Задать вопрос

Доступ в локальную сеть за роутером из локальной сети провайдера?

Добрый вечер. В связи с кучей новостей о бэкдорах в сетевом оборудовании, назрел вопрос безопасности использования роутера.

Роутер ASUS RT-N10. Радиомодуль отключен. К порту WAN подключен провод провайдера, к порту LAN - компьютер. Провайдер предоставляет доступ в интернет через pppoe, заставляя иметь в локальной сети адрес вида 10.*.*.* и стучаться на 10.0.0.1 в качестве "имени службы". После подключения выдается нормальный белый IP. При этом локальная провайдерская сеть 10.*.*.* не изолирует клиентов друг от друга и все, кто подключен к оборудованию в доме "видят" друг друга в сети. Роутер в свою очередь создает сеть вида 192.168.*.*, а панель управления доступна по адресу 192.168.1.1

Вопросы:
1. Может ли кто-либо из сети провайдера зайти в панель роутера 192.168.1.1 ?
2. Виден ли мой 192.168.1.2, кому-либо из сети провайдера, если предположим он поменяет свой ip на 192.168.1.3 (не проверял, но вроде бы оборудование провайдера позволяет иметь любой ip в локальной сети).
3. Если ответ на любой из вопросов "да", то как с этим бороться?

Заранее спасибо за ответы. Прошу прощения за нубство.
  • Вопрос задан
  • 29560 просмотров
Подписаться 9 Оценить 1 комментарий
Пригласить эксперта
Ответы на вопрос 3
@n1ghtingale
1. Да, если доступ открыт наружу, так же как и доступ по SSH и Telnet.
Для решения необходимо в настройках прикрыть доступ снаружи и оставить доступ только из локальной сети.
2. Нет не виден.
Ответ написан
Комментировать
@TaroKun
1. У Асусов этой серии, на вкладке WAN или Безопасность есть галка "Разрешить управление через wan". Снимаем и вебпанель извне не доступна.
2. Через pppoe - не видят.
3. Для перестраховки, можно прошить роутер каким-нибудь OpenWRT и подробно изучить настройки фаервола, поменять порты SSH/Telnet и выставить безопасные пароли. Ну и найти провайдера который раздаёт интернет по VPN.
Ответ написан
@rvoid Автор вопроса
Спасибо за ответы.
Единственная настройка, прямо регулирующая доступ к панели: Включить веб-доступ из WAN? - No (было по дефолту). Этот запрет работает, через прокси к белому ip подключиться не удалось.

Однако есть очень интересный раздел настроек локальной сети.
ЛВС - Маршрут
Эта функция позволяет добавлять в RT-N10 правила маршрутизации. Эта функция полезна при подключении нескольких маршрутизаторов помимо RT-N10 для совместного использования одного подключения к Интернету.

Список статических маршрутов
Использовать маршруты DHCP? - Yes
Включить многоадресную маршрутизацию? - Yes
Включить статические маршруты? - No


и пустая табличка внизу с полями:
IP-адрес сети или хоста -- Сетевая маска -- Шлюз -- Метрика -- Интерфейс

Выключил
Использовать маршруты DHCP? - No
Включить многоадресную маршрутизацию? - No


С этими настройками все в порядке?
ЛВС - IP-адрес ЛВС
Настройка IP-адреса ЛВС RT-N10. DHCP-сервер динамически изменяет пул IP-адресов при изменении IP-адреса ЛВС.
IP-адрес: 192.168.1.1
Маска подсети: 255.255.255.0


Есть предположения какие еще потенциально опасные настройки есть на роутере? Думаю, стоит еще принудительно назначить IP с привязкой к маку и отключить DHCP.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы