Kotiverkkoon pääsyn estäminen ethernet-porttien kautta ja MAC-suodatus-kysymyksiä

[Rollerix]

Vähän monimutkaisen otsikon taustalla on tavoite hallita paremmin sitä mitkä laitteet pääsevät kodin verkkoon kiinni. Kaikki näkökohdat tervetulleita.

1. Ethernet-portit

Reitittimissä ja erilaisissa tukiasemissa tai mesh-pöntöissä on yleensä RJ45-portti tai -portteja, joihin kytketty tietokone kai useimmiten pääsee oletusarvoisesti osaksi kodin verkkoa (LAN). Miten niiden porttien käytön voi estää ilman kovin monimutkaisia temppuja, jotta kukaan asiaton ei pääsisi käyttämään tai muokkaamaan sellaisia verkon resursseja, joissa ei ole suojauksia tai joiden suojaukset on helppo kiertää?

Skenariona ei mitään sen kummempaa kuin esim. että joku utelias vieras (esim. joku hakkeri-wannabe-teini) tai asunnossa aikaa viettävä remppareiska tökkää kannettavansa ethernet-porttiin. Ei siis mitään James Bond -juttuja.

Luullakseni reitittimissä joskus olevat liitettävien laitteiden MAC-suodatus- tai Whitelist/Blacklist-ominaisuudet koskevat lähinnä langatonta verkkoa. Mutta onko samantyyppinen temppu tehtävissä helposti myös ethernetin kautta kiinni oleville laitteille?

Amazonista löytyy halvalla myös RJ45-lukkoja, jotka näyttävät aika helposti poistettavilta muovihärpäkkeiltä. Onko tuommoinen ainoa tapa, vai voiko asian hoitaa jotenkin fiksummin?

2. MAC-suodatus ja pääsy wifiin

Jos haluaa jakaa kotiverkon salasanan perheenjäsenille, mutta ei halua kaikkia lasten kaverien laitteita kotiverkkoon (tällä kertaa wifin kautta), ovatko ainoat tavat tämän saavuttamiseksi a) laittaa perheen omat koneet MAC-suodatuksen valkoiselle listalle tai b) pitää verkon salasana vain esim aikuisten tiedossa?

Jos MAC-suodatus on näin käytössä, tuleeko ongelmia, jos joku laite vaihtelee mac-osoitettaan (esim. iPhonessa Mac randomisation)?

 

[bindi]

MAC-osoitteen voi helposti vaihtaa ("spooffata"). Eri VLANeihin jako oikea tapa toteuttaa tämä. 802.1x:llä voit pistää portit autentikoinnin taakse (ymmärtääkseni, gurummat voivat kommentoida), mutta kotiverkossa ehkä vähän överisettiä.

Saattaa jopa sinun wlan-tukareissakin olla suoraan vierasverkko-ominaisuus, jos se riittää.

 

[Rollerix]

MAC-osoitteen voi helposti vaihtaa ("spooffata"). Eri VLANeihin jako oikea tapa toteuttaa tämä. 802.1x:llä voit pistää portit autentikoinnin taakse (ymmärtääkseni, gurummat voivat kommentoida), mutta kotiverkossa ehkä vähän överisettiä.

Saattaa jopa sinun wlan-tukareissakin olla suoraan vierasverkko-ominaisuus, jos se riittää.

Joo vierasverkko olisi käytössä wlanissa, mutta tässä skenariossa siis joku siitä huolimatta päättäisi tunkea koneensa ethernetin avulla kiinni.

Tuo VLAN-puoli ei ole mulle tuttu ollenkaan. Jos siis ne ethernet-liitännät määrittelisi jotenkin erilliseen VLANiin, josta ei pääse niihin kodin omiin resursseihin, tarkoittaako se silloin sitä että sellaiseen liitäntään kytketty laite on aina siinä VLANissa? Tarkoitan siis että on myös omia laitteita, joiden kuuluisi päästä langalla LANiin.

Toisinpäin sanoen sama asia: jos vaikkapa pöytäkone on langalla kiinni reitittimessä ja pääsee kaikkiin verkon resursseihin, ja sitten joku nappaa sen verkkojohdon irti ja liittää oman koneensa siihen, onko hänellä pääsy ihan samoihin paikkoihin kuin omalla koneellakin vai voiko sitä verkkoa laitekohtaisesti rajata?

