Problem med attacker från externa IP. Läge för edgerouter?

Permalänk
Medlem

Problem med attacker från externa IP. Läge för edgerouter?

Jag sitter med 100/100Mbit och fast IP. Ett problem som dykt upp hemma hos mig är att något eller några försöker sänka mitt nätverk (specifikt min router).

Har tidigare haft en Asus N66U som router, och en Apple Time Capsule (802.11ac) som trådlös accesspunkt.

Asusroutern har vid vissa tillfällen gått upp i 100% CPU usage, och således går det inte att komma ut på internet. Detta händer även direkt efter omstart eller total reset. Den kör senaste firmware. CPU-belastningen går endast ner när man slår av dess brandvägg.

Nu i dagarna har dock Asusen blivit långsam, och dess adminlösen har ändrats (jag har haft ett komplicerat custom-lösenord på den). Misstänker att den hackats. (detta hände på min mors Asus AC68U router med standardlösenord. En bot/hacker satte då en egen DNS för att skicka reklam-popups och logga all trafik.) Ingen av dessa Asus-routrarna gick att ställa in via WAN, men detta har så klart kringgåtts av bottarna/hackarna)

Så idag fick jag ta bort Asus-routern och sätta min Time Capsule som router+accesspunkt. Detta är dock inte idealt tycker jag.

Nu till min fråga:

- Vilken brandvägg skulle ni rekommendera? Edgerouter kanske?

Vi har ca 20 enheter uppkopplade, strömmar 4K HDR och har möjlighet att uppgradera till 1000/1000 för ca 100kr/mån. Så det vore bra om brandväggen klarar 1000/1000Mbit.

Visa signatur

Sakura gaming: Ryzen 5 5600X, 16GB 3600MHz CL16, RTX 3080, X570 Aorus Elite, 1TB MP600, NH-D15 Chromax, H510, Varmilo VA88M Sakura
Arbetshäst: Macbook Pro 14" M2 Max
Golden oldies: ThinkPad 600, ThinkPad T400, ThinkPad T400s x2, iMac 27" 2010 & 2017, Mac Pro 2010, Mac mini 2011 & 2021, Mac Pro 2012, Macbook Air 13" 2013, Macbook Pro Retina 15" 2013, 2017 & 2019

Permalänk
Medlem

Om du inte har några avancerade krav så borde någon/några av Edgeroutrarna klara av gigabit (dock inte full duplex).

I övrigt, finns det möjlighet att använda en dedikerad maskin till att sköta routing? Isf blir nog mitt tips pfSense + snort/suricata (där den senare har MT-stöd). Har kört pfSense för ett antal år sedan och kommer köra det snart igen i en VM.

Visa signatur

Citera mig för svar.
Arch Linux

Permalänk
Medlem

Du skulle kunna testa att köra t.ex. DD-WRT på routern, det brukar i min erfarenhet fungera betydligt bättre än tillverkarnas egna firmwares. Här finns instruktioner för RT-N66U (fast de är rätt röriga tyvärr).

Permalänk

Går det inte att ringa sin internet leverantör och be om en ny fast ip pgr attacker?

Skickades från m.sweclockers.com

Permalänk

Kan man komma in på web interfacet utanför LAN? Eller tar dem sig in via SSH/Telenet?

Permalänk
Medlem

Hur vet du att du blir attackerad?

Visa signatur

| Citera för svar! | Gilla bra inlägg! |

Permalänk
Medlem

EdgeRouter Lite klarar 1Gbit fullduplex, X modellen ligger på 1,7 Gbit upp/ner så den klarar det inte.
Detta under förutsättning att man inte använder QoS m.m.

