Na ile router wspomaga zabezpieczenie komputera domowego?

Post by ZH
Czy sam router jako urządzenie zabezpiecza dodatkowo komputer czy nie?

Może zabezpieczać.

Post by ZH
Czy postawienie dodatkowo
routera, tak że kabel będzie wchodził do niego a dopiero z niego drugi do
karty sieciowej, poprawi bezpieczeństwo komputera? Wtedy mogę na routerze
włączyć na przykład NAT.

Dokładnie o to chodzi.

Post by ZH
Z drugiej strony, jeśli mam dobrego antywirusa i
firewalla (program) to może dodatkowo router w ogóle nie zwiększa
bezpieczeństwa mojego komputera? Jak uważacie?

Nie, bo wystarczy, że masz jakiś port otworzony na swoim komputerze.
Ani firewall, ani antywirus nie zatrzymają połączeń z tym portem.
Czyli ktoś znajdując lukę w oprogramowaniu może uruchomić dodatkowy kod
(nie koniecznie wykrywany przez antywirusa).

Uruchamiając NAT nikt nie dostanie się do komputera, o ile sam go nie
zaprosisz (tj. nie nawiążesz połączenia ze swojego kompa).

Jacek

Konrad Stepien

2009-07-08 23:04:41 UTC

Post by Jacek Kalinski

Post by ZH
Czy sam router jako urządzenie zabezpiecza dodatkowo komputer czy nie?

Może zabezpieczać.

Dokładnie o to chodzi.

Post by ZH
Z drugiej strony, jeśli mam dobrego antywirusa i
firewalla (program) to może dodatkowo router w ogóle nie zwiększa
bezpieczeństwa mojego komputera? Jak uważacie?

Nie, bo wystarczy, że masz jakiś port otworzony na swoim komputerze.
Ani firewall, ani antywirus nie zatrzymają połączeń z tym portem.

No nie, firewall właśnie po to jest, żeby takie połączenia zablokować.
Przynajmniej powinien to zrobić. Inna sprawa, że firewalle też bezbłędne
nie są.

Post by Jacek Kalinski
Czyli ktoś znajdując lukę w oprogramowaniu może uruchomić dodatkowy kod
(nie koniecznie wykrywany przez antywirusa).
Uruchamiając NAT nikt nie dostanie się do komputera, o ile sam go nie
zaprosisz (tj. nie nawiążesz połączenia ze swojego kompa).

O ile router błędów nie ma. Bo NAT też bezbłędny nie jest.
Szczególnie, że proste routery mają domyślnie powłączane wsparcia
do różnych protokołów, które może próbować wykorzystać. Na przykład
w "pomocniku" do natowania ftp-a w linuxowym nacie błedy już
były i nie wykluczone że jakieś jeszcze zostaną odkryte.

Niemniej jednak router z natem to dość spora przeszkoda i może
sporo poprawić bezpieczeństwo. Ale czesem może przynieść odwrotny
efekt, jak ktoś stwierdzi, że sam router wystarczy i oleje
inne zabezpieczenia.

--
WARNING: my e-mail is encrypted by ROT13
Xbaenq Fgrcvra <***@vagreqngn.arg.cy>

Kajetan

2009-07-09 18:05:42 UTC

Post by ZH
Słyszałem dwie zupełnie odmienne opinie i nie wiem której wierzyć.
Czy sam router jako urządzenie zabezpiecza dodatkowo komputer czy nie?

W gruncie rzeczy obie opinie są poprawne, bo kluczową kwestią jest co
uznajemy za router.
Jeśli masz na myśli popularne urządzenia do domu, podłączane do kablówki,
neostrady, internet-dsl, czy podobnych usług to takie pudełka - domyślnie
realizując funkcjonalność NAT/PAT (aka "maskarada") faktycznie podnoszą dość
znacznie bezpieczeństwo urządzeń (komputerów) schowanych "za nimi" (tj.
podłączonych od strony LAN).
Jeśli natomiast masz na myśli urządzenia używane w do budowy infrastruktury
sieciowej to ich głównym zastosowaniem jest coś innego i sama obecność
routera nie wpływa nijak na bezpieczeństwo hostów dla których ów router jest
"hopem" (oczywiście, poza routowaniem często na takim urządzeniu *można*
uruchomić dodatkowe usługi typu statyczny filtr pakietów, firewall, pbr czy
ips które efektywnie będą mogły chronić komputery, ale to są dodatki a nie
podstawowa funkcjonalność routerów).

