LINUX.ORG.RU

Плюсы и минусы роутеров и ПеКа-роутеров

 , ,


0

4

У нас со знакомым постоянный срач на тему роутеров, я большой их противник и хотелось бы с помощью ЛОРа наконец уже разобраться в вопросе и подвести итоги всех плюсов и минусов этих «кирпичиков». И имеют ли место мои опасения или они в большей мере надуманы.

К роутерам я отношу всё, что пытается быть «умным», в т.ч. управляемые свичи с фирмварью на борту, которые умеют что-то более чем просто аппаратно передавать пакеты по адресу.

Роутер это кирпич, в котором прошивка вместо ОС, в которой ничего толком нельзя подправить ручками, а если вы гик и ставите прошивку ZVER-RouterOS, то и так всё понятно что получаете в итоге: либо зонд от вендора, либо зонд от Васяна.

Такие роутеры как правило смотрят во внешку, а время идёт, находят новые дыры, а прошивка не обновляется т.к. вендор положил на неё болт, ведь надо продавать новые устройства и получается, что такой роутер «во внешку» сродни какой-нибудь Windows 9x которая ложится от большого пинг пакета. Не говоря о том, что вендор (читай, Васян) может вообще преднамеренно оставить бэкдор для себя (или товарища майора (или кто больше заплатит)).

Из плюсов, в настройке готового продукта(тм) разбирается всякая домохозяйка. Роутер выполняет ровно то, зачем был создан: создаёт локальную сеть, предоставляет доступ в интернет, как следствие имеет невысокую цену под свои конкретные задачи. Низкое эноргопотребление, если не баловаться плюшками вроде PoE, то достаточно питания пары USB 2.0.

ПеКа-роутер или им подобный это компьютер/ноутбук, на который ставится человеческая ОСь и настраивается на раздачу интернетов, используется как сервер и файлопомойка, мощь даже целерона может быть избыточной, тут уж всё зависит от владельца, как утилизировать ресурсы. Всегда прямой доступ, возможность своевременно обновлять и вообще оно остаётся обычным компьютером для личных нужд. Просто держать приходится всегда включённым.

Ноутбуки дают преимущество в той же тишине, более низком энергопотреблении (~25вт против ~125вт+ при самой минимальной конфигурации), а ресурсов всё ещё хватает чтобы раздавать интернеты, торренты и пересобирать мир! А ещё это встроенный ИБП.

Да, придётся разобраться в вопросе чтобы настроить раздачу интернетов по Wi-Fi. Вторую сетевую карту можно подключить по USB, а к ней уже «тупой» свитч и радоваться интернетам, чувствуя себя в безопасности от сетевых атак.

Лично я для себя решение принял. Интересно знать ваше мнение.

★★★★★

Ну только не адекват будет использовать ПК или ноутбук в качестве роутера. Последние так вообще сомнительно с точки зрения пожаробезопасности.

А так не дешёвые роутеры нормально поддерживаются. Тем более всегда есть выбор взять какую-то более открытую желёзу и самому что-то навоять, типа https://omnia.turris.cz/en/

anonymous ()

Ты сейчас про домашний роутер да? Если нет, то прийди в офис к своему провайдеру и спроси почему у них в ядре cisco/juniper за овердохрена бабла, а не ноут стоит.

Deleted ()
Последнее исправление: log4tmp (всего исправлений: 1)

Лично я для себя решение принял. Интересно знать ваше мнение.

Гонять на ноутбуке это как-то слишком колхозно, имхо, современные системы с атомом потребляют столько же. Даже NUC лучше подходит для этой цели.

whiteout ()

Афтар маладес, вместо того, чтобы спрятать все домашние компы за НАТом роутера, суёт во внешний интернет интерфейс своего домашнего сервера. По теме безопасности прошивок для роутеров достаточно много информации в интернете. В них переодически действительно находят уязвимости, но не более критичные, чем могу найти в твоей файлопомойке. Для гиков и параноиков есть Mikrotik с полной прозрачностью и массой настроек на любой вкус, а так же ddwrt и openwrt с открытым исходным кодом без всяких зондов. Кстати, твой ноутбук-роутер автоматически включится после отключения электричества? Отказоустойчивость у ноутбуков тоже ниже, чем у тех же микротиков.

GT ()

За пк-роутер.

+Полноценная OS(Linux/BSD)

+Постоянные обновляшки.(Зависит от OS)

+Легкая замена железа.(Как правило)

+Цена.

