-
Posts
1,215 -
Joined
-
Last visited
-
Days Won
25
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Александр Рыжов
-
-
Можете подписаться на RSS сайта entware.net или следить на форуме. В среднем это раз в пару месяцев.
Вместо ожидания лучше начать постепенно разбираться в происходящем.
-
Влезу в старый топик.
В 13.01.2019 в 02:17, keenet07 сказал:А как вы смотрите на то, чтобы сделать в web-интерфейсе роутера дополнительный подраздел, что-то вроде "Отчеты безопасности" где собирать и выводить какую-то статистику например по произведенным на роутер сетевым атакам со стороны WAN, выводить отчеты по попыткам сканирования какого-либо перечня опасных портов? А также выводить там все попытки перебора пароля в админку и к другим службам роутера. Попытки перебора паролей Wi-Fi. Ну и конечно же сделать удобный способ бана этих адресов, как в автоматическом, там и в ручном режиме. Этакий форпост безопасности будет. Думаю железо это не нагрузит. А фишка у роутера офигенная будет. Сразу его на голову выше аналогов поднимет.
Нет, это НЕ будет форпостом безопасности, это будет просто красивая страница отчётности с некоторой информацией, с которой в большинстве случаев непонятно как распоряжаться. К примеру, как вы будете себя вести узнав о нескольких сегодняшних атаках на SSH из Китая?
В роутере нет полноценных универсальных средств фиксирования вторжения (IDS), есть защита двух-трёх сервисов от перебора паролей. Можете оценить ресурсоёмкость и быстродействие IDS, установив из пакетов suricata, считающуюся легковесной.
В роутере нет по умолчанию нет никакого файервола (дажe SPI) при обращении из домашнего сегмента, в котором «светятся», напомню, большинство сервисов, лакомых для атак, как-то SAMBA, DLNA, UPNP, FTP, lrp/p9100nd и прочая и прочая.
А в итоге будет так: пользователи действительно будут считать эту страницу форпостом, сильно обижаясь в случаях, когда она не сработала в соответствии с ожиданиями.
IMHO, лучше тратить ресурсы на повышение безопасности отдельных сервисов, чем вешать иконку на торпедо.
- 5
- 2
-
На 2.16D.1 нельзя оставить поле «Адрес шлюза пустым», заполнив лишь «Интерфейс» с галкой «Добавлять автоматически»?
- 1
-
18 часов назад, Qwghlm сказал:
Поправил зависимости у перечисленных плагинов, теперь указанный пакет будет подтягиваться автоматом.
-
-
Почему в начало? Посмотрите как это сделано в том же Debian файлом patches\Set-systemwide-default-settings-for-libssl-users.patch
В PHP-скриптах оставьте вместо "tlsv1.2" просто "tls".
Придётся последовательно разбираться в вопросе, потому что если копипастить без понимая, то ничего не выйдет.
-
3 часа назад, Илдар сказал:
Не очень понятно, почему вопрос конфигурирования OpenSSL, если другие утилиты, его использующие (curl например) коннектятся корректно.
Я в душе́ не знаю почему на предложение о renegotiation со стороны api.github.com PHP скатывается в TLS1.0, curl так не делает. Если не предлагать renegotiation (что видно в выводе openssl s_client -connect api.github.com:443 -tls1_3), то при указаниии в PHP контекста "tlsv1.3" соединение устанавливается нормально.
Опциями в /etc/ssl/openssl.cnf Debian запрещает использование всего, что хуже TLS1.2 для всех пакетов системы:
# System default openssl_conf = default_conf … [default_conf] ssl_conf = ssl_sect [ssl_sect] system_default = system_default_sect [system_default_sect] MinProtocol = TLSv1.2 #CipherString = DEFAULT@SECLEVEL=2
Этим и пресекаются попытки PHP скатиться в TLS1.0. Аналогичные правки вы можете сделать и на Entware.
-
Entware ≠ Debian. Это вопрос конфигурирования пакетов на роутере.
Если хотите аналогичного поведения, посмотрите на своём десктопе секцию default_conf в /etc/ssl/openssl.cnf и соответвующим образом поправьте в Entware /opt/etc/ssl/openssl.cnf.
-
-
@r13, на раздел с меткой STORAGE прошивка реагирует по особому, монтируя его с флагом noexec. Другими словами, ничего из /storage запустить не удастся.