Post by ZH
Załóżmy, że jak przeciętny użytkownik mam system Windows XP i komputer
podłączony do internetu przez telewizję kablową. Kabel operatora wchodzi
bezpośrednio do mojej karty sieciowej w kompie. Czy postawienie dodatkowo
routera, tak że kabel będzie wchodził do niego a dopiero z niego drugi do
karty sieciowej, poprawi bezpieczeństwo komputera? Wtedy mogę na routerze
włączyć na przykład NAT. Z drugiej strony, jeśli mam dobrego antywirusa i
firewalla (program) to może dodatkowo router w ogóle nie zwiększa
bezpieczeństwa mojego komputera? Jak uważacie?

To dokładnie pierwszy opisywany przeze mnie przykład, w takiej sytuacji
oczywiście dodanie "routera" z funkcjonalnością NAT/PAT podniesie
bezpieczeństwo twojego komputera bo z sieci zewnętrznej będzie widoczny
tylko zewnętrzny interfejs owego urządzenia, które jest do tego odpowiednio
przygotowane przez producenta. Posiadanie dobrego firewalla i antywirusa też
jest ważne, ale zabezpieczanie komputera to nie tylko te dwa komponenty.

k

Krzysztof Halasa

2009-07-09 22:38:15 UTC

Post by Kajetan
Jeśli natomiast masz na myśli urządzenia używane w do budowy
infrastruktury sieciowej to ich głównym zastosowaniem jest coś innego
i sama obecność routera nie wpływa nijak na bezpieczeństwo hostów dla
których ów router jest "hopem"

Troche jednak wplywa, jest wiele atakow, ktore wymagaja dostepu do
danego segmentu sieci (np. domeny broadcastowej Ethernet), wstawienie
nawet najbardziej trywialnego routera uniemozliwia takie ataki.

Dodatkowy hop takze komplikuje niektore ataki, np. takie wymagajace jak
najdokladniejszych czasow transmisji pakietow.

To nie jest wyczerpujaca lista zreszta.

--
Krzysztof Halasa

Kucing

2009-07-10 13:09:54 UTC

Post by Kajetan
Jeśli masz na myśli popularne urządzenia do domu, podłączane do kablówki,
neostrady, internet-dsl, czy podobnych usług to takie pudełka - domyślnie
realizując funkcjonalność NAT/PAT (aka "maskarada") faktycznie podnoszą dość
znacznie bezpieczeństwo urządzeń (komputerów) schowanych "za nimi" (tj.
podłączonych od strony LAN).
Jeśli natomiast masz na myśli urządzenia używane w do budowy infrastruktury
sieciowej to ich głównym zastosowaniem jest coś innego i sama obecność
routera nie wpływa nijak na bezpieczeństwo hostów dla których ów router jest
"hopem" (oczywiście, poza routowaniem często na takim urządzeniu *można*
uruchomić dodatkowe usługi typu statyczny filtr pakietów, firewall, pbr czy
ips które efektywnie będą mogły chronić komputery, ale to są dodatki a nie
podstawowa funkcjonalność routerów).

Ale chyba z technicznego punktu widzenia oba typy urządzeń poprawnie nazywa
się routerami, ponieważ oba służą do routingu, czyli, jak podaje
wikipedyczna definicja tego terminu, do "wyznaczania trasy i wysyłanie nią
pakietu danych w sieci komputerowej". Oba typy urządzeń robią to w pewnych
zakresie. Można powiedzieć, że w zakresie mikro i makro. Poprawcie mnie
jeśli się mylę :)
Niezależnie od tego te "routery domowe" poprawiają bezpieczeństwo systemu.
Natomiast jeśli chodzi o sprzęt to wszystkie routery do domowego użytku są
ze sobą porównywalne. Nie ma dużego wyboru, ani takich, które oferują
jakieś wyjątkowe czy specjalne opcje. A na tym często żerują sprzedawcy
takich urządzeń wmawiając użytkownikom, że dzięki takiemy urządzeniu
rozwiążą wszystkie problemy związane z bezpieczeństwem komputera domowego.

