Vraag

maandag 24 april 2017 15:09

Acties:
  • 0 Henk 'm!
  • M.E
  • Registratie: December 2010
  • Laatst online: 13-10-2020

M.E

Topicstarter
Mijn vraag
Ik heb een kabelmodem (die ik niet kan instellen als bridge) en die via DHCP mijn iPad van een ip voorziet: 192.168.1.102
Ik heb een MikroTik routerboard Hex router die een statisch ipadres 192.168.1.40 heeft.
Ik heb een laptop aangesloten op ether2 van de routerboard en deze krijgt een dhcp adres 192.168.88.254
Nu heb ik gezien dat al het verkeer vanaf ether1 (WAN, mijn humax router dus, alle ipadressen 192.168.1.0/24) standaard gedropt wordt, en dat is ook hartstikke goed.
Echter ik wil op deze regel 1 uitzondering maken, nl ik wil alleen het device met ip 192.168.1.102 (met evt. MAC adress) doorlaten voor alleen poort 80 (www) en alleen naar ip 192.168.1.40 of 192.168.88.1

Relevante software en hardware die ik gebruik
Ik gebruik in eerste instantie de webfig via ether2 op de laptop via adressen 192.168.88.1 of 192.168.1.40
Ik kan evt. putty ssl gebruiken voor de routerboard
------------
Wat ik al gevonden of geprobeerd heb
Ik heb de volgende NAT-regel toegevoegd;
chain: dstnat
dst. address: 192.168.1.102 (ook 192.168.1.1 werkt niet)
protocol: 6(tcp)
dst. port: 80
in. interface: ether1 (WAN)
action: dstnat
to. address: 192.168.88.1 (ook 192.168.1.40 werkt niet)
to. port: 80

Wat wel werkt is via mijn laptop (192.168.88.254) in de browser verbinding maken met 192.168.1.40
Vanaf de iPad verbinding maken met 192.168.1.40 of zelfs 192.168.88.1 is niet mogelijk

Ben er al zo'n 3,5 uren mee bezig dus toch maar even een vraag hier neer planten
Vraag:
Hoe kan ik het zo instellen dat alleen mijn iPad vanaf de WAN poort (ether1) kan inloggen op de routerboard (192.168.1.40 en 192.168.88.1) zodat ik de router vanaf de iPad kan beheren?
Achterliggende gedachte is dat ik alle mobiele devices op het WiFi netwerk op de Humax router heb en alle bedraade devices op de routerboard. Ik wil dus makkelijk de routerboard kunnen beheren vanaf de iPad

Tweede vraag:
Hoe veilig is het als ik dat op deze manier doe? Is er een redelijk risico omdat ik toch de deur op een kier zet?

Beste antwoord (via M.E op 24-04-2017 15:32)

maandag 24 april 2017 15:22

  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 08-07 13:35

MasterL

Moderator Internet & Netwerken
Je hoeft geen NAT rule aan te maken, slechts een allow rule in de "input" chain.

/ip firewall filter
add action=accept chain=input dst-port=80 protocol=tcp src-address=192.168.1.102 in-interface=ether1

Dit is in principe gewoon veilig aangezien normaal gesproken er nooit verkeer vanaf een private subnet(RFC1918) jouw WAN poort in komt. Eigenlijk is 192.168.1.0/24 ook gewoon jouw "LAN".

Alle reacties

maandag 24 april 2017 15:22

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 08-07 13:35

MasterL

Moderator Internet & Netwerken
Je hoeft geen NAT rule aan te maken, slechts een allow rule in de "input" chain.

/ip firewall filter
add action=accept chain=input dst-port=80 protocol=tcp src-address=192.168.1.102 in-interface=ether1

Dit is in principe gewoon veilig aangezien normaal gesproken er nooit verkeer vanaf een private subnet(RFC1918) jouw WAN poort in komt. Eigenlijk is 192.168.1.0/24 ook gewoon jouw "LAN".

maandag 24 april 2017 15:33

Acties:
  • +1 Henk 'm!
  • luxan
  • Registratie: April 2014
  • Laatst online: 10:11

luxan

Nog een kanttekening, aangezien de iPad een IP adres heeft in de 192.168.1.0/24 range, is het voor de iPad onmogelijk om verbinding te maken met IP adressen in de 192.168.88.0/24 range. Omdat IP connectivity tussen verschillende subnetten wel handig is, stuurt je iPad het verkeer met bestemming 192.168.88.1 naar de default gateway. Dit is je kabelmodem, die dit verkeer afkeurt omdat er voor de kabelmodem geen route bestaat naar dat netwerk.

