好棒棒的文章分享樓主超厲害實在是資訊強人forti MA 四合一要簽下去 DMZ 設定下去 建議更換100F 一台搞定CISCO 3850買下去切VLANruckus or aruba ctrl and ap 架下去期待樓主開箱文
老實說搞成這樣沒必要,就算是傳產200人企業環境也只會router and firewall兩組平衡跟備援而已,正常來說DDoS你應該要先跟ISP業者照會,看到後面你的問題好像只是WIFI會斷線?曾經我也是有過這個問題,後來是長期電壓問題導致分享器有問題,而且你好像對連入有點觀念上的不對,你連出就只有一條路,流量進來是數據機先當機,不會是有線的裝置還能正常存取網路
lf2net4589 wrote:老實說搞成這樣沒必要(恕刪) 有趣的是1 . 樓主強調安全 沒有做HA Sync不過看設備應該也做不了.2. 樓主強調的personal data.. 而自己在社交上的匿名做的不足3. 樓主強調DDOS但沒有考量到成本以及動機問題發動DDOS成本是平均僅需花費10美元價格即可租用一小時左右的攻擊服務。發動方要付費. 為何要針對一般用戶端clinet端花上這錢呢?
katzen530 wrote:他用甚麼工具我哪會知(恕刪) 沒有意義的影片就是被攻擊罷了我早說過了,他們不可能隨時知道你的IP位址,IP隨時都能換,除非你申請固定IP你是懶得說?還是因為不懂,所以根本不知道該怎麼說?katzen530 worte:以下是前面我回給zxcviggy...(恕刪) 閃燈有很奇怪?你沒傳輸就不會閃燈?如果你知道基礎網路概念,用過Wireshark抓過封包,就會知道很多Broadcast封包是一直在答詢的更別提你WINDOWS如果開了自動更新,哪怕只是檢測也會有很多背景傳輸自動更新只是一個例子,很多通訊軟體或防毒軟體也都會做背景傳輸這個事情你有去確認過你有哪些SESSION在跑嗎?TP的1043與940都是非常久以前的設備了,過保了也完全不稀奇無線設備的硬體也不是不會壞的東西更新韌體到最新並不是萬靈丹,至少我很清楚1043ND的V1版本還是有特殊BUG未解的然後誰知道還有哪些BUG?只不過因為停產很久,也沒人去理會了你要搞一堆Security的東西也是無所謂,那是你的錢,只是如果真要搞,是不是了解的更透徹再來說會比較好呢?因為設備沒辦法帶給你Security只有你正確且清晰的知識才有辦法。
《在這個世界上只要有門、駭客就一定可以進去》簡單的事為什麼要弄那麼複雜?1.ISP租用一個盾牌2.ATU-R後面一個Firewall(就夠了)ISP的盾牌瓦解了⋯海嘯入侵,還在乎核四會不會崩掉?同樣的概念資安防護中心是7x24在線工作有些事情真的要交給中心去做一個人做不來的國境安全、家門上鎖即可國境危險、家門銅牆鐵壁何用?
優點: a、資安觀念優秀,b、知道隔離不安全的設備- SmartPhone、小米盒子、卡巴熊缺點:缺乏經驗, 手法粗糙 - 把「號稱安全」的設備都丟上網路就很安全?在高手看來就是花拳繡腿而已!網路拓樸缺點:1、最不安全的OS-「Sophos XG Firewall」, 卻用來保護你最重要的Win10看了下面的↓↓↓↓↓「漏洞報告警示」↓↓↓↓↓你還用的下去?https://www.cvedetails.com/vulnerability-list/vendor_id-2047/Sophos.html→→→代表Sophos核心Coding寫的很差!!!是你所有FW OS最差的一個!同樣是UTM, Endian Firewall比Sophos XG Firewall 漏洞少超多!2、Fortigate FGT-60C - 商業版的FW服務+韌體續約都是要花錢燒的!商業版就是花錢請專家擦屁股, 沒開公司運營賺市場的不建議使用,產品壽命有限, 網路攻擊無限, Phase Out(淘汰過期)就沒玩的價值!不能FW更新就等死!又不是每個人都想要用Fortigate!VDom不就Fortigate發明的VirtualDomain專有名詞.NGFW(次世代FW)不過就是個虛詞.Fortigate還是NGFW著明品牌卻是事實!3、Pop!_OS用途主要在於用高端顯示卡來跑AI雲端運算-殺機用牛刀?它很耗HW資源!4、VyOS主力在Routing, 你網路環境又沒L3Switch可以切VLAN, 沒什好玩的!5、ASUS RT-AC51U成為頻寬瓶頸, 那個位置最好放的是可切VLAN的高速L3 Routing Switch.6、「軟路由」也是個中國人發明的虛詞, Cisco、Juniper、Sonicwall也是HW+Linux軟體OS,它門也是「軟路由」?