Какой роутер выбрать для безопасной работы, без боязни за данные и серфинг?

Question

[# ##]

Всем привет!
В общем ситуация такая, нужно подобрать оборудование (роутер) может что-то еще, для безопасной работы.
Будут производиться заходы на определенные сайты, частые вводы паролей, финансовые операции, переводы с кошельков и обратно, торговля и т.д.
Необходима стабильность и хорошая защита соединения из вне. Думал собрать неттоп да накатить monowall, но достаточно ли это...? И подходит ли...?

Answer 1

[Сергей Петриков]

Практически любой роутер подойдет, у некоторых вендоров возможны закладки от производителей, но вряд-ли вы им интересны. Неттоп для этого лишнее, посмотрите в сторону микротиков, достаточно богатый функционал и стабильная работа за свою цену, хотя с непривычки может быть сложно разобраться. Советовать что-то взрослое не хочется, т.к. это очень дорого и вряд-ли имеет смысл в вашем кейсе. А вообще шифруйте данные как лишняя мера безопасности.

Comments

[# ##]

Спасибо! А подскажите шифровать именно каким методом?

[Сергей Петриков]

ssl, openvpn, ipsec - на выбор.

[# ##]

Спасибо, выбрал модель уже Mikrotik RB2011UAS-2HnD-IN =)

[Сергей Петриков]

Хорошая модель, можно сразу оптику заводить без конверторов, дружит с pon, есть PoE как IN так и OUT, нормально прокачивает гигабит в режиме свитчинга, можно присобачить 3G свисток для резервного канала. Пожалуй лучший выбор для SOHO за свою цену, единственный недостаток - это wifi работает только в 2.4GHz

[# ##]

Спасибо за описание! 3G наверно и сделаю тоже, вообще по описанию что можно заводить несколько провайдеров. Единственное не могу найти информацию о подключении к прову по pppoe, у меня ростелеком((( Хотя в принципе же должен присутствовать этот метод подключения в таком устройстве...

[Сергей Петриков]

Только на передатчике WiFi мощность снизьте, он одноватный, можно сказать промышленный, если территория небольшая 10-15 dBM с запасом будет.

[Сергей Петриков]

PPPoE есть как клиент так и сервер, так-же можете в каждый порт завести по отдельному провайдеру - это полупромышленный роутер маршрутизация очень гибкая, даже BGP есть, говорят даже держит фулвью, я сомневаюсь конечно, но протоколов там столько, сколько не на каждой циске имеется.

[# ##]

хм, замечательно!!!) сегодня буду заказывать)) 10-15dB хватит на квартиру 80 квадратов?

[Сергей Петриков]

Если у вас в квартире в стены не вмурована клетка Фарадея, то еще и большинство соседей будут уверенно ловить. Хотя от местоположения зависит конечно, холодильники и микроволновки могут не слабо забивать сигнал, но на обычных домашних роутерах я максимум 17 dBM видел, лучше репитор поставить чем мощность увеличивать.

[# ##]

@RicoX )) понял! отлично! как придет начну осваивать микротик! Премного благодарен Вам за помощь!!!

Answer 2

[Илья Гром]

MikroTik. Дёшево, сердито и с хорошим функционалом.

Answer 3

[Deerenaros]

Берёте любой, смотрите есть ли WPS, если есть - отключаете. Потом ставите режим защиты WPA-Personal с AES'ом.

Всё.

Comments

[# ##]

именно так и было - результат не очень...

[Deerenaros]

@morgankerm что именно не очень? Не очень быстро работает? Или была организована успешная атака на AES? Тогда берите что-нибудь посильнее или пишите диссертацию на тему взлома AES.

[Сергей Петриков]

Если надо защищать именно вайфай и WPA-Personal не очень, смотрите в сторону WPA2 Enterprise, но там придется отдельный radius сервер держать, зато таких хитросплетений протоколов наворотить можно, но по мне лишнее это, проще защищать трафик на пути клиент-сервер и плевать через какие маршрутизаторы он идет. Смотрите в сторону шифрованных тунелей со стойкой криптографией, хотя от терморектального криптоанализа и это не поможет.

[# ##]

да, именно просто WPA это дело и не очень, WPA2-Enterprise теперь как минимум.

[sonik_spb]

WPA2-Enterprise - это вот как раз с radius сервером решение. По защищенности радио канала от WPA2-Personal не отличается. Только добавляется гибкость в управлении учётными данными для доступа к wifi. Если вас где то подвёл WPA2 с AES, то я бы на вашем месте пересмотрел всё что влияет на вашу безопасность(ноутбук, телефон, устройства друзей - всё это места откуда можно вытащить пароль вашей сети), т.к. сейчас нет решения для взлома этого типа шифрования "в лоб", дыра явно была в другом месте.

