[Создать новый раздел Отчеты безопасности в web-интерфейсе.]

21 час назад, keenet07 сказал:

Хорошо. Я понимаю, что полноценного фаервола и IDS из роутера пока скорее всего не выйдет. Отбросим это. Но вторую часть просьбы вполне можно реализовать. Не называть это громкими словами "Форпост безопасности". Выделить страничку где будут фиксироваться сообщения о попытках ввода неверного пароля в админку, к WiFi и к другим сервисам роутера.

Чтоб тут же была гибкая настройка политики для этих событий. Допустим какое-то вол-во попыток за какое-то время зарегистрировать, как попытку перебора. И выбор действий. Просто уведомить, либо бан IP на выбранный срок, либо бан MAC если это исходит из WIFI или локалки. Возможность как-то просигнализировать об этом админу. Либо алерт, либо mail, мигание светодиода.

Всё это реализовано без дополнительной веб-странички и отлично работает. И в логе посмотреть можно и подкрутить при желании.

Повторюсь, что вы будете делать с собранной информацией? Как вы отреагируете на десять попыток подбора пароля из Эфиопии? Просто интересны дальнейшие действия.

[по какому событию обновляется репозиторий OPKG?]

Можете подписаться на RSS сайта entware.net или следить на форуме. В среднем это раз в пару месяцев.

Вместо ожидания лучше начать постепенно разбираться в происходящем.

[Создать новый раздел Отчеты безопасности в web-интерфейсе.]

Влезу в старый топик.

В 13.01.2019 в 02:17, keenet07 сказал:

 А как вы смотрите на то, чтобы сделать в web-интерфейсе роутера дополнительный подраздел, что-то вроде "Отчеты безопасности" где собирать и выводить какую-то статистику например по произведенным на роутер сетевым атакам со стороны WAN, выводить отчеты по попыткам сканирования какого-либо перечня опасных портов? А также выводить там все попытки перебора пароля в админку и к другим службам роутера. Попытки перебора паролей Wi-Fi. Ну и конечно же сделать удобный способ бана этих адресов, как в автоматическом, там и в ручном режиме. Этакий форпост безопасности будет. Думаю железо это не нагрузит. А фишка у роутера офигенная будет. Сразу его на голову выше аналогов поднимет.

Нет, это НЕ будет форпостом безопасности, это будет просто красивая страница отчётности с некоторой информацией, с которой в большинстве случаев непонятно как распоряжаться. К примеру, как вы будете себя вести узнав о нескольких сегодняшних атаках на SSH из Китая?

В роутере нет полноценных универсальных средств фиксирования вторжения (IDS), есть защита двух-трёх сервисов от перебора паролей. Можете оценить ресурсоёмкость и быстродействие IDS, установив из пакетов suricata, считающуюся легковесной.

В роутере нет по умолчанию нет никакого файервола (дажe SPI) при обращении из домашнего сегмента, в котором «светятся», напомню, большинство сервисов, лакомых для атак, как-то SAMBA, DLNA, UPNP, FTP, lrp/p9100nd и прочая и прочая.

 

А в итоге будет так: пользователи действительно будут считать эту страницу форпостом, сильно обижаясь в случаях, когда она не сработала в соответствии с ожиданиями.

IMHO, лучше тратить ресурсы на повышение безопасности отдельных сервисов, чем вешать иконку на торпедо.

[Статическая маршрутизация]

На  2.16D.1 нельзя оставить поле «Адрес шлюза пустым», заполнив лишь «Интерфейс» с галкой «Добавлять автоматически»?

[rTorrent - BitTorrent-клиент]

18 часов назад, Qwghlm сказал:

 Нет модуля php7-mod-json

 opkg install php7-mod-json
 

После установки необходимо перезапустить

Поправил зависимости у перечисленных плагинов, теперь указанный пакет будет подтягиваться автоматом.

[Возможность отключения диагностического модуля]

 

[api.github.com недоступен через PHP]

Почему в начало? Посмотрите как это сделано в том же Debian файлом patches\Set-systemwide-default-settings-for-libssl-users.patch

В PHP-скриптах оставьте вместо "tlsv1.2" просто "tls".

Придётся последовательно разбираться в вопросе, потому что если копипастить без понимая, то ничего не выйдет.

[api.github.com недоступен через PHP]

3 часа назад, Илдар сказал:

Не очень понятно, почему вопрос конфигурирования OpenSSL, если другие утилиты, его использующие (curl например) коннектятся корректно.

 Я в душе́ не знаю почему на предложение о renegotiation со стороны api.github.com PHP скатывается в TLS1.0, curl так не делает. Если не предлагать renegotiation (что видно в выводе openssl s_client -connect api.github.com:443 -tls1_3), то при указаниии в PHP контекста "tlsv1.3" соединение устанавливается нормально.

Опциями в /etc/ssl/openssl.cnf Debian запрещает использование всего, что хуже TLS1.2 для всех пакетов системы:

# System default
openssl_conf = default_conf
…
[default_conf]
ssl_conf = ssl_sect

[ssl_sect]
system_default = system_default_sect

[system_default_sect]
MinProtocol = TLSv1.2
#CipherString = DEFAULT@SECLEVEL=2

Этим и пресекаются попытки PHP скатиться в TLS1.0. Аналогичные правки вы можете сделать и на Entware.

 

[api.github.com недоступен через PHP]

Entware ≠ Debian. Это вопрос конфигурирования пакетов на роутере.

Если хотите аналогичного поведения, посмотрите на своём десктопе секцию default_conf в /etc/ssl/openssl.cnf и соответвующим образом поправьте в Entware /opt/etc/ssl/openssl.cnf.

