Комментарии 92
А что там по поводу принудительного обновления ПО и собственно поддержки выпуска обновлений в длительной перспективе со стороны разработчика оборудования? Без этого все жесткие настройки теряют актуальность после появления первой бреши.
Гугл только к 10 версии Андроид понял необходимость жесткой политики по обновлениям безопасности для андроид.
Гугл только к 10 версии Андроид понял необходимость жесткой политики по обновлениям безопасности для андроид.
Да. Там это предусмотрено. То есть автоматическое обновление по умолчанию, но с возможностью отключения.
The router SHOULD offer an option to automatically retrieve security relevant firmware updates from a trustworthy source over the Internet (WAN interface). If the router offers this functionality it SHOULD be activated by default, but MUST be possible for the end-user to deactivate it when using customized settings.
Should — это не must, так что можно и необновляемые девайсы продавать, либо с отключенными дефолтными обновлениями, так?
Оффтопик: на тему should, must и т.д. есть отличный RFC2119 :)
Обновили ZyXEL прошивки с полной сменой логики интерфейса (группировка функций), это расстроило :(
А представьте рядового покупателя: настраивал одно (инструкцию смотрел), а потом заходит, пароль WiFi сменить...
Нужно было срочно запустить 1 удалённый офис, маленький 4 компа. Подключить к vpn ну в общем всё минимально но чтоб работало. И естественно сделать это надо было уже под ночь. Провозился до 3 ночи. Всё настроил всё работает, ушел спать. Утром подключаюсь удалённо к роутеру а там… А там эта зараза обновилась. Новый интерфейс. Минут 5 понять не мог куда я попал. Раза 10 проверил к тому ли я роутеру подрубился.
Атакующий всегда в более выгодном положении. Человек же далекий от безопасности вообще не поймет почему нужно вызывать «компьютерного слесаря» для подключения интернета к новому телевизору.
Кстати прошелся по улице у всех стоят ростелекомовские ADSL + WiFi с настройками по максимуму и паролями admin admin.
Кстати прошелся по улице у всех стоят ростелекомовские ADSL + WiFi с настройками по максимуму и паролями admin admin.
Хорошо бы еще прямой запрет производителю на создание всяческих бэкдоров. Даже во внутренних тестовых версиях ПО.
У какого производителя официально заявлено, что у них есть бэкдур?
Никто специально их палить не будет. Соответственно запрещать тоже не чего…
Никто специально их палить не будет. Соответственно запрещать тоже не чего…
Причём здесь официальность? У какого производителя авто официально заявлено, что его авто имеют токсичность выхлопа на запрещённых законом уровнях? Тем не менее, жульничают. А их дрючат, если поймают. Так и с бэкдурами — официально не заявлено ни у кого. Делается по злому умыслу или оставляется по раздолбайству. Если будет запрет и обозначены санкции за его нарушение, то после первого обнаруженного энтузистами бэкдора можно будет вкатить штраф производителю. Процентов 15 от оборота по всему брэнду будет чувствительно. Начнут код контролировать и явление исчезнет.
А кто и на каких юридических основаниях, простите, будет вводить эти санкции?
В чьей юрисдикции?
В чьей юрисдикции?
При текущем положении дел никто. Соответствующего закона нет. Возможно, однажды информационной безопасностью абонентских устройств для доступа в Интернет озаботится, например, Еврокомиссия. Тогда появится и тот, кто будет вводить.
На основании местного закона, санкции будут применяться к компании-импортёру, кто осмелится ввозить устройства с бекдорами.
Ясно, что поначалу все прекратят ввозить роутеры, цены на них взлетят до небес, появятся челноки, которые будут покупать за границей «для себя». Понемногу маржа вырастет настолько, что многие попробуют рискнуть, ввезти роутеры через фирму-однодневку, у которой небольшой капитал и оборот.
Ясно, что поначалу все прекратят ввозить роутеры, цены на них взлетят до небес, появятся челноки, которые будут покупать за границей «для себя». Понемногу маржа вырастет настолько, что многие попробуют рискнуть, ввезти роутеры через фирму-однодневку, у которой небольшой капитал и оборот.
