Роутер.png116 Кб, 1262x595
Настройка максимальной защиты Wi-Fi роутера Windows 7: Chromium based 2421246 В конец треда | Веб
Аноны, помогите защитить роутер. Что я сделал:
1. Поменял логин и пароль на сложные
2. Поменял стандартный IP адрес на другой
3. Выключил QSS
4. В беспроводном режиме включил фильтрацию мак-адресов и внес маки своих 4х устройств.
4. В DHCP ввел адрес типа 100.100.1.1-100.100.1.3 что позволяет роутеру выдавать не более 4х IP (у меня как раз 4 устройства). В DHCP-список клиентов вбил макадреса тех самых 4х устройств, а в резервировании адресов зарезервировал для каждого устройства свой IP.
5. Установил ложный пароль Wi-Fi точки (20 символов) WPA2-Personal и шифрование AES. А также в период обновления группового ключа поставил 86400

Что еще я забыл? Знаю, что еще в родительском контроле можно установить разрешение на управление роутером только для макадреса компа. Но на этом собственно и всё. Слышал про DMZ, типа ставить туда левый IP можно на всякий случай, помогает.

Алсо хочу спросить как люди попадают в RouterScan? Что не так они делают? Если не ошибаюсь, то в настройках роутера стоит по умолчанию запрет на управление извне, но на их роутеры можно заходить и делать че хочешь с ними. И даже наностанции за 7 тысяч рублей открытые, заходи меняй что хочешь. Как они так умудряются? Что с ними не так? Приглашаю анонов к дискусси.
Windows 7: Chromium based 2 2421247
И да вопрос, что с UPnP делать? Там какой-то Ace Stream стоит. У меня такая прога есть, но я не понял что роутер ей разрешает-то?
Windows 10: Chromium based 3 2421261
>>2421246 (OP)
>в настройках роутера стоит по умолчанию запрет на управление извне
Не все снимают галку с WPS.
Fedora Linux: Firefox based 4 2421263
>>2421246 (OP)
1.Поставь обновляемый каштом, вроде дд-врт. От производителя что не прошивка, то бекдор.
2.Отключи ВПС.
3.Пароль на вай-фай посложнее. Сгенерируй случайно.
4.Скоро должны сделать WPA 3, попробуй перейти на него.
5.Админка не должна смотреть во внешние интернеты. Если же смотрит, то это SSH с fail2ban.
Linux: Firefox based 5 2421264
>>2421263
>дд-врт
Лол, блять. Вместо нормальной прошивки от произволителя, блохастый долбоёб советует дырявое васяноподелие с бесплатным подключением к ботнету.
Необучаемая пидораха/10.
Fedora Linux: Firefox based 6 2421274
>>2421264
Если это не микротик, то прошивка будет ненормальной и необновляемой.
53534535.jpg55 Кб, 540x531
Windows 10: Firefox based 7 2421282
>>2421246 (OP)
оп, у тебя какое-то болезненное стремление защититься. если ты обычный пользователь, а не сотрудник разведслужб. зачем так заморачиваться? вполне достаточно сгенерить пароль в каком-нибудь манагере, отключить QSS/WPS, не использовать wep, отключить вебморду(сейчас она по-дефолту во всех роутерах выкл.)
>Что не так они делают?
у многих роутеров уязвимости прошивок. взять тот-же tp-link у меня на старую модель прошивка на сайте с 12 года не обновляется.
уязвимости 0 дня известные единицам, ну хуй с ним, десяткам. тот же роутерскан использует насколько я помню уязвимости прошивки роутера.
я, думаю способов у подготовленных людей море, но ты им не нужен. а от школохакеров и выше советов хватит
Неизвестно 8 2421285
>>2421274
Чет я постоянно получаю обновления
Fedora Linux: Firefox based 9 2421294
>>2421285
Год-два пополучаешь и будешь сосать писос.
Linux: Firefox based 10 2421301
>>2421274
С 2015 на мой нетгир до сих пор обновления приходят.
Неизвестно 11 2421322
>>2421294
Третий год заканчивается, а я все получаю. Не брыкайся.
Windows 7: Chromium based 12 2421399
>>2421263
>5.Админка не должна смотреть во внешние интернеты. Если же смотрит, то это SSH с fail2ban.
Можешь расшифровать, дружище? Какая админка и какие внешние интернеты?
Linux: Firefox based 13 2421430
>>2421246 (OP)
Не вижу первого пункта -

>0. Купил Mikrotik.

