Безопасность - роутер

[kreims]

Если на то уже и пошло то лучше использовать например роутер микротик с выведением рабочей машины в отдельный влан и жесткой привязкой к внешнему днс - как вариант гугла. Дополнительно настроить доступ в файрволе только к рабочим сайтам,все остальные запретить.

[1715559109]

1715559109

[1715559109]

1715559109

[DustyNomad]

Офигеть! Реалии из сериала Мистер Робот всё ближе и ближе.
Про роутер, купленный в магазине, я усёк. Буду иметь ввиду.

Вопрос: что безопаснее, выходить в интернет через волокно, или через 4G-модем?

А какая в сущности разница как пользователи подключены к мощностям провайдера? Пока вроде о перехвате траффика по радио ничего не известно.

Или Вы что-то иное имели в виду? Обрисуйте схему, может я Вас неправильно понял.

По поводу перехвата по радио, в общественных сетях (WI-FI) перехватывается на ура,если у кого то на ПК в вашей подсети будет скан бот хакеру перехватить ваш трафик не составит труда, а там до паролей недалеко.

Описанный Вами сценарий вполне возможен, однако речь же шла о перехвате несколько иного радио, нежели Wi-Fi. Речь же шла о 4G модеме. Да, ясно что и модем и вайфай адаптер имеют радио антенны, которые работают на своих частотах. В случае описанном Вами перехват осуществляется на высоком уровне, а не на низком, как я имел в виду. А про такие я не слыхивал, хотя наверняка технически это возможно.

Если на то уже и пошло то лучше использовать например роутер микротик с выведением рабочей машины в отдельный влан и жесткой привязкой к внешнему днс - как вариант гугла. Дополнительно настроить доступ в файрволе только к рабочим сайтам,все остальные запретить.

Для рабочей машины неплохой вариант, при условии что она никуда не перемещается.

[kreims]

Офигеть! Реалии из сериала Мистер Робот всё ближе и ближе.
Про роутер, купленный в магазине, я усёк. Буду иметь ввиду.

Вопрос: что безопаснее, выходить в интернет через волокно, или через 4G-модем?

А какая в сущности разница как пользователи подключены к мощностям провайдера? Пока вроде о перехвате траффика по радио ничего не известно.

Или Вы что-то иное имели в виду? Обрисуйте схему, может я Вас неправильно понял.

По поводу перехвата по радио, в общественных сетях (WI-FI) перехватывается на ура,если у кого то на ПК в вашей подсети будет скан бот хакеру перехватить ваш трафик не составит труда, а там до паролей недалеко.

Описанный Вами сценарий вполне возможен, однако речь же шла о перехвате несколько иного радио, нежели Wi-Fi. Речь же шла о 4G модеме. Да, ясно что и модем и вайфай адаптер имеют радио антенны, которые работают на своих частотах. В случае описанном Вами перехват осуществляется на высоком уровне, а не на низком, как я имел в виду. А про такие я не слыхивал, хотя наверняка технически это возможно.

Если на то уже и пошло то лучше использовать например роутер микротик с выведением рабочей машины в отдельный влан и жесткой привязкой к внешнему днс - как вариант гугла. Дополнительно настроить доступ в файрволе только к рабочим сайтам,все остальные запретить.

Для рабочей машины неплохой вариант, при условии что она никуда не перемещается.

Даже если она перемещается - можно реализовать впн конкретно к этому роутеру, вне зависимости от вашего местоположения автоматически будет подниматся туннель при наличии инета

[lena1]

можно все данные хранить на дедике,удаленном пк.

[kreims]

можно все данные хранить на дедике,удаленном пк.

Правильнее будет на выделенном домашнем ПК - т.к в облаке потерять все вероятность выше (мое личное мнение)

[kreims]

Добавлю еще - обратите внимание доступ к вашему роутеру может быть открыт извне на нестандартном порту:1080,8080,9090,1090.
В роутере вкладка называется Remote Management или Удаленное Управление. Также доступ к вашему ПК можно получить по протоколу RDP (по умолчанию удаленный помощник) - обратите внимание в настройках роутера нигде не должен быть указан порт 3389. Также во избежании полной открытости вашего ПК во внешнюю сеть проверьте настройку DMZ, она должна быть выключена.
Если есть возможность изменения стандартного имени admin то лучше измените это снизит возможность перебора пароля к вашему роутеру.
UPD:
Владельцам роутеров TP-LINK и D-Link (не всех моделей но в большинстве) есть уязвимость, при помощи обыкновенного html запроса можно увидеть пароль на WI-Fi - не используйте один и тот же пароль для доступа к беспроводной сети и для входа в настройки роутера,защитится можно используя шифрование WPA2.
(пример скрипта для d-link http://*.*.*.*/bsc_wlan.php?NO_NEED_AUTH=1&AUTH_GROUP=0         где *ип адресс вашего роутера )

