Dags för en uppdatering och en historia.
Jag blåste rent min Asus router och köpte en Edgerouter PoE och en Unifi AC-AP-Pro vilka jag konfigurerade tillsammans med mina existerande HP ps1810 router och en Netgear GS108T router (och några dumma switchar) enligt följande:
Jag placerade Asus-routern närmast inkommande WAN och anslöt min kompis NAS till den så att NAS:en skyddas från Internet av Asus-en.
Jag anslöt sedan Edgeroutern till en annan port på Asusen så att jag fick ett "inre" nät som inte kan nås av NAS:e då Edgerouterns brandvägg är i vägen. Det "inre" nätet är alltså skyddad av dubbla brandväggar, mer om det senare.
Edgeroutern konfades med ett Huvudnät och tre VLANs:
- SERVERS, KIDS och GUEST
De olika näten är skyddade mot varandra förutom huvudnätet som kommer åt alla andra näten. På så sätt skyddar jag resten av nätet mot barnens kladdande med olika skumma sajter m.m. hoppas jag.
Jag stängde av det trådlösa nätet på Asus-en och anslöt istället Unifi-AP:n som trådlöst nät med ett huvudnät och ett gästnät (kopplat till GUEST-Vlanet). På gästnätet använder jag kupongsystemet för att ansluta gäster i max 4 timmar. (Det sitter kuponger på kylskåpet som gästerna kan ta av för att ansluta till gästnätet). På så sätt slipper jag få in andras telefoner och datorer på mitt nät.
Jag installerade Sophos home anti-malwareprogramvara på alla klienter (ej servrar) och testade att det fungerade med EICAR testvirus. Sophos hittade vid första scanningen en malware i min maillåda på min Mac som det effektivt raderade.
När allt var klart slog jag på ASUS:en på DPI (Deep packet inspection) eller AIProtection som det heter på Asus-språk. Genast fick jag mail om att någon enhet på nätet försökte nå IP-adress 193.11.114.43 klassad som "skum". Jag kunde via sajten MXTOOLBOX konstatera att det är en TOR server som också heter tor1.mdfnet.se. Det kändes lite skumt. Det verkar som att det är NTP-porten nr 123 som används för trafiken det förefaller som att mdfnet är med i pool.ntp.org och kanske därför är en legitim NTP-server, men jag är väldigt osäker då den också klassas som skum i de register jag hittade.
Ett problem var att jag inte visste vilken av de 30+ enheter jag har Internetuppkopplade hemma som försökte nå den skumma IP-adressen då Asus AI-protection endast uppger en MAC-adress och eftersom all trafik på det inre nätet går via Edgeroutern så är det Edgerouterns MAC-adress jag såklart fick besked om. Jag ville inte koppla om alla enheter att köra via Asusen för att få exakt MAC-adress och därför behövde jag något sätt att logga alla paket som skickades över min Edgerouter.
Efter misslyckat letande efter någon sådan gratis analysprogramvara som inte var för komplicerad att installera slutade det med att jag körde kommandot "show interfaces ethernet switch0 capture port 123" från kommandoradsinterfacet på Edgeroutern som visar all trafik som skickas till port 123 över mitt inre nätverk. Sen var det bara att sitta och vänta på nästa mail från Asusroutern för att försöka fånga vilken IP anropet till TOR-servern kom ifrån.
Enheten som försökte nå tor-servern slutade plötsligt att skicka trafik och tystnade under flera dagar och då var jag tvungen att lägga ner letandet. Någon gång då och då kom ett mail om att ett nytt anrop blockerats men jag hade aldrig möjlighet att kolla övervakningen då.
Men så helt plötsligt denna vecka fick jag mail på mail på mail om blockerade försök att nå tor-servern så jag satte igång övervakningen och lyckades fånga IP:adressen på "förövaren". Det visade sig vara min frus många år gamla HTC androidtelefon som var boven. Det är en gammal telefon med nästan inga appar installerade förutom någon bankapp och pdf-läsare så jag har ingen aning vad den håller på med. Det är en gammal telefon som ändå ska bytas och detta skyndar endast på processen och jag kommer inte göra något mer där än att slänga ut telefonen.
Förutom ovanstående har jag bytt alla lösenord till alla klientdatorer och servrar hemma och skapat speciella adminkonton med egna lösenord istället för att låta alla användare vara administratörer på sina maskiner. Förhoppningsvis om jag får in något så sprider sig skiten inte så lätt om det inte är ett adminkonto man kör på.
Jag har även kört portscanner på hela nätet(näten) och stängt ner alla öppna portar som inte måste vara öppna. Jag gick även in på Shields-up och gjorde en portscanning utifrån för att säkerställa att jag inte har något öppet.
Asus:en har fortfarande en port forwarding till min kompis NAS men den är konfigurerad att endast kunna kommas åt från hans egna IP så den upptäcktes inte av den externa portscanningen vilket känns rätt.
På mina NAS:ar har jag också krypterat hårddiskarna och håller på och jobbar med att få igång backuperna igen från alla datorer.
I övrigt har jag också generellt bytt alla lösenord till minst 10 tecken med stora och små bokstäver, minst en siffra och minst ett specialtecken. Inga lösenord återanvänds utan det är unika lösenord överallt.
Jag har också numera tvåfaktorsautentisering med Yubikey (https://www.yubico.com/start) eller med Google Authenticator (https://en.wikipedia.org/wiki/Google_Authenticator) på alla ställen det har varit möjligt, bl.a. mina NAS:ar, Appleid, Google, dropbox, m.m, m.m.
Jag måste slå ett slag för Willie Howe och Crosstalk solutions instruktionsvideos på Youtube om hur man konfigurerar Edgerouter och Unifi. Helt fantastiskt bra, tack för tipsen @fragwolf.
Tack också @Skippy och @Prelatur för tipsen om hur jag skulle komma igång med router-on-a-stick och VLAN.
Det har tagit nästan en månad med olika intensitet till och från men nu börjar jag känna mig hyfsat färdig med omstruktureringen av mitt nät och jag känner att jag höjt säkerheten väldigt många steg jämfört med hur jag hade det tidigare. Men finns det mer jag kan göra så tar jag gärna emot tips!
Skickades från m.sweclockers.com