>>2421282
>взять тот-же tp-link у меня на старую модель прошивка на сайте с 12 года не обновляется.
Маня сидит с дырявым тплинком и всячески маняубеждает себя, что никому не нужен. Спизди бабушкину пенсию и купи таки достойное железо, нищук.
Windows 10: Firefox based 14 2421501
>>2421430
>что никому не нужен
конечно не нужен. если у кого-то приступы паранои, то пусть заглянет под кровать. достаточно разумных мер предосторожности, а вести себя, как оп, можно только, если у тебя дома сверхсекретная лаборатория и к тебе сутками ломятся хакеры
>Спизди бабушкину пенсию и купи таки достойное железо, нищук
а ты смешной
Windows 7: Firefox based 15 2421506
>>2421247
UPnP автоматически порты открывает. Без этой технологии тебе придётся для каждой программы вручную открывать порты. Для обычного сёрфинга не нужно. Порты разве что для сервера или торрентов открывать нужно. Но торренты и с закрытыми портами скачиваются. Можешь отключить UPnP.
Windows 7: Firefox based 16 2421507
>>2421501
Школьник, ты?
Windows 10: Firefox based 17 2421561
Поясните, если есть роутер, то получает что брандмауэр не нужен?
Windows 7: Firefox based 18 2421566
>>2421561
Не нужен, если в роутере есть брандмауер. Но так только на стационарных компьютерах. На ноутбуках нужен.
Windows 7: Firefox based 19 2421568
>>2421561
у меня есть фаервол в роутере, который вкл. галочкой и больше никаких настроек. что он уж там закрывает хз. фаервол нужен хотя бы для контроля приложений на твоей машине
Windows 7: Chromium based 20 2421604
>>2421246 (OP)
Алсо подскажите что делать чтобы устройства подключаемые к роутеру через вайфай - выходили в сеть через прокси/впн, а сам комп - напрямую. На Зухелях такое возможно или следует брать Микротик?
Windows 7: Chromium based 21 2421726
>>2421568
Можешь скрин кинуть?

>>2421430
>Mikrotik
>>2421604
>Микротик

Что за форс, посоны? Глянул сайты и вот этот ваш Микротик выглядит оверпрайснутым говном типа айфона, который берут люди, свято верящие в то что можно возвыситься на другими путем покупки оверпрайснутой техники.
Windows 10: Chromium based 22 2421733
>>2421726
>Микротик выглядит оверпрайснутым говном типа айфона
Так оно и есть.
На деле, говно говном. Хотя раньше были достойными, но с тех пор уже много лет прошло.
Ubuntu Linux: Chromium based 23 2421756
Раз уж такой тред, то спрошу вопрос.

Какие подводные от использования WLAN без пароля и какой-либо защиты? Ну кроме того, что мой трафик меж роутером и устройством может читать любой васян, а также того, что кто угодно может моими интернетами пользоваться.
Windows 7: Firefox based 24 2421771
>>2421756
Васян скачает или разместит запрещённый контент, используя твою точку, а отбывать наказание поедешь ты.
Android: Неизвестно 25 2421814
>>2421756
Каким образом Васян будет читать? Он сможет расшифровать пакеты? Да и нужно ли это ему? Васяну бы пивко, футбол да тёлочки.
Windows 10: Firefox based 26 2421819
>>2421604
Тебе нужен любой роутер, способный держать vpn туннель и делать маршрутизацию. Любой из покупных недорогих роутеров обосрется на первом этапе (если конечно скорость до десяти мегабит тебя не устроит).
Я бы посоветовал ОС pfsense, но ей нужен полноценный компьютер для работы.
Android: Неизвестно 27 2421932
Можно ли прошить роутер на ip например польские? Или VPN задать изначально в роутере?
1541839111285.gif898 Кб, 670x376
Android: Mobile Safari 28 2421963
>>2421932
>прошить роутер на ip
Блять, сложно пиздец. Это как?
Windows 7: Firefox based 29 2421970
>>2421963
Скачиваешь прошивку для другой страны. Нет, я троллю.
Windows 7: Chromium based 30 2421972
>>2421566
> Но так только на стационарных компьютерах. На ноутбуках нужен.
В чём разница?
Windows 7: Firefox based 31 2421975
>>2421972
Ноутбук переносной. Роутер не будешь же с собой таскать. В новой сети фаервол может быть не включен.
np.png65 Кб, 1146x490
Windows 7: Firefox based 32 2421989
>>2421561
Нужен, так как надо контролировать приложения и мониторить трафик от них. На роутере не заблокируешь троян или определённое приложение, только входящие порты или конкретный адрес для исходящих.
Windows 7: Chromium based 33 2421999
>>2421975
Тогда точнее будет сказать «если в роутере есть брандмауэр, и компьютер не подключается к другим сетям, то файрволл не нужен». Потому что я, например, ноутбук таскаю исключительно в пределах своего жилища.

