Επιλογη managed switch για vlan

[HanzEmilBerdain]

Kαλησπερα, θελω να παρω ενα managed switch για να στησω vlan.

To σεναριο ειναι 2 υποδικτυα οπου στο ενα θα ειναι οι υπολογιστες του δικτυου και το κινητο που θα εχουν εννοειται προσβαση στο ιντερνετ, και στο αλλο υποδικτυο το καταγραφικο (nvr) και οι καμερες (ip).

Θελω να μπορω να βλεπω και να χειριζομαι το καταγραφικο και τις καμερες ειτε απο το κινητο ειτε απο το pc μεσα απο το δικτυο, ειτε απο μακρυα, και βεβαια κανεις χωρις εξουσιοδοτηση.

Αυτα χονδρικα, για κατι τετοιο οπως το περιγραφω τι χαρακτηριστικα πρεπει να εχει το switch που θα επιλεξω;

Αυτο ας πουμε κανει;

[uniquegr]

Καλημέρα,

Σε αυτό το βίντεο γίνεται δοκιμή του switch που παρέθεσες:

Στα αρνητικά του, βρίσκει την απουσία εισόδου στο gui του μέσω https, καθώς και το γεγονός ότι δεν αποκλείει τη δυνατότητα να πάρει κάποιος ip άλλου vlan όντας συνδεδεμένος σε θύρα που έχει οριστεί να ανήκει σε ένα και μόνο συγκεκριμένο vlan. 

Θα σου πρότεινα να μην εκθέσεις το καταγραφικό σου έξω απο το τοπικό σου δίκτυο αν πρώτα δεν ασχοληθείς με το firewall ( pfSense ή openwrt ) και το forward proxy χρησιμοποιώντας τις υπηρεσίες της cloudflare για κατοχύρωση ενός domain name και έκδοση πιστοποιητικών ssl ( δωρεάν ). 

Με το απλό router του παρόχου σου, αναγκαστικά θα ανοίξεις μια πόρτα στο firewall για την εφαρμογή του καταγραφικού σου, η οποία δεν είναι απίθανο να μπορεί να σκαναριστεί. Με τη χρήση του forward proxy, ο έλεγχος ταυτότητας γίνεται στον proxy, ενώ το firewall του router σου μπορεί να ρυθμιστεί ώστε να δέχεται συνδέσεις απο τον έξω κόσμο μόνο με αυτό το τρόπο και όχι με απευθείας χτύπημα μιας πόρτας, δηλαδή να μη μπορεί να μπει κάποιος στο δίκτυό σου απλά χτυπώντας τη πόρτα που θα έχει εντοπίσει ότι είναι ανοιχτή.

Εν ολίγοις, είναι ένα καλό switch για τα λεφτά του ΑΝ στήσεις και έναν υπολογιστή μικρής κατανάλωσης ο οποίος θα λειτουργεί σαν firewall / router ΠΡΙΝ το switch. Αν δηλαδή σε ενδιαφέρει σοβαρά η ασφάλεια του δικτύου σου, υπολόγισε γύρω στα 50 ευρώ για να αγοράσεις έναν υπολογιστή μικρής κατανάλωσης ( π.χ. εγώ έχω αγοράσει τον fujitsu futro s920 με τον τετραπύρηνο AMD GX415 και 4Gb ram, δεν χρειάζεται παραπάνω ) και άλλα 30~40 ευρώ για μια κάρτα δικτύου pcie με τέσσερις gigabit θύρες ή 10 ευρώ για μια pcie μιας θύρας. Αν μάλιστα σου φτάνουν οι τέσσερις θυρες ethernet, μπορείς να αγοράσεις τη τετραπλή κάρτα δικτύου και δεν θα χρειαστεί να αγοράσεις το switch της tp link.

Θα χρειαστεί κάμποσο διάβασμα καθώς και να παρακολουθήσεις μερικά βίντεο στο youtube για να καταλάβεις πως θα σετάρεις το pfSense και τον forward proxy μέσω cloudflare, αλλά μόλις το καταλάβεις και του πάρεις τον αέρα, θα είσαι στο δρόμο για ένα πιο ασφαλές δίκτυο.