 

[bindi]

Tuollaiseen fyysiseen pääsyyn ainut keino rajata on 802.1x

 

[MrB]

Tuollaiseen fyysiseen pääsyyn ainut keino rajata on 802.1x

Ellei nyt sitten ole hallittava kytkin, niin disabloi ne tyhjät portit. Ei toki estä sitä remonttireiskaa tökkäämästä läppäriään jonkun muun laitteen tilalle, mutta eipä estä se fyysinen lukkokaan. Tähän tyyliin:

 

[topiv]

Useimmat RJ45-portiin asennettavat muovilukot estävät liittimeen kaapelin laittamisen tehokkaasti. Todennäköisesti portti hajoaa, jos lukon koittaa poistaa siitä väkisin. Ne irtoavat vain lukkoon tarkoitetulla työkalulla / avaimella.

Tarkoita tällaisia: https://www.dustin.fi/product/5011128830/port-blocker-rj45-orange-10-pack

 

[Mäyrä86]

Eikös olisi helpoin laittaa reititin ja muut purkit vaikka lukittavan lippaan sisään

 

[minapamina]

NACihan tuon halutun asian tosiaan hoitaa, toinen kysymys on se, tarvitseeko sitä himakäytössä. Silloin hyvin tldr vain tietyt laitteet pääsevät tiettyihin verkkoihin. Toinen vastakkainen tapa hoitaa asia on ZTNA, jossa tavallaan kaikki laitteet "pääsevät" verkkoon, mutta palvelut vaativat käyttäjältä autentikaatiota. Parhaimmillaan molemmat. Mutta kuten todettu, aika overkilliä himaverkossa, ellei sitten tykkää harrastella tai tee asioita duuniksi ja ottaa opiskelun kannalta.

 

[Rollerix]

NACihan tuon halutun asian tosiaan hoitaa, toinen kysymys on se, tarvitseeko sitä himakäytössä. Silloin hyvin tldr vain tietyt laitteet pääsevät tiettyihin verkkoihin. Toinen vastakkainen tapa hoitaa asia on ZTNA, jossa tavallaan kaikki laitteet "pääsevät" verkkoon, mutta palvelut vaativat käyttäjältä autentikaatiota. Parhaimmillaan molemmat. Mutta kuten todettu, aika overkilliä himaverkossa, ellei sitten tykkää harrastella tai tee asioita duuniksi ja ottaa opiskelun kannalta.

Tuollaiseen fyysiseen pääsyyn ainut keino rajata on 802.1x

Eli mitäs nämä käytännössä tarkoittaisivat? Ihan hepreaa mulle...
Alan ajatella, että ehkä tavoitteeni on vähän liian korkealla, jos menee kovin hankalaksi.

Eikös olisi helpoin laittaa reititin ja muut purkit vaikka lukittavan lippaan sisään

Jos laitteita on vähän, menee osa kentästä varmaan lippaan myötä, ja jos laitteita on useita (jolloin kentän vahvuus ei niin kriittistä), tarvitaan monta lipasta. Ne ei välttämättä kovin kauniita olisi. Vai onko jotain hyvännäköisiä valmiina?

 

[topiv]

Lippaan sijaan laitteiden suojaamiseksi käytetään telelaitekäyttöön tarkoitettuja laitekaappeja, jotka voidaan lukita ja kiinnittää turvallisesti toimiston rakenteisiin.

APS 19" AV-laitekaappi K860xL600xS600 15U

Lasiovi, mustaRitilöidyt seinätEtu- ja takakiskotPyörät, 4 kpl860 x 600 x 600 mm

www.fsm.fi

 

[Rollerix]

Lippaan sijaan laitteiden suojaamiseksi käytetään telelaitekäyttöön tarkoitettuja laitekaappeja, jotka voidaan lukita ja kiinnittää turvallisesti toimiston rakenteisiin.

APS 19" AV-laitekaappi K860xL600xS600 15U

Lasiovi, mustaRitilöidyt seinätEtu- ja takakiskotPyörät, 4 kpl860 x 600 x 600 mm

www.fsm.fi

No tuostahan saisi reitittimelle plus parille mesh-pöntölle kätevästi 575 € X 3 plus alvit eli parin tonnin kieppeillä oltaisiin .
Ymmärrän jos yrityskäytössä tuommoisia käytetään, mutta tähän skenarioon turhan järeitä.

 

[Hyrava]

No tuostahan saisi reitittimelle plus parille mesh-pöntölle kätevästi 575 € X 3 plus alvit eli parin tonnin kieppeillä oltaisiin .
Ymmärrän jos yrityskäytössä tuommoisia käytetään, mutta tähän skenarioon turhan järeitä.

Joko räkkien hinta on noussut parissa vuodessa ihan perkeleesti tai sitten tuo on ihan riistohintainen. Itse hankin "täyskorkean" eli 42U räkkikaapin muutama vuosi sitten alle 300e ja se taitaa olla samalta kiinalaiselta valmistajaltakin (Toten / Caymon / ...) kuin tuo linkattu.

