Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) представила (https://www.eff.org/deeplinks/2014/07/building-open-wireless...) первый экспериментальный вариант прошивки (https://openwireless.org/router/download), развиваемой в рамках проекта Open Wireless Router, нацеленного на предоставление средств для развёртывания и поддержания безопасных общедоступных беспроводных сетей.
Прошивка основана на наработках проекта CeroWRT (http://www.opennet.me/opennews/art.shtml?num=31544) и пока подготовлена только для устройств Netgear WNDR3800. В дальнейшем список поддерживаемых устройств будет расширен. В настоящее время приглашаются энтузиасты для тестирования и доработки представленного прототипа прошивки. Инструкцию по установке прошивки можно найти на данной странице (https://openwireless.org/content/open-wireless-router-firmwa...), все наработки проекта размещены (https://github.com/EFForg/OpenWireless) на GitHub.
В качестве причины создания нового варианта прошивки отмечается желание предоставить ряд возможностей, которые отсутствуют в существующих беспроводных маршрутизаторах или реализованы некорректно. Основные цели:
- Предоставление небольшим предприятиям и домашним пользователям возможности максимально просто создать открытую беспроводную сеть, через которую любые желающие могут получить доступ к интернет, при сохранении возможности защищённого входа в сеть для друзей и сотрудников.
- Возможность выделения определённой пропускной способности для открытой беспроводной сети, что не даст гостевым пользователям вызвать перегрузку основной сети или превысить ежемесячную квоту на трафик.
- Предоставление современных методов обработки очередей сетевых пакетов, позволяющих снизить негативное влияние промежуточной буферизации пакетов на пропускную способность, однородность потока и время прохождения пакетов.- Возможность управления работой через простой, безопасный и элегантный web-интерфейс, предоставляющий средства для начальной настройки и управления маршрутизатором. Для управления расширенными функциями предлагается использовать консольный интерфейс, предоставляемый через SSH.
- Применение современных техник обеспечения защиты маршрутизатора, делающих его неприступным перед атаками злоумышленников;
- Интеграция безопасного механизма для автоматической установки обновлений прошивки. В дополнение к использованию HTTPS для передачи данных, определяющая целостность и источник сигнатура, а также связанные с обновлением метаданные, предлагается загружать с использованием анонимной сети Tor, для усложнения организации атак по распространению фиктивных обновлений.
URL: https://www.eff.org/deeplinks/2014/07/building-open-wireless...
Новость: http://www.opennet.me/opennews/art.shtml?num=40236
Эм, все это есть и в родителе этого форка - OpenWRT.
Лучше б уделили вниманию особенному отличию проэкта от OpenWRT.
Итого, только две вещи тут особенные:
- уменьшение буферизации сетевого стека
- еще более извращенное обновление ПОБольше отличий от OpenWRT в корне не видно.
> Итого, только две вещи тут особенные:
> - уменьшение буферизации сетевого стекаtc qdisc add dev eth0 root fq_codel
ethtool -K eth0 tso off
ethtool -K eth0 gso off
ethtool -K eth0 ufo off
ethtool -K eth0 gro off
ethtool -K eth0 lro off
ifconfig eth0 txqueuelen 100
sysctl -w net.ipv4.tcp_ecn = 0 (1 если аплинк быстрее 4-5 мбит)
И как, помогает?
Конечно нет. В tc ещё нужно классы разбросать, приоритеты выставить, лимиты.
Вам тут не потеринговщина, тут думать надо. :D
На самом деле все глобальней, а даные примеры - лишь верхушка.
>> Сетевой стек CeroWrt базируется на использовании экспериментального репозитория Linux-ядра debloat-testing, созданного для реализации идей по избавлению сетевых подсистем от излишней буферизации.
> для реализации идей по избавлению сетевых подсистем от излишней буферизации.Знаешь чо самое интересное, этот debloat полезен только магистральным провайдерам.
Для юзеров и первых роутеров там явный перегруз железа. А этот чудный debloat жела-
тельно реализовывать на всех уровнях - от юзера до конечного сервера.Как по мне, так правильно настроенные HTB + SFQ, с ячейками и приоритетами по портам,
дают больший профит в обе стороны. А сброс пакета меньше значения MTU, чесна говоря
странная фича :) (для адццкого реалтайма может быть, там оверхеда не жалеют).
> Применение современных техник обеспечения защиты маршрутизатора, делающих его неприступным перед атаками злоумышленниковТипа не спуфится? Верится с трудом.
Ну да, так и есть, лечим то что и так не особенно болит.>Advance the state of the art in consumer Wi-Fi router security and begin turning back the growing tide of attacks against them. Most or all existing router software is full of XSS and CSRF vulnerabilities, and we want to change that.
Кому вообще интересно ломать открытый хотспот (кроме ботов, которые туда поставят спамо-рассылалку и прокси), особенно когда речь идёт об открытых сетях - ни тебе паролей, ни тебе WPA2 - возьмемся за руки, друзья, свободный интернет всем бесплатно, мир еще никогда не был таким добрым?