--
- Kucing -

Krzysztof Halasa

2009-07-12 14:52:11 UTC

Post by Kucing
Ale chyba z technicznego punktu widzenia oba typy urządzeń poprawnie nazywa
się routerami, ponieważ oba służą do routingu, czyli, jak podaje
wikipedyczna definicja tego terminu, do "wyznaczania trasy i wysyłanie nią
pakietu danych w sieci komputerowej".

Przeciez to kazdy komputer podpiety do sieci musi robic.
Router odbiera pakiety z jednej strony i wysyla je w druga.

Post by Kucing
Natomiast jeśli chodzi o sprzęt to wszystkie routery do domowego użytku są
ze sobą porównywalne.

Nic podobnego, roznice sa czesto olbrzymie.

--
Krzysztof Halasa

Konrad Stepien

2009-07-20 10:54:22 UTC

Przeciez to kazdy komputer podpiety do sieci musi robic.

Nie, komputer podpięty do sieci wie tylko jaka jest jego podsieć
i jaki jest adres routera. Jedyna decyzja jaką podejmuje, to czy wysłać
bezpośrednio czy do routera. Inna sprawa, że definicja routera jako maszyny
zajmującej się routingiem jest ułomna, bo już taki multihomed host też
routingiem się zajmuje. Kluczowe jest tu to, że host "routuje" wyłącznie
własne pakiety, router zaś głównie pakiety innych.

Post by Krzysztof Halasa
Router odbiera pakiety z jednej strony i wysyla je w druga.

Też niekoniecznie. Można zrobić router z jednym interfejsem i to nadal
będzie router. Sam taki mam w sieci.

Post by Kucing
Natomiast jeśli chodzi o sprzęt to wszystkie routery do domowego użytku są
ze sobą porównywalne.

Nic podobnego, roznice sa czesto olbrzymie.

Zależy co potraktujemy jako użytek domowy. Bez doprecyzowania tego ciężko
polemizować z jednym albo drugim stwierdzeniem. No i kwestja tych "olbrzymich
róznic". Dla mnie olbrzymią różnicą jest np. policy routing, albo routing
dynamiczny, a "domowych" sprzętów z takimi features nie spotkałem.

--
WARNING: my e-mail is encrypted by ROT13
Xbaenq Fgrcvra <***@vagreqngn.arg.cy>

Krzysztof Halasa

2009-07-20 19:46:19 UTC

Przeciez to kazdy komputer podpiety do sieci musi robic.

Nie, komputer podpięty do sieci wie tylko jaka jest jego podsieć
i jaki jest adres routera. Jedyna decyzja jaką podejmuje, to czy wysłać
bezpośrednio czy do routera.

Ale to nie jest techniczne rozroznienie. Tak czy owak kazdy komputer
patrzy w swoja tabele routingu i na tej podstawie podejmuje decyzje.
Przypadek trywialny (Twoj) jest tylko tym, trywialnym przypadkiem.
Rownie dobrze "zwykly komputer" moze miec wpisanych wiele routerow do
roznych sieci, i oczywiscie tak samo router wcale nie musi miec bardziej
rozbudowanej (niz ta trywialna) tabeli routingu, wystarczy mu np.
lokalny subnet + uplink (default) point-to-point.

Roznica jest inna, routery w odroznieniu od nie-routerow przekazuja
pakiety miedzy sieciami (interfejsami).

Post by Konrad Stepien
Inna sprawa, że definicja routera jako maszyny
zajmującej się routingiem jest ułomna, bo już taki multihomed host też
routingiem się zajmuje.

A nie, zwykle tego nie robi wlasnie. On tylko moze gadac z roznych IP,
interfejsow itp. - ale pakietow miedzy nimi nie przekazuje.

Post by Konrad Stepien
Kluczowe jest tu to, że host "routuje" wyłącznie
własne pakiety, router zaś głównie pakiety innych.

Wlasnie. Glownie czy nie glownie, ale przynajmniej miedzy innymi.

Post by Krzysztof Halasa
Router odbiera pakiety z jednej strony i wysyla je w druga.

Też niekoniecznie. Można zrobić router z jednym interfejsem i to nadal
będzie router. Sam taki mam w sieci.

Router musi miec w praktyce przynajmniej 2 interfejsy, i to nie liczac
"loopbackow" itp. Moze masz router z jednym interfejsem fizycznym
i np. VLANami?

