Безопасность - роутер

[DustyNomad]

[...]
по настройкам и прошивке роутера творчество тут не к чему. у каждого роутера свои настройки и прошиваться может по разному. всё легко гуглится на нужную вам модель.

Не всегда легко. Буквально недавно шил Асус р-12НТ - так там где-то 5 модификаций и выяснить какая у тебя ни разу с этим не сталкиваясь весьма нетривиальная задача. Выглядят они все одинаково. Где маркировка - угадай. Проши ессна разные.

Но Вы правы плавая в мире крипты нужна хотя бы базовая грамотность. Тут вам не "заработок в интернете не выходя из дома 100500$ в день без регистрации и смс"

[1713867170]

1713867170

[1713867170]

1713867170

[1713867170]

1713867170

[climkinp]

Что за жизнь пошла. Раньше рад был что вайфай везде появился, сейчас в кафешках и вокзалах лучше не пользоваться

[LifeChain]

Живу в общежитии, мой сосед так же как и я начал заниматься заработкам с помощью баунти, соответственно сидим мы с одного роутера но с разных ПК, не будет ли это считаться то что мы не добросовестные и пытаемся "обмануть" систему, и не забанят ли нас за это?

Поскольку ip у вас будет одинаковый, то теоретически вас могут принять за один мультиаккаунт, а как будет в реальности никому не известно. Короче все от менеджера зависит.

[Piter Kvill]

Что за жизнь пошла. Раньше рад был что вайфай везде появился, сейчас в кафешках и вокзалах лучше не пользоваться

Точно подмечено! Халявный вай фай для лохов

[DustyNomad]

Что за жизнь пошла. Раньше рад был что вайфай везде появился, сейчас в кафешках и вокзалах лучше не пользоваться

Точно подмечено! Халявный вай фай для лохов

Что мешает пользоваться халявным вайфаем с "безопасного" устройства? Такого, на котором ничего нет - например пустой смартфон?

Если разговор о безопасности - ничего такого тут нет. Лично у меня кнопочная нокия для банковскихопераций, пустой айфон для интернета и фоточек и старенький андроид для всего остального.

[GhostWithin]

I. Начнем с того, что роутеры предоставляемые провайдерами в большинстве случаев (я склонен сказать все 100%) китайские поделки с фирменной прошивкой провайдера. В некоторых Вам доступны далеко не все настройки. к тому же, как правило это старые посредственные железяки. Не пожалейте 1500-2000 рублей на роутер. Для домашнего использования в эту цену уложиться более, чем легко.

II. То, что топик стартер сменил получение DNS с ручного на авто НЕ значит, что ТС сменил DNS. В автоматическом режиме ему тупо могли выдать тот же самый адрес. (Команда ipconfig /all выдаст информацию о текущих настройках). Ничего криминального в ручном DNS нет. Но я сторонник использовать более надежные (условно), к примеру от Google.

III. Нужно понимать, что ломать именно Ваш роутер с целью украсть у Вас что-то будут только по наводке, либо школьник-сосед из спортивного интереса. Ваш роутер находится еще за кучей железок провайдера, которые тоже нужно обойти. Муторное это дело, да и выгода сомнительна. (Но это не значит, что можно забыть на безопасность).

От себя добавлю:

1. не заказывайте внешний (статический, белый) IP адрес

2. если у Вас статический внешний IP обязательно отключите PING на WAN интерфейсе (если есть возможность, можно настроить роутер, чтобы он не уменьшал TTL, тогда при трассировке роутер не будет виден в списке узлов, мелочь, но может помочь)

3. общие правила такие: разрешено все, что разрешено, остальное запрещено, а именно:
          а. закройте все неиспользуемые порты на роутере, оставьте открытыми только то, чем пользуетесь. К примеру, если только серфите по интернету, то оставьте 80, 8080 и 443 порты. Какой порт за что отвечает легко найти в Интернете.
          б. закройте все неиспользуемые порты в брандмауэре / антивирусе (Вы верно поняли, это вторая Ваша линия обороны и она должна быть грамотно настроена)
          в. запретите доступ по локальной сети для всех устройств, разрешите только для Ваших (телевизор, ноутбук, холодильник)

4. отключите общий доступ без парольной защиты

5. скройте имя (SSID) беспроводной сети и используйте сложный и уникальный для Вас пароль

Эти мероприятия существенно усилят Вашу защиту. Для домашнего пользователя они даже избыточны.

Я понимаю, что всего в этой жизни знать нельзя, поэтому у некоторых людей знания в этой области могут быть ограничены. Для таких людей окажу безвозмездную посильную консультативную помощь в этом топике. Задавайте вопросы  

[fruit]

Могу порекомендовать ознакомится:

ONU management and control interface (OMCI)
specification

TR-069 (сокращение от Technical Report 069) — техническая спецификация, описывающая протокол управления абонентским оборудованием через глобальную сеть — CWMP (CPE WAN Management Protocol).

[LifeChain]

III. Нужно понимать, что ломать именно Ваш роутер с целью украсть у Вас что-то будут только по наводке, либо школьник-сосед из спортивного интереса. Ваш роутер находится еще за кучей железок провайдера, которые тоже нужно обойти. Муторное это дело, да и выгода сомнительна. (Но это не значит, что можно забыть на безопасность).

