Wake on lan - SecureON

[bonynek]

Zdravím,

měl bych dotaz ohledně hesla k WOL. Respektive jak ho nastavit. WOL mi funguje jak na lan, tak i z venku. Což je pro mě podmínka, aby to šlo z venku. Každopádně, skrz to že mám veřejnou IP, tak mi to z venku může probudit prakticky kdokoli. V routeru samostatná funkce WOL kde by šlo nastavit heslo není vůbec a v BIOSu jsem taky nic neobjevil. Jde mi teda o to jak to zabezpečit, PC budím mobilem kde mám appku wake on lan, zadám IP, MAC atd atd, pošlu magic packet, pc se vzbudí. Každopádně přímo v té aplikaci je možnost poslat heslo ve tvaru 00:00:00:00:00:00. Nicméně už jsem nikde nedohledal kde ho nastavit v PC nebo jako to pošéfit v routeru. Co jsem našel tak by někde měla být možnost zapnout SecureON heslo, ale jak říkám, vůbec nevím kde.

Router - Archer C1200 v2.0
MB - ASUS ROG STRIX B360-G GAMING

Děkuji všem za případné odpovědi!

[zeus]

Ja bych rekl, ze WoL je bud zapnute nebo vypnute. Na nejake heslo zapomen.
Cemu vadi, ze ti PC nespinka?

[bonynek]

Ja bych rekl, ze WoL je bud zapnute nebo vypnute. Na nejake heslo zapomen.
Cemu vadi, ze ti PC nespinka?

No právě jsem na internetu našel že by to snad někde jít nastavit mělo, že se v rámci toho magic packetu pošle na konci ještě to heslo ve formátu co jsem psal. Jinak ne vždy jsem doma u kompu a potřebuji s ním pracovat i vzdáleně..

[Uziv00]

Já bych řekl, že zeus má pravdu. Kromě toho máš nastavenu "díru" v routeru, kudy ti magic paket prochází.
Osobně bych řešil GSM modulem.

[bonynek]

Té díry si jsem právě vědom, proto se ptám jestli by to šlo nějak zabezpečit? Jde tu o to že většinou ten pc probouzím mobilem přes data, IP mobilu se mění takže že bych ten paket povolil jen pro danou IP asi cesta není a pak nevím jestli by třeba nějak nešlo nastavit filtrování podle MAC ? že to propustí paket jen z jednoho definovanýho zařízení ?

GSM modul nemám a přijde mi zbytečné ho pořizovat, toto pro mě byla nejjednodušší cesta. Jen bych to rád nějak zabezpečil.

[Uziv00]

Nejjednodušší cesta je vždy nejméně bezpečná.
Pokud máš díru v routeru, nezachrání tě ani to, kdybys nastavil heslo (pokud by to šlo).
GSM modul se dá koupit. Vodafone nabízí sim s nulovým tarifem: https://pc-help.cz/viewtopic.php?f=63&t=219037

[MistrLajk]

Já bych řekl, že zeus má pravdu. Kromě toho máš nastavenu "díru" v routeru, kudy ti magic paket prochází.
Osobně bych řešil GSM modulem.

Narazil jsem na toto téma a zaujalo mě, sám mám řešeny podobný problém, ale nemám veřejnou IP adresu tak to řeším jinak... Každopádně zmiňoval jsi bezpečnostní díru? Ta předpokládám nevzniká když síť nemá veřejnou IP, ale v budoucnu když bych se rozhodl si veřejnou IP zavést znamenalo by to, že bych automaticky vytvořil potenciální díru a nebezpečí pro vstup už z podstaty nebo se v routeru musí kvůli WoL provést ještě nějaké úkony a ty jsou právě kritické k tomu o čem mluvíš? Případně jake konkrétní kroky, které způsobí to nastavení myslíš, jestli můžeš být konkrétnější?
Díky

[Uziv00]

Ahoj,
záleží na tom, jak moc preferuješ bezpečnost...
Já nastavuji routery tak, že:
- všechny porty jsou uzavřeny (vyjma povolených)
- je zakázán vstup do administrace z WAN
- je zakázán ping na WAN
- všechny pakety vyjma povolených jsou zahozeny
Při tomto nastavení u normálních domácích routerů nemůže magic paket projít. To lze řešit (a také se často řeší) umístěním PC, které chci startovat do DMZ. A to je ta díra, neboť DMZ znamená, že vše, o čem router "neví", kam patří, jde na tohle PC - včetně jakéhokoli pokusu o útok. V mém nastavení se takový paket zahodí.
Ano, existují routery, které mají natolik sofistikovaný firewall, který lze nastavit tak, že magic paket rozpozná a ví kam s ním, ale moc jich není. problém je totiž ten, že magic paket je doručován na MAC adresu (na IP adresu to nejde, protože síťovka ji dostane až po startu OS).
Cokoli otevřeš na svém routeru je nebezpečné a je jedno, jestli útok přijde z veřejné, či neveřejné adresy.

[bonynek]

Jestli to teda chápu správně, tak tím, že mám vnější port přesměrovaný na vnitřní a přidělenou LAN PC k tomu, která je navíc svázána s MAC adresou tak to je ta díra ? Takže vše o čem router neví tak tou "dírou" projde až na síťovku toho daného PC kam je to vše přesměrováno ?

[Uziv00]

Přesně tak.

[dvorakj]

a co nastavit na routeru ovpn/vpn server, jsem v siti a poslat to pres tohle.
ten router to samozrejme musi umet, jakykoliv mikrotik.

[Uziv00]

S tímto řešením souhlasit lze. Ale platí totéž, co jsem psal - ne každý router to umí. A je třeba, aby si s tím firewall routeru uměl poradit - zase je to otevřený port navíc a zase na něj může být veden útok.