[Cloudflare as DDNS]

@iTeeLion, добавлять в прошивку DDNS-сервисы дело не очень благодарное из-за периодических изменений API и прочих требований.

Предлагаю настроить DNS-o-Matic и через него рулить нужными записями, Cloudflare среди списка поддерживаемых есть.

[Монтирование удаленного сетевого раздела на роутере]

@r13, на раздел с меткой STORAGE прошивка реагирует по особому, монтируя его с флагом noexec. Другими словами, ничего из /storage запустить не удастся.

[Разрешить расширение встроенной flash выключением Dualboot]

В 04.09.2019 в 23:30, karimovrt сказал:

Вы компетентным лицам напишите пожалуйста, чтобы они это на своих маркетингово-рекламных страницах указали: великолепная поддержка компании. но не официальная. урезанная. и все указанные в ТТХ функции, вы не сможете использовать) точнее сможете одновременно использовать процентов 5% из доступного)

А пока вот:

Интерфейс wi-fi
Сетевой ускоритель
DHCP
IGMP
SSH
Adguard DNS
Ipsec + l2tp
EOIP
Keenetic Cloud

Даже такой состав не лезет. Это откровенное издевательство.

Количество фич прошивки со временем растёт. Количество флеша на вашей модели со временем не растёт.

Можно не развивать новые возможности прошивки и всё будет влезать, но я уверен, что это не то, что вы бы хотели.

[Авторизация в FireFox 69]

55 минут назад, Dr.How сказал:

В чем может быть проблема?

В дополнениях? Проверил на паре устройств c 3.3, всё норм.

[Печать из Интернета Keenetic 4G II]

Настроить можно на Entware, но в 4G II поддержки opkg нет.

Я настраивал в 2012-м, до момента, чтобы на роутер приезжало задание на печать в виде PDF-файла. Далее дело за поддержкой конкретной модели принтера в линуксе.

[Печать из Интернета Keenetic 4G II]

@Ray13579, посмотрите в сторону Google Cloud Printing.

[DLNA виснет на индексации файла больше 8 Гб]

2 часа назад, Le0n1d сказал:

В связи с чем вопрос - какой предельный размер файла может быть для DLNA? Вообще файлы более 4 Гбайт индексируются на этой модели роутера? Или проблема все же могла быть не в размере?

Предельного размера нет, но теоретически могут быть файлы, на которых minidlna споткнётся.

Из файлов читаются метаданные для возможности сортировки (например, по дате съёмки) и, если они для minidlna они будут неожиданные, то он может неожиданно отреагировать. К сожалению, фича сканирования метаданных неотключаемая.

[Поддержка USB-Ethernet адаптеров]

3 часа назад, Олег Осипов сказал:

В чём может быть ещё дело?

В том, что не рассказали роутеру что с USB-LAN адаптером делать. Если его надо объединять с портами LAN в один домашний сегмент, то…

interface Bridge0 include RealtekEthernet0
system configuration save

 

[Поддержка Powercom ИБП через CONFIG_USB_SERIAL_CYPRESS_M8]

 

 

[Не работает защита от брутфорса веб-интерфейса по HTTPS]

После срабатывания бана меняется поведение окна логона.

Меня больше это привлекло. В идеале так быть не должно.

[Не работает защита от брутфорса веб-интерфейса по HTTPS]

12 минуты назад, JIABP сказал:

По логу да, бан получил, потом ввёл верный пароль и в веб-морду спокойно пустило.

Почему-то меня не пустило. 15 минут пришлось гулять.

 

12 минуты назад, JIABP сказал:

При этом полностью согласен, что перебирая admin1, admin2 и т.д. успеха особо не добьёшься, но всё равно знание о том, что такой бесполезный вид брутфорса имеет место быть напрягает.

У пользователей admin1, admin2, admin3 был тег http?

[Не работает защита от брутфорса веб-интерфейса по HTTPS]

В чём смысл перебирать пользователей, если "admin" приколочен гвоздями? Введите несколько раз неправильный пароль для admin'а и получите заслуженный бан.

 

Netfilter::Util::BfdManager: "Http": ban remote host 92.241.241.241 for 15 minutes.

 

[Встроенная проверка диска]

Потом рассказывать пользователям о рамках здравого смысла. Спасибо, нет.

[Встроенная проверка диска]

31 минуту назад, r13 сказал:

А еще эту проверку не плохо бы автоматически запускать перед монтированием opkg раздела, дабы на удаленных роутерах opkg возвращалось к жизни само при загрузке роутера  

Автоматическая проверка может сильно затянуться на больший носителях.

[Cloud]

Обнаружил аналогичное на Omni II (2.15.C.3.0-2) c 3G-модемом Ростелекома. Похоже на редирект на заглушку провайдера:

[E] Jun 19 14:47:47 ndm: Cloud::Tunnel: "NDNS/5966bbbbf1d77ce8af786068747825d0": WAN: failed to receive data from 100.85.80.140:443 - connection reset by peer.
[E] Jun 19 15:17:08 ndm: Cloud::Tunnel: "NDNS/a83bf2bfef6bc7b9a150d107b4739d3b": WAN: failed to receive data from 100.85.80.140:443 - connection reset by peer.
[E] Jun 19 15:58:27 ndm: Cloud::Tunnel: "NDNS/45b8679e094ddd4de62a90834c181fcc": WAN: failed to receive data from 100.85.80.140:443 - connection reset by peer.

В итоге роутер не получает CID:

Вероятнее всего, что с прошивкой это никак не связано.

[Голосование за блокировку хостов (имён доменов) по файлу]

2 часа назад, Le ecureuil сказал:

Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.

Побочка, вероятно, в том, что клиентам будет не достучаться до внешнего сервиса, запущенного на UDP53. Верно?