+Громадные возможности.(Ограничивается вашей фантазией)

-Относительно большие размеры.(Компенсируется легким поиском и заменой комплектующих)

-Жрет электричество.(Недороутеры по цене пк-роутеров тоже жрут электричество)

Shein ()
Ответ на: комментарий от GT

Афтар маладес, вместо того, чтобы спрятать все домашние компы за НАТом роутера, суёт во внешний интернет интерфейс своего домашнего сервера

Что мешает настроить nat на пк-роутере ?

Samamy ★★ ()
Ответ на: комментарий от GT

Отказоустойчивость у ноутбуков тоже ниже, чем у тех же микротиков.

А какая отказоустойчивость у микротыка? Две схемы NAND? Запасной блок питания? :) Да такая же, как у ноутбука.

anonymous ()
Ответ на: комментарий от anonymous

Да там просто конфиг железа попроще, меньше уязвимых узлов. И прошивки у микротиков собраны и оптимизированы намного лучше, чем афтар на свой ноут в лучшем случае смог бы собрать генту.

GT ()

ПеКа-роутер или им подобный это компьютер/ноутбук

Ага, только Intel ME не забудь отключить. А то, твой обновлённый лялих будет не в курсе, когда его/тебя будут иметь.

anonymous ()
Ответ на: комментарий от ass

Роутить хватит pentium I,

Для всяких впн(даже тот же pptp типичный для дома) не хватит на современных скоростях.

если не 286/386.

Ога, с 10мбит сетевухами на isa-шинах.

madcore ★★★★★ ()

Я смотрю у тебя главное - безопасность. Ты уверен что в твоей ос нет дыр? Всяким там мелдаунам, которым кучу лет, она не подвержена? Heartbleed'а под нее не завезли? Куча софта, которая у тебя там стоит и через которую тебя можно ломануть, ты уверен что оно все без уязвимостей?

micronekodesu ★★ ()

А зачем вообще выделять отдельную железку для роутера, если её можно легко виртуализировать? Пробросить в неё сетевые интерфейсы и раздавать интернеты всем оставшимся домашним устройствам. Или вы зачем-то вырубаете свою основную машину?

anonymous ()
Ответ на: комментарий от anonymous

google: Mikrotik Slingshot

Ну так положить можно, если логин ушёл. Как пишут. А это увы и ах... Если логин/пароль ушли, или дефолтные, то и не такое может быть. Отдельный момент, что winbox это на компьютер выкачивает. Это да, красивый ход. Но кто этот winbox использует-то? :-)


Но вот про полную прозрачность закрытой прошивки - это перебор. Прозрачности там нет.

AS ★★★★★ ()

Интересно знать ваше мнение.

Всё зависит от конкретных условий.

Компьютер жрёт и, зачастую, шумит. Сложнее восстановить, конфигурацию. Для обеспечения хорошей сетевой производительности нужно более серьёзное железо, а в ряде случаев на PC это в принципе невозможно (но это уже скорости не для дома).

Единственное, где смешно, это вот про нотебук, или про USB-сетевуху на раздачу.

AS ★★★★★ ()
Ответ на: комментарий от micronekodesu

Куча софта, которая у тебя там стоит и через которую тебя можно ломануть

Туда можно не ставить эту кучу софта, а ставить только то, что требуется для работы с трафиком. Плюс считала, плюс сквид какой-нибудь. Как раз в плане безопасности PC проще поддерживать. Другой вопрос, что проблемы более известны в какой-то мере - быстрее надо шевелиться.

AS ★★★★★ ()
Ответ на: комментарий от AS

Но вот про полную прозрачность закрытой прошивки - это перебор. Прозрачности там нет.

Да дырявое оно. И будет дырявым, как и большинство софта с закрытыми сорцами.
6 лет этот Slingshot жил в Микротиках, а нашли его вообще случайно.
А сколько разных зверей там ещё живёт?

anonymous ()
Ответ на: комментарий от anonymous

6 лет этот Slingshot жил в Микротиках, а нашли его вообще случайно.

Не жил, а лежал, причём у тех, кто о паролях не думает. Или я что-то не дочитал, и там возможность настоящего взлома была?

А жил у юзеров винбокса.

AS ★★★★★ ()

За микротик-роутер:

+Полноценная routerOS.

+Полноценный гуй где можно все настроить.

+Постоянные обновляшки.

+Легкая замена железа (на другую с routerOS).

+Полноценная поддержка железа.

+Цена.

+Занимает мало места.

+Жрет мало электричества.

-Нет питона.

-Нет торрент-качалки.

-Проприетарщина.

PS: Тут недавно hap ac^2 вышел, рекомендую.