「軟路由」還不如叫「PC路由器」7、PFSense、OpenWrt還有一個OPNsense(pfsense演申出來的,元智大學有Mirror下載站)差別在於:7a、PFSense、OPNsense是GUI圖形界面, 大多使用者不會編譯!OpenWrt 以CLI界面為主(Cisco IOS、Junipter不也是嗎?)7b、FW引擎都是ipfilter(FreeBSD)衍申出來的-現在改名netfilter,因為太好用, 結果被port到各大UNIX上面, 最初原始是ipchains後來大改版升級變成iptables.Linux因為這套iptables風行草偃而鋒頭超越壓過UNIX BSD!成為校園實驗的最愛!8、你環境裡面的OS -OPNsense+PFSense都是FreeBSD OS的核心有些都是GNU/Linux Debian OS的核心衍申-KailLinux、Pop!_OS、VyOS、OpenWrt這樣跟跑GNU/Linux DebainOS再裝FW套件 iptables有什差別?9、解決你的問題:9a、Wifi斷線:TP-Link WR940N是中國販售版.WR940ND才是台灣販售版.→ 不一定是被攻擊, 要看Logs.是斷線還是斷電?附近也才三台, 你的功率也才開到16(台灣限定最高20)是否已Patch Wifi漏洞?(KRack EAPOL)攻擊Wifi一定要在附近嗎?這是對資安情報缺概念無感無知的人說的話!9b、DDoS家用防護 → 靠IPTables+Xtable-Addon(PSAD)就能搞定!PSAD=Port Scan Attack Detection限定家用可防可控綽綽有餘:→Port Scan→Xmas Tree Attack→Null Scan→SYN/RST Scan→SYN/FIN ScanScan是攻擊探測的前奏曲.........營業級/公家單位→ 遇到國家級的PB/TB Flooding要靠特殊Routing Protocol+HA洗流量(通常ISP才有超高速背版頻寬可作)9c、DNS Leak→對OPNsense、PFSense、OpenWrt都不是問題根本不需要靠走VPN, 只要把DNS Client跑得udp改成跑「加密的DNS TCP協定」→DoH(DNS over Https)→DoT(DNS over TLS)→DNSCrypt..............................................那套好用見仁見智!10、每個都裝, 這個碰一點那個碰一點, 結果每個都不熟!樣樣通樣樣鬆~所以會變「花拳繡腿」!唬外行是可以啦→裝了一大堆嚇死人!Linux/Unix 不會編譯Compiler→都是玩假的. 網路功力不會高到哪裡去!專練一種Linux/UNIX OS+IPtables &編譯Compiler, 一樣可以打趴一堆Router OS!所謂的UTM不就是拉上一堆Network Security套件而已嘛!---CalmAV---IDS/IPS---SecureDNS---Antispam---Traffic Shaping QoS---Content Filter---Parental Controls.........................那個Linux OS作不到?11、Compare:---Fireware更新速度/頻率/開發者多寡---漏洞數量/日期/修復週期---Kernel版本跟的上Linux kernel org的速度OpenWrt都是傲視群雄的.....更新速度最快(正式版兩個月一更, Snapshots高手複製版一個月數更)+漏洞最少幾乎沒(CVE爆前都超前部署)+永遠都是Liunx最新版的次版(目前kernel 5.10.x)+可編譯客製+新手玩到老手都玩不膩+入門Linux編譯的最佳導師-缺憾:GUI界面缺缺(新手很受不了)12、吃飽撐著的駭客還真是多, 24Hr都接不完!斷電換IP也沒屁用, 尤其是俄羅斯!中國!香港.巴西.紐西蘭.美國...都遇過嚕!明明就沒對外開Port卻整天被掃~習慣就好!台灣是個鍛鍊資安能力的好地方, 駭客就是訓練你玩資安Firewall的老師!-----以上個人淺見僅供參考----------