Именно так. А потом Небо упадёт на Землю, и всё… Впрочем, возможен (чисто теоретически) и другой вариант. Дадут льготный период. За этот льготный период пара наиболее ответственных производителей обеспечит безопасное ПО для своих изделий. Им достанутся контракты от крупных провайдеров интернета. И розница. Потом другие подтянутся. Кто не подтянется — ССЗБ.
Назвали рекомендации требованиями и статья приобрела иной смысл.
Но речь не о том. Любой смартфон может быть использован как роутер. Это первое.
А второе это то, что поставщики услуг интернета дают в аренду оборудование и часто оставляют за собой возможность удаленного управления им. В некоторых странах это обязательное условие сертификации оборудования. :)
Но речь не о том. Любой смартфон может быть использован как роутер. Это первое.
А второе это то, что поставщики услуг интернета дают в аренду оборудование и часто оставляют за собой возможность удаленного управления им. В некоторых странах это обязательное условие сертификации оборудования. :)
В удалённом управлении нет большой беды, при условии, что ограничены IP, с которых поставщик может подключаться, и подключение требует использования ключей или достаточно длинных и уникальных паролей (а не один пароль для всех клиентов). Не совсем понятно, как защититься от прослушивания трафика или MitM внутри сети поставщика (с целью перехвата этих паролей), потому что у роутеров обычно нет достоверного сертификата https — но даже в таком виде это остановит массовые взломы роутеров по всему миру.
смартфоны защищены довольно хорошо
НЛО прилетело и опубликовало эту надпись здесь
По сравнению с домашними роутерами и прочими чайниками смартфоны защищены великолепно.
Средний роутер — это admin:admin.
Средний телефон — это android с кучей фич изоляции, разграничения и прочего.
НЛО прилетело и опубликовало эту надпись здесь
95% не настолько тупы, чтобы не мочь настроить роутер
Я так не считаю, получив доступ к 100к роутерам Mikrotik… У меня есть конкретные статичстические даннные. Более 95% пользователи не настраивают фаервол. Более 50% используют стандартный логин admin…
Мне этого достаточно…
У нас в городе пошли другим путём. Всем кто обращается к провайдеру с настройкой роутера устанавливают пароль с генератора паролей после ввода настроек и ЗАБЫВАЮТ. Если настраиваешь сам — твои проблемы, если настраивает оператор — пароль установлен и нигде в базах не сохраняется и не доступен в т.ч. и самим пользователям. В итоге большая часть пользователей защищена по умолчанию и по городу не найдёшь ни одного открытого роутера с сигнатурой(имя точки доступа) провайдера интернета.
А зачем нужны все эти стандарты, защиты и прочее, если у 90% пользователей пароль admin / admin стоит?
Так и хотят сделать чтобы у пользователя по дефолту мало того что всё активировано, так ещё и с паролем по умолчанию никакого удалённого управления. А если дальше пойти… то пока пользователь не создаст пароль для админа(ить, на многих SOHO железках административный аккаунт даже переименовать нельзя всё ещё!) не пускать в настройки в принципе. Там где возможно я даже имя админской учетки меняю. Листочек с логином/паролем приклеенный снизу к роутеру рулит — в домашних условиях случаи инсайда околонулевые.
Самое адекватное предложение которое было это запрет доступа к любым настройкам и интерфейсам с wan порта и уникальный пароль для каждого роутера написанный на корпусе.
Эти меры снимут 99% всех проблем у типичного пользователя.
Эти меры снимут 99% всех проблем у типичного пользователя.
У некоторых устройств пароли рандомные, напечатанные на стикере на корпусе. Какой ставится при сбросе настроек и пароля не знаю, не пробовал.
.
Автоматическое обновление прошивки.
Да вот этого не хватало, прямо всю жизнь мечтал чтобы ещё и роутер начал жить своей жизнью.