[Сергей Петриков]

В лоб нету, тупым перебором по словарю есть ну и социнженеринг не исключен, в случае Enterprise каждый пользователь имеет свой пароль, так что легко отследить от кого утечка. Да и выше говорили что защита вайфай не метод обеспечения информационной безопасности, скорее так чтоб соседи вайфай не воровали.

[Deerenaros]

@RicoX Тогда Personal'а более чем достаточно. Важно понять такую простую вещь - пока взлом вашей сети будет дороже, чем полученный профит, Вы в безопасности.

AES не взломать даже квантовым компьютером. Даже 128 бит с трудом вскроются даже если собрать все компы планеты Земля и все известные публичные труды о криптографии.

[Сергей Петриков]

Ну скажем не совсем так, вернее есть нюансы.
Вайфай ломается примерно так:
1) Карта в режиме монитора слушает эфир (опционально только нужный канал и BSSID
2) Перехватывается момент установки соединения (можно принудительно спровоцировать при активных клиентах)
3) Спокойно брутится в другом месте на видеокарте(или видеокартах) 12 значный цифровой пароль брутится в районе недели, а 10 значный из любых символов менее суток. Есть еще словари и радужные таблицы (для стандартных имен точек)
Пароли более 10 знаков редкость ибо набирать неудобно.
Второй вариант загнать руткит юзеру у которого пароль сохранен в настройках и вытянуть его.
Personal - удобно когда пользователей мало, Enterprise - когда пользователей много на большую хотзону, в случае утечки не нужно всех оповещать новым паролем, ну и личная ответственность за свою учетку надежней коллективной. Я сам в большинстве случаев Personal использую, ибо с радиусом возиться лениво, но я даже близко не рассматриваю доступ к точке как пункт безопасности сети.

[sonik_spb]

10-ти значный из любых символов менее суток? Без радужных таблиц? Просветите пжл.

[Сергей Петриков]

Да на здоровье, не так давно статья на хабре была.
habrahabr.ru/post/226431

[Сергей Петриков]

@sonik_spb Прошу прощения ввел в заблуждение, на одиночной системе для WPA будет дольше значительно, не так посчитал, ошибся в знаке, в статье более верные данные.
(26^8) / (1500000 * 3600) = 38,7 часов для перебора 8-значного пароля с a-z
(10^10) / (1500000 * 3600) = 2 часа для 10-значного цифрового пароля
(26^10) / (1500000 * 3600 * 24 * 365) = 3 года для 10-значного пароля с a-z
(10^12) / (1500000 * 3600 * 24) = 7,7 дней для 12-значного цифрового пароля
(10^14) / (1500000 * 3600 * 24 * 365) = 2,1 года для 14-значного цифрового пароля

[Deerenaros]

@RicoX Всё правильно. 38 часов для перебора 8-значного [a-z]+, но больше года для [a-zA-Z]+, так что правильный пароль - это важно.

Руткиты проблема, но я скорее случайных руткитов имею целый зоопарк, только их владельцам я на@#$ сдался, а специально впихнуть руткит здравомыслящему человеку без предательства - дело очень нелёгкое. Да, я читал Митника, но простите, мы в РФ. Здесь все друг на друга чрезвычайно подозрительны, так что Митник у нас использует немного другое - усталость и бумажную волокиту. Забросить так руткит надо постараться.

[Сергей Петриков]

Было бы желание, а возможность найдется, тот же MITM провести (кабель входа от провайдера редко защищен) к примеру с патчем на лету любой программы скачиваемой вами даже с официального сайта, вопрос цены и желания. Да и если Personal, а пользователей много - атаковать самого беспечного, да хоть сеть с таким-же SSID подсунуть открытую, а легальную заглушить и заставить переконектиться к вашей, а дальше если трафик открытый и вся надежда была на WPA - сиди да логируй все.

[sonik_spb]

@Deerenaros вот я и удивился что перебор всех всех символов 10-ти знаков менее суток. Это не верно.

[Deerenaros]

@RicoX Ясное дело, было бы желание. MITM - целиком и полностью нелегален. Так что на это пойдут лишь те, кому действительно надо. Заглушить сеть - не так уж и тривиально, коннектят не все, да и вообще - можно это спокойно проверить, банально запретив коннектить к открытым точкам.

Но в общем и целом - всё это, проблема ресурсов. В 95% случаях паранойя нездоровая. В половине остальных 5% делать что-то бессмысленно, разве только стенография.

Answer 4

[Пума Тайланд]

мне кажется роутер последнее что должно вас защищать, прямой кабель в комп намного надежнее и полностью исключает прокладку дырявую в виде роутера.

Comments

[# ##]

кабель в комп? не подходит, в домашних условиях особенно