• 4

家庭網路安全疑問



好棒棒的文章分享

樓主超厲害

實在是資訊強人

forti MA 四合一要簽下去 DMZ 設定下去 建議更換100F 一台搞定

CISCO 3850買下去切VLAN

ruckus or aruba ctrl and ap 架下去

期待樓主開箱文
打雜的IT人員
樓已歪,已經沒有再回覆的的必要性了,在這邊再次感謝zxcviggy大給的真誠建議,也祝您事事順心,感謝
越安靜,聽得越多
老實說搞成這樣沒必要,就算是傳產200人企業環境也只會router and firewall兩組平衡跟備援而已,正常來說DDoS你應該要先跟ISP業者照會,看到後面你的問題好像只是WIFI會斷線?曾經我也是有過這個問題,後來是長期電壓問題導致分享器有問題,而且你好像對連入有點觀念上的不對,你連出就只有一條路,流量進來是數據機先當機,不會是有線的裝置還能正常存取網路
lf2net4589 wrote:
老實說搞成這樣沒必要(恕刪)


有趣的是


1 . 樓主強調安全 沒有做HA Sync
不過看設備應該也做不了.

2. 樓主強調的personal data.. 而自己在社交上的匿名做的不足


3. 樓主強調DDOS
但沒有考量到成本以及動機問題
發動DDOS成本是平均僅需花費10美元價格即可租用一小時左右的攻擊服務。
發動方要付費. 為何要針對一般用戶端clinet端花上這錢呢?
用了這多套, 是否可以報告一下使用心得.. 優缺點與攔截率分享?
Have a nice day~
katzen530 wrote:
他用甚麼工具我哪會知(恕刪)


沒有意義的影片

就是被攻擊罷了

我早說過了,他們不可能隨時知道你的IP位址,IP隨時都能換,除非你申請固定IP

你是懶得說?還是因為不懂,所以根本不知道該怎麼說?


katzen530 worte:
以下是前面我回給zxcviggy...(恕刪)


閃燈有很奇怪?

你沒傳輸就不會閃燈?

如果你知道基礎網路概念,用過Wireshark抓過封包,就會知道很多Broadcast封包是一直在答詢的

更別提你WINDOWS如果開了自動更新,哪怕只是檢測也會有很多背景傳輸

自動更新只是一個例子,很多通訊軟體或防毒軟體也都會做背景傳輸這個事情

你有去確認過你有哪些SESSION在跑嗎?


TP的1043與940都是非常久以前的設備了,過保了也完全不稀奇

無線設備的硬體也不是不會壞的東西

更新韌體到最新並不是萬靈丹,至少我很清楚1043ND的V1版本還是有特殊BUG未解的

然後誰知道還有哪些BUG?

只不過因為停產很久,也沒人去理會了



你要搞一堆Security的東西也是無所謂,那是你的錢,

只是如果真要搞,是不是了解的更透徹再來說會比較好呢?

因為設備沒辦法帶給你Security只有你正確且清晰的知識才有辦法。
嘘は真実の影!
《在這個世界上只要有門、駭客就一定可以進去》

簡單的事為什麼要弄那麼複雜?
1.ISP租用一個盾牌
2.ATU-R後面一個Firewall
(就夠了)
ISP的盾牌瓦解了⋯
海嘯入侵,還在乎核四會不會崩掉?同樣的概念

資安防護中心是7x24在線工作
有些事情真的要交給中心去做
一個人做不來的

國境安全、家門上鎖即可
國境危險、家門銅牆鐵壁何用?
優點: a、資安觀念優秀,
b、知道隔離不安全的設備- SmartPhone、小米盒子、卡巴熊
缺點:缺乏經驗, 手法粗糙 - 把「號稱安全」的設備都丟上網路就很安全?
在高手看來就是花拳繡腿而已!
網路拓樸缺點:
1、最不安全的OS-「Sophos XG Firewall」, 卻用來保護你最重要的Win10
看了下面的↓↓↓↓↓「漏洞報告警示」↓↓↓↓↓你還用的下去?
https://www.cvedetails.com/vulnerability-list/vendor_id-2047/Sophos.html
→→→代表Sophos核心Coding寫的很差!!!是你所有FW OS最差的一個!
同樣是UTM, Endian Firewall比Sophos XG Firewall 漏洞少超多!

2、Fortigate FGT-60C - 商業版的FW服務+韌體續約都是要花錢燒的!
商業版就是花錢請專家擦屁股, 沒開公司運營賺市場的不建議使用,
產品壽命有限, 網路攻擊無限, Phase Out(淘汰過期)就沒玩的價值!
不能FW更新就等死!又不是每個人都想要用Fortigate!
VDom不就Fortigate發明的VirtualDomain專有名詞.
NGFW(次世代FW)不過就是個虛詞.
Fortigate還是NGFW著明品牌卻是事實!