Сейчас ломают все что ломается, хотя бы с целью сделать частью ботнета для ddos атак. Поэтому не стоит успокаивать себя мыслью, что я никому не интересен, кроме соседа оболтуса. К тому же сейчас часто провайдеры выдают белый ip, а значит обходить железки провайдера не требуется.

[DustyNomad]

Я понимаю, что всего в этой жизни знать нельзя, поэтому у некоторых людей знания в этой области могут быть ограничены. Для таких людей окажу безвозмездную посильную консультативную помощь в этом топике. Задавайте вопросы  

Вот какой вопрос, может он и нубский. Так получилось что у меня структура примерно такая:
- кабель провайдера -
роутер №1 общеквартирный -
- патчкорд -
роутер №2 в режиме "повторителя" (вроде так называется т.е. роутер №2 локально, как клиент, подцеплен к роутеру №1) -
- патчкорд -
моя машина

В таком случае роутер №2 будет чем-то вроде дополнительного препятствия?

[dudka]

Жесть.  Работать с криптой - быть параноиком. Спать то как??

[MrHertz]

Я бы ещё советовал отключать WPS, ибо через него роутер брутится часов за пять.

[ilya_a]

Основано на реальной истории.

Для тех, кому лень много читать сразу напишу, что в основном необходимо следить за двумя вещами в роутере, через который подключаетесь к Интернету:

• в настройке DNS не должно стоять левой херни;
• должно быть обеспечено, чтобы никто не мог прописать херню в настройке DNS.

Если вы прощёлкаете этот момент, то в лучшем случае посторонние хакеры будут знать, по каким сайтам ходите. В худшем вас отправят на фишинговый сайт со всеми вытекающими последствиями.

Теперь моя история.

Недавно сменил место жительства и на новом месте подключал Интернет. На старом был АДСЛ, на новом оптика 100 Мб/с. Поэтому своего роутера не было для нового места. Старый роутер имел заводские настройки по умолчанию защищёные, т. е. подключиться к нему после первого включения можно было только по LAN-порту.

Итак пришёл ко мне специалист от провайдера, с роутером (в кредит). Начал подключать и не краснея при мне меняет настройку DNS с auto на manual. Ну я немного удивился. Дальше я ещё сильнее удивился, когда он не краснея при мне прописал адрес сервера DNS 150.254.124.26. Просто я как бы ни разу такой айпишник в своём городе не видел. Странные какие-то у провайдера настройки, подумал я. Немного освобожусь - почитаю инструкцию, надо будет разобраться. А пока пусть всё так останется, ничего не буду трогать, он же с заводскими настройками - значит защищённый.

Дальше, в течение занятий в Интернете криптовалютными делами заметил несколько странностей, в первые дни при мне в разгар деятельности "сам" перегрузился роутер. Подумал (ну и мудак я!), что он не выдержал моего напора серфингового. Через 2 недели по непонятной причине пару раз сбросилась сессия на бирже, что обычно происходило, когда я на неё с другого компьютера заходил. (До сих  вспоминаю, что к счастью незадолго до этого всё вывел с неё на локальный кошелёк). Ну я зашёл в роутер, вроде всё нормально, на всякий случай поставил пароль на админа.

Ещё через 2 недели, т. е. через месяц после подключения, за меня плотно взялись. Все биржи либо не прогружались, либо стали выдавать сообщения типа "сайт выдаёт за того, кем не является" и т. п. При подключении через VPN всё было ОК и я сразу понял, что лоханулся, не начав разобираться сразу с роутером. После смены DNS с мануал на авто всё заработало. Бросил все дела и занялся настройками.

В процессе разбора выяснилось, что всё грустно. Мало того, что ко мне пришёл левый мутный тянутель проводов, но и роутер представлял из себя одну сплошную грязную дырищу:

• заводские настройки таковы, что любой без пароля может подключиться по LAN, Wi-Fi и WAN и менять настройки как угодно (при сохранении потребуется перезагрузка роутера - см. я выше написал, как он при мне "сам" перегружался)
• краткая инструкция на листочке из коробки ничего про дырень не предупреждала
• встроенный в роутере хелп на английском к каждой настройке полезен, но про дырку тоже ничего

Вобщем пришлось разбираться путём "научного тыка", экпериментально и установил всю дырявость изделия и абсурдность заводских настроек. Так что имейте в виду, что такое тоже бывает и не расслабляйтесь.

Что в таком случае делать - решайте сами. Напишу, что сделал я, без претензии на идеал, в хронологическом порядке, с частыми сохранениями-перезагрузками роутера (так через жопу он сохраняет):

• отключение кабеля WAN
• сброс настроек на заводские и сразу же запароливание админа и юзера со сменой имён на другие
• отключить Wi-Fi
• настройка подключения Интернету, подключение кабеля WAN, скачивание последней версии прошивки, отключение кабеля WAN (!), обновление firmware. Кстати, обновление прошивки не сбрасывает настройки на заводские, что не есть правильно на мой взгляд.
• сброс настроек на заводские, сразу запаролить админа и юзера, для надёжности со сменой имён
• запаролить Wi-Fi
• настроить Интернет
• подключить кабель WAN
• с роутером всё, теперь идти менять пароли на сайтах

И на будущее если буду когда-нибудь где-нибудь подключать Интернет, то специалист по подключению придёт, подключит провода, проверит, что всё работает и удалится вместе со своим роутером. Для дома роутер будет куплен в магазине.