Visa signatur

Klient: AMD 7 5800X | ASUS X570-F | 32GB 3200MHz | Corsair RM850 | Gigabyte 3070 | Phanteks P500A | Samsung 980 PRO
HTPC: Intel I7 4770T | 16 GB 1600 | FC8 EVO | Gigabyte GA-H87N-WIFI | Samsung 840 250GB
Server: Intel XEON E5620 x 2| ASUS Z8PE-D18 | 96GB 1333MHz | Corsair AX 1200W | HAF 932 | WD Black 2TB
Nätverk: Telia F@st| Unifi AC Lite/Pro/LR/Nano/Mesh/U6-LR/U6+/U6-Lite | Nighthawk M1 | pfSense | TP-Link TL-WPA8630KIT | Ubiquiti NanoStation M5 | UniFi Switch 8-150W

Permalänk
Medlem
Skrivet av Aiwi:

Jag sitter med 100/100Mbit och fast IP. Ett problem som dykt upp hemma hos mig är att något eller några försöker sänka mitt nätverk (specifikt min router).

Har tidigare haft en Asus N66U som router, och en Apple Time Capsule (802.11ac) som trådlös accesspunkt.

Asusroutern har vid vissa tillfällen gått upp i 100% CPU usage, och således går det inte att komma ut på internet. Detta händer även direkt efter omstart eller total reset. Den kör senaste firmware. CPU-belastningen går endast ner när man slår av dess brandvägg.

Nu i dagarna har dock Asusen blivit långsam, och dess adminlösen har ändrats (jag har haft ett komplicerat custom-lösenord på den). Misstänker att den hackats. (detta hände på min mors Asus AC68U router med standardlösenord. En bot/hacker satte då en egen DNS för att skicka reklam-popups och logga all trafik.) Ingen av dessa Asus-routrarna gick att ställa in via WAN, men detta har så klart kringgåtts av bottarna/hackarna)

Så idag fick jag ta bort Asus-routern och sätta min Time Capsule som router+accesspunkt. Detta är dock inte idealt tycker jag.

Nu till min fråga:

- Vilken brandvägg skulle ni rekommendera? Edgerouter kanske?

Vi har ca 20 enheter uppkopplade, strömmar 4K HDR och har möjlighet att uppgradera till 1000/1000 för ca 100kr/mån. Så det vore bra om brandväggen klarar 1000/1000Mbit.

Vore väldigt intressant att veta vad du har för faktamässigt underlag på att du blir attackerad? Ganska viktig detalj för att vi ska kunna hjälpa dig..

Permalänk
Medlem

Tack för era svar!

Fakta annat än att lösenordet byts och att brandväggen blir överbelastad har jag inte. Min misstanke är automatiska bottar som skannar portar/kör exploits på vanliga routrar etc.

Visst kan de komma in från WAN på en LAN-only admin-interface: https://youtu.be/stnJiPBIM6o?t=6m46s Min mors router blev DNS-kapad utan att vi hade WAN-admin påslaget. (Det fanns inte heller några okända trådlösa enheter loggade, plus att det är ett WPA2 med ok lösen och ute på landet)

Kan testa DD-WRT som en snik-lösning. Men det hade varit trevligare med en mer proffsig router som skydd

Kunde vara kul att köra in DD-WRT och se om man kan spåra var all trafik kommer ifrån

Visa signatur

Sakura gaming: Ryzen 5 5600X, 16GB 3600MHz CL16, RTX 3080, X570 Aorus Elite, 1TB MP600, NH-D15 Chromax, H510, Varmilo VA88M Sakura
Arbetshäst: Macbook Pro 14" M2 Max
Golden oldies: ThinkPad 600, ThinkPad T400, ThinkPad T400s x2, iMac 27" 2010 & 2017, Mac Pro 2010, Mac mini 2011 & 2021, Mac Pro 2012, Macbook Air 13" 2013, Macbook Pro Retina 15" 2013, 2017 & 2019

Permalänk
Medlem
Skrivet av Aiwi:

Tack för era svar!

Fakta annat än att lösenordet byts och att brandväggen blir överbelastad har jag inte. Min misstanke är automatiska bottar som skannar portar/kör exploits på vanliga routrar etc.