Je kunt eventueel kijken of je een static route in je kabelmodem in kunt stellen maar het is veel makkelijker om genoegen te nemen met het feit dat je Mikrotik vanaf de iPad alleen bereikbaar is via het 192.168.1.40 adres.

maandag 24 april 2017 15:35

Acties:
  • 0 Henk 'm!
  • M.E
  • Registratie: December 2010
  • Laatst online: 13-10-2020

M.E

Topicstarter
MasterL schreef op maandag 24 april 2017 @ 15:22:
Je hoeft geen NAT rule aan te maken, slechts een allow rule in de "input" chain.

/ip firewall filter
add action=accept chain=input dst-port=80 protocol=tcp src-address=192.168.1.102 in-interface=ether1

Dit is in principe gewoon veilig aangezien normaal gesproken er nooit verkeer vanaf een private subnet(RFC1918) jouw WAN poort in komt. Eigenlijk is 192.168.1.0/24 ook gewoon jouw "LAN".
Yesssssss hij doet t, helemaal blij, hartstikke bedankt MasterL voor je snelle antwoord

1 opmerking, ik moest de rule vóór de algemene drop rule plaatsen (rule #3 defconf: drop all from WAN)

maandag 24 april 2017 15:38

Acties:
  • 0 Henk 'm!
  • M.E
  • Registratie: December 2010
  • Laatst online: 13-10-2020

M.E

Topicstarter
luxan schreef op maandag 24 april 2017 @ 15:33:
Nog een kanttekening, aangezien de iPad een IP adres heeft in de 192.168.1.0/24 range, is het voor de iPad onmogelijk om verbinding te maken met IP adressen in de 192.168.88.0/24 range. Omdat IP connectivity tussen verschillende subnetten wel handig is, stuurt je iPad het verkeer met bestemming 192.168.88.1 naar de default gateway. Dit is je kabelmodem, die dit verkeer afkeurt omdat er voor de kabelmodem geen route bestaat naar dat netwerk.

Je kunt eventueel kijken of je een static route in je kabelmodem in kunt stellen maar het is veel makkelijker om genoegen te nemen met het feit dat je Mikrotik vanaf de iPad alleen bereikbaar is via het 192.168.1.40 adres.
Dank je wel, nu je dat zo zegt klinkt het ineens heel logisch, ik ben nog druk lerende :)
Ik kan inderdaad m'n webfig wel berreiken via 192.168.1.40 en niet via 192.168.88.1

maandag 24 april 2017 17:01

Acties:
  • 0 Henk 'm!

Anoniem: 203842

Wat je nu doet, is eigenlijk "omzeilen" van de security. Als jij namelijk "uitzonderingen" gaat toelaten, dan ga je dus "expres" gaten in je vuurmuur maken. Als jou "speciale" apparaat erdoor kan (en mag), wat belet een "hacker" om ook daar doorheen te komen?

Dit verhaal zit op een hoger nivo, dan technisch. Ja... er zullen mensen zijn die zeggen: Het is veilig, alles is dichtgetimmerd etc.... Maar ieder systeem heeft zijn zwakheden. Door die rule, ga je nóg meer zwakheden toevoegen.

maandag 24 april 2017 17:20

Acties:
  • 0 Henk 'm!
  • luxan
  • Registratie: April 2014
  • Laatst online: 10:11

luxan

Ik vind het een beetje ver gaan om te zeggen dat deze firewallrule gelijk staat aan het 'omzeilen' van de security. Volgens die logica zou ik ook geen reserve-sleutel aan mijn buurvrouw moeten geven omdat ze dan mijn huis in kunnen door bij haar huis in te breken.

TS heeft van de provider een kabelmodem ontvangen die blijkbaar WiFi en DHCP levert. Ik denk dat we op basis daarvan kunnen aanemen dat het ding ook een router en firewall bevat. De Mikrotik heeft een RFC1918 adres waardoor hij niet direct via het internet te benaderen is en gezien de posts denk ik niet dat TS een port forward in het modem heeft gezet voor poort 80 in de richting van de Mikrotik.

Er zijn legio configs waar specifieke poorten van interne servers bereikbaar zijn vanuit de DMZ maar niet vanaf het internet. Deze configs gebruiken een vergelijkbaar principe. Ik kan je op een briefje geven dat de beheerders niet van mening zijn dat zij met deze configs de security aan het 'omzeilen' zijn.

