Bekijk de volledige versie : Безопасность + LAN вопрос
sokol_a1976
16-04-2009, 06:40
Всем привет!
Имею asus wl-520 GU с пока еще стандартной прошивкой (последняя версия). Есть несколько вопросов скорее всего примитивного характера, буду рад ответам.
1) Будучи немного параноидальным человеком :) задался вопросом, насколько велика вероятность удаленного доступа на роутер через WAN? Я знаю, что в настройках роутера есть опция "Запретить доступ к управлению через WAN", но с другой стороны на форуме читал про всякие backdoors и прочие радости. Может ли кто-нибудь на пальцах объяснить, при каких условиях доступ на роутер извне локальной сети все таки возможен, влияет ли на это прошивка (стандартная, или от Олега), что нужно сделать, чтобы защититься от несанкционированного доступа, и т.п.? Буду очень обязан.
2) Очень хотелось бы на моем роутере реализовать подобную схему: порт LAN4 сделать недоступным для WAN (т.е. чтобы на устройство, подключенное к LAN4 было невозможно достучаться из WAN). Ну и чтобы к LAN4 был доступ только с локальной сети, или даже только с LAN1. Инструкцию прочитал, но там про это ничего нет. Полагаю, что здесь нужны базовые знания по маршрутизации или сетевым экранам (?), но к сожалению не настолько пока разбираюсь в этом. Поэтому буду рад понятным разъяснениям.
Спасибо,
павел
по умолчанию доступ снаружи закрыт. Хотя вы можете при желании разрешить доступ к определенным сервисам. Если запретить использование upnp, то само ничего открыться не может.
Маленький ньюанс --- беспроводная сеть --- это LAN, так что сразу ставьте шифрование, желательно WPA2, и задавайте нормальный пароль на доступ. По умолчанию беспроводная сеть насколько я помню включена и без пароля, т.е. заходи любой.
чтобы убедиться в защищенности системы достаточно освоить комманду netstat, например:
netstat -na | grep LISTEN
и почитать немного про iptables, т.е. файрволл
Насчет LAN4 я не понял, т.к. весь LAN по умолчанию закрыт от WAN (в режиме home gateway)
sokol_a1976
16-04-2009, 11:23
Спасибо за ответ, но не все понятно.
1) Если у меня стоит опция "Запретить доступ к управлению через WAN" и отключено использование upnp, то нельзя никаким образом через порт "WAN" подключиться к роутеру - это корректное утверждение? Вне зависимости от того, какая стоит прошивка на роутере? Или все-таки есть способы в роутер войти через порт "WAN"?
2) Не совсем понимаю, когда Вы пишете о том, что беспроводная сеть это LAN. В моем понимании беспроводная сеть (WiFi) от LAN очень даже отличается. И LAN как раз с проводами.
Также, если весь LAN по умолчанию закрыт от WAN, зачем тогда в принципе есть опция Firewall - она получается не нужна совсем?
Может конечно и я неправильно формулирую или понимаю. Попробую так сформулировать. У меня настроена раздача внутренних адресов через DHCP. Как мне роутер настроить таким образом, чтобы если я свой комп воткну в порт LAN1, интернет у меня был, и грубо говоря тот же торрент-клиент на компе мог и загружать и отдавать. А если я комп воткну в порт LAN4, никакого интернета не было совсем, ни я в интернет не мог бы достучаться, ни оттуда до моего компа достучаться было невозможно. Но возможно было бы до этого компа достучаться (например по ftp) только из порта LAN1.
Спасибо
1) Если у меня стоит опция "Запретить доступ к управлению через WAN" и отключено использование upnp, то нельзя никаким образом через порт "WAN" подключиться к роутеру - это корректное утверждение? Вне зависимости от того, какая стоит прошивка на роутере? Или все-таки есть способы в роутер войти через порт "WAN"?
любая прошивка для такого домашнего устройства может оказаться кривой. Так, что лучший ответ --- да, если мы доверяем автору. Для уверенности лучше проверять (см. первый пост). В общем и целом прошивка Олега достаточно неплохо доработана в смысле безопасности. Что из его исправлений было включено в официальные версии я не в курсе.
2) Не совсем понимаю, когда Вы пишете о том, что беспроводная сеть это LAN. В моем понимании беспроводная сеть (WiFi) от LAN очень даже отличается. И LAN как раз с проводами.
Также, если весь LAN по умолчанию закрыт от WAN, зачем тогда в принципе есть опция Firewall - она получается не нужна совсем?
NAT в роутере разделяет WAN и LAN. Между ними сидит файрвол. LAN состоит из собственно LAN (проводного) и сбриджеванного с ним WLAN. Т.е. WLAN есть часть LAN.
Может конечно и я неправильно формулирую или понимаю. Попробую так сформулировать. У меня настроена раздача внутренних адресов через DHCP. Как мне роутер настроить таким образом, чтобы если я свой комп воткну в порт LAN1, интернет у меня был, и грубо говоря тот же торрент-клиент на компе мог и загружать и отдавать. А если я комп воткну в порт LAN4, никакого интернета не было совсем, ни я в интернет не мог бы достучаться, ни оттуда до моего компа достучаться было невозможно. Но возможно было бы до этого компа достучаться (например по ftp) только из порта LAN1.
готовых решений ожидать не стоит. Чем экзотичнее задача, тем больше придется самостоятельно разбираться. В принципе реализовать наверное можно --- создать отдельный vlan на порту 4 и задать ему файрволом отдельные правила. Хотя имхо это действительно параноидальность. Достаточно разобраться как настроен файрвол, чтобы быть уверенным в своей безопасности.