madrivermadonus Δημοσ. 29 Σεπτεμβρίου 2022 Δημοσ. 29 Σεπτεμβρίου 2022 Γεια σε όλους Σκέφτομαι πως να αυξήσω την ασφάλεια στο δίκτυό μου στο οποίο υπάρχει ΖΤΕ router ote, switch tplink L2, nas, ip camera ,3 pc , 4 laptop και smartphones. Wireless φυσικά έχει κλειδωθεί με κλειδί. Ωστόσο υπάρχει και το θέμα να μπει κάποιος στο δίκτυο μέσω καλωδίου της κάμερας που βρίσκεται εκτός χώρου. Πως μπορεί να αποφθεχθεί κάτι τέτοιο; Μια σκέψη είναι να κλείσω dhcp και να παίζουν τα πάντα με static kai mac με dhcp binding αλλα δεν θα μπορούν να μπουν οι νέες ασύρματες συσκευές εκτός αν βάλω ένα wireless router ως AP να δίνει guest δίκτυο που να μένουν οι clients εκτός του βασικού LAN. Άλλη σκέψη είναι να κάνω VLANs στο Tplink L2 switch και να πέφτει η κάμερα σε άλλη πόρτα, ο nas σε άλλη κ.ο.κ αλλα έτσι δεν θα έχουν όλοι πρόσβαση σε όλα. ACL δεν βολεύουν καθώς πρέπει να μιλάμε για συγκεκριμένες IP. Hardware Firewall δεν υπάρχει, ίσως μπει αργότερα. Άλλες ιδέες; νε μπει switch με 802,1x? Σας ευχαριστώ
gorge18 Δημοσ. 29 Σεπτεμβρίου 2022 Δημοσ. 29 Σεπτεμβρίου 2022 (επεξεργασμένο) Δε θελω να σου κόψω τον υπνο αλλα και οι καμερες αν τις βλεπεις απο cloud, ειναι πιθανο να βλεπουν και κινέζοι μαζι σου. Επεξ/σία 30 Σεπτεμβρίου 2022 από gorge18
laserjesus Δημοσ. 30 Σεπτεμβρίου 2022 Δημοσ. 30 Σεπτεμβρίου 2022 Μονο με vlans θα κανεις κατι , dhcp off και static δεν κανει τίποτα. 1
madrivermadonus Δημοσ. 30 Σεπτεμβρίου 2022 Μέλος Δημοσ. 30 Σεπτεμβρίου 2022 9 ώρες πριν, laserjesus είπε Μονο με vlans θα κανεις κατι , dhcp off και static δεν κανει τίποτα. Θεωρώ οτι με dhcp off kai static θεωρω οτι ειναι το μεγιστο ασφαλειας αφου δεν μπαινει κανεις στο δικτυο χωρις αν ειναι καταχωρημενος στο arp table. απλως ειναι δυσλειτουργικο για νεους χρηστες.Δεν σε καταλαβαίνω... Όσο αφορά τα VLANS αν μπει καποιος στο δίκτυο μπορεί και πάλι να "δει" ρουτερ απλώς είναι πιο περιορισμένος. Αν θέλεις ανάλυσε τη σκέψη σου.
laserjesus Δημοσ. 30 Σεπτεμβρίου 2022 Δημοσ. 30 Σεπτεμβρίου 2022 3 λεπτά πριν, madrivermadonus είπε Θεωρώ οτι με dhcp off kai static θεωρω οτι ειναι το μεγιστο ασφαλειας αφου δεν μπαινει κανεις στο δικτυο χωρις αν ειναι καταχωρημενος στο arp table. απλως ειναι δυσλειτουργικο για νεους χρηστες.Δεν σε καταλαβαίνω... 20 ώρες πριν, madrivermadonus είπε στόσο υπάρχει και το θέμα να μπει κάποιος στο δίκτυο μέσω καλωδίου της κάμερας που βρίσκεται εκτός χώρου. Εάν ξέρει τι static ip να βάλει πως να τον κόψει το arp ? Όλα αυτα τα ζητήσαμε για την camera έξω. Με έναν sniffer το network range και εχει μπει μπαμ. Κανονικά είναι VLAN μόνο για την κάμερα και block τα πάντα από τον router/switch/οτιεχειοκαθενας (εκτός από την managment ip) 1
madrivermadonus Δημοσ. 30 Σεπτεμβρίου 2022 Μέλος Δημοσ. 30 Σεπτεμβρίου 2022 29 λεπτά πριν, laserjesus είπε Εάν ξέρει τι static ip να βάλει πως να τον κόψει το arp ? καταρχάς υποθέτουμε οτι με dhcp--off πρέπει να αρχίσει να μαντεύει. το σκεπτικό μου είναι επίσης οτι με binding θα μπορεί ακόμα και να μαντέψει σωστα να μπει; δεν πρέπει να έχει καταχωρημένη mac στο table του router? υ.σ. με κλειστό το dhcp του ΖΤΕ και ενώ δεν παίρνει ip το κινητό μου με κάποιο τρόπο βγαίνει στο ιντερνετ ... προκειται άραγε για bug του ΖΤΕ?