[kreims]

Еще один вариант защиты,можно рассмотреть как предложение - чтоб пользователь видел свой IP в профиле(но не видели другие участники форума) ,если он неожиданно изменится пользователю будет понятно что что-то не так.
Опять же - сделать возможность привязки аккаунта к опр. IP

[esmanthra]

чтоб пользователь видел свой IP в профиле

IP можно подменить (хотя для многих взломщиков это уже что-то за гранью фантастики, конечно).
Впрочем, "не панацея" - не значит "плохая идея". На многих сервисах (включая почтовые) сейчас ведут логи сессий, позволяющие видеть IP и устройства, с которых заходят на аккаунт. Google тот же крик поднимает с рассылкой писем на вспомогательные адреса, если вдруг IP не тот, а Facebook может и вовсе заблокировать учетку. Но с такими предложениями лучше обращаться напрямую к англоязычной администрации.

[kreims]

чтоб пользователь видел свой IP в профиле

IP можно подменить (хотя для многих взломщиков это уже что-то за гранью фантастики, конечно).
Впрочем, "не панацея" - не значит "плохая идея". На многих сервисах (включая почтовые) сейчас ведут логи сессий, позволяющие видеть IP и устройства, с которых заходят на аккаунт. Google тот же крик поднимает с рассылкой писем на вспомогательные адреса, если вдруг IP не тот, а Facebook может и вовсе заблокировать учетку. Но с такими предложениями лучше обращаться напрямую к англоязычной администрации.

Сомневаюсь что меня там услышат - если есть  возможность,подкиньте идею - я не против.

[kreims]

Если кому то будет интересно:
Опробован еще один вариант обезопасить себя.
Создаем виртуальную машину в Hyper-V  => Устанавливаем в нее ОС, программы (антивирус необязателен), браузер для работы и т.д.
После того как ваша виртуальная машина заработает на файле .vhd устанавливаем запрет на изменение и устанавливаем только чтение.
После всех манипуляций получаем рабочую машину в которой нельзя что либо изменить - она не запоминает кэши браузеров, нельзя подменить dns, невозможно встроить какое либо ПО т.к его попросту невозможно будет записать.
Т.е после каждого включения или перезапуска машины получаем первозданный вид как но момент её создания.

[mirina]

Никогда не думала, что роутер может создать проблемы. Теперь задумалась, так ли необходим мне роутер, ведь сама я вряд ли разберусь в его настройках, А безопасность необходима.

[l_w]

чтоб пользователь видел свой IP в профиле

IP можно подменить (хотя для многих взломщиков это уже что-то за гранью фантастики, конечно).
Впрочем, "не панацея" - не значит "плохая идея". На многих сервисах (включая почтовые) сейчас ведут логи сессий, позволяющие видеть IP и устройства, с которых заходят на аккаунт. Google тот же крик поднимает с рассылкой писем на вспомогательные адреса, если вдруг IP не тот, а Facebook может и вовсе заблокировать учетку. Но с такими предложениями лучше обращаться напрямую к англоязычной администрации.

Для этих целей обычно используются SOCKS целевого региона и ОС на виртуалке c настройками целевой системы.
Ничего фантастического.

[irontrader]

Никогда не думала, что роутер может создать проблемы. Теперь задумалась, так ли необходим мне роутер, ведь сама я вряд ли разберусь в его настройках, А безопасность необходима.

Про настройки можно спросить на тематических форумах. Основное озвучено в первом посте темы (защита настроек устройства от посторонних с помощью надёжного пароля администратора и прописанные правильные адреса DNS).

Можно добавить про вайфай, что название сети не должно быть распространённым и пароль на сеть чем длиннее, тем лучше (от 25 знаков). Защита сети WPA2-PSK. И не включать WPS. Вот и всё.

[WhiteCollarWorker]

чтоб пользователь видел свой IP в профиле

IP можно подменить (хотя для многих взломщиков это уже что-то за гранью фантастики, конечно).
Впрочем, "не панацея" - не значит "плохая идея". На многих сервисах (включая почтовые) сейчас ведут логи сессий, позволяющие видеть IP и устройства, с которых заходят на аккаунт. Google тот же крик поднимает с рассылкой писем на вспомогательные адреса, если вдруг IP не тот, а Facebook может и вовсе заблокировать учетку. Но с такими предложениями лучше обращаться напрямую к англоязычной администрации.

Для этих целей обычно используются SOCKS целевого региона и ОС на виртуалке c настройками целевой системы.
Ничего фантастического.

Кстати, за ОС на виртуалке и ходить далеко не надо, тут многие их на компах используют. И если вогнать трояна туда, то нужно только подождать, когда её запустят.