Mutta asiaan, tietty aikalailla riippuu mitä uhkaa varten haluaa suojautua että millä konsteilla sitä vastaan kannattaa suojautua. Satunnaisia lasten kavereita tai huoltomiehiä varten riittää tyhjiin LAN-portteihin muoviset "lukot" ja samantyylisiä on myös saatavissa kaapeleille ettei kaapelia saa irroitettua ilman työkalua kytkimen/reitittimen/verkkokortin portista. Toki nuo eivät mitään ammattilaista pidättele paria sekuntia pidempään.

Sitten tosiaan joissakin laitteissa saa hallinnasta sammutettua ylimääräiset portit ettei niistä pääse liikennöimään. MAC-suodatuskin auttaa jonkin verran, joku teini tai random huoltomies tuskin osaa väärentää laitteensa MAC-osoitetta eli langallisiin laitteisiin tuokin jo auttaa melkoisesti. Langattomissa laitteissa taitaa joissakin olla jotain MAC-randomisointia, niiden kanssa saattaa tulla MAC-suodatuksen kanssa ongelmia.

Wifi-puolella vierasverkko auttaa joihinkin asioihin, eli voi rajata pääsyn vain nettiin eikä vierasverkosta pääse paikalliseen verkkoon ollenkaan. Ja tietty oikean wifin salasanaa ei kerrota kenellekään ulkopuoliselle.

Tuon tason jälkeen alkaa mennä aika lailla overkilliksi kotikäyttöön. Saahan sitä rakennettua kaikenlaista 802.1X, ZTNA sun muita keksintöjä ja tehtyä erilaisia palomuurikikkailuja jne mutta vähän menee jo raskaaksi ja hankalaksi ylläpitää kotioloissa.

 

[Rollerix]

Joko räkkien hinta on noussut parissa vuodessa ihan perkeleesti tai sitten tuo on ihan riistohintainen. Itse hankin "täyskorkean" eli 42U räkkikaapin muutama vuosi sitten alle 300e ja se taitaa olla samalta kiinalaiselta valmistajaltakin (Toten / Caymon / ...) kuin tuo linkattu.

Mutta asiaan, tietty aikalailla riippuu mitä uhkaa varten haluaa suojautua että millä konsteilla sitä vastaan kannattaa suojautua. Satunnaisia lasten kavereita tai huoltomiehiä varten riittää tyhjiin LAN-portteihin muoviset "lukot" ja samantyylisiä on myös saatavissa kaapeleille ettei kaapelia saa irroitettua ilman työkalua kytkimen/reitittimen/verkkokortin portista. Toki nuo eivät mitään ammattilaista pidättele paria sekuntia pidempään.

Sitten tosiaan joissakin laitteissa saa hallinnasta sammutettua ylimääräiset portit ettei niistä pääse liikennöimään. MAC-suodatuskin auttaa jonkin verran, joku teini tai random huoltomies tuskin osaa väärentää laitteensa MAC-osoitetta eli langallisiin laitteisiin tuokin jo auttaa melkoisesti. Langattomissa laitteissa taitaa joissakin olla jotain MAC-randomisointia, niiden kanssa saattaa tulla MAC-suodatuksen kanssa ongelmia.

Wifi-puolella vierasverkko auttaa joihinkin asioihin, eli voi rajata pääsyn vain nettiin eikä vierasverkosta pääse paikalliseen verkkoon ollenkaan. Ja tietty oikean wifin salasanaa ei kerrota kenellekään ulkopuoliselle.

Tuon tason jälkeen alkaa mennä aika lailla overkilliksi kotikäyttöön. Saahan sitä rakennettua kaikenlaista 802.1X, ZTNA sun muita keksintöjä ja tehtyä erilaisia palomuurikikkailuja jne mutta vähän menee jo raskaaksi ja hankalaksi ylläpitää kotioloissa.

Kiitos, tämä on järkeenkäypää ja aika lähellä sitä mihin johtopäätökseen olin jo itse taipumassa.
Kun kirjoitat "MAC-suodatuskin auttaa jonkin verran, joku teini tai random huoltomies tuskin osaa väärentää laitteensa MAC-osoitetta eli langallisiin laitteisiin tuokin jo auttaa melkoisesti", tarkoitatko, että MAC-suodatus pitäisi saada toimimaan myös langallisille laitteille? Tähän asti olen nähnyt sitä vain wifin osalta.

