Palomuuri ja valvontakameran etäkäyttö

  • Keskustelun aloittaja Keskustelun aloittaja AkrRA
  • Aloitettu Aloitettu
Liittynyt
08.10.2024
Viestejä
8
Minulla on kodin sisäverkossa Reolink kamera. Saan sen kuvaa katsottua kotiverkon ulkopuolelta, kun vain tiedän kameran UID koodin ja käyttäjätunnuksen sekä salasanan. Kiinnostaa tietää miten se läpäisee kodin palomuurin, jossa kaikki ulkoapäin tuleva liikenne on estetty? Kytkeekö tuo UID koodin kameran Reolinkin palveluun, josta kuvaa katsotaan vai miten se tapahtuu ?
 
Minulla on kodin sisäverkossa Reolink kamera. Saan sen kuvaa katsottua kotiverkon ulkopuolelta, kun vain tiedän kameran UID koodin ja käyttäjätunnuksen sekä salasanan. Kiinnostaa tietää miten se läpäisee kodin palomuurin, jossa kaikki ulkoapäin tuleva liikenne on estetty? Kytkeekö tuo UID koodin kameran Reolinkin palveluun, josta kuvaa katsotaan vai miten se tapahtuu ?
Todennäköisesti toimii samalla tavalla kuin muillakin valmistajilla että kamera ottaa lupaa kysymättä yhteyden valmistajan pilvipalveluun (yhteys ulospäin) ja sitä yhteyttä pitkin sitten saa katsottua kotiverkon ulkopuolelta kameran kuvaa. Joillakin valmistajilla nuo kamerat oikein tahallaan kiertelevät palomuuria kaikin tavoin, muunmuassa naamioimalla oman liikenteensä sellaiseen porttiin mikä on yleensä palomuurista auki (esim http, https, dns, smtp, ...)
 
Todennäköisesti toimii samalla tavalla kuin muillakin valmistajilla että kamera ottaa lupaa kysymättä yhteyden valmistajan pilvipalveluun (yhteys ulospäin) ja sitä yhteyttä pitkin sitten saa katsottua kotiverkon ulkopuolelta kameran kuvaa. Joillakin valmistajilla nuo kamerat oikein tahallaan kiertelevät palomuuria kaikin tavoin, muunmuassa naamioimalla oman liikenteensä sellaiseen porttiin mikä on yleensä palomuurista auki (esim http, https, dns, smtp, ...)
Varmaankin noin. Itse mietin mitä se tarkoittaa tietoturvan kannalta. Tuo siis siirtää kuvadatan ulkoiselle palvelimelle, jonka tietoturvasta ei ole mitään tietoa. Tosin eihän siltikään pääse suoraan ulkoapäin kameraan, kun palomuurista kaikki portit kiinni ulkoapäin tulevalle liikenteelle.
 
Varmaankin noin. Itse mietin mitä se tarkoittaa tietoturvan kannalta. Tuo siis siirtää kuvadatan ulkoiselle palvelimelle, jonka tietoturvasta ei ole mitään tietoa. Tosin eihän siltikään pääse suoraan ulkoapäin kameraan, kun palomuurista kaikki portit kiinni ulkoapäin tulevalle liikenteelle.
Eri valmistajilla erilaisia toteutuksia, tietoturvan kannalta sen tarkoittaa ensin sitä että kameraan pääsee ulkoverosta, eli riski sinänsä. jonka taso riippuu siitä kuinka varma, turvallinen se pääsynhallinta on.

Ko valmistajan palvelu ilmeisesti ensisijaisesti yrittää aukoa palomuuriin reitin niin että varsinainen datasiirto tapahtuu suoraan kamerasta katsojalle. Eli valmistajan palvelin on siinä yhteyden muodostamisessa apuna, eli kamera pitää yhteyttä sinne palvelimeen, ja katsoja ottaa yhteyden palvelimeen, ja sen jälkeen kameran ja katsojan väliin muodostetaan yhteys NATosaa reitittää ja mahdollinen palomuuri luottaa kun aloitteelinen sisäverkosta.

Jos suorahteys ei onnistu, niin tuolla valmistajalla ilmeisesti tuki sille että stream kulkee sen hallitseman palvelimen kautta, eli tässä kamera on yhteydessä palvelimeen, eli palomuurin mielestä juuri sinne minne sallittu, palvelin toimii välityspalvelimena minkä kautta se data kiertää.

Eli toimii operaattorien NATien kautta, toimii palomuurien läpi jotka sallii sisältäalkaneet yhteydet . Jos sen haluaa torpata niin pitää estää kameralta moiset. Jos kuitenkin haluaa ulkoa kameraan yhteyden, niin jos ei halua suoria reittejä kameraan aukoa, niin VPN tunnelilla sisäverkkoon missä kamera.


Se kuinka turvallista siirtää data valmistajan palvelunkautta, jos siihen ei kuulu muita ominaisuuksia ja yhteys on päästä päähän salattu, ja ylläpito laadukasta, ja pääsynhallinta, niin turvallisempaa kuin itse touhuta reittejä.