А вот если безрезультатно в итоге вся эта возня - то должно быть обидно

[esmanthra]

Ничего фантастического

Ключевые слова в той фразе - "для многих взломщиков". В том смысле, что многие взломщики сейчас таковы, что для них это за гранью фантастики.

[kreims]

чтоб пользователь видел свой IP в профиле

IP можно подменить (хотя для многих взломщиков это уже что-то за гранью фантастики, конечно).
Впрочем, "не панацея" - не значит "плохая идея". На многих сервисах (включая почтовые) сейчас ведут логи сессий, позволяющие видеть IP и устройства, с которых заходят на аккаунт. Google тот же крик поднимает с рассылкой писем на вспомогательные адреса, если вдруг IP не тот, а Facebook может и вовсе заблокировать учетку. Но с такими предложениями лучше обращаться напрямую к англоязычной администрации.

Для этих целей обычно используются SOCKS целевого региона и ОС на виртуалке c настройками целевой системы.
Ничего фантастического.

Кстати, за ОС на виртуалке и ходить далеко не надо, тут многие их на компах используют. И если вогнать трояна туда, то нужно только подождать, когда её запустят.

А вот если безрезультатно в итоге вся эта возня - то должно быть обидно

Я чуть выше писал про виртуалку с защитой от записи - вряд ли получится туда что либо вогнать, максимум что получится у трояна это посидеть в памяти, после перезапуска сотрется сам.

[kreims]

Добавлю.
В большинстве роутеров возможность его перенастроить можно привязать к маку основного ПК, т.е ПК или ус-во с отличающимся мак адресом просто не сможет даже увидеть вэб интерфейс.
Настойка находится во вкладке безопасность - локальное управление, по умолчанию установлено для всех устройств в локальной сети.Перенастройте с указанием мак адреса вашего ПК.
Так же некоторые роутеры можно настроить при помощи Telnet - отключите данную настройку в настройках базовой защиты.

[l_w]

Ничего фантастического

Ключевые слова в той фразе - "для многих взломщиков". В том смысле, что многие взломщики сейчас таковы, что для них это за гранью фантастики.

Подобных деятели не взломщики - это дети, скачавшие базу емэйлов с какой - нибудь мутной раздачи. Если целенаправленно будут ломать именно вас, то на последних, не самых сложных этапах(соксы, виртуалка) очень маловероятно, что взломщик допустит ошибку.

[esmanthra]

Подобных деятели не взломщики - это дети, скачавшие базу емэйлов с какой - нибудь мутной раздачи. Если целенаправленно будут ломать именно вас, то на последних, не самых сложных этапах(соксы, виртуалка) очень маловероятно, что взломщик допустит ошибку

Спасибо, Капитан. Речь как раз о детях и идет: начитался соответствующих публичных ресурсов, поставил Kali, поймал новость о новом эксплойте из какого-нибудь эксплойтосборника - и побежал проверять. Такие часто даже не имеют цели что-то украсть - так, поиграться и потроллить. И до того, как они начнут ломать целенаправленно и грамотно заметать следы, может пройти немало времени (вполне возможно, что им это надоест гораздо раньше - или их поймают и отобъют всякую охоту).

[l_w]

Добавлю.
В большинстве роутеров возможность его перенастроить можно привязать к маку основного ПК, т.е ПК или ус-во с отличающимся мак адресом просто не сможет даже увидеть вэб интерфейс.
Настойка находится во вкладке безопасность - локальное управление, по умолчанию установлено для всех устройств в локальной сети.Перенастройте с указанием мак адреса вашего ПК.
Так же некоторые роутеры можно настроить при помощи Telnet - отключите данную настройку в настройках базовой защиты.

По большей части спасет от детей играющихся с кали(упомянуты выше) что само по себе уже не плохо, но не спасет от некоторых вариаций ARP-spoofing'a. Как панацею рассматривать не стоит.

Подобных деятели не взломщики - это дети, скачавшие базу емэйлов с какой - нибудь мутной раздачи. Если целенаправленно будут ломать именно вас, то на последних, не самых сложных этапах(соксы, виртуалка) очень маловероятно, что взломщик допустит ошибку

Спасибо, Капитан. Речь как раз о детях и идет: начитался соответствующих публичных ресурсов, поставил Kali, поймал новость о новом эксплойте из какого-нибудь эксплойтосборника - и побежал проверять. Такие часто даже не имеют цели что-то украсть - так, поиграться и потроллить. И до того, как они начнут ломать целенаправленно и грамотно заметать следы, может пройти немало времени (вполне возможно, что им это надоест гораздо раньше - или их поймают и отобъют всякую охоту).

Не вижу особого смысла и конечной цели в подобных спорах(light version). Все же мы на форуме(я во всяком случае) не для того чтобы что - то кому - то доказать или самоутвердиться, а лишь за интересной и полезной нам в некоторых областях информацией.