flyer Δημοσ. 1 Οκτωβρίου 2022 Δημοσ. 1 Οκτωβρίου 2022 Οι μεγαλύτεροι κίνδυνοι για ένα οικιακό δίκτυο είναι οι «έξυπνες» συσκευές (πρίζες, κάμερες, διακόπτες, tv boxes, συναγερμός κλπ) των οποίων το firmware σπάνια ανανεώνεται και είναι σχεδόν πάντα διάτρητο στο κομμάτι της ασφάλειας… Το πρώτο και βασικότερο βήμα προς την ασφάλιση τους είναι η απομόνωση τους από το βασικό σου δίκτυο και τις συσκευές του (υπολογιστής, κινητό κλπ), μέσω κατάλληλα ρυθμισμένων vlans…
eliasbats Δημοσ. 19 Οκτωβρίου 2022 Δημοσ. 19 Οκτωβρίου 2022 Φοβάμαι πως η μοναδική λυση για σοβαρή ασφάλεια ξεκινά με 802.1x... αλλά δεν γνωρίζω ποιος είναι ο πιο απλός τρόπος να υλοποιηθεί σε σπιτικό περιβάλλον, γιατί εκτός από την υποστήριξή του από το switch, θέλει κάπου και το ρόλο του RADIUS server, και δεν τον υποστηρίζουν όλα τα network devices (π.χ. το Mikrotik το κάνει). DHCP off, arp binding κλπ νομίζω πως ειναι πολύ απλοϊκές λύσεις για να σταματήσεις κάποιον αξιοπρεπώς σοβαρό κακόβουλο άνθρωπο, γιατί μπορεί απλά να βγάλει την κάμερα, να την βάλει πάνω σε ενα λάπτοπ με wireshark, να μάθει σε 5 sec την MAC address της κάμερας και την IP της, έπειτα να συνδεθεί στο δίκτυο, να μιμηθεί με το λάπτοπ του MAC+IP και σε 1 λεπτό να έχει πρόσβαση στο δίκτυο, τουλάχιστον όπου είχε η κάμερα. Τώρα αν εσύ είχες φροντίσει να την έχεις σε απομονωμένο VLAN και με ACL/firewall rules να είχε πολύ συγκεκριμένες προσβάσεις, τόσο το καλύτερο... αλλά όπως και να'χει το 802.1x με password ή certificate είναι η πιο σοβαρή λύση.
donblunts Δημοσ. 19 Οκτωβρίου 2022 Δημοσ. 19 Οκτωβρίου 2022 Δεν μπορείς να κάνεις lock το interface μόνο στη MAC της κάμερας; 1
eliasbats Δημοσ. 19 Οκτωβρίου 2022 Δημοσ. 19 Οκτωβρίου 2022 Μπορείς, αλλά εξίσου εύκολα ο επιτιθέμενος μπορεί την μάθει την MAC αν έχει πρόσβαση στην κάμερα. Στα επαγγελματικά penetration tests είναι το πρώτο πράγμα που σπάει ο pentester σε 5 λεπτά με κλειστά τα μάτια.
madrivermadonus Δημοσ. 22 Οκτωβρίου 2022 Μέλος Δημοσ. 22 Οκτωβρίου 2022 η αλήθεια είναι οτι πρέπει να ψάξω πως στήνεται o radius καθώς η αυθεντικοποίηση προσθέτει πολλή ασφάλεια ... ευχαριστω για τις απαντήσεις!
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα