Vlákno názorů k článku
Servery HP s iLO 4 napadeny ransomware od kuřbuřt - Čus, mohl by někdo prosím poradit jak a...

Čus, mohl by někdo prosím poradit jak a kde zabezpečit HP server s ILO v domácí síti?
Typicky UPC modem-> TPlink router->
LAN[PC1,PC2, HP ProLiant MicroServer Gen8(LAN + ILO)],
WIFI[NTB1,NTB2, mobil1, mobil2]
Dík
Buřt

Typicky:
router UPC - nenechávat výchozí login/heslo (změnit co jde na něco bezpečného). Změnit název bezdrátové sítě. Nastavit WPA2/AES, pokud má nastavení BCP38, tak zaškrtnout.
TP-Link - zmenit výchozí login/password, Změnit název bezdrátové sítě. Nastavit WPA2/AES. Na všech zařízeních (pokud to umožní) nastavil lokální firewall ve stylu ven vše, dovniř jen vyžádané. Jako DNS resolvery používat ty od CZ.NIC https://www.nic.cz/odvr/, nebo dvojici 1.1.1.1 a 9.9.9.9 .
Jo, a všechno pravidelně aktualizovat, včetne firmwaru routerů.

U UPC routeru jsem zažil, že se mi heslo samovolně změnilo. Nejsem si vědom, že bych ho měnil/resetoval router/... a jedno dne jsem se nemohl přihlásit heslem uloženým v prohlížeči, za to obligátní admin/admin najednou zase fungovalo.

UPC modem je ve sprave UPC. Mohou libovolne menit jeho konfiguraci.

Proc mate za UPC modemem jeste dalsi router? UPC modem nema nejakou funkci kterou potrebujete? Nebo nemate do UPC modemu pristup a nemuzete v nem provadet pozadovane zmeny? Takto mate dva NATY za sebou, ne ze by to necemu zasadne vadilo, ale proc to?

UPC modemy neznam takze me tato moznost nenapadla :-)

problem je to ze tohle jsounejhorsi moshne shity, a jediny mod ve kterem to ma smysl provozovat je bridge

Tak to mám odjakživa, vždy modem od providera, za ním router a domáci gigabit síť.
A UPC navíc nedůvěřuju, domnívám se (ale můžu se mýlit), že na ty modemy/routry nějak lezou a dokážou je zvenku spravovat, "updatovat" a například zapínat tu jejich "free" wifi...
Navíc příští měsíc měním providera, a ten má v základu jen modem, tak se to hodí.

Jinak díky za nápady...
Buřt

No já jedu na tři LAN v základu:
1) Normální LANka
2) LANka pro hosty (WiFi), která může jenom ven (po VLAN společně s LAN1 o APček, LAN1 má skrytý SSID a whitelist)
3) LANka pro "chytrý chvostoviny" jako je tiskárna. Ta má zákaz ven a je dostupná jenom z 1)

Hodil bych to normálně do LAN3, zvenku se na to nikdo nedostane, ven to nic nenabonzuje a z domácí sítě / VPN se na to klidně dostaneš. A útočník by se napřed musel dostat do LAN, pak se tam zmocnit nějaké mašiny v ní, zjistit existenci další LAN a z napadenýho stroje teprve útočit. Hodně práce, nestandarní situace (zvlášť pokud nenajde v síti Widle) a malá šance na úspěch, pokud jsi jenom náhodný cíl, takže to nejspíš odpíská.

No a proti zašifrování se celkem hodí offline záloha, pro DDoS jsou zařízení v LAN3 nepoužitelný. Takže tak.

> UPC modem nema nejakou funkci kterou potrebujete?

Ano, například tam nejde přidat ručně routa. Firewall ve webovém klikátku je taky oproti iptables dost omezený. Atd.

> Takto mate dva NATY za sebou

Nemusí mít, na některých modemech od UPC jde natování vypnout - dostaneš tak tu jednu IPv4 adresu přímo za něj.

UPC routery jsou strašné sračky. Nikdy dřív jsem se nesetkal s routrem, kde by nešlo v DHCP serveru nastavit rezervace na základě MAC adres a to včetně těch nejlevnějších WiFi routrů za 350Kč.

V tom krámu od UPC jsem to nenašel. Prvně jsem si myslel, že to je maskované nějakým šíleným překladem do češtiny, ale když jsem i po prolézání fór našel akorát doporučení typu nastavit dobu zápůjčky na maximum, nastavit adresu v koncovém zařízení staticky, pak přepnout na DHCP a ono to bude snad přidělovat tu dříve statickou, než se to resetne/UPC to flashne, tak jsem pochopil, že to tam fakt není.

Mozna proto, ze narozdil od tebe neni blazen, veskerej HW dodanej ISP je pricipielne nebezpecnej a nezabezpecitelnej. A predevsim s tim ty nemuzes udelat vubec nic, a tvuj uzasnej ISP ti vidi do tvy interni site a muze si pak delat co chce - trebas si sosat tvoje Pcko z tvyho HDD.

Kazda aspon trochu normalni krabice se da nastavit do rezimu bridge, a to nemluve o tom, ze jak vidno vis kulovy, protoze NATy na koncovym zarizeni uz dneska nejdou v mode, dostanes CGNAT.

Mam doma podobnu konfiguraciu (UPC Cisco router + HP Microserver Gen8) a ILO ethernet jednoducho zapojeny nemam. Bez kupy ILO licencie je to aj tak len okresane riesenie a zapnut server dokazem aj priamo tlacitkom.

Prave to SN ktery potrebujes na tu full licenci si muzes najit u soudruhu, ktery to ILO do netu zapojeny maji ... ;D

https://ocdnix.wordpress.com/2013/02/27/hp-ilo-authorization-nah/

Zabezpečit proti čemu? Přístupu zvenčí? Viz diskuse výše. Nebo zevnitř? V tom případě potřebuješ něco, co zvládá VLAN, ten TPLink to asi nebude. Tyhle věci se standardně dávají na vlastní VLAN, tzn. žádný přístup z WiFi tam rozhodně nebude a z LAN taky ne, přístup tam bude z přesně vymezených switch portů na nějaké VLAN určené pro management.

Jako na doma bych tu věc standardně vůbec nezapojoval s tím, že až to bude potřeba, tak to připojím a po zásahu zase odpojím.

> V tom případě potřebuješ něco, co zvládá VLAN, ten TPLink to asi nebude.

Právě že tyhle vylevněné routery to kupodivu často mají - výrobce totiž zjistil, že SoC s jednou síťovkou + integrovaný switch s VLAN je levnější než SoC se dvěma síťovkami. Ale samozřejmě na to není klikátko v originálním firmware.

Na TP-Linku nainstalovat OpenVPN (určitě tam máš OpenWRT, protože defaultní firmware je beznadějný jak funkčností tak bezpečností), do sítě lézt přes ni.