To chyba jednak mówimy o różnych sprawach. Po pierwsze [po co mi to]: nie zawsze chodzi o moją sieć i w ogóle nie zawsze mam wpływ na to jaka ona jest. Po drugie [definicja]: własna, zaufana sieć to ja bym rozumiał osobną sieć z osobnymi hasłami do wifi i fizycznie (albo przynajmniej vlan-ami) oddzielona od niezaufanej. Na to nie mogę sobie pozwolić dla urządzenia wartego kilkanaście PLN. Wolę wydać kilkadziesiąt i zrobić to porządnie z uwierzytelnianiem, szyfrowaniem, monitoringiem i raportowaniem. Po trzecie [domowy LAN]: miałem taki przypadek, że w mojej domowej sieci pojawiły się pakiety innego klienta mojego dostawcy internetu. Skoro ja widziałem jego, jest bardzo prawdopodobne, że on widział moje. Zgłosiłem to oczywiście natychmiast i dostawca tłumaczył to awarią sprzętu, ale między wierszami wygadał się, że po prostu pop...lili vlan-y.
Nad swoim komputerem panujesz, więc pewnie wiesz co robi, jakie usługi na nim działają i podglądasz od czasu do czasu jakie połączenia nawiązuje i jakie pakiety wysyła w świat. Przynajmniej ja tak mam, i z tego względu swojemu komputerowi ufam dużo bardziej, niż np. windowsowemu netbookowi ciotki koleżanki sąsiadki.
Loopback to jak wyżej - jeśli wiesz co robisz na swoim PC to można pokusić się o traktowanie 127.0.0.0/8 jako sieci zaufanej. Tym bardziej, że aktywność loopback łatwo sprawdzić (gorzej mieć np. pewność co do swojego BIOSu, firmwaru karty sieciowej czy implementacji sprzętowego szyfrowania SSD).
Nie chodzi oczywiście o nie używanie czegoś. Też mam sieć "LAN" w domu
- wspólną dla wszystkich, włącznie z drukarką, odkurzaczem itp. Żadnego własnego firewalla ani IPSa nie mam. Tyle, że traktuję tę sieć tak, jak otwarte wifi w McDonaldzie. Jeśli coś w niej majstruję, to staram się aby endpointy były na tyle odporne, że mógłbym je bez większych obaw wystawić publicznie.
O, i o to mi chodziło. Czyli jednak też jesteś zwolennikiem bezpieczeństwa stricte lokalnego, kiedy uważasz, że dane są tego warte. Zatem sprawa rozbija się tylko o to, czy dane z tych czujników itp są dla kogoś istotne czy nie. Cała ta dyskusja o LANach, VPNach i własnych NATach traci sens.
No ale ty też płacisz, zarządzając w domu siecią, własnym routerem, VPNami, ACLami itp. Ja tego (już) nie robię, ale uczciwie muszę przyznać że też miałem taką fazę w życiu: w piwnicy rack 20U z różnymi serwerami, domowy VPN, własna centralka PABX z kilkoma IP phonami, serwer web, jabber, mail, ftp... a na styku sieci firewall z IPSem. Na szczęście wyleczyłem się z tego. :) Tzn. głównie to życie i brak czasu mnie wyleczyło.
Z resztą dla ścisłości NAT bez firewalla niewiele zmienia, bo wystarczy na niego ustawić nexthop. Adresację za NAT-em trzeba zgadnąć, ale to zwykle żaden problem.
Zmienia zasadniczo. Jeśli nie chcesz z zewnątrz przez NAT bardzo ciężko dostać się do LANu.
, bo wystarczy
Coś mi się nie wydaje aby to było takie trywialne. Ni da się w poprawnym NACie zestawić połaczenia bez aktywnych chęci kogoś z LAN. NAT to nie jest zwykły routing.
No więc masz zewnątrzny adres delikwenta i jego adresację. I co dalej robisz? Msz miliard przykładów w necie, dostępny z palca. Podpowiedz jakie masz opcje, jako zły argenyński hacker.
PS. Mała podpowiedź: 95% tych sieci za natem ma 192.168.0.x. Walcz.
To miałeś je zle skonfigurowane. Z grubsza, z poza NATu nie da się dostać do komputerów wewnątrz, chyba że one same zainicjują połaczenie, lub Twój NAT ma funkcjonalność na to pozwalającą (jak routowanie WAN->LAN). NAT jest firewallem, choć niekoniecznie dobrym, można go wszak źle skonfigurować.
Mam. Dlatego na routerach w domu wymieniłem oprogramowanie na OpenWRT (z chińskiego). Ale Windowsa nie wymieniłem na ReactOSa, bo ograniczone zaufanie to nie brak zaufania.
