Создать новый раздел Отчеты безопасности в web-интерфейсе.

[keenet07]

 А как вы смотрите на то, чтобы сделать в web-интерфейсе роутера дополнительный подраздел, что-то вроде "Отчеты безопасности" где собирать и выводить какую-то статистику например по произведенным на роутер сетевым атакам со стороны WAN, выводить отчеты по попыткам сканирования какого-либо перечня опасных портов? А также выводить там все попытки перебора пароля в админку и к другим службам роутера. Попытки перебора паролей Wi-Fi. Ну и конечно же сделать удобный способ бана этих адресов, как в автоматическом, там и в ручном режиме. Этакий форпост безопасности будет. Думаю железо это не нагрузит. А фишка у роутера офигенная будет. Сразу его на голову выше аналогов поднимет.

Я понимаю, что какие-то из этих функций уже частично реализованы в том или ином виде. Но пора уже собрать всё это в одном месте.

По моему в наше время штука достаточно актуальная. А в перспективе развития различных ботнетов просто необходимая.

Так же на любую активность из предложенного списка можно сделать сигнализацию на выбранный светодиод на корпусе роутера. Чтоб вовремя заметить. Или почтовые алерты замутить. 

Можно так же добавить сюда политику изменения паролей. Например, чтоб напоминала периодически менять установленные пароли. 

Изменено 13 января, 2019 пользователем keenet07

[keenet07]

2 часа назад, Александр Рыжов сказал:

Влезу в старый топик.

Нет, это НЕ будет форпостом безопасности, это будет просто красивая страница отчётности с некоторой информацией, с которой в большинстве случаев непонятно как распоряжаться. К примеру, как вы будете себя вести узнав о нескольких сегодняшних атаках на SSH из Китая?

В роутере нет полноценных универсальных средств фиксирования вторжения (IDS), есть защита двух-трёх сервисов от перебора паролей. Можете оценить ресурсоёмкость и быстродействие IDS, установив из пакетов suricata, считающуюся легковесной.

В роутере нет по умолчанию нет никакого файервола (дажe SPI) при обращении из домашнего сегмента, в котором «светятся», напомню, большинство сервисов, лакомых для атак, как-то SAMBA, DLNA, UPNP, FTP, lrp/p9100nd и прочая и прочая.

 

А в итоге будет так: пользователи действительно будут считать эту страницу форпостом, сильно обижаясь в случаях, когда она не сработала в соответствии с ожиданиями.

IMHO, лучше тратить ресурсы на повышение безопасности отдельных сервисов, чем вешать иконку на торпедо.

Хорошо. Я понимаю, что полноценного фаервола и IDS из роутера пока скорее всего не выйдет. Отбросим это. Но вторую часть просьбы вполне можно реализовать. Не называть это громкими словами "Форпост безопасности". Выделить страничку где будут фиксироваться сообщения о попытках ввода неверного пароля в админку, к WiFi и к другим сервисам роутера.

Чтоб тут же была гибкая настройка политики для этих событий. Допустим какое-то вол-во попыток за какое-то время зарегистрировать, как попытку перебора. И выбор действий. Просто уведомить, либо бан IP на выбранный срок, либо бан MAC если это исходит из WIFI или локалки. Возможность как-то просигнализировать об этом админу. Либо алерт, либо mail, мигание светодиода.

Добавить сюда политику изменения паролей. Например, чтоб напоминала периодически менять установленные пароли. (опционально)

 

Так же было бы интересно отдельно фиксировать MACи всех устройств попадающих в зону действия вайфая и так, чтоб с датой и временем. Полезно было бы. Реализовать запуск определенных сценариев, например переконфигурацию маршрутизатора по какому-либо сценарию, как только появляется определенный MAC в зоне действия сети. Тут вообще фантазия не знает границ чего можно придумать. По уже знакомым макам можно будет понимать кто к вам и когда приходил. (это вообще можно в отдельное предложение вынести)

[keenet07]

1 час назад, Александр Рыжов сказал:

Всё это реализовано без дополнительной веб-странички и отлично работает. И в логе посмотреть можно и подкрутить при желании.

Повторюсь, что вы будете делать с собранной информацией? Как вы отреагируете на десять попыток подбора пароля из Эфиопии? Просто интересны дальнейшие действия.

Ну с чем вы спорите?

Вам лично не нужна такая информация. А многим нужна. Кто-то привык жить и не замечать того что вокруг происходит. А кто-то обращает внимание на всё.

То что это где-то в логе есть который хранится всего около суток вообще никого не интересует. Кто будет каждый день заглядывать в этот лог? Или какие-то syslog ставить. Я ни разу по этому логу не видел подобного события. Хотя и не факт что их не было.

Что я буду делать с этой информацией? Буду видеть, что кто-то проявляет какой-то интерес к моему устройству. С каких адресов. Буду видеть, что устройство благополучно банит эти адреса и MACи и пресекает попытки. Буду видеть текущие забаненые адреса и если задано, то и время до разбана. Смогу оттуда же вручную разбанить возможно ошибочно добавленный адрес либо все сразу. Буду вовремя обо всё информирован.

Изменено 6 ноября, 2019 пользователем keenet07

[realAndrei]

В 22.05.2019 в 08:24, MDP сказал:

syslog сервер уже не устраивает? Там можно и фильтровать, и выбирать, и хранить сколь угодно долго. 

Эта хотела в ущерб размеру ОЗУ будет.

Почему вы думаете, что журнал безопасности должен храниться в ОЗУ?