Visst kan de komma in från WAN på en LAN-only admin-interface: https://youtu.be/stnJiPBIM6o?t=6m46s Min mors router blev DNS-kapad utan att vi hade WAN-admin påslaget. (Det fanns inte heller några okända trådlösa enheter loggade, plus att det är ett WPA2 med ok lösen och ute på landet)

Kan testa DD-WRT som en snik-lösning. Men det hade varit trevligare med en mer proffsig router som skydd

Kunde vara kul att köra in DD-WRT och se om man kan spåra var all trafik kommer ifrån

Att en enhet blir "attackerad" när den är ansluten mot internet är inget konstigt.
Ett tag så hade jag loggning på min router för att se hur ofta olika "attacker" sker. Mot SSH (om man kör standardporten)
så tog min brandvägg emot mellan 2500 och 3000 försök per timme!

Angående din videolänk, du som användare måste gå in på en preppad hemsida för att attacken ska kunna göras mot dig.
Annars kan inte den attacken utföras mot din enhet.

Dock så kan det finnas säkerhetshål i din enhet. Det är inte så konstigt för tillverkare slutat att fixa enheterna efter ett tag.
Det lönar sig helt enkelt inte längre.

Testa med DD-WRT. Kolla också så att din enhet inte blir varm. Då kan konstiga fel uppstå.

Visa signatur

| Citera för svar! | Gilla bra inlägg! |

Permalänk
Medlem

@Aiwi:
Jag skulle rekommendera att titta lite på Mikrotiks olika routers, har kört flera olika från de och de är kanonbra med hur mycket funktioner som helst och till en bråkdel av priset jämfört med exempelvis Cisco. För 100/100 räcker väl i princip vilken som helst av deras modeller, jag skulle nog kolla på https://mikrotik.com/product/RB750Gr3. Produkterna finns att beställa på routerboard.se eller senetic.se.

Permalänk
Medlem

Vill du ha något riktigt kraftfullt så ta en gammal dator och installera fpsense. Köp till en eller två snabba nätverkskort så har du mer eller mindre så bra router du kan få.

Permalänk
Medlem
Skrivet av Aiwi:

Tack för era svar!

Handlar det om DDoS så är det inte mycket du kan göra än att byta IP för resurserna kommer med stor sannolikhet att ätas upp oavsett. Men du kan alltid prova, men rör det sig om en stor omfattning av attacker så är det inte mycket du kan göra.

Permalänk
Medlem

Jag körde i går in senaste dd-wrt. Det funkar okej, men jag var tvungen att starta om den i morse. Tempsensorerna är inte varma, men så klart kan det vara så att routern "blivit gammal". Kanske någon komponent som börjar ge efter. Hoppas dd-wrt har färre kända exploits än Asus standard-firmware bara

Får köra på en schemalagd omstart varje natt så länge.

Visa signatur

Sakura gaming: Ryzen 5 5600X, 16GB 3600MHz CL16, RTX 3080, X570 Aorus Elite, 1TB MP600, NH-D15 Chromax, H510, Varmilo VA88M Sakura
Arbetshäst: Macbook Pro 14" M2 Max
Golden oldies: ThinkPad 600, ThinkPad T400, ThinkPad T400s x2, iMac 27" 2010 & 2017, Mac Pro 2010, Mac mini 2011 & 2021, Mac Pro 2012, Macbook Air 13" 2013, Macbook Pro Retina 15" 2013, 2017 & 2019

Permalänk
Medlem
Skrivet av Aiwi:

Jag körde i går in senaste dd-wrt. Det funkar okej, men jag var tvungen att starta om den i morse. Tempsensorerna är inte varma, men så klart kan det vara så att routern "blivit gammal". Kanske någon komponent som börjar ge efter. Hoppas dd-wrt har färre kända exploits än Asus standard-firmware bara

Får köra på en schemalagd omstart varje natt så länge.

Din enhet verkar vara drabbad av ett hårdvarufel om du behöver starta om den fast du har nyinstallation.
Samma fel har då existerat med original FW som då orsakade andra konstiga fel.

Visa signatur

| Citera för svar! | Gilla bra inlägg! |