[Diabolik]

Appena installata/aggiornata la 8.8.37........ ho notato che adesso la GUI ha una sorta di aggiornamento ogni 3 secondi (l'ho notato dal tempo di attività). Ho provato a cercare tra le opzioni ma c'è un'impostazioni tipo per aumentare/abbassare il tempo di refresh (ammesso che sia effettivamente un refresh) ?
Ho anche notato che c'è l'opzione in merito ai dns... è forse possibile cambiare ora i dns ed impostare altro senza perdere il voip ?

[FrancYescO]

l'aggiornamento c'é sempre stato forse prima non lo notavi semplicemente perché non c'era l'animazione attualmente il tempo di refresh é fisso.
io non sono informatissimo a riguardo ma non capisco perché perdevate il voip dato che i dns venivano assegnati solo dal dhcp prima..io direi che dovreste provare a vedere se funziona

[ElDavo]

Ciao ragazzi,
Ho attivato ssh su wan. Ma, come temevo, sono stato subito bersagliato dai bot che fanno bruteforce.
Siccome non voglio che mi arrivi un simile traffico, vorrei cambiare porta.
Come faccio?

Ecco quello che ho provato:
uci set dropbear.wan.Port='22000'
uci set firewall.SSH_wan.dest_port='22000'
uci commit
reboot

Ma, al riavvio, non si vede nulla (da wan) né su 22000 né su 22.
Come si risolve?
O magari, feature request, mettere la possibilità di farlo da GUI?

[MisterFTTH]

Cambiare porta è un palliativo: se vuoi davvero lasciare in ascolto SSHD su WAN, la best practice prevede disabilitazione dell'accesso tramite password ed attivazione di quello tramite certificato con passphrase.

[zoomx]

Ci sarebbe anche la tecnica del port knocking, per aprire la porta SSH devi prima collegari a una o più porte a scelta.

[MisterFTTH]

Non ho riportata quella possibilità perché non so se il relativo pacchetto sia compilato per il kernel/architettura di questi router.

[ElDavo]

Peccato. Questo non risolve più di tanto il problema, traffico ce ne sarà sempre.
Non c'è fail2ban? O qualcosa del genere?
Per le chiavi pubbliche, preferisco non usarle perché ho paura di perderle, però, le dovro usare per forza ^^

Ma perché dovrebbe essere così complicato cambiare porta? C'è qualcosa di hardcoded?

[MisterFTTH]

Per fail2ban vale lo stesso discorso: non so se sia compilabile e/o compilato per questi router.

E comunque non puoi eliminare il traffico, se non eliminando fisicamente il nodo che quel traffico genera...infatti la sicurezza si implementa non eliminando il nodo, operazione impossibile ovviamente, bensì diminuendo o azzerando le probabilità di accesso.

[ElDavo]

E' inutile dire queste cose.
Ad accedere non accederanno mai, dato che il sistema a chiave pubblica è sicuro.
Semplicemente non voglio che mezzo milione di dispositivi IoT bucati mi facciano sprecare CPU e banda. Un modo supereffettivo di farlo è cambiare porta e mettere 62773.

Va be, ho messo anche un po' di rate limiting. Dovrebbe bastare.

Quindi, ricapitolando, fail2ban e simile sono nello stato "non si sa se funziona".
E il feature request rimane, cioè la possibilità di cambiare porta a dropbear.
Ovviamente non pretendo nulla, nel caso sistemiate questa feature, fatemi un fischio, sennò no

Ciao

[Diabolik]

@FrancYescO riguardo al DNS..... io non l'ho mai provato perchè di solito imposto i dns direttamente a livello di dispositivo ed ip fisso poi per i dispositivi wireless che di fatto usano il dhcp nel 99% dei casi appunto dalla GUI è settabile quali dns assegnare.
Semplicemente leggendo qua la avevo capito che era possibile, cambiando qualche conf a mano nei file, cambiare i dns stessi della connessione fisica e avevo appunto letto che ciò causava la perdita della VoIP..... ora con questa GUI invece ho visto che nel TAB "Accesso ad Internet" scorrendo verso il basso c'è un FLAG che dice "Server DNS" e ci sono i soliti dns di telecom poi c'è "Trova automaticamente DNS" acceso.  Lo si può spegnere ma poi non ho capito bene come funziona....... c'è "Add newServer DNS" e compare il form dove, credo, sia possibile aggiungere DNS alternativi ma non sono poi cosi sicuro come funziona il tutto.
Hai info in merito ? Se per esempio agli attuali "85.37.17.57,85.38.28.80" si potrebbe aggiungere i classici "8.8.8.8,8.8.4.4" non sarebbe poi cosi male.........

[FrancYescO]

L'ho sviluppata in prima persona quella parte, non fa altro che appunto cambiare i dns proprio della connessione.
se ne vuoi aggiungere basta che li aggiungi, se vuoi ignorare quelli del provider e usare solo i tuoi (e ti consiglio 1.1.1.1,1.0.0.1) spegni il trova automaticamente... al massimo se noti problemi di sorta puoi provare a mettere come dns terziario uno del provider (con il trova automaticamente attivo non ricordo che priorità da a quelli del provider)

[Diabolik]

^^ Aspetta Aspetta com'è che funziona ? Allora disattivo il trova automaticamente e aggiungo ciò che voglio.... se ho capito va prima il dns primario poi il secondario seguito dalla virgola.
Cioè io ad oggi non ho mai toccato nulla e con il trova automatico mi indica quei dns quindi potrei disattivare il trova automaticamente e magari inserire una stringa tipo "8.8.8.8,8.8.4.4,85.37.17.57,85.38.28.80" giusto ?

