Vlákno názorů k článku
Německý úřad vydal pravidla bezpečnosti pro domácí a SOHO routery od Samuel Kupka - Boli zaradene aj poziadavky OpenWRT a CCC? Musim...

"musia mat moznost nainstalovat alternativny softver na ich zariadenia, aby mali moznost opravit bezpecnostne chyby aj po tom, ako sa skonci oficialna podpora od vyrobcu"

:-))))))))))))))))
Lol
Ešte dokumentáciu k plošáku, kompletný servisný manuál a komentovaný zdroják firmware by si nechcel ?

Při stanovování ceny je zohledněno i to, jak dlouho uživateli router vydrží.

"dokumentáciu k plošáku, kompletný servisný manuál a komentovaný zdroják firmware" - este pred 30 rokmi to bolo normalne, preco by sme sa k tomu nemohli vratit. Nikde nie je napisane, ze pravo vyrobcu na svoje IP, patenty a vyrobne tajomstva musi byt nadradene pravam zakaznika na informacie o produkte, ktory si zakupili, pravo na nezavisly servis ci upravy. Mimochodom aj z ekologickeho hladiska je vyhodnejsie, ak tak krabicka funguje 6-10 rokov namiesto 2-3..

Z ekologickyho hlediska je mnohem lepsi, kdyz budes jezdit 30let starym naftakem a lejt do toho vyjetej fritak, nez kdyz si koupis nejnovejsi model elektromobilu. Protoze zatez vygenerovana vyrobou toho novyho auta je mnohem vyssi. Coz ale malo kdo z ekologistu chce slyset. Navic z toho auta zbude neco gumy, neco plastu, a ocel, kdezto z toho alektromobilu jeste +- 500kg toxickyho odpadu z akumulatoru (to teda kdyz ho zahodis po 3 letech, jinak vyrazne vic)

Zátěž vyprodukovaných skl. plynů u je u VÝROBY elektromobilu o něci vyšší než u výroby spalovacího auta. Proti tomu co oboje projezdí v provozu to jsou poněkud směšné tahanice.

Jaks přišel na ty 3 roky? Toyota na baterky dává záruku 8 let nebo 400.000km (podle toho co dřív).

" Ešte dokumentáciu k plošáku, kompletný servisný manuál a komentovaný zdroják firmware by si nechcel ?"

Já bych tyhle věci chtěl.

To je hezke, ale... priprava dokumentace pro zakaznika neco stoji. Pokud mam dokumentaci k nejakemu vyrobku v nejakem dokumentacnim systemu ve firme, neznamena to automaticky ze to jde snadno vyexportovat do PDF. Tech systemu ve firme muze byt xx ktere obsahuji ruzne casti te dokumentace, takze priprava te dokumentace muze klidne stat xxx hodin prace. Kam s tim PDF? Nekam na web, mozna vytisknout a pribalit k vyrobku. Tudiz misto na webu, traffic neco stoji, tisk taky neco stoji. Kdo to zaplati? Spotrebitel si rekne ze tohle vse chce a je ochoten za to zaplatit treba 50% navyseni ceny produktu? To urcite, na to sere bilej tesak, spotrebitel si koupi obvykle levnou variantu klidne z Ciny. Hezky priklad jsou IP kamery - axis vs cinske sracky. Axis nabizi dokumentaci, podporu, ma odtestovane produkty, presto kdyz se treba i tady nekdo na rootu zepta na IP kamery kazdy nabizi cinske sracky bez podpory, s nejakym cripled activx/java/wha­teverrandom interfejsem. A proc to lidi kupuji? Protoze je to levne. Router servisni manual obvykle nema, proste se neopravuje, pracka nebo neco drazsiho servisni manual ma a tam nevidim duvod proc by ho spotrebitel nemohl dostat (stejne jako servis za poplatek).

Nestojí nic, OSS systém je na vývoj mnohem levnější a tam ho stejně musíš zveřejnit tak jako tak. A export osazováku + schématu do PDF je záležitost pár minut.

Software bez možnosti exportu do PDF (ani třeba jako virtuální tiskárna)? To jsem už dlouho neviděl, to musí být ale efektivní vývoj :-P . Každopádně proč vůbec do nečeho exportovat, klidně můžou rovnou uploadovat samotné zdrojové soubory.

Klidně na web. Stejně tam budou mít uživatelský manuál a IMO naprosto zbytečný product brief dokumenty. Nebo si můžou vzít příklad z openhw projektů a uploadovat HDL na github.

ja bych tohle chtel. ostatne byly doby, kdy s nakupem zarizeni dostal clovek i schema. dnes by to bylo mnohem jednoduzsi, stacilo by to mit ke stazeni nekde na webu.

To první jsem tam viděl. Spíš mě ale překvapilo, že je tam explicitně zmíněná povinnost mít tam DHCP. To snad někdo nemá?

Možná pro jistotu. Já roky bral jak naprostou samozřejmost, že si v DHCP serveru i té nejlevnější krabičky za 350 Kč vyrobené v posledních patnácti letech můžu nastavit DHCP rezervaci, než jsem si koupil WiFi router od UPC za dva tisíce něco.

Několikrát jsem prolezl veškeré položky nastavení, přečetl návod, prolezl diskusní fóra, pak kontaktoval i UPC a jediné, co mi byli schopni doporučit, bylo nastavit maximální délku platnosti zapůjčené adresy, na zařízení si danou adresu nastavit staticky na požadovanou hodnotu, pak to přepnout zpět do DHCP a pak že mi to ten krám bude takhle přidělovat do příštího restartu.