В любом случае, в Windows есть умная фича — разные настройки файрволла для доверенных и остальных сетей, вплоть до включения/выключения.

>>2421989
> Нужен, так как надо контролировать приложения и мониторить трафик от них.

Мало кто этим заморачивается.

Я вот, например, закрыл вендовым файрволлом доступ как для входящего, так и для исходящего трафика. Нужно разрешить какому-то приложению доступ — сам разрешаю.

Но многие считают приемлемым, когда любое говно может соединяться с их компа с чем угодно и передавать что угодно.
Android: Mobile Safari 34 2422017
>>2421999
>виндовым фаерволом
Наивный чукотский паренёк. :)
Windows 7: Chromium based 35 2422030
>>2422017
Что не так с вендовым файрволлом?
Android: Mobile Safari 36 2422058
>>2422030
Решето :)
15068813266560.jpg93 Кб, 800x600
Linux: Firefox based 37 2422060
>>2421963
ValdiSS?
1541863678791.png80 Кб, 282x276
Windows 10: Firefox based 38 2422115
>>2422060
> ValdiS
А шо? Тебе што-то не нравится?
Android: Mobile Safari 39 2422360
Бывает, часто сканю себе за пару часиков анус-роутеры с уязвимостью с какой-нибудь Гейропы и поднимаю на них VPN.
Linux: Firefox based 40 2422488
>>2422115
Валдис и ленка это один и тот же анон в XMPP чатах?
Windows 10: Chromium based 41 2423313
>>2421246 (OP)
уже был пост, про то, чтобы закрыть вещание SSID?
Windows 10: Firefox based 42 2423321
>>2423313
а смысл и от чего это тебя обезопасит? имя очень быстро можно узнать
Windows 10: Chromium based 43 2423331
>>2423321
я предполагаю что ОП
1) боится сам не знает чего
2) он живет в человейнике

убрать вещание ssid - как минимум показать потенциальному взломщику, что делать тут нечего и вообще люди умные сидят обычные юзеры про это не знают - они более легкие жертвы
sage Windows 7: Chromium based 44 2423386
>>2421989
>На роутере не заблокируешь троян или определённое приложение
Ставим прокси сервер с авторизацией на роутере. Всем кто не проходит авторизацию и все что не через прокси сервер отрубаем иптаблес. Авторизацию настраиваем для белых приложений. Троян заблокирован. Как и система.
sage Windows 7: Chromium based 45 2423389
>>2423331
>убрать вещание ssid
И убить батарею на опрашивании это раз.
Два, нормальные юзеры мониторят сеть не Windows или wifi-манагере из коробки, нет, и там отключай не отключай сеть твоя будет видна.