KillTheCat ★★★★★ ()

Есть два роутера - но одном прошивки точёны, на другом конфиги дро**ны. Какой себе поставишь, какой провайдеру подаришь?

Если кратко - пекарня в качестве роутера это дорого, объёмно, жруче и ненужно. Особенно если у тебя их несколько сотен(ну так, по мелочи) раскидано. Поэтому используются железки которые жрут мало, работу делают и не выпендриваются. Некоторые железки ещё и openwrt тебе дают, считай полноценная ОС.

Dark_SavanT ★★★★★ ()
Ответ на: комментарий от AS

Не жил, а лежал, причём у тех, кто о паролях не думает.

Как он туда попал? Это тебе микротиковцы сказали, что «у тех, кто о паролях не думает», да?
А что ты ожидал? Что они скажут, что их железка с софтом дырявые как дуршлаг?

anonymous ()

Как абы-админ таких ПК-роутеров на заре домосеток... (2000гг)
Беееееггггггггггггииииииииииииииии!! 8-)
Дело в том, что тогда это овнище вынуждено было считать трафик, надежность конструкции без ИБП (да и с ним тоже) была под большим вопросом, но и входящие скоростя были ничтожными по 256кбит.

Спуф, на самом деле уже обсуждали.
Запиливая пк-роутер, ты берешь ответственность за его работу на себя и его простой будет тебе виной, сечёшь фишку?

Deleted ()
Ответ на: комментарий от anonymous

Как он туда попал? Это тебе микротиковцы сказали, что «у тех, кто о паролях не думает», да?

А ты уже нашёл опровержение? По идее, оно должно бы было уже быть. В общем, было бы странно искажать подробности при условии, что это очень быстро вылезет.

AS ★★★★★ ()
Ответ на: комментарий от Deleted

Дело в том, что тогда это овнище вынуждено было считать трафик, надежность конструкции без ИБП (да и с ним тоже) была под большим вопросом, но и входящие скоростя были ничтожными по 256кбит.

Всё в порядке с надёжностью. И со скоростями до определённых пределов, как я раньше написал. Не надо просто собирать на каких-нибудь Tomato Board.

AS ★★★★★ ()
Ответ на: комментарий от anonymous

What's new in 6.38.5 (2017-Mar-09 11:32):
!) www - fixed http server vulnerability;
Initial commit BigNerd95 committed on 11 May 2017

Лично у меня сервисы для настройки в интернет не торчат а www я сразу отключил. Эксплоит под винбокс или днс был бы эпичней.

KillTheCat ★★★★★ ()
Последнее исправление: KillTheCat (всего исправлений: 1)
Ответ на: комментарий от AS

В общем, было бы странно искажать подробности при условии, что это очень быстро вылезет.

Ничего же не вылезло. Исследователи написали, что не знают как оно попало в Mikrotik.
И сделали предположение, что через эксплойт ChimayRed из проекта Vault 7, о котором написано в Wikileaks.

anonymous ()
Ответ на: комментарий от anonymous

«Working POC of Mikrotik exploit from Vault 7 CIA Leaks»

www - fixed http server vulnerability;

www и в IOS есть, и в JunOS. И нормальные люди это либо вовсе выключают, либо доступ ограничивают. И мне тут один недавно втрирал про CentOS, что если файрволом по-умолчанию закрыто, то всё ништяк. В хоум-роутерах микротиковских закрыто.

AS ★★★★★ ()
Ответ на: комментарий от KillTheCat

или днс был бы эпичней.

Кстати, там не всё в порядке с DNS. Если его включить, то получается опен резолвер со всеми вытекающими. Тоже файрволом прикрыт, в принципе, но забывать не стоит.

AS ★★★★★ ()
Ответ на: комментарий от KillTheCat

Лично у меня сервисы для настройки в интернет не торчат а www я сразу отключил.

Так вообще отключи его от интернета, а лучше выключи из розетки, чтоб уже наверняка.

anonymous ()
Ответ на: комментарий от AS

www - fixed http server vulnerability;

Конечно «fixed», после того, как получило широкую огласку.
А сколько там ещё дыр, про которые знает только узкий круг?
В общем, Mickrotik-и это дырявое проприетарное овно и всё тут.

anonymous ()

Если хоть одно проприетарное устройство имеет доступ к вашей мегасекьюрной локалочке, то не имеет значения, что у вас за роутер - он не спасет. Безопасность оценивается по слабейшему звену. Айфончиком/гуглофончиком пользуетесь?... На всех устройствах стоит coreboot? Нет? Ну тогда и париться нечего.

anonymous ()