Прошивка обновляется автоматически, по дэфалту. Но в этом документе есть требование, чтобы клиент имел возможность отключать автоматическое обновление.
Если клиент ламер, то без автоматических обновлений шанс того, что роутер начнёт жить своей жизнью на много выше.
Если клиент ламер, то без автоматических обновлений шанс того, что роутер начнёт жить своей жизнью на много выше.
Угу.
Тут нам надо вспомнить близящуюся годовщину эпичного обновления прошивок касс по всей стране. Или вот недавнее замечательное обновление win10…
Тут нам надо вспомнить близящуюся годовщину эпичного обновления прошивок касс по всей стране. Или вот недавнее замечательное обновление win10…
Это рынок отрегулирует. Фирмы, которые будут окирпичивать роутеры своими обновлениями быстро разорятся, а остальные начнут лучше тестировать обновления.
Конечно отрегулирует.
Особенно, если обязать провайдеров аутентифицировать клиентов исключительно по DHCP option 82.
Много конечно можно навтообновлять, когда после перезагрузки роутер скидывается на дефолт и абонент сидит с абсолютно безопасным роутером — неподключенным к сети.
Автообновления рекомендую проводить строго в конце финансовых периодов, что бы клиентам В2В не привыкали к новым технологиям.
Дискетка, распечатки, такси, налоговая.
Назад к основам.
Особенно, если обязать провайдеров аутентифицировать клиентов исключительно по DHCP option 82.
Много конечно можно навтообновлять, когда после перезагрузки роутер скидывается на дефолт и абонент сидит с абсолютно безопасным роутером — неподключенным к сети.
Автообновления рекомендую проводить строго в конце финансовых периодов, что бы клиентам В2В не привыкали к новым технологиям.
Дискетка, распечатки, такси, налоговая.
Назад к основам.
Если его не обновлять, и к нему открыт доступ через wan — он в любом случае со временем начнёт жить своей жизнью. Возможность отключить обновление нужна тем, кто понимает что делает, и в состоянии самостоятельно следить за безопасностью железки, а у остальных пусть лучше будут включены автоматические обновления. Проблема в том, что обновления никто не горит желанием выпускать бесконечно — годик, максимум два. Покупать новый роутер каждые пару лет только ради того, чтобы он продолжал обновляться — это перебор.
Оно в Германии и так работает. 99% оборудования — оператора, а не клиентское, и жестко заблокировано от возможности настроить.
Это кто из немецких провайдеров не даёт настраивать? Ограничения настроек есть, да, но так чтобы совсем не давали?
К тому же, с 2016 года провайдерам запретили навязывать клиентам своё оборудование, и все желающие имеют возможность поставить то что хотят.
К тому же, с 2016 года провайдерам запретили навязывать клиентам своё оборудование, и все желающие имеют возможность поставить то что хотят.
Ну вендор-лок достаточно сильный, тем не менее.
Ну и я как-то привык к возможности, например, vpn-сервер на роутере поднять или маршрутизацию как-то настроить, несколько виртуальных SSID и т.п. — поэтому после лучших представителей вида SOHO несколько удручает. И таки многие вещи были просто заблокированы (емнип Greeen WLan или что-то вроде того — в итоге телефон вёл себя не всегда адекватно).
Ну и я как-то привык к возможности, например, vpn-сервер на роутере поднять или маршрутизацию как-то настроить, несколько виртуальных SSID и т.п. — поэтому после лучших представителей вида SOHO несколько удручает. И таки многие вещи были просто заблокированы (емнип Greeen WLan или что-то вроде того — в итоге телефон вёл себя не всегда адекватно).
НЛО прилетело и опубликовало эту надпись здесь
Я так думаю что в конечном счете из этих рекомендации просто вырастут требования для сертификации. В итоге просто будут на их рынки продавать все теже роутеры но с чуть поправленной прошивкой как это сейчас делают для провайдеров. Из коробки максимально закрутят гайки в стандартной конфигурации и все. Хотя если обязуют производителя обеспечивать в течении N лет обновления безопасности то я не против.