Dat het iets minder veilig is dan de situatie zonder de open poort ben ik met je eens maar als we die logica volgen, zou je je computer in een blok beton moeten stoppen en dat blok beton vervolgens in de zee moeten gooien om volledig veilig te zijn. Als je deze redenatie doortrekt, is elk extern apparaat dat je aansluit op je computer een 'omzeiling van de best mogelijke security' (en ja, daarmee bedoel ik ook dingen als USB-sticks, bluetooth adapters en SD kaarten.)

woensdag 26 april 2017 17:51

Acties:
  • 0 Henk 'm!
  • M.E
  • Registratie: December 2010
  • Laatst online: 13-10-2020

M.E

Topicstarter
Anoniem: 203842 schreef op maandag 24 april 2017 @ 17:01:
Wat je nu doet, is eigenlijk "omzeilen" van de security. Als jij namelijk "uitzonderingen" gaat toelaten, dan ga je dus "expres" gaten in je vuurmuur maken. Als jou "speciale" apparaat erdoor kan (en mag), wat belet een "hacker" om ook daar doorheen te komen?

Dit verhaal zit op een hoger nivo, dan technisch. Ja... er zullen mensen zijn die zeggen: Het is veilig, alles is dichtgetimmerd etc.... Maar ieder systeem heeft zijn zwakheden. Door die rule, ga je nóg meer zwakheden toevoegen.
Dat was eerlijk gezegd ook precies waarom ik t vroeg. Ik begrijp dat deze regel dus wel een kleine beperking op de beveiliging veroorzaakt en dat is zeker goed om te weten. Kan ik aannemen dat des te specifieker ik de regel maak (protocol, poort, IP-adres, mac-nummer, etc), des te 'minder onveilig' de uitzondering is?

woensdag 26 april 2017 18:20

Acties:
  • 0 Henk 'm!
  • M.E
  • Registratie: December 2010
  • Laatst online: 13-10-2020

M.E

Topicstarter
luxan schreef op maandag 24 april 2017 @ 17:20:
Ik vind het een beetje ver gaan om te zeggen dat deze firewallrule gelijk staat aan het 'omzeilen' van de security. Volgens die logica zou ik ook geen reserve-sleutel aan mijn buurvrouw moeten geven omdat ze dan mijn huis in kunnen door bij haar huis in te breken.
Ik begrijp wel wat haik01 wil zeggen, in principe dropt de firewall alles (regel #3) van buitenaf. Door mijn regel ervóór te zetten maak ik dus die uitzondering, en dat kan je als onveilige actie beschouwen. Hoe onveilig is denk ik vooral afhankelijk hoe specifiek je de nieuwe regel maakt, maar t is toch wel een heel klein gaatje in de vuurmuur. Geen idee hoe groot risico ik loop in de praktijk; zie hieronder.
TS heeft van de provider een kabelmodem ontvangen die blijkbaar WiFi en DHCP levert. Ik denk dat we op basis daarvan kunnen aanemen dat het ding ook een router en firewall bevat.
Dat klopt, ik heb een Humax router, maar die beschouw ik zeker niet als veilig, t ding is al iets van 4 jaar oud en ik gebruik rdp voor m'n werk en dat werkt echt alleen maar als ik firewall op Low heb staan. Das dus wel een best issue...
De Mikrotik heeft een RFC1918 adres waardoor hij niet direct via het internet te benaderen is en gezien de posts denk ik niet dat TS een port forward in het modem heeft gezet voor poort 80 in de richting van de Mikrotik.
Klopt ook, als ik t goed begrijp zorgt dat NAT-rule masquarade ervoor dat men niet door t router in m'n netwer daarachter kan kijken. Verder heb ik heel bewust absoluut niets open staan van buiten (public internet van Humax) naar binnen (interne netwerk verzorgd door de Humax, dus bedraad en WiFi en de routerboard)
Er zijn legio configs waar specifieke poorten van interne servers bereikbaar zijn vanuit de DMZ maar niet vanaf het internet.
Ik heb juist begrepen dat DMZ niet verstandig is om te gebruiken, aangezien alles dan 1 op 1 op ether1 van de routerboard staat. Dat is normaalgesproken natuurlijk geen issue maar ik heb m'n WiFi op de Humax router die ik wil blijven gebruiken (de routerboard heeft geen wifi).
Deze configs gebruiken een vergelijkbaar principe. Ik kan je op een briefje geven dat de beheerders niet van mening zijn dat zij met deze configs de security aan het 'omzeilen' zijn.