Спасибо за внимание, берегите себя от уродов.

Первым делом, купив или получив новый роутер я его сразу же перепрошиваю.

[l_w]

Я бы ещё советовал отключать WPS, ибо через него роутер брутится часов за пять.

А вот это стоит сделать в первую очередь.

[DarkNightRider]

Да уж ... очень странная история. Тема безопасности работы в инете всегда актуальна на всех этапах подключения от устройства на стороне пользователя , до конечного ресурса.Данная история с техническими рекомендациями окажется кому-то полезной.
Кстати , автор темы не пробовал звонить провайдеру для выяснения ? ведь , возможно , виноват не сам провайдер , а всего лишь один из их сотрудников занимается "темными делишками" ? Заявка на подключение была дана конкретному провайдеру и , думаю , они должны знать кого отправили " на дело " , не мог же прийти какой-то бомж с улицы.

Я об этом думал, но решил не делать по причине того, что месяц прошёл. Если ещё раз с этим столкнусь, то сразу же по горячим следам пойдёт сигнал от меня в организацию в службу безопасности и заодно в полицию в отдел по борьбе с преступлениями в Интернете (такой есть у них).

Ох и доставил этот мальчик по протягиванию проводов мне проблем. Фишинговые кастомные письма категории "спецзаказ" только дня четыре как слать перестали. И пароли менять умаялся.

[fruit]

Основано на реальной истории.

в первые дни при мне в разгар деятельности "сам" перегрузился роутер.

Роутер пробовали через бесперебойник подключать? (Свет моргнул - глазу не заметно).

[DustyNomad]

Основано на реальной истории.

в первые дни при мне в разгар деятельности "сам" перегрузился роутер.

Роутер пробовали через бесперебойник подключать? (Свет моргнул - глазу не заметно).

Он потом нашел причину. Она была в том что третьи лица вносили изменения в настройки и применяли их (они только после ребута вступали в силу)


DarkNightRider а я что-то пропустил - в результате какие-то потери были, кроме времени на расчистку этой Авгиевой конюшни?

[DarkNightRider]

Основано на реальной истории.

в первые дни при мне в разгар деятельности "сам" перегрузился роутер.

Роутер пробовали через бесперебойник подключать? (Свет моргнул - глазу не заметно).

Он потом нашел причину. Она была в том что третьи лица вносили изменения в настройки и применяли их (они только после ребута вступали в силу)


DarkNightRider а я что-то пропустил - в результате какие-то потери были, кроме времени на расчистку этой Авгиевой конюшни?

Ушла налево информация о том, по каким сайтам я хожу, а также названия расшаренных папок LAN. Возможно был доступ по Wi-Fi к содержимому расшареных папок LAN, на тот момент в них ничего ценного не было, кроме личных фотографий в стиле ню шутка.

[DustyNomad]

Ушла налево информация о том, по каким сайтам я хожу, а также названия расшаренных папок LAN. Возможно был доступ по Wi-Fi к содержимому расшареных папок LAN, на тот момент в них ничего ценного не было, кроме личных фотографий в стиле ню шутка.

Ну относительно малой кровью. Потери только во времени.

Наверняка немало есть работников по такой схеме. Насколько мне известно, в Москве реально много кто просто "да я %имя_провайдера% купил - мне роутер поставили - все ок". Еще раз спасибо что поделились.

[DarkNightRider]

Ушла налево информация о том, по каким сайтам я хожу, а также названия расшаренных папок LAN. Возможно был доступ по Wi-Fi к содержимому расшареных папок LAN, на тот момент в них ничего ценного не было, кроме личных фотографий в стиле ню шутка.

Ну относительно малой кровью. Потери только во времени.

Наверняка немало есть работников по такой схеме. Насколько мне известно, в Москве реально много кто просто "да я %имя_провайдера% купил - мне роутер поставили - все ок". Еще раз спасибо что поделились.

Благодаря дополнительным рубежам защиты, встроенным в современные браузеры и лицензионную Windows 10. Будь я на ХР - уделали бы по максимуму. Ну и конечно же это были не профессионалы. Так, техники по протягиванию пыльных проводов, гадящие людям при случае.

[DustyNomad]

Благодаря дополнительным рубежам защиты, встроенным в современные браузеры и лицензионную Windows 10. Будь я на ХР - уделали бы по максимуму. Ну и конечно же это были не профессионалы. Так, техники по протягиванию пыльных проводов, гадящие людям при случае.

В десятой винде какой-то новый брандмауэр? Вроде после восьмерки никаких изменений не было?

Вот про браузер еще - Вы используете какие-то дополнительные расширения, надо полагать? Какие именно?

А про роутер - решил я и SSID скрыть - от греха, так сказать.