В РФ будет так: Запрещено подключать к сети провайдера иное оборудование, кроме предоставляемого провайдером. И уже провайдер будет админить свой роутер. Обновлять, задавать настройки файволла и т.д. Как телевизионные приставки или GPON роутеры Ростелекома.
Далее вы можете конечно уже свой роутер подключать к роутеру провайдера. Ваше право.
Далее вы можете конечно уже свой роутер подключать к роутеру провайдера. Ваше право.
В РФ будет так: Запрещено подключать к сети провайдера иное оборудование, кроме предоставляемого провайдером
Вот именно. А у меня, например, по перезду четыре года назад произошла такая история.
На новом месте подключился к сети. Тариф предусматривал получение от провайдера роутера, который по условиям договора через год переходит в мою собственность. Воткнул я все кабели, включил всё это дело… Проводной интернет работал нормально, а вот вай-фай тормозил жутко и безбожно. Я плюнул, а на следующий день привез со старой квартиры свой тп-линк с прошитой и настроенной мною openwrt. Установил его — всё работает как часы уже четыре года. Провайдерский дир-650 (защищенный неизвестным, конечно же, мне паролем), перешедший в мою собственность пылится все четыре года в дальнем углу шкафа.
Мораль: я из тех пользователей, которым не только не нужно что-то настраивать, но и категорически против того, чтобы за меня кто-то лазил в моем оборудовании. Тем более навязывал оборудование. Любые действия подобного рода — прямое ущемление потребительских прав таких пользователей
Пока за нарушение нет ответственности — все это останется необязательными рекомендациями.
Будет введена ответственность на законодательном уровне — появитсятуалетная киберполиция…
Будет введена ответственность на законодательном уровне — появится
Все, что могло случиться, уже случилось в Южном Парке
Простите, а есть ли там требование к возможности ключевой (для конечного потребителя) функции: переназначение любого LAN-порта в качестве WAN? Объяснять, почему это так важно, думаю, не стоит.
Мб расскажите зачем оно надо?
После грозы сгорел WAN, остальное живое — типичный случай.
Так это требование нужно предьявлять не к абонентскому оборудованию, а к провайдеру.
Сгоревший порт к безопасности сети не имеет никакого отношения. Сгорел — значит сработала штатная защита, устройство защитило внутреннюю сеть ценой своего функционала. В любом случает такое устройство использовать в дальнейшем не стоит.
Для потребителя ключевым является то, что порт Wan выделен цветом.
По-моему, сейчас практически в любом SOHO-роутере есть отдельный WAN-порт. Зачем переназначать ещё и какой-то из LAN?
Потому что что-то похожее на роутер стоит от 30$.
После грозы обычно отгорает ВАН, а большинству это дорого.
После грозы обычно отгорает ВАН, а большинству это дорого.
Откуда этот миф? Сейчас как правило в дом заходит оптика, а абонентские устройства подключены к роутеру, расположенном в месте, куда гроза не достанет (подъезде или чердаке)
Чтобы от грозы не отгорали порты, нормальная грозозащита должна быть. А у нас даже заземления, как правило, нет.
В Германии, думаю, несколько по-другому.
В Германии, думаю, несколько по-другому.
Грозозащита без заземления принципиально не работает.
Я тоже думаю, что в Германии все по другому.
Во, 1, 30 евро для них не деньги.
Во, 2, грозозащита никому не впала, потому что она эквивалентна 15-20 метрам кабеля по затуханию, которого, как известно больше 100 метров сильно не рекомендуется закладывать.
В,3, если оборудование операторское, то ему проще и дешевле менять чем заниматься всякими глупостями с грозозащитами.
В,4, в европах FTTB не самая распространенная технология доступа по экономическим причинам.
Я тоже думаю, что в Германии все по другому.
Во, 1, 30 евро для них не деньги.
Во, 2, грозозащита никому не впала, потому что она эквивалентна 15-20 метрам кабеля по затуханию, которого, как известно больше 100 метров сильно не рекомендуется закладывать.
