Režie provozu internetu

[krpec 0]

Zdravim,

včera jsem při náhodném pohledu do nastavení routeru, který je za modemem zjistil, že v době dovolené bylo každý den přeneseno cca 2 GB (download). To je nějaké divné, protože žádné zařízení nebylo v té době k routeru připojeno.

Router je v režimu s NAT.

Všiml jsem si, že i  v době, kdy není na router nic připojeno, bliká LED indikující provoz na WAN portu a to poměrně intenzivně.

Je to normální chování sítě?

Zapnul jsem logování a co cca 4-5 s router zahodí příchozí pokus o spojení z neznámých IP adres z různých rozsahů...

 

[Adolf.Shitler 96]

Normální jev, že máš skenované porty.

[qwertz345 3]

Záleží jaký máte router, a zda na něm provozujete nějaké služby. Pro nevyužívanou internetovou přípojku tento objem dat normální samozřejmě není!

Pokud jste si koupil běžný router pro spotřebitele typu ASUS,  D-Link, TP-Link a podobně (dosaďte si svou oblíbenou značku), velmi často se jedná o zařízení, které je děravé a bez záplat již v době prodeje. Kromě chyb mnohé z nich obsahují také nevhodnou výchozí konfiguraci - např. jednoduché heslo, otevřené služby do internetu apod.  Není výjimkou, že  se takováto zařízení stanou součástí nějakého botnetu, kde pak v tom lepším případě "jen" těží kryptoměny.

Řešením je používat router, kde lze firmware výrobce ihned po koupi nahradit OpenWRT.

[Adolf.Shitler 96]

To není úplně ideální řešení, protože s alternativním firmware u některých routerů nefunguje HW NAT. A také je to problematická věc v případě uplatnění záruky na případné vady.

Edited September 6 by Adolf.Shitler

[Ondrej1 0]

Ty dva GB za den je docela dost, asi by se to chtělo podívat, co to všechno je.

Moje zkušenost je, že na downloadu mám naprosto šílené množství ARP paketů z brány (zhruba 150 p/s), jinak tam nic moc zbytečného nemám a ty ARP pakety se táhnou snad už z dob Karnevalu nebo z doby těsně po převzetí Karnevalu UPC. Tekrát se to řešilo a nevyřešilo, router to hravě ustaojí a data nám nikdo nepočítá...

[qwertz345 3]

Je to rozhodně lepší řešení, než cokoli z kategorie "consumer garbage" s originálním firmware, co si koupíte v obchodě. Ale je pravda, že spoustu zákazníků zajímá na prvním místě HW specifikace a kýčovitý design.

Se záměrem instalovat OpenWRT je třeba počítat při výběru zařízení a např. routerům využívajícím Broadcom chipset se rovnou vyhnout obloukem (typicky ASUS). Potenciální ztráta záruky pro uživatele v tomto případě ten nejmenší problém.

[Adolf.Shitler 96]

Spoustu let provozuji víc TP-Linků (1043, 3600, 4300, C7), a to i v provozech, kde běžně obsluhují kolem 50 zařízení a s originál FW žádný problém. OpenWRT (stejně jako třeba DD-WRT) by nic nepřinesl. Kdysi to byla velká móda tam cpát, nicméně absence HW NAT je zásadní problém (protože CPU to nedá) a efekt nula. Jedině snad podpora 6RD u IPv6, ale na to hodit bobek, když to stejně "zabije" Compal.

[qwertz345 3]

 Jestliže výrobce záplatuje zařízení řádově více než rok po nahlášení chyby, nebo se neobtěžuje vůbec, označovat to za "žádný problém" je s prominutím směšné.  Ale třeba máte jiné priority.

V OpenWRT 19.07 je podpora "Routing/NAT offloading" dostupná.

Použití výše uvedených zařízení v "provozech, kde běžně obsluhují kolem 50 zařízení" bude lepší snad vůbec nekomentovat.

[Adolf.Shitler 96]

A tvůrce alternativního firmware je nějaká garance toho, že chyby odstraňuje hned? To je tedy opravdu směšné si něco takového myslet.

Kromě chybějícího HW NAT (tedy dříve, je možné, že už funguje) je tady třeba absence OTA update. A najdou se i další věci, pro které není důvod alternativní FW používat, resp. nenašel jsem ani jeden důvod k jeho používání a tvoje posty rozhodně nepřesvědčují o jeho výhodnosti, protože nezazněl ani jeden argument proč ano, jenom matlání jakési omáčky typu "jednoduché heslo ve východzí konfiguraci", což rozhodně není důvod ke změně FW (k tomu stačí změnit to heslo :D ).

Správně - je lepší nekomentovat něco, o čem se ví velké kulové a člověk má tak jistotu, že nebude za hlupáka :P

[qwertz345 3]

Garanci odstranění chyby ve smyslu smluvního závazku dostanete pouze u služeb ve zcela jiné cenové relaci. V tomto případě si však každý uživatel ověřit, jak dlouho trvá odstranění nahlášené chyby. OpenWRT reaguje v řádu dní, reputace většiny výrobců SOHO routerů je v tomto případě zcela tristní:

https://routersecurity.org/bugs.php

Vámi zmiňovaný TP-Link není vůbec výjimkou. Např. tato chyba by se vůbec neměla dostat do produkce a pokud už se stalo, jak je možné že opravný firmware je vydán 2 roky po zveřejnění chyby? Bohužel to není vtip.

https://securityintelligence.com/posts/tp-link-archer-router-vulnerability-voids-admin-password-can-allow-remote-takeover/

K čemu je vám funkce OTA update, když výrobce nevydává záplaty a ignoruje chyby?

Mohli bychom si tu vypisovat jednu kritickou chybu za druhou, která nebyla řádně záplatována, ale pro vás to evidentně není argument. Samozřejmě si používejte co chcete, to je vaše věc, ale netvrďte nám ostatním, že firmware domácích routerů je bezpečný. Je totiž děravý jak ementál a výrobce to zpravidla moc nezajímá.

Argumentace "bezproblémovým" použitím levných Tp-linků "v provozu" je hodna garážové firmy poskytující Internetové připojení nevalné kvality kdesi ve vidlákově. A i v této kategorii se většina rozhodla dělat to pořádně a používají hardware od Ubiquity nebo Mikrotiku, právě z důvodu záplat, možnosti centrální správy, síťové konfigurace apod. Na levném čínském TP-Linku je totiž zajímavá jenom jedna věc - že jde stock firmware snadno zahodit a nahradit OpenWRT.

Edited September 7 by qwertz345