Chápu, tohle je fakt nechutný. Deaktivat lze jejich DHCP komplet? Pokud ano, investuj do RPi a nainstaluj si DHCP server svůj, přidej bind9 pro DNS. Pokud budeš potřebovat help. Odepiš. Řešil jsem před dvěma roky, z důvodu většího počtu virtuálek.

Dík, ale ono to je trošku složitější. U jedné části sítě potřebuji aby prostě fungovala a kdybych náhodou nebyl poblíž, aby se to rozjelo po vypnutí/zapnutí jedné krabičky, případně po zavolání na operátora. Když do toho začnu cpát DHCP/DNS server někde jinde, je to slabé místo. Uvažoval jsem i o tomhle.

Vyřešil jsem to nakonec docela svérázně, ale funguje to. Modem od UPC se spuštěným DHCP v nějaké úzkém rozsahu adres, na který se připojují nějaké telefony/tablet/po­čítače, které mě až tak nezajímají. Pak mám skrze Mikrotik udělaný bridge do druhé části sítě, když už mě to zajímá. Na tom Mikrotiku mi běží další DHCP server, který přiděluje adresy pod stejnou Cečkovou maskou, ale v jiném rozsahu. Aby ty dva DHCP nedělaly paseku, tak na tom Mikrotiku na firewallu zahazují packety DHCP, aby to neprošlo z jedné částí do druhé. Na tom mi pak běží i nějaký IPsec a další věci. Chtěl jsem aby se všechna zařízení navzájem viděla.

Já jsem si nestěžoval na to, že to ten modem neumí a já si neumím poradit. Vadí mi to, že to ten modem prostě neumí, protože spousta lidí nic víc nepotřebuje a další krabička je další zbytečný elektrospotřebič navíc.

Tak za sebe, zařízení od ISP maximálně jako modem do bridge a pořešit to ve vlastní režii na něčem použitelným (= Mikrotik nebo OpenWRT). Oni totiž nepotřebují cokoliv deklarovat zákazníkovi, prostě mu to dají v ceně nebo za pár drobáků proti podpisu smlouvy na dva roky. Ti větší mají ještě tu drzost, že si nechají výrobcem upravit firmware a i kdyby nakrásně byl k dispozici nový FW pro "veřejně dostupnou verzi", nikdo nezaručí, že ji updater toho upravenýho FW bude akceptovat.

Nehledě na to, že hodně věcí udělat nejde a když jsem viděl u modelu z roku 2016 ovládací web ve Flashi... :Q

Ne, že bych si na tom nějak zakládal, ale teď fakt netuším, zda mám dát „like“ za názor, se kterým souhlasím, nebo „dislike“ za to, jak se mi zvedl kufr z „...u modelu z roku 2016 ovládací web ve Flashi“ :D.

Router od UPC lze používat pouze v módu obalit alobalem a nastavit jej jako bridge. Potom je možné dát za tu srágoru nějaký pořádný firewall jako pfsense a podobně. Následně z firewallu navázat spojení do anonymizační VPN. Jiná konfigurace z pohledu bezpečnosti není možná. Jejich Wifi, která k vám dělá díru do sítě, nastavení vzdáleného přístupu na router chráněného 6 čísly, jejich dopočitatelné heslo z SSID, sledování síťového toku (dané zákonem) atd.....

"sledování síťového toku (dané zákonem) atd....."
A ve skutecnosti ilegalni, protoze v rozporu s nadrizenym unijnim zakonem.

Ad 1) Žádnou podporu negarantujeme, ale stojíme zlomek toho, co ti, kteří ji garantují.
Ad 2) Výrobci tiskáren nesmí bránit uživatelům v doplňování cartridgí neoriginální barvou.

Chceš to mít odstupňovaný. Chceš aby existovaly i levný routery s nálepkou, kterou dostanou za to, že aspoň nejsou jako cedník už z výroby.

Jenomže tu nálepku potřebuješ jen jako vědomostmi zcela nepolíbený. A, jak se tady mnozí zvládnou pravidelně rozohnit, takový na to nemá co hrabat, a má si zaplatit eckperta. Takže vlastně žádná nálepka potřeba vůbec není, protože máme přece certifikovaný cech odborně superdisponovaných rootů, který ti za patřičný kulantní obolus udělá, co ti na očích uvidí. Jen teda nevím, co se bude dít, když budeš mít v očích čirý děs...

Vzpomeň si na minulej tejden. Existujou SSD s nálepkou "HW AES šifrování", který ho implementujou v lepším případě blbě, v horším vůbec. Je to nálepka, která je tam proto, abys jí jakožto zákazník mohl věřit. Přesto se tady našla spousta takových, kteří za fušeřinu výrobců kladli vinu na zákazníka, protože jím byl MicroSoft, který spoléhal na pravdivost nálepky a použil režim, který z principu měl být pro zákazníka nejlepší, a argumentovali tím, že zákazník nesmí věřit a musí prověřit.
Tak mi popiš, jak zákazník - laik, důvěřující nálepce "bezpečný router", prověří že si nekoupil sráč od fušera a podvodníka.

Kupka:
Myslíte to dobře, ale řešíte špatně:
K 1. Je-li součástí výrobku firmware, měl by též podléhat záruce, tj. v Evropě nejméně 2 roky. Hotovo.
K 2. Alternativní firmware koncepčně nic neřeší, negarantuje, dokonce ani nemusí existovat, takže zabývat se jeho náhradou je přinejmenším sporné. Koncepčním řešením je bod 1.