В,3, если оборудование операторское, то ему проще и дешевле менять чем заниматься всякими глупостями с грозозащитами.
В,4, в европах FTTB не самая распространенная технология доступа по экономическим причинам.
Спасибо за разумный комментарий. Крайне удивлён, что для отметившихся выше это было неочевидно. Да, именно, 90% роутеров (из известных лично мне случаев) отправляются в мусорное ведро именно потому, что отгорел WAN-порт после прилёта нехорошего электричества в него, а всё остальное при этом живое. 80% запросов в поиске на установку альтернативной прошивки, позволяющей его переназначить — именно по этой причине (опять же имхо).
Я конечно далеко не эксперт в роутерах, но мои OpenWRT-исследования на asus tr-n10 говорят, что как минимум в этом роутере как я понял по сути только 2 порта — LAN и WAN. Просто на LAN интегрирован свитч. Схемку как вы хотите можно в принципе провести, но часть трафика с локалки будет уходить в провайдера, что может быть не хорошо.
Хотя мб я недоразобрался с тэгированием трафика и всё сделать можно.
Хотя мб я недоразобрался с тэгированием трафика и всё сделать можно.
А есть какие-то «мини-переходники» с защитой?
У меня как-то сгорал порт в грозу.
У меня как-то сгорал порт в грозу.
Если роутер стоит защиты, например, Нетгировский найтхок за 300 баксов, то ставьте впереди копеечный 4 портовый свич.
Без нормального заземления грозозащита толком не работает, это физика.
Без нормального заземления грозозащита толком не работает, это физика.
Понял, подумалось что есть какие-то «пассивные» варианты))
Роутер не за 300 баксов и даже вряд ли за 100, поэтому пускай уже так стоит.
Роутер не за 300 баксов и даже вряд ли за 100, поэтому пускай уже так стоит.
Mikrotik у нас все еще SOHO?
Как минимум на некоторых моделях там WAN-порт разве что в смысле дефолтных настроек. Удобно.
У меня вот провайдерские (два разных провайдера) кабеля воткнуты в порты 3 и 4.
Как минимум на некоторых моделях там WAN-порт разве что в смысле дефолтных настроек. Удобно.
У меня вот провайдерские (два разных провайдера) кабеля воткнуты в порты 3 и 4.
Интересно глянуть на схему такого роутера. Насколько я знаю, все попадавшиеся мне SOHO-роутеры даже там где есть функция переназначения портов строятся по схеме: 2 100/1000 порта в проц и микросхема простого свича на 4 порта. В итоге один WAN-порт заведён напрямую в процессор, а остальные 4 порта через этот свич на второй. Если переключить WAN-порт на остальные 4-ре, получается уже не то… и роутеру в целом надо как-то разграничить трафик по WAN-порту и внутренний чтобы к провайдеру ничего не уходило даже случайно. Наверно это возможно, но страдает скорость что актуально для 100Мбит интернета. Например используется программная маршрутизация WAN-трафика вместо аппаратной.
Дьявол в деталях…
Дьявол в деталях…
Для домашних роутеров аппаратная маршрутизация не поможет.
Потому что соединение с провайдером — туннель (либо PPPoE, либо L2TP).
Кроме того, обязателен NAT.
Потому что соединение с провайдером — туннель (либо PPPoE, либо L2TP).
Кроме того, обязателен NAT.
Потому что соединение с провайдером — туннель (либо PPPoE, либо L2TP).
Далеко не у всех
В целом это имеет смысл — контролер обеспечивающий маршрутизацию внутренних 4-х портов будет пропускать через себя ещё и WAN-трафик на общих основаниях, а если это трафик в 50Мбит? 50Мбит пойдёт через контроллер как WAN и тут же те же 50Мбит на порт клиента, через контроллер уже нагрузка идет в 100Мбит вместо 50. Везде эта возможность рассматривается как аварийная временная мера пока железка не будет заменена.
У микротиков у большинства Switch chip есть достаточно умный (умеет даже и вот так — habr.com/post/313702 )
За последний месяц загрузка CPU уходила выше 30% раз.