 

[Hyrava]

Kiitos, tämä on järkeenkäypää ja aika lähellä sitä mihin johtopäätökseen olin jo itse taipumassa.
Kun kirjoitat "MAC-suodatuskin auttaa jonkin verran, joku teini tai random huoltomies tuskin osaa väärentää laitteensa MAC-osoitetta eli langallisiin laitteisiin tuokin jo auttaa melkoisesti", tarkoitatko, että MAC-suodatus pitäisi saada toimimaan myös langallisille laitteille? Tähän asti olen nähnyt sitä vain wifin osalta.

Riippuu tietty laitteista, oma reititin osaa ihan samalla tavalla suodattaa liikennettä MAC-osoitteen perusteella oli se sitten langallisen tai langattoman laitteen osoite. Voi olla että joissakin laitteissa tuolle on jotain rajoituksia.

 

[Kilkenblad]

Eikös tämän vois helpoiten hoitaa, jos on pelkkä IPv4 käytössä, siten että ottaa reitittimestä DHCP palvelimen pois käytöstä ja määrittää kaikille tunnetuille laitteille kiinteät IP-osoitteet sisäverkkoon? Tietty vähän sama homma kun MAC-suodatus mutta löytynee ainakin jokaisesta reitittimestä.

 

[Hyrava]

Eikös tämän vois helpoiten hoitaa, jos on pelkkä IPv4 käytössä, siten että ottaa reitittimestä DHCP palvelimen pois käytöstä ja määrittää kaikille tunnetuille laitteille kiinteät IP-osoitteet sisäverkkoon? Tietty vähän sama homma kun MAC-suodatus mutta löytynee ainakin jokaisesta reitittimestä.

Mitäs tuo auttaa? Jos laitat sellaisen IP-osoitteen mitä ei muissa laitteissa ole käytössä (tietty samassa aliverkossa) niin konehan menee verkkoon heittämällä. Eli tuon lisäksi pitäisi palomuurista blokata kaikki tuntemattomat IP:t tai siis sallia vain tunnettujen laitteiden osoitteet. Ja siltinkin jos laittaa saman IP-osoitteen kuin verkossa jo olevalla niin vähän laitteista riippuen verkko saattaa jossain määrin toimia vaikka kaikenlaista sekoilua päällekkäisistä IP-osoitteista tuleekin.

 

[Kilkenblad]

Mitäs tuo auttaa? Jos laitat sellaisen IP-osoitteen mitä ei muissa laitteissa ole käytössä (tietty samassa aliverkossa) niin konehan menee verkkoon heittämällä. Eli tuon lisäksi pitäisi palomuurista blokata kaikki tuntemattomat IP:t tai siis sallia vain tunnettujen laitteiden osoitteet. Ja siltinkin jos laittaa saman IP-osoitteen kuin verkossa jo olevalla niin vähän laitteista riippuen verkko saattaa jossain määrin toimia vaikka kaikenlaista sekoilua päällekkäisistä IP-osoitteista tuleekin.

Jos sisäverkolla määrittää vaikka jonkun erikoisemmin alueen, esim. 10.10.2.x niin tuskin sitä mikään remppapena osaa määrittää.

Jokatapauksessa koko ketju ja pohdinta on ihan järjetöntä ja yliampuvaa kotiverkkoa ajatellen.

 

[pulatunnus]

Kiitos, tämä on järkeenkäypää ja aika lähellä sitä mihin johtopäätökseen olin jo itse taipumassa.
Kun kirjoitat "MAC-suodatuskin auttaa jonkin verran, joku teini tai random huoltomies tuskin osaa väärentää laitteensa MAC-osoitetta eli langallisiin laitteisiin tuokin jo auttaa melkoisesti", tarkoitatko, että MAC-suodatus pitäisi saada toimimaan myös langallisille laitteille? Tähän asti olen nähnyt sitä vain wifin osalta.

Asiaa voisi ensin lähestyä niin että miettii että mitkä ovat riskit, mitä tavoittelee. mikä niiden arvo, paljonko kannattaa ja haluaa investoida.

- Jos tavoite hankaloittaa oman kotiverkon hallintaa, niin MAC suodatin on toki ihan käypä, ja sillä voi ihan oikeasti tahattomat ja pienet tahalliset suodatella.

Siihen riittää rautaa millä se onnistuu, kytkin.

Mutta jos on tulossa vihamielinen remonttireiska , niin sitten ottaisin vapaata ja olisin valvomassa.

Mutta jos kotiverkko on niin turvaton että verkon lainaaminen huolettaa, niin katsoisin myös sen kotiverkon arkkitehtuurin ja siellä olevien palveluiden turvallisuuden,.

