Jak si pořádně zpenetrovat síť?

3. 7. 2018 22:40:27

Mám pochybnosti o zabezpečení své sítě. Používám pouze 13 let staré WPA2 šifrovaní s tak mám pochybnosti jestli přes KRACKs neodposlouchava někdo moji komunikaci přes WLAN. O tom, že už je můj router díky špatnému zabezpečení v bootnetu už nepochybuji vůbec. Jak na správnou penetraci a následné zabezpečení sítě?

3. 7. 2018 22:40:27

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354917

Adam Gajdečka

(47 hodnocení)

3. 7. 2018 22:42:49

zkuste https://www.bohnice.cz/

3. 7. 2018 22:42:49

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354916

Václav Dušek

(77 hodnocení)

3. 7. 2018 22:53:12

Nasadit pfSense na vstupni bod site - a mate cely inside pod kontrolou

https://www.netgate.com/solutions/pfsense/sg-1000.html nebo vyssi

3. 7. 2018 22:53:12

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354915

TomasX

(4 hodnocení)

3. 7. 2018 23:00:15

doporučovat pfSense člověku, který se ani neumí podívat co router dělá je dost kontraproduktivní :).

Kup mikrotik (skoro jakýkoliv), buď ho vyměň za současný router nebo ten současný HW resetuj a přepni do bridge modu. Mikrotik pravidelně kontrolu a aktualizuj, i s výchozím nastavením ti poslouží velice vhodně.

Všechny ostatní rady vedou k tomu, ať si zaplatíš někoho kdo tomu rozumí, jak to děláme všichni ostatní, když máme s něčím problémy a nemáme potřebné znalosti a čas je získat.

3. 7. 2018 23:00:15

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354914

Ittester

3. 7. 2018 23:02:23

Napsal vdusek;1472675
Nasadit pfSense na vstupni bod site - a mate cely inside pod kontrolou
https://www.netgate.com/solutions/pfsense/sg-1000.html nebo vyssi

Tedy ten firewall umístím mezi telefonním kabelem a routerem (koukám že je v tom micropc 2x rj45)? Nebo jak tomu mám rozumět když dokáže eliminovat vnější, ale i vnitřní útoky?

A to uživatelske rozhraní je pro nastavení přívětivé nebo dobře poslouží i při defalutnim?

3. 7. 2018 23:02:23

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354913

TomasX

(4 hodnocení)

3. 7. 2018 23:03:15

Napsal Adam Gajdečka;1472671
zkuste https://www.bohnice.cz/

V bohnicích nemají ani vlastního správce sítě, asi bych tenhle ústav nedoporučoval, podobné situace se tam také mohou stávat. Většina institucí v cesnetu mají dobře řešené sítě a spíše bych se podíval do těhle vod, blázinec to je podobný.

3. 7. 2018 23:03:15

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354912

Ittester

3. 7. 2018 23:07:36

Napsal TomášX;1472679
V bohnicích nemají ani vlastního správce sítě, asi bych tenhle ústav nedoporučoval, podobné situace se tam také mohou stávat. Většina institucí v cesnetu mají dobře řešené sítě a spíše bych se podíval do těhle vod, blázinec to je podobný.

Přesně, viz zhruba týden stará zpráva https://www.krimi-plzen.cz/a/hacker-napadl-lecebnu-a-vydira-spravce/

3. 7. 2018 23:07:36

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354911

Václav Dušek

(77 hodnocení)

3. 7. 2018 23:07:46

Tak v kazdem pripade musis vedete co delas - to neni na jednoduchy navod...

Jako mikrotik bych doporucil https://mikrotik.com/product/hap_ac2 - tam je nastavovani min

A pro uplne BFU a nebo lenochy alespon router s podporou DD-WRT. Na OpenWRT uz musis take neco vedet

---------- Příspěvek doplněn 03.07.2018 v 23:10 ----------

Zas ale to pfSense ma asi nejdetailnejsi logovani...

Financne to je vse +- stejne

3. 7. 2018 23:07:46

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354910

Ittester

3. 7. 2018 23:13:55

Vdusek: Mikrotik mi byl také doporučovan, ale nakonec jsem (asi bohužel) zvolil https://www.czc.cz/tp-link-td-w9980b/207376/produkt tak nevím jestli mu mohu v Basic nastavení věřit...

TomasX: To je právě to firmware jsem u tohoto modelu neaktualizoval (předpokládám že ani aktualizace nevychází) a někde jsem se dočetl, že zastaralé zařízení připojené k Internetu je průser...