Полный лог никого не смущает, а только журнал безопасности - сразу "в ущерб ОЗУ будет". Просто сохранять надо во внутреннюю память. 

[JIABP]

Поддержу.

[ankar84]

Я за! Безопасности много не бывает.

[keenet07]

Ну что? Всё ещё думаете?

Вот в довесок, было бы интересно отдельно фиксировать MACи всех устройств попадающих в зону действия вайфая и так, чтоб с датой и временем. Полезно было бы.

Так же можно реализовать запуск определенных сценариев, например переконфигурацию маршрутизатора по какому-либо сценарию, как только появляется определенный MAC в зоне действия сети. Тут вообще фантазия не знает границ чего можно придумать.

Изменено 13 марта, 2019 пользователем keenet07

[keenet07]

Очень не хватает истории последних MAC-адресов подключающихся  к устройству. Но не разбросанной по логу. А компактно в одном месте. Если с датой и временем то вообще супер.

[keenet07]

Так же нужны алерты для браузера. Они бы выводили важные события всплывающим облачком.

[Александр Булах]

Я за! Отличная идея. С ней наши кинетики ещё лучше станут.

[PASPARTU]

Интересно , что думают разработчики по этому поводу ?


Отправлено с моего iPhone используя Tapatalk

[MDP]

syslog сервер уже не устраивает? Там можно и фильтровать, и выбирать, и хранить сколь угодно долго. 

Эта хотела в ущерб размеру ОЗУ будет.

[PASPARTU]

syslog сервер уже не устраивает? Там можно и фильтровать, и выбирать, и хранить сколь угодно долго. 
Эта хотела в ущерб размеру ОЗУ будет.

Дык нет фильтра же в кинетике , или я что то не так делаю?


Отправлено с моего iPhone используя Tapatalk

[Александр Рыжов]

Влезу в старый топик.

В 13.01.2019 в 02:17, keenet07 сказал:

 А как вы смотрите на то, чтобы сделать в web-интерфейсе роутера дополнительный подраздел, что-то вроде "Отчеты безопасности" где собирать и выводить какую-то статистику например по произведенным на роутер сетевым атакам со стороны WAN, выводить отчеты по попыткам сканирования какого-либо перечня опасных портов? А также выводить там все попытки перебора пароля в админку и к другим службам роутера. Попытки перебора паролей Wi-Fi. Ну и конечно же сделать удобный способ бана этих адресов, как в автоматическом, там и в ручном режиме. Этакий форпост безопасности будет. Думаю железо это не нагрузит. А фишка у роутера офигенная будет. Сразу его на голову выше аналогов поднимет.

Нет, это НЕ будет форпостом безопасности, это будет просто красивая страница отчётности с некоторой информацией, с которой в большинстве случаев непонятно как распоряжаться. К примеру, как вы будете себя вести узнав о нескольких сегодняшних атаках на SSH из Китая?

В роутере нет полноценных универсальных средств фиксирования вторжения (IDS), есть защита двух-трёх сервисов от перебора паролей. Можете оценить ресурсоёмкость и быстродействие IDS, установив из пакетов suricata, считающуюся легковесной.

В роутере нет по умолчанию нет никакого файервола (дажe SPI) при обращении из домашнего сегмента, в котором «светятся», напомню, большинство сервисов, лакомых для атак, как-то SAMBA, DLNA, UPNP, FTP, lrp/p9100nd и прочая и прочая.

 

А в итоге будет так: пользователи действительно будут считать эту страницу форпостом, сильно обижаясь в случаях, когда она не сработала в соответствии с ожиданиями.

IMHO, лучше тратить ресурсы на повышение безопасности отдельных сервисов, чем вешать иконку на торпедо.

[Александр Рыжов]

21 час назад, keenet07 сказал:

Хорошо. Я понимаю, что полноценного фаервола и IDS из роутера пока скорее всего не выйдет. Отбросим это. Но вторую часть просьбы вполне можно реализовать. Не называть это громкими словами "Форпост безопасности". Выделить страничку где будут фиксироваться сообщения о попытках ввода неверного пароля в админку, к WiFi и к другим сервисам роутера.

Чтоб тут же была гибкая настройка политики для этих событий. Допустим какое-то вол-во попыток за какое-то время зарегистрировать, как попытку перебора. И выбор действий. Просто уведомить, либо бан IP на выбранный срок, либо бан MAC если это исходит из WIFI или локалки. Возможность как-то просигнализировать об этом админу. Либо алерт, либо mail, мигание светодиода.

Всё это реализовано без дополнительной веб-странички и отлично работает. И в логе посмотреть можно и подкрутить при желании.

Повторюсь, что вы будете делать с собранной информацией? Как вы отреагируете на десять попыток подбора пароля из Эфиопии? Просто интересны дальнейшие действия.

[tr1cks]

Нужен простейший мониторинг событий информационной безопасности. Уведомления о новых MAC’ах в сети, вход по ssh/web изнутри и особенно извне. Для начала по почте, если есть мобильное приложение - вообще супер.

[Аркадий]

On 5/22/2019 at 3:24 PM, MDP said:

syslog сервер уже не устраивает? Там можно и фильтровать, и выбирать, и хранить сколь угодно долго. 

Эта хотела в ущерб размеру ОЗУ будет.

Нашел 2Мб в библиотеке JS-скриптов на Кинетеке 192.168.1.1/scripts/vendor-760eb7d9d0.js. Надо уходить от таких. Во-первых небезопасно. В таких объёмах все дырки не проверишь.  Я таких избегаю. Делаю свои наработки, в которых уверен.... и места уйма экономится.