VLAN asiaan kannattaa perehtyä, en tiedä onko hyvää suomenkielistä linkkiä, mutta kannattaa kaivella ja hankkia pari kytkintä millä harjoittelee että sisäistää käytännössä. Se kotikäytössä ihan suosittu "väline" jos kotiverkkoon asentelee riskialtista kamaa, jonka haluaa pitää omassa kuplassa.

Julkisissa tiloissa myös suojataan liittimiä, ettei vihollinen pääse siitä liittymään turvattomaan sisäverkkoon, mutta jos pahis pääsee käsiksi kaapeleihin ja riskit isoja, niin se homma pitää hoitaa korkeammalla tasolla ja suhtautua siihen alempaan tasoon kuin internettiin.

 

[Rollerix]

Jokatapauksessa koko ketju ja pohdinta on ihan järjetöntä ja yliampuvaa kotiverkkoa ajatellen.

Mikä siinä on järjetöntä? Oma kysymykseni juonsi juurensa siitä, että yleensä kehotetaan rajaamaan kotiverkkoon pääseviä laitteita, ja yksi keskeinen osa sitä on wifin salasana ja ehkäpä vierasverkko, jotta oman verkon salasanaa ei tarvitsisi jaella kaikille tutuille ja lasten kavereille jne.

Näitä miettiessä tuli mieleen, että mites onko syytä rajata jotenkin niitä helposti saatavilla olevia ethernet-portteja. En rehellisesti sanottuna tiennyt, tekeekö teknisesti valveutuneempi porukka niille yleensä jotakin vai ei.

Tässä keskustelussa on nyt käynyt selväksi että aika hankalaa se on hoitaa samantapaisella helpolla tempulla kuin esim. antaa wifille joku oma salasana laitteen pohjasta löytyvän oletuksen sijaan. Eli kuten @pulatunnus edellä hyvin sanoi, se verkon arkkitehtuuri ja palveluiden turvallisuus katsottava joka tapauksessa. Sinänsä nurinkurista, että wifiin on vaikea päästä nykyään, mutta verkkoon pääsee kyllä kunhan on oven taakse päässyt.

 

[pulatunnus]

Sinänsä nurinkurista, että wifin on vaikea päästä nykyään, mutta verkkoon pääsee kyllä kunhan on oven taakse päässyt.

Julkisissa tiloissa nuo kupariportit joutuu mittimään.
Mutta kodin oloissa, jos joku pääsee ovesta sisälle, niin hänellä on fyysinen pääse laitteisiin, joten jos suojaa jotain jotain rasioiden rjportteja, niin se on vähän aidattoman pihan suojaamista pienellä lukitulla portilla.

Jos kyse alivuokralaisen huoneesta, joka saattaa olla vihamielinen, niin hänelle tarjoilee ihan oman verkon, josta ei pääsyä kotiverkkoon.

Jos kyse kimppakämpästä, jossa ramppaa kaikenlaista väkeä, niin sitten suhtautua siihen verkkoon kuin julkistaverkkoa vihamielisempänä.

Wifi salasana, osa jakaa sitä SSIDssä, mutta jos ei halua niin siinä se on tarpeen sentakia että se WiFi kantaa ulkopuolelle ja avoimena tarjoaa helponpääsyn ko verkkoon , usein kyse lähinnä siitä että pelätään että joku tekee jotain laittomuuksia ja iskuryhmä tulee ratsaan, tai se että ulkopuolinen käyttää kaistaa häiritsevästi.

Mutta tuossa soluasuntoversiossa langaton verkko on toki yksikonsti ratkaista pääsynhalinntaan omaan verkkoon. piuhalla voi käyttää VPNää, tai välityspalvelimia joissa pääsynhallinta. Ne toki hankalia joidenkin sulautettujen laitteiden kanssa jos niissä ei ole tukea moisiin.

Vihamielisessä ympäristössä muistetava että hyökkääjä voi asentaa omaa rautaa, ja hyökkääjä voi myös luoda vihamielisen wifi verkon. Eli foliota voi hankkia niin paljon kuin haluaa.

Halvinta on sellainen että hankkii jotain "sinettiteippiä" ei suojaa hylkkäystä, mutta paljastaa jos irroteltu, availtu, vaihettu, vaatii toki sen että tekee tarksitamisesta rutiinin.

Vihamieliestä wifi tukaria ei paljasta.

 

[k70]

Onko verkossa siis jotain palveluita joita halutaan suojata, esim. NAS, tulostin, kamera tai vastaava? Vai halutaanko vain suojata muita verkossa olevia clienttejä? Vai suojautua siltä että yhteyttä väärinkäytetään?

Mietin vaan että client isolation voisi olla ihan riittävä, jos kaikki palvelut ovat internetissä, eivätkä kotiverkossa.

