Comments 11
Как-то всё в кучу. Намешаны домашние слушалки трафика и оборудование enterprise grade. Описана ошибка в платформе ASR (то, что вы назвали серией 1001-Х, на самом деле называется ASR1001-Х и это конкретная модель, а серия называется ASR1k), на картинке нарисована ASA.
Микроты да, имели богатую историю уязвимостей, но всё равно, та же моргающая коробочка Bitdefender BOX 2 никак не защитит от уязвимостей в ПО роутеров.
И если и можно сравнивать Zyxel USG (статья же о них?) с Cisco ASA, то только с самыми начальными моделями. И дело не в "хорошести", а в позиционируем рынке и сфере применения.
На моих обоих домашних роутерах (EA6300 Linksys и Archer C7 Tp-Link) установлена DD-WRT. К сожалению, ничего не сказано про упомянутые в статье роутеры с альтернативными прошивками.
P.S. Обновляю прошивки вручную примерно раз в полгода.
P.S. Обновляю прошивки вручную примерно раз в полгода.
На роутере для домашних нужд оставлять стоковую прошивку — это не к добру.
Если я покупаю роутер то первым делом смотрю есть ли для него прошивка OpenWRT (если нет, то выбираю другой, для которого есть), и, купив, перепрошиваю не подключая его к сети.
Если я покупаю роутер то первым делом смотрю есть ли для него прошивка OpenWRT (если нет, то выбираю другой, для которого есть), и, купив, перепрошиваю не подключая его к сети.
Насколько эти прошивки безопаснее?
На мой взгляд они как минимум централизованно обновляются а не когда производителю взбредёт в голову обновить прошивку конкретного устройства.
С другой стороны — уязвимость будет сразу везде. :)
А так, как показывает практика — наиболее уязвимые устройства, это те устройства что не были должным образом настроены, вот и всё.
С другой стороны — уязвимость будет сразу везде. :)
А так, как показывает практика — наиболее уязвимые устройства, это те устройства что не были должным образом настроены, вот и всё.
Там внутри стандартное ядро Linux и набор достаточно хорошо проверенных утилит.
Пилит эти прошивки довольно приличное сообщество и баги там правятся достаточно оперативно.
Сборки есть ежедневные — они, само собой, могут быть нестабильными.
И есть стабильные релизы — тоже довольно регулярные.
А теперь возьмем любую стоковую прошивку для «домашнего» роутера (SOHO) — для нее в лучшем случае будет выпущено пара-тройка обновлений после старта продажи железки (обычно с исправлением багов в интерфейсе). Найли обновление стоковой прошивки через пару лет после старта продаж — уже не реально.
Но самое больное место стоковой прошивки — это все эти кастомизированные морды web-интрфейсов. Пилят их не самые профи и каждый производитель пилит свое. Дыр в этих мордах находят регулятно в количестве. У того же OpenWRT есть одна веб-морда и пилят и проверяют ее большой толпой. Шансов что там есть дыры — меньше.
Ну и подход к настройкам: OpenWRT при первом входе затребует заменить пароль рута, и на роутере отключен wifi. Т.е. роутер надо настроить.
А что у нас в стоковой прошивке? Воткнул и все работает — «настраивать не нужно». Крутотень же! Ага, только телнет наружу торчит и дефолтный пароль рута, вафля без пароля…
Пилит эти прошивки довольно приличное сообщество и баги там правятся достаточно оперативно.
Сборки есть ежедневные — они, само собой, могут быть нестабильными.
И есть стабильные релизы — тоже довольно регулярные.
А теперь возьмем любую стоковую прошивку для «домашнего» роутера (SOHO) — для нее в лучшем случае будет выпущено пара-тройка обновлений после старта продажи железки (обычно с исправлением багов в интерфейсе). Найли обновление стоковой прошивки через пару лет после старта продаж — уже не реально.
Но самое больное место стоковой прошивки — это все эти кастомизированные морды web-интрфейсов. Пилят их не самые профи и каждый производитель пилит свое. Дыр в этих мордах находят регулятно в количестве. У того же OpenWRT есть одна веб-морда и пилят и проверяют ее большой толпой. Шансов что там есть дыры — меньше.
Ну и подход к настройкам: OpenWRT при первом входе затребует заменить пароль рута, и на роутере отключен wifi. Т.е. роутер надо настроить.
А что у нас в стоковой прошивке? Воткнул и все работает — «настраивать не нужно». Крутотень же! Ага, только телнет наружу торчит и дефолтный пароль рута, вафля без пароля…
А список специально картинкой вставили чтобы нельзя было поиском по модели найти?
О дефолтных паролях: Даже весьма продвинутые ИТ-специалисты ленятся это делать.
- Это не спец, а мамкин админ.
- А слабо делать в железе отсутствие дефолтных паролей? Тут есть два варианта: отсутствие пароля, и требование придумать его при инициализации и тут же проверять его надёжность, и второй — рандомный дефолтный пароль на устройство написанный на маршрутизаторе.
Дальше о статье в общем: - Статья проплаченная реклама не более
- То о чем писали выше: статья не систематизированная, все в кучу: soho, business.
- Автообновление прошивки, где вы такое видели? Это незапланированый даунтайм и риск не понятного окерпичивания что для soho что для business.
- UPnP это чистое soho и это не просто плохо: это бекдор который вы ОСОЗНАНО оставляете у себя в сети, поздравляю.
- Ваши решения — не решат ничего. Шлюз это уже пограничное устройство в сети — если вы его не умеете настраивать — обратитесь к системному администратору. Если уровень его безопасности или функционал вас не устраивает — замените его. А не городите 20 файрволов которые защищают другие файрволы. Это абсурд товарищи...
Дак все же какие zyxel оказались под атакой? Списка не дадите?
Да как-бы все из серий ATP, USG и ZyWALL — ОСь-то на всех одна как-бы…
Подробнее
Подробнее
Sign up to leave a comment.
Эти опасные роутеры: наиболее масштабные взломы сетевого оборудования последнего времени и способы защиты