Tzn. oczywiscie jest jeszcze inna (zdecydowanie mniej powszechna)
definicja slowa "router", wedlug ktorej jest to po prostu czesc stosu IP
(kazdego komputera) odpowiedzialna za wysylanie pakietow przez wlasciwy
interface itp. (podobnie jak definicja "DNS domain" oznaczajaca kazda
zarejestrowana nazwe, w szczegolnosci wszystkie "A").

Post by Konrad Stepien
Zależy co potraktujemy jako użytek domowy. Bez doprecyzowania tego ciężko
polemizować z jednym albo drugim stwierdzeniem. No i kwestja tych "olbrzymich
róznic". Dla mnie olbrzymią różnicą jest np. policy routing, albo routing
dynamiczny, a "domowych" sprzętów z takimi features nie spotkałem.

A ja owszem. Tzn. moze pelny BGP to przesada, ale OSPF lub RIP v2 -
owszem. Z tym, ze taki router, mimo ze SOHO, troche jest pewnie drozszy
niz $100 (chyba ze z kamikaze lub czyms podobnym).

--
Krzysztof Halasa

Konrad Stepien

2009-07-20 23:50:29 UTC

Przeciez to kazdy komputer podpiety do sieci musi robic.

Nie, komputer podpięty do sieci wie tylko jaka jest jego podsieć
i jaki jest adres routera. Jedyna decyzja jaką podejmuje, to czy wysłać
bezpośrednio czy do routera.

No, w klasycznym przypadku to przynajmniej 2 subnety :-) Point2point
to w sumie też subnet.

Post by Krzysztof Halasa
Roznica jest inna, routery w odroznieniu od nie-routerow przekazuja
pakiety miedzy sieciami (interfejsami).

Post by Konrad Stepien
Inna sprawa, że definicja routera jako maszyny
zajmującej się routingiem jest ułomna, bo już taki multihomed host też
routingiem się zajmuje.

A nie, zwykle tego nie robi wlasnie. On tylko moze gadac z roznych IP,
interfejsow itp. - ale pakietow miedzy nimi nie przekazuje.

Ja pisałem o tym "zajmowaniu się" w kontekście wybierania trasy którą
puścić pakiet. To samo robi "twój" host ze zdefiniowanymi kilkoma trasami.
Faktycznie, co poniektóre hosty mają duuuużo bardziej skomplikowane tablice
routingu niż "router do neostrady".

Post by Konrad Stepien
Kluczowe jest tu to, że host "routuje" wyłącznie
własne pakiety, router zaś głównie pakiety innych.

Wlasnie. Glownie czy nie glownie, ale przynajmniej miedzy innymi.

Post by Krzysztof Halasa
Router odbiera pakiety z jednej strony i wysyla je w druga.

Też niekoniecznie. Można zrobić router z jednym interfejsem i to nadal
będzie router. Sam taki mam w sieci.

Router musi miec w praktyce przynajmniej 2 interfejsy, i to nie liczac
"loopbackow" itp. Moze masz router z jednym interfejsem fizycznym
i np. VLANami?

To akurat jest cisco co robi ipsec-a. Po długich walkach z próbami dogadania
linuxa z jednym takim VPN-koncentratorem w Orange poddałem się i postawiłem
ciskacza (akurat jeden wolny miałem). Generalnie ma jeden interfejs,
dostaje pakiety "normalne", wysyła w świat szyfrowane.
Tak konkretnie to go oszukałem dałem mu aliasa na interfejs, czyli logiczne
to ma 2 interfejsy. Zresztą podobnie robi się w cisco NAT-on-a-stick.

Post by Krzysztof Halasa
Tzn. oczywiscie jest jeszcze inna (zdecydowanie mniej powszechna)
definicja slowa "router", wedlug ktorej jest to po prostu czesc stosu IP
(kazdego komputera) odpowiedzialna za wysylanie pakietow przez wlasciwy
interface itp. (podobnie jak definicja "DNS domain" oznaczajaca kazda
zarejestrowana nazwe, w szczegolnosci wszystkie "A").

A ja owszem. Tzn. moze pelny BGP to przesada, ale OSPF lub RIP v2 -
owszem. Z tym, ze taki router, mimo ze SOHO, troche jest pewnie drozszy
niz $100 (chyba ze z kamikaze lub czyms podobnym).

No to już się zacynają dywagacje gdzie kończy się SOHO :-)
W zasadzie, to każdy routerek na który można wrzucić np. linuxa będzie
miał możliwości zbliżone do dużych routerów (pomijając wydajność).