3、Pop!_OS用途主要在於用高端顯示卡來跑AI雲端運算
-殺機用牛刀?它很耗HW資源!

4、VyOS主力在Routing, 你網路環境又沒L3Switch可以切VLAN, 沒什好玩的!

5、ASUS RT-AC51U成為頻寬瓶頸, 那個位置最好放的是可切VLAN的高速L3 Routing Switch.

6、「軟路由」也是個中國人發明的虛詞, Cisco、Juniper、Sonicwall也是HW+Linux軟體OS,它門也是「軟路由」?「軟路由」還不如叫「PC路由器」

7、PFSense、OpenWrt還有一個OPNsense(pfsense演申出來的,元智大學有Mirror下載站)
差別在於:
7a、PFSense、OPNsense是GUI圖形界面, 大多使用者不會編譯!
OpenWrt 以CLI界面為主(Cisco IOS、Junipter不也是嗎?)
7b、FW引擎都是ipfilter(FreeBSD)衍申出來的-現在改名netfilter,
因為太好用, 結果被port到各大UNIX上面, 最初原始是ipchains
後來大改版升級變成iptables.
Linux因為這套iptables風行草偃而鋒頭超越壓過UNIX BSD!成為校園實驗的最愛!

8、你環境裡面的OS -
OPNsense+PFSense都是FreeBSD OS的核心
有些都是GNU/Linux Debian OS的核心衍申
-KailLinux、Pop!_OS、VyOS、OpenWrt
這樣跟跑GNU/Linux DebainOS再裝FW套件 iptables有什差別?

9、解決你的問題:
9a、Wifi斷線:
TP-Link WR940N是中國販售版.WR940ND才是台灣販售版.
→ 不一定是被攻擊, 要看Logs.
是斷線還是斷電?
附近也才三台, 你的功率也才開到16(台灣限定最高20)
是否已Patch Wifi漏洞?(KRack EAPOL)
攻擊Wifi一定要在附近嗎?這是對資安情報缺概念無感無知的人說的話!

9b、DDoS家用防護 → 靠IPTables+Xtable-Addon(PSAD)就能搞定!
PSAD=Port Scan Attack Detection限定家用可防可控綽綽有餘:
→Port Scan
→Xmas Tree Attack
→Null Scan
→SYN/RST Scan
→SYN/FIN Scan
Scan是攻擊探測的前奏曲.........
營業級/公家單位→ 遇到國家級的PB/TB Flooding要靠特殊
Routing Protocol+HA洗流量(通常ISP才有超高速背版頻寬可作)

9c、DNS Leak→對OPNsense、PFSense、OpenWrt都不是問題
根本不需要靠走VPN, 只要把DNS Client跑得udp改成跑「加密的DNS TCP協定」
→DoH(DNS over Https)
→DoT(DNS over TLS)
→DNSCrypt
......................................
........那套好用見仁見智!

10、每個都裝, 這個碰一點那個碰一點, 結果每個都不熟!
樣樣通樣樣鬆~所以會變「花拳繡腿」!唬外行是可以啦→裝了一大堆嚇死人!
Linux/Unix 不會編譯Compiler→都是玩假的. 網路功力不會高到哪裡去!
專練一種Linux/UNIX OS+IPtables &編譯Compiler, 一樣可以打趴一堆Router OS!
所謂的UTM不就是拉上一堆Network Security套件而已嘛!
---CalmAV
---IDS/IPS
---SecureDNS
---Antispam
---Traffic Shaping QoS
---Content Filter
---Parental Controls
.........................
那個Linux OS作不到?

11、Compare:
---Fireware更新速度/頻率/開發者多寡
---漏洞數量/日期/修復週期
---Kernel版本跟的上Linux kernel org的速度
OpenWrt都是傲視群雄的.....
更新速度最快(正式版兩個月一更, Snapshots高手複製版一個月數更)
+漏洞最少幾乎沒(CVE爆前都超前部署)
+永遠都是Liunx最新版的次版(目前kernel 5.10.x)
+可編譯客製
+新手玩到老手都玩不膩
+入門Linux編譯的最佳導師
-缺憾:GUI界面缺缺(新手很受不了)

12、吃飽撐著的駭客還真是多, 24Hr都接不完!
斷電換IP也沒屁用, 尤其是俄羅斯!中國!香港.巴西.紐西蘭.美國...都遇過嚕!
明明就沒對外開Port卻整天被掃~習慣就好!
台灣是個鍛鍊資安能力的好地方, 駭客就是訓練你玩資安Firewall的老師!


-----以上個人淺見僅供參考----------
slodnet

這一串看下來,這才是專業級回答,高手在民間。

2024-03-15 23:49
樓主這種配置,感覺與曾經見過的Bill Mike比尔迈克复合型超级软路由相似。
不過此人是用esxi虛擬機來代替物理設備
  • 4
內文搜尋
X
評分
評分
複製連結
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?