Επεξ/σία 1 Νοεμβρίου 2024 από uniquegr

[jkoukos]

1 ώρα πριν, uniquegr είπε

καθώς και το γεγονός ότι δεν αποκλείει τη δυνατότητα να πάρει κάποιος ip άλλου vlan όντας συνδεδεμένος σε θύρα που έχει οριστεί να ανήκει σε ένα και μόνο συγκεκριμένο vlan. 

Δεν παίρνει ΙΡ μέσω DHCP άλλου VLAN αλλά ορίζοντας static IP στο υποδίκτυο αυτού του VLAN μπορείς μόνον να έχεις πρόσβαση στο switch για λόγους διαχείρισης (γνωρίζοντας φυσικά username/password). Πρόσβαση στο VLAN δεν υπάρχει.

[uniquegr]

2 λεπτά πριν, jkoukos είπε

Δεν παίρνει ΙΡ μέσω DHCP άλλου VLAN αλλά ορίζοντας static IP στο υποδίκτυο αυτού του VLAN μπορείς μόνον να έχεις πρόσβαση στο switch για λόγους διαχείρισης (γνωρίζοντας φυσικά username/password). Πρόσβαση στο VLAN δεν υπάρχει.

Διόρθωση: Όντως, δείχνει να μπαίνει στο interface του switch, αλλά και αυτό δεν θα έπρεπε να συνέβαινε.

Επεξ/σία 1 Νοεμβρίου 2024 από uniquegr

[jkoukos]

Γενικά συμφωνώ, αλλά έχει την χρήση του σε κάποιες περιπτώσεις. Μην ξεχνάς ότι δεν είναι κανονικό managed switch αλλά ένα φθηνό με κάποιες επιπλέον δυνατότητες που δεν έχουν τα απλά παραπλήσιου κόστους. Ίδια συμπεριφορά έχει και το αντίστοιχο Netgear,

[HanzEmilBerdain]

Καλησπερα, σας ευχαριστω για τις απαντησεις, τι χαρακτηριστικα πρεπει να εχει ενα switch ωστε να παρεχει την δεουσα ασφαλεια στα vlans?

Πρεπει να στησω οπωσδηποτε και firewall?

[nkarama]

21 hours ago, HanzEmilBerdain said:

ενα θα ειναι οι υπολογιστες του δικτυου και το κινητο που θα εχουν εννοειται προσβαση στο ιντερνετ, και στο αλλο υποδικτυο το καταγραφικο (nvr) και οι καμερες (ip).

 

21 hours ago, HanzEmilBerdain said:

να βλεπω και να χειριζομαι το καταγραφικο και τις καμερες ειτε απο το κινητο ειτε απο το pc μεσα απο το δικτυο, ειτε απο μακρυα,

Τελικά, θα έχουν πρόσβαση στο ιντερνετ οι κάμερες και το καταγραφικό ή όχι... Διότι γράφεις δύο αντικρουόμενα πράγματα....

[HanzEmilBerdain]

3 λεπτά πριν, nkarama είπε

 

Τελικά, θα έχουν πρόσβαση στο ιντερνετ οι κάμερες και το καταγραφικό ή όχι... Διότι γράφεις δύο αντικρουόμενα πράγματα....

Ναι οπως γραφω θελω να τις βλεπω απο το κινητο ειτε απο μεσα ειτε απο εξω.

[uniquegr]

Αν θέλεις να τις βλέπεις απο έξω, θα πρέπει να διασφαλίσεις με κάποιο τρόπο ότι μόνο εξουσιοδοτημένοι χρήστες μπορούν να μπουν στο δίκτυό σου. Αυτό μπορείς να το κάνεις μόνο με τη χρήση firewall ( όπως σου είπα, δεν χρειάζεται να αγοράσεις κάποιο έτοιμο του εμπορίου και μπορείς να τη βγάλεις καθαρή με μια τετραπλή κάρτα δικτύου και το πολύ πολύ να βάλεις μετά unmanaged switches ένα για το κάθε vlan ξεχωριστά ή το tplink που παρέθεσες ) και με το να ορίσεις να επιτρέπεται η πρόσβαση μόνο σε συγκεκριμένους clients. Επειδή όμως δεν μπορείς να έχεις στατική ip στους clients που θα εισέρχονται στο δίκτυό σου, γι'αυτό πρέπει να παίξεις με τη λύση του cloudflare.