За последний месяц загрузка CPU уходила выше 30% раз.
НЛО прилетело и опубликовало эту надпись здесь
Будет обидно, если первые два пункта будут заблокированы вендором. То есть вот ты потребитель неспециалист, вот тебе настройки по умолчанию в соответствии с документом, менять ты их не можешь — только сертифицированный специалист продавца решения.
А если это станет обязаловкой…
А если это доедет до СНГ, пиджакам понравится и внедрят ну нас на таких же условиях…
Обязательный стандартные настройки домашних роутеров специалистами извне — это же такой лакомый кусок для всяких не совсем штатских с целью слежения за гражданскими исключительно в целях профилактики.
А если это станет обязаловкой…
А если это доедет до СНГ, пиджакам понравится и внедрят ну нас на таких же условиях…
Обязательный стандартные настройки домашних роутеров специалистами извне — это же такой лакомый кусок для всяких не совсем штатских с целью слежения за гражданскими исключительно в целях профилактики.
Да пусть ставят что хотят. Что стоит за вашей дверью вы не контролируете в любом случае.
Все что меняется это провайдер берет у вас немного места и немного электричества под свое оборудование, вместо того чтобы ставить его в подъезде. Вам жалко? Мне нет. Дополнительные расходы копейки.
Подключаем в чужой роутер свой и дальше за своим роутером в своей сети делаем все как нам надо.
Единственный минус это миллион провайдерских вайфаев забивающих все. Приходится устраивать тур по соседям и отключать им эти Вайфаи.
Все что меняется это провайдер берет у вас немного места и немного электричества под свое оборудование, вместо того чтобы ставить его в подъезде. Вам жалко? Мне нет. Дополнительные расходы копейки.
Подключаем в чужой роутер свой и дальше за своим роутером в своей сети делаем все как нам надо.
Единственный минус это миллион провайдерских вайфаев забивающих все. Приходится устраивать тур по соседям и отключать им эти Вайфаи.
берет у вас… немного электричества
Мне жалко — учитывая, что 30% ОРЕХ-а это электроэнергия
Провайдеры очень любят перекладывать часть расходов на абонентов, никак это не компенсируя.
Тут проблемы:
- Нафиг не нужный провайдерский WiFi (еще и с предсказуемым паролем как у МГТС) — ладно если он будет отключаемый а если нет?
- Проброс портов. Полноценный. Включая вариант — ВСЕ порты прокинуть дальше.
Если не отключаемый, и распространенность как МГТС, то все плохо. Надо на WiFi 4-5-6 или как их там сейчас их зовут переходить.
Так что и пароль сменить нельзя и отключить нельзя и провайдера сменить нельзя я не верю. Идиоты такого уровня массовыми не станут никогда.
Покупаем услугу белый IP. И все порты должны быть открыты. Возможно за некоторыми исключениями, но это договор читать надо. Без этой услуги фикция все это. Как специалисты провайдера будут это настраивать их проблема.
Так что и пароль сменить нельзя и отключить нельзя и провайдера сменить нельзя я не верю. Идиоты такого уровня массовыми не станут никогда.
Покупаем услугу белый IP. И все порты должны быть открыты. Возможно за некоторыми исключениями, но это договор читать надо. Без этой услуги фикция все это. Как специалисты провайдера будут это настраивать их проблема.
Если WiFi включён, но не используется, его влияние на эфир околонулевое — иногда шлёт SSID и всё.
Ау, Роскомнадзор — даешь Яровую в каждый дом!? Ввоз и продажа только сертифицированных ФСБ роутеров, пусть они сами про себя все пишут в рамках СОРМ-64, участковому только и останется, что проверять пломбы на дисках.
НЛО прилетело и опубликовало эту надпись здесь
Разве BSI — это не Британский институт стандартов (предтеча ISO)?
Автоматическое обновление прошивки.
Надо бы вендоров обязать выпускать прошивки больше 2-3 х лет.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
В Германии разработали требования к домашним маршрутизаторам