Говорю это как человек "работающий с wifi" никто не смотрит сети, сразу грузимся в ПО и там уже начинаем работать по каналам.
Windows 7: Firefox based 46 2423403
>>2423386
Хороший вариант кстати. Но...
1. Не спиздит ли троян логин/пароль у белого приложения, никогда такого не встречал, но всё же.
2. Не все белые приложения могут в прокси. Проксификатор частично решает проблему, но это костыль и иногда работает криво.
3. Как быть с другими протоколами, UDP и прочие IGMP?
4. Входящие соединения: троян может грохнуть белое приложение и встать на его порт. Такое встречал, кстати, троян грохал ftp-сервер и настраивал rdp на 21-м порту.
5. Ну и мониторить всё равно надо то, что ломится в сеть, в любом случае.
Неизвестно 47 2423408
>>2423403
Обязательно спиздит. Один троян таким уже десять лет занимается, спизживая без спросу настройки прокси у браузеров.
http://web.archive.org/web/20071203013602/http://forum.skype.com/index.php?showtopic=95261
Так только школохакеров обманешь.
Правильный ответ про трояны и потенциально опасные приложения: не допускать на свой ПК трояны и потенциально опасные приложения.
Windows 7: Chromium based 48 2423427
>>2423403
>>2423408
>Не спиздит ли троян логин/пароль у белого приложения
А способы авторизации приложения уже в прокси могут быть не только через связку пас/логин. Можно выдавать лимит, в моем случае в сеть ходить только браузер. Тут уже трояну нужно и пид подменять и еще много чего. Ну, тем более в моем случае даже (что очень маловероятно) такое произойдет, ничего все равно не выйдет, ниже пишу почему.
Для меня ситуация когда на ПК оказывается прямо вредонос уже не приемлема. Если так случилось то все что к машине подключено уже скомпрометировано. Я скорее про следящие программы, сливающие данные на свои сервера. Вот их обычно мониторят и банят файрволом (системным или прикладным), но к нему - то тоже доверия быть не должно, вот как раз тут на помошь приходит эта схема. У меня все это крутится через малину, на ней сразу и впн/I2P можно поднять и прочие радости (вот, не выйдет так как стоит белый лист сайтов, а если куда - то надо выползти за его пределы, то добавление в него на время сессии с подтверждением через физическую кнопку на малине.) настроить, а вот она уже подключается к домашнему роутеру.
Windows 7: Chromium based 49 2423428
>>2423427
Можно еще в deep analiz трафика углубиться, но это уже совсем для поехавших.
Windows 7: Firefox based 50 2423433
>>2423428
Согласен, сложно, глючно и сильно нагружать проц роутера будет, поставить фаиры на компы проще. Ещё и не каждый роутер поддерживает такое.
Screenshot20181112.png5 Кб, 507x94
Windows 7: Firefox based 51 2423726
>>2421726
>Можешь скрин кинуть?
я немного обосрался. это тоже фаерволл, но из другого космоса
BSD: Chromium based 52 2423755
>>2421246 (OP)
Уже было, но всё равно. Купить Mikrotik или накатить LEDE. И научиться пользоваться ими, начать лучше понимать, как работают сети, элементарно практикуясь и настраивая эти ОС. Дальнейшие вопросы о безопасности отпадут сами.
Первые, Mikrotik-и, имеют качественное железо и хорошую ОС, во многих случаях имеют даже switch-чип.
Hex или Hex Lite — самые казуальный варианты. Гигабитный, 5 портов.
На первом: 256MB оперативки, можно запихнуть на него VPN, если захочется; хардварное шифрование имеется, на случай, если будет нужен IPSec. На втором, Hex Lite этого скорее всего не будет, так как мощностей там меньше. При всём этом, вне зависимости от устройства, RouterOS везде одинаковый, полноценный, как проф. оборудовании.

> В DHCP ввел адрес типа 100.100.1.1-100.100.1.3 что позволяет роутеру выдавать не более 4х IP (у меня как раз 4 устройства).
Не вижу в этом смысла. У тебя, как ты говоришь, и так ограничение по MAC-ам. Верни обратно DHCP на всю подсеть. Всё равно ведь появится пятое устройство и у тебя начнёт проявляться геморрой.

> Алсо хочу спросить как люди попадают в RouterScan? Что не так они делают? Если не ошибаюсь, то в настройках роутера стоит по умолчанию запрет на управление извне, но на их роутеры можно заходить и делать че хочешь с ними. И даже наностанции за 7 тысяч рублей открытые, заходи меняй что хочешь. Как они так умудряются? Что с ними не так?
Кривые правила firewall-а, либо они вообще отсутсвуют. Что же еще? Чтобы убедиться, что всё хорошо, надо как-минимум прогонять nmap-ом свой IP из внешней сети. Один раз видел такое, что входящий не в NAT трафик на роутере блокируется не на уровне ОС, а на прикладном. Это полнейший пиздец, я считаю. Web интерфейс, получается, смотрит наружу и самостоятельно фильтрует входящие из подсети соединения. Не помню, что там за железо было.
Безымянный.png134 Кб, 1366x768
Windows 10: Яндекс браузер 53 2423981
>>2421246 (OP)
Что то я накрутил в роутере и исходящий порезало почти в ноль и входящий до 5мб соснул в минуса. ХЕЛП!!!!
Windows 10: Яндекс браузер 54 2423982
>>2423981
ой нахуй.Модератор удоли! Скрин нечаянно приклеился, я его неприклеивал сюда, СУКААААА
Windows 7: Chromium based 55 2423999
>>2423982
щас по ip будм бить морду
Apple Mac: Firefox based 56 2424032
>>2423755 Какой впн на микротике? Они уже лет 7 не могут починить openvpn udp/lzo уж не говоря о совместимости с v2.4. Сторонний софт вроде ss/wg не загрузить, однопоточный мипс вместо процессора.
У них только одна железка хороша - свитч на 24порта и то только из-за цены в 9к. Все остальное застряло в прошлом.
>или накатить LEDE
Или lede или uqbt.
Linux: Chromium based 57 2424041
>>2424032
>однопоточный
Я не просто так именно Hex указал.
Про то, что с OpenVPN у него хуёво, не знал. Настраивал IPsec, когда игрался с RouterOS. Всё работало, на удивление.
Apple Mac: Firefox based 58 2424051
>>2424041
>Настраивал IPsec
Подключение по доменному имени работало?
Linux: Chromium based 59 2424054
>>2424051
Не пробовал.
Обновить тред