 

[Rollerix]

Onko verkossa siis jotain palveluita joita halutaan suojata, esim. NAS, tulostin, kamera tai vastaava? Vai halutaanko vain suojata muita verkossa olevia clienttejä? Vai suojautua siltä että yhteyttä väärinkäytetään?

Mietin vaan että client isolation voisi olla ihan riittävä, jos kaikki palvelut ovat internetissä, eivätkä kotiverkossa.

No sanotaan että ensisijaisesti pohdiskelin tätä yleisellä tasolla, kun en ollut varma olenko unohtanut jotain oleellista (siis sen ethernet-porttien suojauksen), jota moni muu tekisi. Käytännössä omassa tilanteessa ehkäpä NAS tai joku kamera, tai vaikka reitittimeen suoraan liitetty SSD voisi olla käytännössä se jonka luvatonta käyttöä haluaisi tehdä hankalammaksi. Siinä mielessä se client isolation ei kai oikein toimi, kun niitä pitäisi voida käyttää sallitusti.

 

[minapamina]

Sulla on jokatapauksessa kameroissa ja NASseissa tms kirjautuminen salasanoilla, eli ellei "putkimies" tiedä takaovia, ei se niihin pääse käsiksi, vaikka verkkoon pääsisi.

 

[root]

^ Samaa mieltä kuin tuossa yllä ^ Kaikki tärkeämmät laitteet ja palvelut suojattuina kotiverkossakin, niin ei kukaan utelias ainakaan heittämällä käy katselemassa tietoja. Windows-koneissa ei mitään turhia jakoja päällä, Linux-purkeissa vain SSH avaimella pääsy auki ja muutkin palvelut kirjautumisen takana.

Jos kilometrirullan foliota hankkii, niin voisihan sitä laittaa jonkun kanarialinnun sisäverkkoon. Sellaisen joka matkii eri palveluiden portteja ja lähettää hälyn aina kun joku ilmestyy niitä nuuskimaan. Sellaisia on ainakin kaupallisia ja kenties ilmaisiakin. Hakusanat "security, canary".

 

[Rollerix]

Sulla on jokatapauksessa kameroissa ja NASseissa tms kirjautuminen salasanoilla, eli ellei "putkimies" tiedä takaovia, ei se niihin pääse käsiksi, vaikka verkkoon pääsisi.

Joo toki näin.

 

[user9999]

Itsellä on arpwatch verkossa niin ilmoittaa sähköpostilla jos havaitsee uuden laitteen. Mitään kytkinportteja en ole suojannut. pfSensen DHCP on päällä Allow known clients from only this interface. Only MAC addresses listed in static mappings on this interface will get an IP address within this scope/range. Tuo nyt on helppo kiertää.

Vajaan 10min video tuosta arpwatchista.

 

[k70]

No sanotaan että ensisijaisesti pohdiskelin tätä yleisellä tasolla, kun en ollut varma olenko unohtanut jotain oleellista (siis sen ethernet-porttien suojauksen), jota moni muu tekisi. Käytännössä omassa tilanteessa ehkäpä NAS tai joku kamera, tai vaikka reitittimeen suoraan liitetty SSD voisi olla käytännössä se jonka luvatonta käyttöä haluaisi tehdä hankalammaksi. Siinä mielessä se client isolation ei kai oikein toimi, kun niitä pitäisi voida käyttää sallitusti.

Ei toimi silloin kyllä. Erillinen vierasverkko ja sisäverkon laitteiden suojaus auttavat kyllä aika pitkälle. Ei kannata sokeasti luottaa siihen pääsynhallintaan, joten clienteissä kuitenkin palomuurit päälle. Useimmathan liikkuvat kodin ulkopuolellakin ei luotetuissa verkoissa päivittäin.

Arpwatch vaikuttaisi myös ihan järkevältä, niin tulisi tieto heti jos jotain poikkeavaa tapahtuu.

 

[Lazzu]

Vähän monimutkaisen otsikon taustalla on tavoite hallita paremmin sitä mitkä laitteet pääsevät kodin verkkoon kiinni. Kaikki näkökohdat tervetulleita.

1. Ethernet-portit

Reitittimissä ja erilaisissa tukiasemissa tai mesh-pöntöissä on yleensä RJ45-portti tai -portteja, joihin kytketty tietokone kai useimmiten pääsee oletusarvoisesti osaksi kodin verkkoa (LAN). Miten niiden porttien käytön voi estää ilman kovin monimutkaisia temppuja, jotta kukaan asiaton ei pääsisi käyttämään tai muokkaamaan sellaisia verkon resursseja, joissa ei ole suojauksia tai joiden suojaukset on helppo kiertää?