I majac tą wiedzę: co mi możesz zrobić? Podpowiem też że mam system operacyjny na C:\, komputer z BIOSem i porty USB. Stawia mnie to w jakiś
Powiem bardziej obrazowo: Jeśli nie chcę, żeby ktoś zobaczył moją d... to ubieram spodnie, a nie chodzę goły po własnym, zamkniętym domu. Zapewne nikt nie będzie się włamywał żeby zobaczyć moją d... , ale zobaczy ją jeśli już tam będzie, a ja będę bez spodni. Tak samo widzę sens szyfrowania danych, które chcę ukryć, a nie puszczanie ich gołych gdziekolwiek.
Nic, z resztą user-agenta sobie można ustawić dowolnie jeśli się ma wolne oprogramowanie, a nie będące "w obcych rękach" ;)
Nie da się szyfrować większości rzeczy w lanie bo:
1) się nie da
2) straciła by się funkcjonalność
Po prostu nie wrzucaj obrazu z sypialni do LANu tylko do wydzielonej sieci na kablach etnernetowych w ekranie, szyfrując bezpośrednio w przetworniku obrazu...
Więc jak widzisz, można miec ograniczonee zaufanie bez paranoi i funkcjonować w tym świecie. Albo mieć paranoje i szyfrować łaczność po sambie z NASem metr dalej. Twój wybór, ale zastanów się dobrze jeśli będziesz uważał że wszystko w LANie nalezy szyfrować. Nie da się, a na sam koniec ktoś zapyta czy masz zaufanie do firmware w pendrive i znowu jesteś w d... Popuść wymagania, nie można wykluczyć że ta czyjaś goła d..., jak już wycieknie, będzie tylko jedną z 50 milionów które wyciekają codziennie. Nawet jeśli w stringach, to wiedz że nie takie d... widywano na necie i nie robi to już żadnego wrażenia na kimkolwiek. No chyba że chcesz być politykiem konserwatystów, to wtedy faktycznie zdjęcia w stringach warto szyfrować.
Nie straciła by, bo są gotowe źródła - wystarczy skonfigurować pod siebie, skompilować i działa. Ale zamiast to zrobić to wdałem się w tą dyskusję.
Nie rozumiem aluzji, ale akurat szyfrowany strumień w kamerach to codzienność.
Szyfrowanie to bym sobie może darował, ale hasłem to sobie zabezpiecz. Zapląta się gdzieś mały skrypcik i pozbędziesz się danych.
Ja nie mówię, że wszystko, ale akurat to chcę. Po za tym co tak się uczepiłeś (liśmy) tego LAN-u? A jeśli chcę to połączyć z zewnętrznym brokerem MQTT - zmienia to coś?
Szczególnie w chińskim firmware, z podatnościami które całe to szyfrowanie inwalidują.
Co ci po tym szyfrowaniu skoro z poziomu tego LANu można łatwo podmienić nie tylko firmware ale i wyświetlić fałszywy strumień kiedy ktoś rabuje drogocenne dilda z szafki nocnej?
Ludzie którzy to badali maja taką hipotezę że większego szajsu niż firmware w kamerach security chwilowo nie napisano. Ale chińczycy nie powiedzieli ostatniego słowa.
Nie da się. Naciskam F8 w total commanderze i nie działa. Magia.
No to trzeba było tak od razu.
Zasadniczo nigdy nie radziłem używania zewnętrznego MQTT, co najwyżej jak ktoś naprawdę jest leniwy i chce wycebulić MQTT za friko. Radziłem posatwić go sobie w LANie. I w tym momencie napadło mnie kilku paranoików którzy najchętniej szyfrowali by włacznik światła technologią kwantowego splątania z sznurkami na pranie.
Nie, dotyczyła "wstaw NAT z firewallem". Sam goły NAT zupełnie nie robi tego, co myślisz że robi - zmienia tylko nagłówki tcp/ip z x do y w pewnych ściśle określonych warunkach. W żaden sposób nie upośledza routingu.
Ależ robi dokładnie to co myślę: nie pozwala dostać się nikomu z zewnątrz do sieci wewnętrznej bez inicjanywy z LANu. A to byl problem z modemem dostawcy, jeśli jeszcze pamiętasz.
- zmienia tylko nagłówki tcp/ip z x do y w
Miło że nie zrozumiałeś gdzie jest zaleta NAT w tej sytuacji o której mowa.
Otóż nie, niczego takiego nie robi. Zapewne niektóre implementacje dodają do worka "NAT" jakiś firewallopodobny twór, ale nie jest to NAT. Rozważ poniższy schemat.
10.0.0.2 ---- 10.0.0.1/8 [NATBOX] 1.2.3.4/24 ----------- 1.2.3.3
1.2.3.3 wysyła do 1.2.3.4 ramkę zawierającą pakiet IP z src=1.2.3.3 i dst=10.0.0.2. W takiej sytuacji router NATBOX bez zająknięcia przekaże pakiet (w nowej ramce) do 10.0.0.2. No chyba, że NATBOX ma również jakieś ACLe, ale w takim razie nie mówimy już o NAT tylko o filtrowaniu.
Zrozumiałem, że ty myślisz o zalecie, która istnieć może w niektórych implementacjach ale z NATem nie ma nic wspólnego.
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here.
All logos and trade names are the property of their respective owners.