiedniej wersji, itd.).
Ogólnie wypadałoby zadbać o router i urządzenia klienckie, ale nie dramatyzowałbym. Masz dość bezpieczną sieć.


(roobal) #6

Mnie też dziwi postawa @Bogdan_G. To jest zwykła ignorancja. Z każdym dniem jest coraz wiecej ataków, o których nikt nie zdaje sobie sprawy. Na routerach widzę w logach codziennie 100 prób ataków i prób dostępu do routerów brzegowych, a moja fail2ban lista potrafi pomieścić 4000 adresów IP na tydzień.

Sam jakiś czas temu zgłosiłem do znanego producenta central VoIP poważny bug, który umożliwia włamanie się na centralę bez podawania hasła administratora. Aktualizacja pojawiła się w ciągu tygodnia jako mocno zalecana. Bug w panelu http, który umożliwiał przejęcie panelu administracyjnego bez podawania loginu i hasła.

Ja standardowo polecę produkt firmy Mikrotik z dwóch powodów. 1. Sprzęt ma bardzo duże możliwości (system działa na Linuksie); 2. Jest na bieżąco aktualizowany. Praktycznie co miesiąc pojawiają się aktualizacje. Po ujawnieniu podatności WPA na krack, latki pojawiły się 2 dni później.

Ten TP Link to staroć straszny, już dawno powinien zostać zutylizowany. Nie spodziewaj się od routera za 50 zł, że producent będzie go kiedykolwiek aktualizował.


(roobal) #7

Nie do końca jest tak pięknie jak opisujesz. Urządzenia brzegowe od isp mają podatności i nic z tym nie zrobisz. Jednak router warto wymienić.

Z smb też nie jest tak kolorowo. Mozna wymusić smb3, ale 99% urządzeń wielofunkcyjnych potrafi obsłużyć tylko smb1. W domu to niekoniecznie musi być problem, ale w furmach już tak, bo ciężko wymusić na serwerze plików smb3 czy nawet smb2, właśnie ze względu na skanery, które skany wysyłają na serwer.


(venge) #8

cześć, dzięki za odpowiedź.
napisałem nowy temat w stosownym dziale: Router wifi do sieci domowej - max 150zł