--
WARNING: my e-mail is encrypted by ROT13
Xbaenq Fgrcvra <***@vagreqngn.arg.cy>

b***@nano.pl

2009-07-21 09:01:35 UTC

Przeciez to kazdy komputer podpiety do sieci musi robic.

Nie, komputer podpięty do sieci wie tylko jaka jest jego podsieć
i jaki jest adres routera. Jedyna decyzja jaką podejmuje, to czy wysłać
bezpośrednio czy do routera.

Ale to nie jest techniczne rozroznienie. Tak czy owak kazdy komputer
patrzy w swoja tabele routingu i na tej podstawie podejmuje decyzje.
Przypadek trywialny (Twoj) jest tylko tym, trywialnym przypadkiem.
Rownie dobrze "zwykly komputer" moze miec wpisanych wiele routerow do
roznych sieci, i oczywiscie tak samo router wcale nie musi miec bardziej
rozbudowanej (niz ta trywialna) tabeli routingu, wystarczy mu np.
lokalny subnet + uplink (default) point-to-point.
Roznica jest inna, routery w odroznieniu od nie-routerow przekazuja
pakiety miedzy sieciami (interfejsami).

A jak włączysz w Windows udostępnianie połączenia? To co? Wtedy
przekazuje pakiety między interfejsami. Co rozumiesz przez interfejsy?
Bo może być i tak, że stawiasz pudełko marki np Cisco, Juniper, z jednym
interfejsem fizycznym, na którym są przypisane różne adresy. I
przekazuje on dane między sieciami (dobrym przykładem są VLANy).
A co powiesz na PC z 4 kartami sieciowymi? Gdzie po wgraniu np. Linuksa
komputer robi za router?

wer

Konrad Stepien

2009-07-21 12:22:15 UTC

Post by b***@nano.pl

Przeciez to kazdy komputer podpiety do sieci musi robic.

Nie, komputer podpięty do sieci wie tylko jaka jest jego podsieć
i jaki jest adres routera. Jedyna decyzja jaką podejmuje, to czy wysłać
bezpośrednio czy do routera.

Ale to nie jest techniczne rozroznienie. Tak czy owak kazdy komputer
patrzy w swoja tabele routingu i na tej podstawie podejmuje decyzje.
Przypadek trywialny (Twoj) jest tylko tym, trywialnym przypadkiem.
Rownie dobrze "zwykly komputer" moze miec wpisanych wiele routerow do
roznych sieci, i oczywiscie tak samo router wcale nie musi miec bardziej
rozbudowanej (niz ta trywialna) tabeli routingu, wystarczy mu np.
lokalny subnet + uplink (default) point-to-point.
Roznica jest inna, routery w odroznieniu od nie-routerow przekazuja
pakiety miedzy sieciami (interfejsami).

A jak włączysz w Windows udostępnianie połączenia? To co? Wtedy

To wtedy będzie to router. A że oprócz routingu będzie też hostem,
coż, w wielu małych firmach stoi sobie "linux do wszystkiego" co to
robi maszkaradę, serwer samby, dhcp i jeszcze www/mail.

Post by b***@nano.pl
przekazuje pakiety między interfejsami. Co rozumiesz przez interfejsy?
Bo może być i tak, że stawiasz pudełko marki np Cisco, Juniper, z jednym
interfejsem fizycznym, na którym są przypisane różne adresy. I
przekazuje on dane między sieciami (dobrym przykładem są VLANy).

Akurat VLAN-y to prosta sprawa, to są różne interfejsy. A że fizycznie
siedzą w jednej dziurze to już detal techniczny. Większy kłopot jest
z aliasem na interfejs, bo tu się już sprawa zupełnie rozmywa.

Post by b***@nano.pl
A co powiesz na PC z 4 kartami sieciowymi? Gdzie po wgraniu np. Linuksa
komputer robi za router?

No to sam sobie odpowiedziałeś, to będzie router.

Tak w ogóle, to nie wiem czy uda nam się to jakąś sensowną definicję
routera stworzyć. Bo co np. ze switchami warstwy trzeciej? Albo takimi
cudami jak "router virtualny" (tepsa stosowała takie coś na Polpak-T).

--
WARNING: my e-mail is encrypted by ROT13
Xbaenq Fgrcvra <***@vagreqngn.arg.cy>

Wild Root

2009-08-17 00:48:24 UTC