Skenariona ei mitään sen kummempaa kuin esim. että joku utelias vieras (esim. joku hakkeri-wannabe-teini) tai asunnossa aikaa viettävä remppareiska tökkää kannettavansa ethernet-porttiin. Ei siis mitään James Bond -juttuja.

Luullakseni reitittimissä joskus olevat liitettävien laitteiden MAC-suodatus- tai Whitelist/Blacklist-ominaisuudet koskevat lähinnä langatonta verkkoa. Mutta onko samantyyppinen temppu tehtävissä helposti myös ethernetin kautta kiinni oleville laitteille?

Amazonista löytyy halvalla myös RJ45-lukkoja, jotka näyttävät aika helposti poistettavilta muovihärpäkkeiltä. Onko tuommoinen ainoa tapa, vai voiko asian hoitaa jotenkin fiksummin?

2. MAC-suodatus ja pääsy wifiin

Jos haluaa jakaa kotiverkon salasanan perheenjäsenille, mutta ei halua kaikkia lasten kaverien laitteita kotiverkkoon (tällä kertaa wifin kautta), ovatko ainoat tavat tämän saavuttamiseksi a) laittaa perheen omat koneet MAC-suodatuksen valkoiselle listalle tai b) pitää verkon salasana vain esim aikuisten tiedossa?

Jos MAC-suodatus on näin käytössä, tuleeko ongelmia, jos joku laite vaihtelee mac-osoitettaan (esim. iPhonessa Mac randomisation)?

Tällä sedällä on omasta mielestä ärsyttävä tyyli, mutta kuitenkin informatiivista sisältöä tekee. Aiheeseen sopiva video:

 

[Jupuna]

Jokatapauksessa koko ketju ja pohdinta on ihan järjetöntä ja yliampuvaa kotiverkkoa ajatellen.

Ehkä tässä tapauksessa kotiverkossa on jotain todella arkaluonteista mitä ei haluta remppapenan tai miliisin tietoon missään tapauksessa.

 

[Rollerix]

Tällä sedällä on omasta mielestä ärsyttävä tyyli, mutta kuitenkin informatiivista sisältöä tekee. Aiheeseen sopiva video:

Kiitos! Aika lailla samaa asiaa käsitellään, vaikka kaverin tyyli on todella ärsyttävä. Siinä eroa että ymmärtääkseni hän puhuu kytkimestä, mutta kaipa se portin toiminta samalla lailla menee reitittimessäkin. Pitääpä katsoa uuden reitittimen kohdalla onko tuommoisia ominaisuuksia.

Ehkä tässä tapauksessa kotiverkossa on jotain todella arkaluonteista mitä ei haluta remppapenan tai miliisin tietoon missään tapauksessa.

Jos vaivautuisit lukemaan edellä kirjoitetun, huomaat, että "ensisijaisesti pohdiskelin tätä yleisellä tasolla, kun en ollut varma olenko unohtanut jotain oleellista (siis sen ethernet-porttien suojauksen), jota moni muu tekisi." Mistään todella arkaluonteisesta ei ole kyse, vaan enemmänkin siitä mikä on normaali suojauksen taso. En esimerkiksi millään haluaisi, että joku lasten teinihakkerikaveri pääsisi käsiksi turvakameroihin tms.

 

[zepi]

Ainoa luotettava keino on tuo sertifikaattipohjainen 802.1X. Kaikki muut mac-workaroundit jne. ovat tehokkaita vain sellaisia hyökkääjiä vastaan joita sisäänpääsy ei oikeasti kiinnosta ja jotka vaihtavat kohdetta kun eka yritys epäonnistuu.

 

[Rollerix]

Ainoa luotettava keino on tuo sertifikaattipohjainen 802.1X. Kaikki muut mac-workaroundit jne. ovat tehokkaita vain sellaisia hyökkääjiä vastaan joita sisäänpääsy ei oikeasti kiinnosta ja jotka vaihtavat kohdetta kun eka yritys epäonnistuu.

Olenko oikeassa, jos oletan että 802.1X/Radius-palvelimeen pohjautuvat suojaukset ovat yleensä yritysten käytössä, eivätkä edes it-propellipäät sellaista yleensä kotiverkkoonsa virittele? Kysyn siksi kun edelleen kiinnostaa vaivautuvatko ihmiset yleensä suojaamaan kotiverkkoonsa pääsyä muuten kuin wifi-salasanan avulla. Omaan käyttöön tuollainen kuulostaisi turhan raskaalta.

