[about] [index] [prev] [2020-07-11 11:38:39+03:00] [e655cf3c6c1e8ad64583c7079628596ac016ba24]
Topics: [ipsec]

Все домашние маршрутизаторы имеют уязвимости

https://volos-news.ru/tehnologii/besprovodnaya-ugroza-domashnie-routery-uyazvimy-pered-atakami.html
А я вот никогда в жизни их и не использовал. Конечно, в ADSL модемах
прошивки могли делать и DHCP, DNS, NAT, firewall, но всю жизнь я их
использовал только как мост. WiFi у меня тоже был только в режиме моста.
Маршрутизатором всегда был старый компьютер, старый нотубук, GuruPlug,
неттоп, сейчас вот целый Xeon сервер.

Но сама идея что у меня дома устройство имеющее полноценный TCP/IP стэк
и что-то с ним делающая до "меня" (до моих FreeBSD или GNU/Linux-ов) --
противна. Само собой внутри них точно такие же Linux со всякими BusyBox
и прочим. Но кто их делает? Китайцы. А у меня в подобных вещах к ним нет
абсолютно никакого доверия. Тяп-ляп и готово. Да и я хочу иметь полный
контроль над всем трафиком. Если устройство as-is в итоге мне пересылает
IP пакет как он пришёл от провайдера -- ok, собственно это и есть мост.

Как их обновлять? Только скачивая бинарные прошивки? Я на серверах и
ноутбуках у себя абсолютно всё собираю из исходников. Конечно,
первоначальный образ дистрибутива FreeBSD у меня бинарный. Но я его всё
равно полностью пересобираю из исходников.

Более того, понимать что у тебя криворукое поделие, которое имеет
доступ на канальном уровне до всех твоих серверов, ноутбуков -- стрёмно.
Не стрёмно если после него поставить сразу же какой-нибудь firewall/шлюз,
но и смысла тогда в "домашнем роутере" нет никакого, только возможно для
задач моста (оптику/ADSL "преобразовать" в Ethernet).

А ещё я нисколько не могу доверять безопасности китайцами сделанного
WiFi. Не, я против китайцев ничего против не имею. Промышленное
оборудование (Huawei) и тому прочее они конечно делают достойно. Но вот
для дома, всякий ширпотрёб -- я не смогу поверить что достойно. Сами
WiFi протоколы безопасности у меня нареканий не вызывают. Вот только...
что будет если PRNG внутри WiFi точки доступа будет низкокачественной?
Что будет если программист счётчики пакетов не корректно обрабатывает?
А будет фатально с точки зрения безопасности. Кто-то понесёт наказание
если это явно выявится? Нет, всем насрать. А я, когда пробовал работать
через WiFi, совершенно не хочу чтобы у меня радиоволнами broadcast-ился
мой трафик с очень сомнительным уровнем безопасности. Если в ноутбуке
WPA протоколы я могу делать программно в ОС, то на точке доступа уже я
ни на что не влияю. Поэтому я в любом случае поднимал VPN туннель.
Тогда я считал что IPsec это дико сложная и архаичная фигня и поэтому на
него не смотрел. OpenVPN... боль и страдание. WireGuard-а ещё не было. Я
взял и написал GoVPN. Сейчас я правда абсолютно везде использую IPsec
или SSH TUN-туннель для простейших случаев когда надо через NAT
соединиться.

[leave comment]