In quando ai dns da te suggeriti......... sono la prima volta che li sento nominare ma che dns sono ? Sono "migliori" (per quanto facciano la differenza) dai + noti google dns ?


*EDIT*
mmmmmmm... semplice ricerca con google per scoprire questi nuovi DNS made by Cloudflare.

Li ho impostati appena adesso...... nel PC attuale e nel router nel server DHCP (in modo che li ottengono tutti i miei dispositivi mobile e/o tutti i dispositivi connessi alla mia wi-fi). Appena posso li imposto sul MySky (che ne richiede uno solo) e sul mio Pi2.

A livello di connessione sul router invece non vorrei far casini....... se cambio poi spu**ano la navigazione sono rovinato

[MisterFTTH]

E' inutile dire queste cose.

Non è inutile chiarire a chi legge che è concettualmente errato considerare la possibilità di eliminare il traffico in ingresso.

Ad accedere non accederanno mai, dato che il sistema a chiave pubblica è sicuro.

Così come è concettualmente errato considerare sicuro tout-court qualsiasi sistema informatico, soprattutto se in rete: meglio smorzare il tono di talune affermazioni aggiungendo quanto meno l'avverbio "ragionevolmente", al fine di non infondere false sicurezze in chi legge.

Un modo supereffettivo di farlo è cambiare porta e mettere 62773.

Ribadisco che cambiare porta è un palliativo: per dieci attaccanti che proveranno bruteforce su porte standard e passeranno al bersaglio successivo una volta preso atto che sono chiuse o filtrate, ce ne saranno almeno altrettanti che eseguiranno port scan preventivo e successivamente proveranno bruteforce sulle porte aperte.

E lì sei punto a capo, perlomeno se non integri anche software tipo knockd.

Quindi, ricapitolando, fail2ban e simile sono nello stato "non si sa se funziona".

Software che nel caso di questi router sono nello stato "non so se siano compilabili e/o compilati": attendi eventuali indicazioni da chi segue un minimo queste questioni (ad es. @roleo ) oppure ancora meglio puoi dedicarti in prima persona all'analisi della fattispecie, se ne hai le competenze tecniche.

E il feature request rimane, cioè la possibilità di cambiare porta a dropbear.

Io al tempo dei miei (pochi) smanettamenti avevo avuto esito positivo modificando direttamente il file di configurazione di dropbear, comunque cerca in questa o discussioni analoghe, mi pare si sia già parlato nello specifico di questa modifica.

[FrancYescO]

Tralasciano che sono d'accordo con @MisterFTTH di utilizzare la chiave, il fatto di cambiare porta anche lasciando password come autenticazione permette di abbattere il 90% del traffico sporco (chi si mette a fare i portscan e analisi dei servizi su ogni porta é in numero molto minore di chi appena trova la 22 aperta si mette a fare bruteforce) cosa che invece non accade lasciando sempre la 22 come porta per ssh (i bot arriveranno comunque fino al punto in cui poi si accorgono di non poter usare la password come autenticazione)

Utilizzando la porta 22 tempo un paio d'ore e ti trovi qualcuno che sta tentando un bruteforce, cambi porta e puoi star tranquillo per mesi anche senza la necessitá nemmeno di f2b (che se attivo sulla porta 22 inizia a mangiare ram per tutta la gente che inizia a bloccare)

insomma per star piú tranquilli ed evitare anche il traffico sporco bisogna sia cambiare porta che togliere l'auth con password

[Brian_Furious]

@Brian_Furious
1) cioé non riesci a cambiare le password?
2) ci sono da fare fix e adattamenti su luci per averlo configurabile da li
3) il link della repo in /etc/opkg/distfeeds.conf é solo un placeholder non valido, ci sono alcune repo che potresti mettere in sostituzione anche quelle ufficiali di openwrt ma ti sconsiglio un upgrade e in generale di fare attenzione con quello che installi perché c'é molta roba non compatibile

1) Ho aggiornato all'ultima versione GUI 8.8.39 e  Firmware  AGTHP_1.2.0_001 e ho risolto cosi.
2) Capito. Arriverà una "forzatura" della banda 40Mhz su 2.4Ghz?
3) Ah ecco, allora penso che serva poco OpenWrt per ora 

Un'altra cosa. Ho cambiato modem su DSL-AC88U e dopo 2 minuti ho avuto i miei 20Mbit di upload, pensavo fosse un miglioramento modem, ma dopo un riavvio per verificare se la password restasse ritornano i 14Mbit. Devo dire che disto a 78Mt. dall'armadio e aggancio 80Mbit down e 14Upload. Considerando che sono in derivata e forse tanta diafonia non giustifica i 14Mbit di upload. Gente in condizioni estreme a 300Mt riescono a tenere 20Mb upload puliti. Dove posso aprire magari una discussione al riguardo?