 

[user9999]

Olenko oikeassa, jos oletan että 802.1X/Radius-palvelimeen pohjautuvat suojaukset ovat yleensä yritysten käytössä, eivätkä edes it-propellipäät sellaista yleensä kotiverkkoonsa virittele? Kysyn siksi kun edelleen kiinnostaa vaivautuvatko ihmiset yleensä suojaamaan kotiverkkoonsa pääsyä muuten kuin wifi-salasanan avulla. Omaan käyttöön tuollainen kuulostaisi turhan raskaalta.

Yrityksissä niitä käytetään. Itsellä on ollut vuosia käytössä kotiverkossa. Wifi on EAP-TLS eli sertifikaatit käytössä. Pfsense toimii radiuspalvelimena.

Lisätietoa noista EAP tyypeistä.

802.1X Overview and EAP Types

This page provides an overview on 802.1x and explains the various protocols—MD5, LEAP, PEAP, TLS, and TTLS.

www.intel.com

EAP-TLS ei ole paljon yrityksissä käytössä, koska suuritöinen ylläpitää. EAP-TLS on paras noista (Wi-Fi Security on Very High).
One drawback of EAP-TLS is that certificates must be managed on both the client and server side. For a large WLAN installation, this could be a very cumbersome task.
TLS, while very secure, requires client certificates to be installed on each Wi-Fi workstation. Maintenance of a PKI infrastructure requires additional administrative expertise and time in addition to that of maintaining the WLAN itself.

Edit: On mulla myös EAP-TTLS ja EAP-PEAP käytössä, koska kaikki laitteet ei tue EAP-TLS. Esim. LG OLED televisioiden wifissä on tuki vain EAP-TTLS ja EAP-PEAP.

 

[juuhokei]

Olenko oikeassa, jos oletan että 802.1X/Radius-palvelimeen pohjautuvat suojaukset ovat yleensä yritysten käytössä, eivätkä edes it-propellipäät sellaista yleensä kotiverkkoonsa virittele? Kysyn siksi kun edelleen kiinnostaa vaivautuvatko ihmiset yleensä suojaamaan kotiverkkoonsa pääsyä muuten kuin wifi-salasanan avulla. Omaan käyttöön tuollainen kuulostaisi turhan raskaalta.

Kyllä olet oikeassa, tuo on erittäin raskas toteuttaa eikä sitä kotona käytä kuin jotkut jotka harrastavat kotilabrailua eli testailevat asioita työssä osaamisen kannalta. Kotiin täysin riittävä on ajantasaiset päivitykset laitteelle kuin laitteelle ja vahvat salasanat.

 

[Jrask]

Kyllä olet oikeassa, tuo on erittäin raskas toteuttaa eikä sitä kotona käytä kuin jotkut jotka harrastavat kotilabrailua eli testailevat asioita työssä osaamisen kannalta. Kotiin täysin riittävä on ajantasaiset päivitykset laitteelle kuin laitteelle ja vahvat salasanat.

Noissa on kotioloissa vielä sekin haaste ettei käytännössä juuri mikään älylaite tue noita, eli käytännössä telkkareille ja oikeastaan kaikelle muulle kuin tietokoneille joutuisi kuitenkin määrittämään suojaamattoman portin jos noita haluaa langalliseen verkkoon kytkeä.

 

[user9999]

Mulla on myös VPN pelkillä sertifikaateilla kotiverkkoon. EAP-TLS.
Kaikki mihin on mahdollista ottaa ulkoapäin yhteyttä (wifi ja vpn) on viritetty äärimmilleen nykyisten tekniikoiden avulla.

WireGuard on kyllä hyvä, mutta vaati että clienttiin asennetaan erillinen ohjelmisto, joka voi olla myös haavoittuva,

 

[Pah0lain3]

Tämä oli hyvä keskustelu aina näistä tarttuu hyviä ideoita mukaan.

 

[Pakana]

Ehkä tuota kannattaisi kähestyä siltä kantilta että mikä on todennäköisin riski.

Mun mielestä todennäköisin skenaario on se että teinin kaveri/raksapena haluaa päästä internetiin, ja siksi kytkee laitteensa kodin verkkoon, ja ko raksakaverilla on koneessaan virus, joka pyrkii tarttumaan kotiverkon laitteisiin.

Tehokkain tapa torjua tuota on antaa se yhteys internetiin mahdollisimman kivuttomasti, eli wifiin vierasverkko, ja jos sitä fyysiseen verkkoon kytkeytymistä haluaa suojata, niin luoda mac perusteinen vlan, johon lisää omat laitteet, ja kaikki tuntemattomat mac osoitteet asetetaan vlaniin joka tarjoaa vain yhteyden internetiin.