Dat het iets minder veilig is dan de situatie zonder de open poort ben ik met je eens maar als we die logica volgen, zou je je computer in een blok beton moeten stoppen en dat blok beton vervolgens in de zee moeten gooien om volledig veilig te zijn. Als je deze redenatie doortrekt, is elk extern apparaat dat je aansluit op je computer een 'omzeiling van de best mogelijke security' (en ja, daarmee bedoel ik ook dingen als USB-sticks, bluetooth adapters en SD kaarten.)
Ik snap wel wat je bedoeld hoor, maar ik denk dat de routerboard door de behoorlijk recht-toe-recht-aan beveiligingsregels ook behoorlijk veilig out-of-the-box beschouwd mag worden, ga je daar uitzonderingen op maken, dan is het bijvoorbaat onveiliger. Vraag is natuurlijk; hoeveel onveiliger...


De situatie om de routerboard te configureren met de iPad is eigenlijk een tijdelijke, en ook een wat (te?) gemakkelijk workaround. Ik wil binnenkort namelijk nog een extra netwerkkabel aanleggen naar m'n werkplek vanaf de routerboard. Als deze verbinding er is, is de situatie als volgt (en is de regel niet meer nodig):
ISP WAN --> Humax router --> WiFi voor mobiele devices
............................................--> bedraad naar Routerboard --> bedraad naar laptop

woensdag 26 april 2017 20:42

Acties:
  • 0 Henk 'm!

Anoniem: 203842

M.E schreef op woensdag 26 april 2017 @ 17:51:
[...]

Dat was eerlijk gezegd ook precies waarom ik t vroeg. Ik begrijp dat deze regel dus wel een kleine beperking op de beveiliging veroorzaakt en dat is zeker goed om te weten. Kan ik aannemen dat des te specifieker ik de regel maak (protocol, poort, IP-adres, mac-nummer, etc), des te 'minder onveilig' de uitzondering is?
Nee.

Als jij een groot hek om je privé terrein zet, dan doe je zodat er niemand op jouw privé terrein komt. Dit hek is goed en sterk.

Nu ga je een katteluikje maken in het hek, zodat jouw kat naar buiten en terug kan door het hek.

Maar dat betekent dar er een gat in je beveiliging (hek) zit. Ook al is deze klein, maar als een boze onverlaat, zijn eigen (siponnen) kat door het luikje stuurt.... en jij merkt dat niet op (omdat de kat dezelfde kleur is als de jouwe bv....) dan ben je niet meer beschermd door het hek.

Ook al maak je het luikje kleiner zodat alleen een muis erdoorheen kan.... dan nog, kan er een muis doorheen. PUNT.

Het hek moet ALTIJD in tact zijn. Dan pas heeft het zijn functie. Want een rare gast van buiten die binnen wilt komen, gaat eerst op zoek naar ..... (drie keer raden....): gaten in de muur..... En die gaten heb JIJ zelf aangebracht.

woensdag 26 april 2017 23:00

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 09:56

Thralas

M.E schreef op woensdag 26 april 2017 @ 18:20:
Door mijn regel ervóór te zetten maak ik dus die uitzondering, en dat kan je als onveilige actie beschouwen.
De daadwerkelijke impact is sterk afhankelijk van jouw motivering om een scheiding (firewall) aan te brengen in je thuisnetwerk.

De een wil voorkomen dat allerlei 'smart devices' met het internet kunnen praten, de ander z'n fileshares afschermen voor cryptolockers van minder handige familieleden. Het is me niet helemaal duidelijk wat je zelf probeert te bewerkstelligen.
Dat klopt, ik heb een Humax router, maar die beschouw ik zeker niet als veilig, t ding is al iets van 4 jaar oud en ik gebruik rdp voor m'n werk en dat werkt echt alleen maar als ik firewall op Low heb staan. Das dus wel een best issue...
Er is een groot verschil tussen een gezond wantrouwen (omdat je er beperkt controle over hebt) en paranoia.

haik01 lijkt als invalshoek te nemen dat er 99 boze hackers 'achter' de MikroTik zitten. Dat is niet zo, want het is nog steeds onderdeel van je thuisnetwerk. Je mag er redelijkerwijs vanuitgaan dat je internetprovider niet dermate nalatig is dat ze willekeurig 'inkomend' internetvekeer naar je LAN-devices routeren, en dan ook nog eens je MikroTik router uitkiezen.
Klopt ook, als ik t goed begrijp zorgt dat NAT-rule masquarade ervoor dat men niet door t router in m'n netwer daarachter kan kijken.
Niet helemaal. Om het voorbeeld van de 99 hackers er weer even bij te pakken: als je verkeer 'voor' 192.168.88.0/24 op je MikroTik-WAN-poort zou krijgen komt daar geen NAT bij kijken.