Μια καλή περιγραφή της διαδικασίας υπάρχει εδώ:

Με απλά λόγια, έστω ότι έχεις δύο πόρτες που πρέπει να ανοίξεις στο δίκτυό σου, μια για τις κάμερες, μια για τις συσκευές smart home. Για να έχεις πρόσβαση απ' έξω απο το δίκτυό σου, θα πρέπει να χτυπάς την ip σου και τη πόρτα που θα έχεις ανοίξει για τη κάθε εφαρμογή. To κακό σε αυτή τη περίπτωση είναι ότι εκθέτεις άμεσα το δίκτυό σου, τις κάμερές σου στο διαδίκτυο και είναι θέμα ικανοτήτων του εκάστοτε επίδοξου hacker ( ή και της κατασκευάστριας εταιρείας του καταγραφικού... ) να αποκτήσει πρόσβαση. Αντ'αυτού, μπορείς να δημιουργήσεις ένα δωρεάν domain π.χ. securehouse.com και να αντιστοιχήσεις τις εφαρμογές σαν subdomain π.χ. cameras.securehouse.com και smartapps.securehouse.com. Εσύ απο το κινητό σου θα πληκτρολογείς αυτές τις διευθύνσεις και θα συνδέεσαι με την εφαρμογή που αντιστοιχεί στο κάθε domain. Ο έλεγχος ταυτότητας όμως θα γίνεται μέσω πιστοποιητικών ssl μεταξύ της cloudflare και του firewall σου, ενώ αν χτυπήσεις απευθείας την ip σου, το firewall δεν θα επιτρέπει τη σύνδεση, γιατί θα έχεις κανόνα που θα επιτρέπει μόνο ασφαλείς συνδέσεις μέσω https. Έτσι, μόνο όποιος έχει το κατάλληλο ssl πιστοποιητικό θα μπορεί να έχει πρόσβαση στις κάμερές σου ή σε ότι άλλο θα έχεις εκθέσει στο διαδίκτυο.

Επιπλέον, μέσω του firewall μπορείς να επιτρέψεις ή να απαγορεύσεις τη πρόσβαση απο και προς κομμάτια του δικτύου σου, ενώ μπορείς να φιλτράρεις και τις εξερχόμενες συνδέσεις, δηλαδή τη πρόσβαση των clients του δικτύου σου στο internet, content filtering κλπ.

[HanzEmilBerdain]

Σε ευχαριστω, με βοηθας να παρω μια ιδεα της βασικης αρχης λειτουργιας γιατι δεν εχω ασχοληθει ξανα οποτε δεν ξερω ουτε τα βασικα.👍

Τα βιντεακια δειχνουν να ειναι πολυ χρησιμα ομως τα λενε πολυ γρηγορα και τα αγγλικα μου δεν με βοηθανε να προλαβω να μεταφρασω και να κατανοησω για αυτο κανω συνεχεια ερωτησεις...

Επεξ/σία 1 Νοεμβρίου 2024 από HanzEmilBerdain

[uniquegr]

22 ώρες πριν, HanzEmilBerdain είπε

Σε ευχαριστω, με βοηθας να παρω μια ιδεα της βασικης αρχης λειτουργιας γιατι δεν εχω ασχοληθει ξανα οποτε δεν ξερω ουτε τα βασικα.👍

Τα βιντεακια δειχνουν να ειναι πολυ χρησιμα ομως τα λενε πολυ γρηγορα και τα αγγλικα μου δεν με βοηθανε να προλαβω να μεταφρασω και να κατανοησω για αυτο κανω συνεχεια ερωτησεις...

Απλά έξυσα τη κορυφή του παγόβουνου, είναι πάρα πολλές οι δυνατότητες, ενώ ήθελα να στο εξηγήσω όσο πιο απλά μπορούσα. Σίγουρα, ένας απλός χρήστης δεν τα σκέφτεται όλα αυτά, αλλά όταν έχουμε να κάνουμε με ευαίσθητα προσωπικά δεδομένα, πιστεύω ότι είναι καλό να ασχολούμαστε και με το τομέα της ασφάλειας του δικτύου μας ( στον όποιο βαθμό μπορούμε να το κάνουμε αυτό, βέβαια ).