- 1
-
В 04.09.2019 в 23:30, karimovrt сказал:
Вы компетентным лицам напишите пожалуйста, чтобы они это на своих маркетингово-рекламных страницах указали: великолепная поддержка компании. но не официальная. урезанная. и все указанные в ТТХ функции, вы не сможете использовать) точнее сможете одновременно использовать процентов 5% из доступного)
А пока вот:
Интерфейс wi-fi
Сетевой ускоритель
DHCP
IGMP
SSH
Adguard DNS
Ipsec + l2tp
EOIP
Keenetic CloudДаже такой состав не лезет. Это откровенное издевательство.
Количество фич прошивки со временем растёт. Количество флеша на вашей модели со временем не растёт.
Можно не развивать новые возможности прошивки и всё будет влезать, но я уверен, что это не то, что вы бы хотели.
- 2
-
55 минут назад, Dr.How сказал:
В чем может быть проблема?
В дополнениях? Проверил на паре устройств c 3.3, всё норм.
-
Настроить можно на Entware, но в 4G II поддержки opkg нет.
Я настраивал в 2012-м, до момента, чтобы на роутер приезжало задание на печать в виде PDF-файла. Далее дело за поддержкой конкретной модели принтера в линуксе.
-
@Ray13579, посмотрите в сторону Google Cloud Printing.
-
2 часа назад, Le0n1d сказал:
В связи с чем вопрос - какой предельный размер файла может быть для DLNA? Вообще файлы более 4 Гбайт индексируются на этой модели роутера? Или проблема все же могла быть не в размере?
Предельного размера нет, но теоретически могут быть файлы, на которых minidlna споткнётся.
Из файлов читаются метаданные для возможности сортировки (например, по дате съёмки) и, если они для minidlna они будут неожиданные, то он может неожиданно отреагировать. К сожалению, фича сканирования метаданных неотключаемая.
-
3 часа назад, Олег Осипов сказал:
В чём может быть ещё дело?
В том, что не рассказали роутеру что с USB-LAN адаптером делать. Если его надо объединять с портами LAN в один домашний сегмент, то…
interface Bridge0 include RealtekEthernet0 system configuration save
- 2
-
-
После срабатывания бана меняется поведение окна логона.
Меня больше это привлекло. В идеале так быть не должно.
-
12 минуты назад, JIABP сказал:
По логу да, бан получил, потом ввёл верный пароль и в веб-морду спокойно пустило.
Почему-то меня не пустило. 15 минут пришлось гулять.
12 минуты назад, JIABP сказал:При этом полностью согласен, что перебирая admin1, admin2 и т.д. успеха особо не добьёшься, но всё равно знание о том, что такой бесполезный вид брутфорса имеет место быть напрягает.
У пользователей admin1, admin2, admin3 был тег http?
-
В чём смысл перебирать пользователей, если "admin" приколочен гвоздями? Введите несколько раз неправильный пароль для admin'а и получите заслуженный бан.
Netfilter::Util::BfdManager: "Http": ban remote host 92.241.241.241 for 15 minutes.
-
Потом рассказывать пользователям о рамках здравого смысла. Спасибо, нет.
- 1
-
31 минуту назад, r13 сказал:
А еще эту проверку не плохо бы автоматически запускать перед монтированием opkg раздела, дабы на удаленных роутерах opkg возвращалось к жизни само при загрузке роутера
Автоматическая проверка может сильно затянуться на больший носителях.
-
Обнаружил аналогичное на Omni II (2.15.C.3.0-2) c 3G-модемом Ростелекома. Похоже на редирект на заглушку провайдера:
[E] Jun 19 14:47:47 ndm: Cloud::Tunnel: "NDNS/5966bbbbf1d77ce8af786068747825d0": WAN: failed to receive data from 100.85.80.140:443 - connection reset by peer. [E] Jun 19 15:17:08 ndm: Cloud::Tunnel: "NDNS/a83bf2bfef6bc7b9a150d107b4739d3b": WAN: failed to receive data from 100.85.80.140:443 - connection reset by peer. [E] Jun 19 15:58:27 ndm: Cloud::Tunnel: "NDNS/45b8679e094ddd4de62a90834c181fcc": WAN: failed to receive data from 100.85.80.140:443 - connection reset by peer.
В итоге роутер не получает CID:
Вероятнее всего, что с прошивкой это никак не связано.
-
2 часа назад, Le ecureuil сказал:
Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.
Побочка, вероятно, в том, что клиентам будет не достучаться до внешнего сервиса, запущенного на UDP53. Верно?
Создать новый раздел Отчеты безопасности в web-интерфейсе.
in Развитие
Posted
Всё это реализовано без дополнительной веб-странички и отлично работает. И в логе посмотреть можно и подкрутить при желании.
Повторюсь, что вы будете делать с собранной информацией? Как вы отреагируете на десять попыток подбора пароля из Эфиопии? Просто интересны дальнейшие действия.