Zoals luxan al aangaf is dit in de praktijk geen 'probleem', vaak zit er aan de andere kant van je NAT een provider die 'vreemd' verkeer uberhaupt niet op z'n netwerk toelaat.

Daarnaast heeft MikroTik een standaard firewall rule die al het verkeer dat NIET geNAT is weggooit. Dat is de echte reden waardoor de WAN-poort standaard 'veilig' is (geen inkomende connecties ricthing het LAN).
Ik heb juist begrepen dat DMZ niet verstandig is om te gebruiken, aangezien alles dan 1 op 1 op ether1 van de routerboard staat.
Let op, er is een onhandig verschil tussen de betekenis van DMZ in een 'echt' netwerk (zoals luxan hem hanteert) en op een huis-tuin-en-keukenrouter (m.i. foutief gebruik). Wikipedia legt het duidelijk uit.

Zou je de MikroTik instellen als 'DMZ host' dan is de firewall opeens geen gimmick meer.
Vraag is natuurlijk; hoeveel onveiliger...
Lang verhaal kort: verwaarloosbaar met de voorgestelde wijziging, maar het is goed om altijd te blijven nadenken over de gevolgen.

donderdag 27 april 2017 07:24

Acties:
  • 0 Henk 'm!
  • M.E
  • Registratie: December 2010
  • Laatst online: 13-10-2020

M.E

Topicstarter
Anoniem: 203842 schreef op woensdag 26 april 2017 @ 20:42:
[...]


Nee.

Als jij een groot hek om je privé terrein zet, dan doe je zodat er niemand op jouw privé terrein komt. Dit hek is goed en sterk.

Nu ga je een katteluikje maken in het hek, zodat jouw kat naar buiten en terug kan door het hek.

Maar dat betekent dar er een gat in je beveiliging (hek) zit. Ook al is deze klein, maar als een boze onverlaat, zijn eigen (siponnen) kat door het luikje stuurt.... en jij merkt dat niet op (omdat de kat dezelfde kleur is als de jouwe bv....) dan ben je niet meer beschermd door het hek.

Ook al maak je het luikje kleiner zodat alleen een muis erdoorheen kan.... dan nog, kan er een muis doorheen. PUNT.

Het hek moet ALTIJD in tact zijn. Dan pas heeft het zijn functie. Want een rare gast van buiten die binnen wilt komen, gaat eerst op zoek naar ..... (drie keer raden....): gaten in de muur..... En die gaten heb JIJ zelf aangebracht.
Ok, duidelijk, dank je wel. Je uitleg geeft mij vooral aan dat men erg voorzichtig moet zijn, beter een keer teveel nadenken over evt. beveiligingslekken dan te weinig.
Thralas schreef op woensdag 26 april 2017 @ 23:00:
[...]


De daadwerkelijke impact is sterk afhankelijk van jouw motivering om een scheiding (firewall) aan te brengen in je thuisnetwerk.

De een wil voorkomen dat allerlei 'smart devices' met het internet kunnen praten, de ander z'n fileshares afschermen voor cryptolockers van minder handige familieleden. Het is me niet helemaal duidelijk wat je zelf probeert te bewerkstelligen.
Goede vraag, had ik erbij moeten vermelden. Het is me vooral te doen om de apparaten binnen m'n privé-netwerk te beveiligen, in t bijzonder een voip-telefoon (binnenkort ipsec) en een zakelijke laptop (vpn). Daarnaast wil ik ook graag m'n raspberry pi van de boze buitenwereld beschermen. Alle devices die ik zelf kan configureren (dus niet de iphones en ipads) probeer ik natuurlijk in t OS al zo goed mogelijk te beveiligen, maar de Routerboard moet een extra en altijd betrouwbare barricade naar de boze buitenwereld zijn.

Overigens je voorbeeld 'voorkomen dat smart devices met t internet kunnen praten' ben ik zeer in geinteresseerd hoe dat in te stellen, zou ik daar een ander topic voor kunnen openen?
Thralas schreef op woensdag 26 april 2017 @ 23:00:
[...]