3. 7. 2018 23:13:55

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354909

Václav Dušek

(77 hodnocení)

3. 7. 2018 23:20:52

Aha, tak to moment - vy mate ADSL/VDSL router, TP link je ok, jen ho poradne nastavte, zapomente na mikrotiky, DD-WRT nebo OpenWRT

Pokud budete paranoidni, tak by se musel prepnout do bridge modu a mezi nej a vnitrrni sit dat lepsi router, treba ten mikrotik, pfSense apod. Tohle se ale neda moc radit vzdalene...

Tp-Linky obecne mam rad, je to kvalitni HW i SW

3. 7. 2018 23:20:52

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354908

Ittester

3. 7. 2018 23:34:22

Vdusek: Co tedy znamená pořádně nastavit respektive na co se v administraci tedy zaměřit?

3. 7. 2018 23:34:22

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354907

Václav Dušek

(77 hodnocení)

3. 7. 2018 23:46:02

Proste projit poradne vsechny volby, povypinat vse nepotrebne a zbytecne.

To je prvni krok.

Pak se podivat na pripojena zarizeni, updaty, antiviry, ...

Pak uz jen jinymi nastroji sledovat provoz ve vnitrni siti

Vyhoda pfsense je v tom, ze dokaze monitorovat provoz na vnitrni siti a ma silnejsi ochranu proti urokum z internetu i vnitrni site. Ale zas musite mit vic znalosti...

Vzdycky je neco za neco

3. 7. 2018 23:46:02

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354906

Ittester

3. 7. 2018 23:57:06

Vdusek: Projdu si to a zkusím dogooglovat co znamenají jednotlivé volby.

Jinak proč zařízení?

A co se týče těch útoku z Internetu, tak doufám, že není možné se "jentak" připojit k výchozí IP adrese routeru? Protože admin, admin asi není zrovna dobré zabezpečení administrace :)) (vůbec tomu nerozumím, ale chápu to tak že útokem je myšleno nabourani se do administrace a pak přesměrování DNS a použití na DDoS)

3. 7. 2018 23:57:06

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354905

Václav Dušek

(77 hodnocení)

4. 7. 2018 00:00:19

Protoze to je obecna rada a netusim, co za tim TP-Linkem ve vnitrni siti je (treba nejaka lednicka, meteostanice, ...)

Standardne by nemelo byt mozne se na router zvenku pripojit a administrovat ho, i kdyz pouzivate kombinaci admin/admin.

Ale jsou utoky, ktere jsou vedeny zvenku prostrednistvim zarizeni uvnitr site

Nezapomente zkontrolovat aktualnost firmwaru v routeru

4. 7. 2018 00:00:19

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354904

TomasX

(4 hodnocení)

4. 7. 2018 00:23:22

vdusek radí dobře.

Na výchozí heslo na routeru pozor, s triky se dá na výchozí adresu routeru přihlásit i z otevřené stránky na internetu, ono to je vše dost gumové.

Resetovat router do továrního nastavení (udělej si samozřejmě zálohu nastavení, stačí i screenshoty, pro jistotu), nahrát nejnovější aktualizace, změnit výchozí heslo, vypnout remote management (vzdálenou správu). Tp-link nemá špatné výchozí nastavení, pravidelně kontroluj a aktualizuj ho, tj. alespoň jednou měsíčně na něj mrkni.

Pokud je router napadené, útočící SW je často hodně hloupý, poznáš ho ze síťového provozu, které se generuje ikdyž na router není nic připojeného, můžeš vidět, které zařízení přenáší kolik dat. Jak psal vdusek, router je často napadený z vnitřní sítě nebo vlastního počítače, pak to roznáší dál, málokdy je napadený přímo z internetu, ale opět, není to technicky nerealizovatelné a i přes FW a NAT operátorů se dá protlouct, nejsou tady totiž od toho, aby tě chránili.

pfSense není špatná volba, můžeš pak používat IDS, monitorovat provoz a vyhodnocovat, což je dnes nutnost, pokud člověk chce mít počíače a síť v pořádku. Technické nároky jsou ale vysoké.

Pokud máš nemocný router, s velkou pravděpodobností máš nemocný i svůj počítač, tam nelze poradit jednoduché řešení, spící nákaza se blbě odhaluje, dokud nezískáš znalosti, je lepší si v okolí někoho najít, kdo ti s tím pomůže.

4. 7. 2018 00:23:22

https://webtrh.cz/diskuse/jak-si-poradne-zpenetrovat-sit#reply1354903