Когда этот хотспот гораздо проще тупо заткнуть и прикинуться им.
А как ты заткнешь хотспот? А прикинуться - можно. А пойнт в чем? Открытый хотспот броадкастит во все стороны нешифрованные данные. Атакующий может как минимум изучать пакеты, а если обнаглеет - то и пытаться подделывать. Кто этого не понимает - баклан.Открытый хотспот можно использовать только с криптографической защитой протоколов которые через него проходят. Иначе упрут у вас логины-пароли-файлы-чтотамеще. А если криптографическая защита протокола есть - атакующий может или просто саботировать это или качать, не зная что там было. В первом случае юзер переконектится, во втором - спасио атакующему за бесплатный ресурс :).
> А как ты заткнешь хотспот?Способы весьма разнообразны. Тем более что надолго этого делать не нужно.
> Открытый хотспот можно использовать только с криптографической защитой протоколов
Внимание, вопрос: в чем пойнт такой хотспот вообще от чего-то защищать (что является целью и смыслом обсуждаемого проекта)?
Тем временем, в первом релиз кандидате новой OpenWRT изменения очень и очень вкусные: https://lists.openwrt.org/pipermail/openwrt-devel/2014-July/...
> Тем временем, в первом релиз кандидате новой OpenWRT изменения очень и очень
> вкусные: https://lists.openwrt.org/pipermail/openwrt-devel/2014-July/...+1
- Added support for sysupgrade on NAND-flash
означает поддержку Netgear WNRD 3700v4/4300 :)
Ништяки, в общем!
в OpenWRT встретил одну не очень приятную вещь. если провайдер раздает интернет по pppoe/pptp/l2tp, то приходится лезть через консоль и отключать модуль mppe. может если его не ставить то такой проблемы и нету, но как его отключить через web интерфейс я так и не нашел. мелочь, а очень не приятно. (да и вообще на эти протоколы могли бы в вебадминке расширить функционал на предмет всяких опций)
Может таки осилишь почитать опенврт вики о том как можно управлять софтом из luci
дай ссылку, почитаю, чего я там такого интересного не осилил
man mppd
/nomppeВписываете в доп. параметры - и voilà.
нету у меня в веб интерфейсе строки доп параметров (Powered by LuCI Trunk (svn-r10180) OpenWrt Barrier Breaker r40769 ).
> если провайдер раздает интернет по pppoe/pptp/l2tp,...то лучше всего слать такого прова на йух и использовать прова который гонит интернет обычным роутингом. Никаких вам логинов, паролей, отпадающих сессий, смен айпи по 10 раз на дню и что там еще. Все начинает работать просто по факту подключения кабеля.
Кто нибудь ставил OpenWRT на WRT1900AC ?Есть положительный опыт?
> Кто нибудь ставил OpenWRT на WRT1900AC ?
> Есть положительный опыт?нету официальной поддержки, там даже в строке оборудование ничего не написано. сам жду его поддержку
Ну в рекламе-то уже указано:"Open Source Firmware
Developed for use with OpenWRT"http://store.linksys.com/Linksys-WRT1900AC-App-Enabled-AC190...
> Developed for use with OpenWRT"А по факту все не так радужно - белкин выкатил какие-то патчи, но как оказалось, довольно кривые. Ушли доделывать. И насколько оно поддерживается здесь и сейчас - отдельный такой вопрос.
В РФ это же незаконно?
В РФ же много чего незаконно.
Это нет. Но через открытую сеть можно взломать чей нибудь сайт, а проблемы будут у владельца точки доступа
> Это нет. Но через открытую сеть можно взломать чей нибудь сайт, а
> проблемы будут у владельца точки доступаИ много было прецедентов?
Будут.
> Будут.Когда будут - тогда потолкуем. Пока что лишь в пришествие коммунизма готов поверить. Ну или в бога.
в германии было из за тора
а у нас много ли было когда кого-то ловили?
и да. В честь ужесточения законов по поводу имущественных прав издателей проблемы могут возникнуть и с этой стороны
> Это нет. Но через открытую сеть можно взломать чей нибудь сайт, а
> проблемы будут у владельца точки доступаЕсли уж на то пошло, любой уважающий себя хаксор может за обозримое время сломать точку доступа с WEP (старый стандарт) или WPS (новомодная "фича"). Полчаса времени - и хакерюга шлет данные через вашу точку. Впрочем, половина бакланов просто оставляет стандартный пароль сети, а потом и стандартные кренделя на роутер - любой желающий с улицы может делать с их роутером все что пожелает.
> В РФ это же незаконно?Странно, и как тут открытые бесплатные сети бывают. МГТС даже подружился с неким FON и теперь на улицу светит навалом FON_free_SSID (или как его правильно). Покрытие wi-fi сделанное из самих юзвергов.