Er is een groot verschil tussen een gezond wantrouwen (omdat je er beperkt controle over hebt) en paranoia.

haik01 lijkt als invalshoek te nemen dat er 99 boze hackers 'achter' de MikroTik zitten. Dat is niet zo, want het is nog steeds onderdeel van je thuisnetwerk. Je mag er redelijkerwijs vanuitgaan dat je internetprovider niet dermate nalatig is dat ze willekeurig 'inkomend' internetvekeer naar je LAN-devices routeren, en dan ook nog eens je MikroTik router uitkiezen.
Allereerst kan ik jullie beider invalshoeken erg waarderen. Ik realiseer me in ieder geval dat die 99boze hackers wel degelijk vóór de MikroTik (dus achter de Humax die m.i. niet veilig is) kunnen zitten, en daarom is een keer extra nadenken over rules en uitzonderingen daarop denk ik zeker verstandig.
Aan de andere kant heb ik de Humax al een tijdje in gebruik dus, zoals jij zegt de WAN-IPS-provider (en misschien toch zelfs de Humax) redelijk veilig.
Maar goed, enigzins voorzichtig en wantrouwend ben ik over het het algemeen wel, en belangrijker, ik ben druk doende lerend over dit soort zaken.
Thralas schreef op woensdag 26 april 2017 @ 23:00:
[...]


Niet helemaal. Om het voorbeeld van de 99 hackers er weer even bij te pakken: als je verkeer 'voor' 192.168.88.0/24 op je MikroTik-WAN-poort zou krijgen komt daar geen NAT bij kijken.

Zoals luxan al aangaf is dit in de praktijk geen 'probleem', vaak zit er aan de andere kant van je NAT een provider die 'vreemd' verkeer uberhaupt niet op z'n netwerk toelaat.

Daarnaast heeft MikroTik een standaard firewall rule die al het verkeer dat NIET geNAT is weggooit. Dat is de echte reden waardoor de WAN-poort standaard 'veilig' is (geen inkomende connecties ricthing het LAN).
Aah dat is duidelijk nu, die rule zag ik ook staan inderdaad, volgens mij is dat de laatste rule. Dank je.
Thralas schreef op woensdag 26 april 2017 @ 23:00:
[...]


Let op, er is een onhandig verschil tussen de betekenis van DMZ in een 'echt' netwerk (zoals luxan hem hanteert) en op een huis-tuin-en-keukenrouter (m.i. foutief gebruik). Wikipedia legt het duidelijk uit.

Zou je de MikroTik instellen als 'DMZ host' dan is de firewall opeens geen gimmick meer.
Wikipedia erbij gepakt. Ben bang dat ik t nu niet meer begrijp. Wat bedoel je precies met de laatste zin? Stel, ik zet in de Humax DMZ service 'Aan', wat betekent dat dan voor de veiligheid van de WiFi-adressen die de Humax (via DHCP) normaalgesproken uitdeelt, en met name de veiligheid van de devices van en naar de devices achter de Mikrotik? Dus als voorbeeld, ip 192.168.1.12 uitgedeeld door DHCP aan iPad1 wil verbinding maken met 192.168.88.123, een statisch of dynamisch adres achter de MikroTik ?
Thralas schreef op woensdag 26 april 2017 @ 23:00:
[...]


Lang verhaal kort: verwaarloosbaar met de voorgestelde wijziging, maar het is goed om altijd te blijven nadenken over de gevolgen.
In de huidige situatie zijn m'n apparaten achter de MikroTik prima beveiligd en veilig, echter de MikroTik heeft geen WiFi.
Als ik de huidige WiFi van de Humax-router (die ik als niet heel veilig beschouw) wil gebruiken, is dat dan wel zo verstandig, of kan ik veel beter een losse WiFi module, of een MikroTik met WiFi kopen?

donderdag 27 april 2017 20:43

Acties:
  • 0 Henk 'm!

Anoniem: 203842

"Uiteraard"... zitten er geen 99 hackers. Nee, het zijn er duizenden. Ik zien genoeg (geautomatiseerde) port scans in mijn logs.

Als de Humax een zero day (of zelfs een gewone) "gat" heeft, dan komt de hacker aan de "muur in Mikrotik" kloppen. En DAN wordt het leuk.

Het "leukste" is dat jij geen mails krijgt, geen bericht, je merkt het niet eens.... Dat er iemand zit te rommelen. En DAT is het gevaarlijkste. Dat kan de beste router overkomen, ook CIso's, Junipers etc.... hebben deze gaten (alleen daar krijg je wél een mail over).
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq