Как защитить домашний роутер (asus, zyxel) от взлома?

Question

[Worlding]

Не от спецслужб, от Китая и проч. хакеров :)
Ситуация:
Настроил на роутере доступ (zyxel keenetic II, asus rt-n12)
1. К вебморде через интернет
2. VPN PPTP
3. Прокинул порт RDP на комп.
Теперь думаю какие здесь могут быть уязвимости и как защититься от взломов?

Что хочу защитить:

1. Админку от перебора паролей. Какой-то failtoban или капчу же не поставишь. Получается только закрыть доступ извне, так?
2. Виндовый комп с RDP. Достаточно ли там сложного пароля или там надо прикручивать failtoban или тут тоже нет вариантов?
3. VPN-сервер. Оставить тот, что роутере? На роутере просто логин пароль (нет failtoban) - могут ли здесь быть риски от перебора паролей? Или надо внутри сети другой VPN поднимать и на него порт прокидывать?

Решение:
1. На роуетре закрыть извне сервисы по максимому.
2. На роутере поднять IPSecVPN (PPTP слабозащищён) или поднять его за роутером.

Answer 1

[Дмитрий]

Да никак, вы же прошивку не перепишите. Пароль посложнее, все сервисы вырубить/закрыть_извне. Прошивку последнюю поставьте.

В идеале, если роутер поддерживает ssh и проброс портов через него, то оставьте только его, повесьте на нестандартный порт, поставьте посложнее пароль, или лучше ключ. А к остальным сервисам стучитесь через проброс ssh.

Comments

[NikolayAlb]

А еще засунуть его в сейф, а провода вывести через герметичные, заранее просверленные отверстия.

[Антон Киселёв]

NikolayAlb: и антенну.

[Дмитрий]

zamboga: NikolayAlb: антенна и провода - это не безопасно. Просто выключить и положить в сейф.

[Worlding]

Отключить все сервисы - это вебморда и VPN и т.п.?
То есть лучше VPN-сервер поднять отдельно на машине в локальной сети?

[Дмитрий]

Worlding: ну обычно наружу, если нужен доступ из внешки, оставляют только порт ssh, да и тот нестандартный. К остальным сервисам просто пробрасываются порты через ssh, если прошивка умеет это делать.
Чем больше точек наружу, тем больше шанс, что что-то пойдёт не так.
ВПН можно и оставить, если он вам важен.

[Worlding]

Дмитрий: ssh мои роутеры не умеют.
Комп с RDP тоже под риском перебора паролей или там можно быть достаточно спокойным?

[Дмитрий]

Worlding: сделайте аутентификацию по сертификату, если боитесь перебора

[Worlding]

Дмитрий: а VPN тоже может быть с каким-то ключами\сертификатами?
Просто как-то соединяют два роутера VPN-нами, вот и я думаю, как их безопасно соединить. или надо более профессиональный роуетр?

[Дмитрий]

Worlding:

вот и я думаю, как их безопасно соединить

ну, PPTP давным давно поломан, имеет кучи уязвимостей и, в чистом виде, с безопасностью не имеет ничего общего.

Роутер, конечно, лучше хороший. Могу порекомендовать Микротик, если вы более-менее подкованы в сетях, например, 951G-2HnD. Между ними можно поднять l2tp/ipsec, например.

[Worlding]

Дмитрий: спасибо за ответы. Подниму IPSec VPN на роутере или за ним.
Есть хорошая инструкция для ZyXel Настройка туннеля IPSec VPN между интернет-центром...

Answer 2

[sir_Maverick]

И обязательно выключить wps

Answer 3

[CityCat4]

1. Сменить пароль админа на длинный на максимально возможном наборе.
2. Если есть возможность переименовать админа - переименовать.
3. Доступ к вебморде снаружи не давать вообще или давать только по одному IP
4. PPTP сломан. Давно, надежно. Им защищаться - это типа китайской "железной" двери.
5. RDP перенести на другой порт, раздавать по IP.

А лучше всего, если есть возможность - перешиться на OpenWRT :)

Answer 4

[fatalick]

После того как настроете, просканируйте систему
www.tenable.com/products/nessus/nessus-professiona...
Покажет открытые порты, какие службы видны снаружи, уязвимости общеизвестные.
100% гарантии, что все ок, конечно, дать нельзя, но откровенные косяки в защите будет видно.

Answer 5

[Дмитрий]

Не понятно что именно вы хотите защитить от взломов?
Не давайте доступ к "морде" роутера из внешних сетей и установите длинный пароль. Если можно сменить имя пользователя администратора, то тоже стоит сделать.
Не открывайте порты наружу, используйте для доступа в локальную сеть vpn сервер.
Отключите upnp.
Обновляйте прошивку, если еще выходят обновления.

Comments

[Worlding]

Что хочу защитить:

1. Админку от перебока паролей. Какой-то failtoban или капчу же не поставишь. Получается только закрыть доступ извне, так?
2. Виндовый комп с RDP. Достаточно ли там сложного пароля или там надо прикручивать failtoban?
3. VPN-сервер. Оставить тот, что роутере? Опять тут логин пароль - могут ли здесь быть перебор паролей? Или надо внутри сети другой поднимать и на него порт прокидывать?

[Дмитрий]

Worlding: Если вы беспокоитесь о безопасности, то на все встречные вопросы ответ "ДА".
1) Самое небезопасное - это морда роутера во внешнюю сеть. В этом случае я даже не вижу интсрументов ограничения попыток подбора пароля. Разве что давать доступ не напрямую, а через какой-нибудь проксирующий хост внутри сети, но это уже какая-то порнография.
2) RDP не стоит выставлять в интернет в явном виде. Особенно если доступ открыт для пользователей с превилегиями.
3) vpn сервер это хорошо. Подключились к VPN и уже не нужно ничего открывать во внешнюю сеть. Вот вам и доступ к вебморде роутера и к RDP. Я бы еще рекомендовал вместо паролей (для vpn) сертификаты использовать, но это уже опционально.

[Worlding]

Дмитрий: Спасибо. Пришёл к выводу, что так и надо сделать: оставить только VPN за роутером.

Я бы еще рекомендовал вместо паролей (для vpn) сертификаты использовать

Подскажите, как называется этот вид VPN - SSL VPN или OpenVPN вроде этого (там тоже речь про сертификаты)?

Answer 6

[Сергей]

2. VPN PPTP

... обязательно защитите ... вы в это верьте! ... и анб и фсб пасуют .... *сарказм*

Comments

[Worlding]

Мне не от спецсужб, мне от Китая бы спастись :)

[Сергей]

Worlding: у китайцев на этот протокол уже сотни наработок ).