Sziasztok!
Felteszem volt már ilyesmi téma, de azt gondolom hogy ez elég összetett probléma ahhoz hogy együtt kezeljem,
Tehát a rövid spoiler az, hogy szeretném biztonságban tudni (legalább hozzávetőlegesen) az itthoni cuccaimat.
Van az internet szolgáltató oldalán egy huawey modem, ő csinál az optikából lant. Tud wifit is, L1 a neve. Az ő kimenete bemegy egy 8 portos switchbe. Ebbe megy még két másik wifis router, amiket bridge-nek használok, csücsülnek a lanon, és szórják a wifit (L2, és L3). Ez tehát három wifi eszköz, amikre csatlakozik egy marék androidos telefon, egy porszívó meg egy chromecast.
Vezetéken kapcsolódik még a switchhez egy raspberry nas (samba), aki torrent (transmission) kliens is, egy tvbox, továbbá egy asztali pc, olykor linuxszal, olykor win10-zel. Nem piszkáltam őket, alap beállításokkal mennek.
A routereken a szokásos TKIP&AES WPA2 van beállítva.
(Így leírva szembesülök vele hogy ez jó sok motyó).
Véleményetek szerint az így beállított wifin be tudnak jönni az ügyeskedők? Nyilván nem a vérprofikra gondolok, azok mindenhova bemennek :)
Ha másképpen kellene felépíteni a hálózatot, akkor ti hogyan tennétek?
Köszönöm előre is a válaszokat!
Hozzászólások
A biztonság nem egy ponton múlik, rendszerben gondolkodj. Ebből a wifi egy elem, de pl. milyen a határvédelmed?
A wifi kapcsán alapvető gondolatok:
- Elég egy olcsóbb Enterprise AP (pl.: cambium free felhő managementtel), vagy egy olyan SOHO router, amire third-party firmwaret tudsz húzni, vagy tudja a lentieket (Pl.: Ubiquity, Mikrotik).
- Több SSID, minden SSID külön VLAN/subnetben. Ebből 1 guest. Az egyes hálózatok között is tudsz szűrni.
- Azon hálóban ahol lehet, client isolation.
- És ahol lehet, 802.1x hitelesítés, nem PSK. RADIUS-t hozzá tud már egy Syology NAS is már pl. Home kütyük (porszívó, TV, stb.) csak PSK-tudnak, de amin értelmes oprendszer van, ott működi fog.
- Rogue AP detection.
- UPnP, WPS letiltás.
A fentiekkel a legtöbb otthoni hálózatnál bőven jobb leszel.
volt szerencsém két robotporszívót kipróbálni (MediaMarkt). Megnéztem mik mennek kifele (OPNSense firewall syslog, de megnéztem wireshark-al is), az eredmény elkeserítő: szépen megy a hazatelefonálgatás. Ha ezeket letiltottam, a kütyü megzavarodott és nem csinált semmit.
Az a baj, hogy az ilyen IoT eszközök a legnagyobb veszélyforrások: feltérképezik a hálózatot, IP location, telemetria, wifi adatok, ház/lakás beslő adatai, ha van rajta kamera és mikrofon, akkor pedig megy a BigBrother is.
Én magam részéről maradok a konnektoros buta kézi porszívó mellett :)
Az kiderült a tesztből, hogy miket telefonálgattak haza? Erre eléggé kíváncsi lennék.
Tippre TLS, sok mindent nem fogsz látni.
így van. Nem vagyok Mr Robot, hogy rákattanjak a témára és megfejtsem a tartalmat. Lényeg, hogy kínai szervereket címzett.
Most volt egy Walter Reéb videó egy új 3D nyomtatóról benne egy webkamerával meg AI szolgáltatással, ha hibás lenne a nyomtatás, ne pazarolja az anyagot. Internet nélkül az se ment, de akkor ezek szerint az internet felé elküldheti a webkamera képét és a tervrajzot is hisz miből tudná, hogy mit kell látnia?
V.ö.: Spaghetti Detective. Nem azt nézi, hogy minek kell lennie, hanem azt, hogy minek nem. De igen. Hazatelefonál! Kínába!!!
Akkor az lassan helyi hívás lesz. :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
1., Ezért kell az IoT-nek külön SSID, külön VLAN és azon akár egyedi, IP szintű korlátozás a publikus net felé - aminek nem muszáj, az ne menjen ki.
2., Olyan robotporszívó (leginkább Xiaomi), amire van 3rd-party OS (Valetudo), ami leválasztja a gyári felhőről is local webUI-al működik.
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
Ha az internetszolgáltató modemje NEM része a wifi hálózatodnak, akkor jó úton jársz, mert onnantól csak a saját eszközeiden műlik ki fér hozzá a WiFi-hez.
Ez persze még nem jeleni azt hogy 'biztonságos', de első lépésnek nem rossz :)
viszon LAN oldalon 'tárva a kapu' mert ugye a szolgáltató konfigurálja a routert/tűzfalat - azt enged be akit akar.
Első körben ezt (legalábbis a router/tűzfal funkciót) is le kell cserélni egy sajátra.
a gyakorlatban ezt azt jeleni hogy beteszel mögé egy saját routert, és a szolgáltatót megkéred hogy konfigurálja át az övét bridge módba.
[Internet]---[hauwe]---[saját router]---[LAN]
innentől a LAN valóban a 'sajátod' oda kötheted az AP-ket meg mindent amit leírtál.
A következő szint, ha szétosztod a LAN-t több VLAN-ra, ezzel elkülönítve pl:
- az IoT ezközöket
- a 'megbízható' (saját) klienseket
- és a vendégeket (guest WiFi)
Ez utóbbihoz már egységesen kell kezelni és konfigurálni minden switchet, AP-t és a saját Routert is, hogy minden szép és jó legyen :)
zrubi.hu
Köszönöm a válaszokat!
Megpróbálom a saját képességeimhez mérve alkalmazni :)