Toki jos jos sieltä paljastuu aukkoja joihin helppo hyökätä ja niihin hyökätään, niin varautua että kaikki mitä kameran edes näkyy ja kuuluu, niin voi joutua nettiin, sama riski toki itse ylläpitämässä reitissä. (*

Jos mennään ääripäähän, Uikuuri taustaa, niin eiköhän peli ole menetetty. Tuohon väliin sitten mahtuu kaikkea karvahatusta foliohattuun


(*
Näitä kamera aukkoja löynyt ja paljastanut eri taoisilta toimijoilta, välllä uhrina kansalaisia palvelevat tahot, välillä ihan koti käyttäjät. Se että jokin "ison" toimija palvelu vuotaa yleensä tulee julkisuuteen nopeasti, vs se että oma reitti vuotaa, niin sitä ei välttämättä huomaa kukaan ei julkisuuteenkaan ei tule ellei sieltä vuoda jotain hauskaa ja nouse iltapäivälehtiin yksittäis tapauksena.

Edellä oleva tarkistamatonta "faktaa", kyseisen valmistajan väitetty välityspalvelin tuki poimittu jostain. Sinänsä uskottava, kuin monella toimijalla tuollaiset.
 
Viimeksi muokattu:
Varmaankin noin. Itse mietin mitä se tarkoittaa tietoturvan kannalta. Tuo siis siirtää kuvadatan ulkoiselle palvelimelle, jonka tietoturvasta ei ole mitään tietoa. Tosin eihän siltikään pääse suoraan ulkoapäin kameraan, kun palomuurista kaikki portit kiinni ulkoapäin tulevalle liikenteelle.
Tuossa on tosiaan monenlaisia eri tapoja miten tuo voi olla toteutettu, pulatunnus jo vähän noita avasikin. Varmaan yleisimmät tavat noissa on että joko netin yli katsellaan kuvaa valmistajan pilvipalvelun kautta tai että kamera kertoo valmistajan pilvipalvelulle olemassaolostaan ja esimerkiksi mobiililaitteen äppi pyytää pilvipalvelulta kamerakuvaa jolloin pilvipalvelu kertoo kameralle suoran yhteyden mobiililaitteeseen ja kamera ottaa sitten suoraan mobiililaitteeseen yhteyden. Tietty tuo jälkimmäinen ei toimi jos molemmissa päissä on NAT, ainakaan ihan helposti.

Tietoturvahan noissa on vähän kyseenalainen, esimerkiksi jos joku onnistuu esittämään oikeaa käyttäjää pilvipalvelun suuntaan ja saa sitä kautta esimerkiksi tuon suoran yhteyden kameraan muodostettua. Sen jälkeenhän ei tarvitse kuin joku sopiva tietoturva-aukko tuossa kameran käyttämässä protokollassa ja sieltä pääsee kotiverkkoon sisälle. Todennäköisyys tuollaiselle ei tietty ole järin suuri tavan tallaajalla että hakkeri jaksaisi nähdä edes tuon verran vaivaa mutta on kuitenkin teoriassa täysin mahdollista.

Kaikenlaisia aukkojahan varsinkin kiinalaisista kameroista ja tallentimista löytyy koko ajan mutta nykyään niitä tunnutaan myös paikkailemaan yleensä kohtalaisen nopeasti, ainakin jos ei ole kyse ihan halvimmasta "hinnat alkaen" -tuotteesta. Eli ainakin kannattaa pitää päivitykset ajantasalla. Ja tietty kannattaa ylipäätäänkin kaikki nettiin jollakin tavalla yhteydessä olevat laitteet koittaa palomuurata mahdollisimman mukaan mahdollisimman tarkkaan että esimerkiksi jos joku pääsee kameraan sisään jonkun reiän kautta niin ainakaan siltä kameralta ei pääse mitään ssh:ta tai rdp:tä käyttämällä muihin verkon laitteisiin käsiksi eli laitetta ei voi käyttään niinsanottuna "pomppukoneena".
 
Kiitos selvennyksestä. Tuo kuulostaa oikealta, koska valmistajan tuki pääsi kameran hallintaan kunhan heille kerrottiin kameran UID ja hallinnan tunnukset. He ottivat yhteyden juuri tuon pilvipalvelimen kautta. Toisaalta ellei pääsen valmistajan palvelimeen kiinni niin silloin ilmeisesti kamera turvassa vai olenko väärässä ?
 
He ottivat yhteyden juuri tuon pilvipalvelimen kautta. Toisaalta ellei pääsen valmistajan palvelimeen kiinni niin silloin ilmeisesti kamera turvassa vai olenko väärässä ?
Jos kameralla ei ole nettiyhteyttä, se ei pääse nettiin, eikä netistä siihen, niin se puoli kunnossa.

Sitten seuraava pohdinta että on pääsy estetty jollain palomuurilla, vai ihan erillinen verkko mistä ei mitään yhteyttä nettiin. Siitä seuraava onko vihamilisillä pääsy laitteeseen tai lähettyville, esim onko siinä Wifi, onko verkkoon pääsy vihamielisillä. tallentaako. Kameroita ja tallentimia on pöllitty, joitain harmittanut kun ei mennyt pilveen niin olis nähnyt vakrkaat,, joitain taasen se sisältö mikä joutu varkaiden haltuun.

Joo sori vähän lähti laukalle, mutta en tiedä tilannetta. onko jollain mitään väliä.
 
Kiitos selvennyksestä. Tuo kuulostaa oikealta, koska valmistajan tuki pääsi kameran hallintaan kunhan heille kerrottiin kameran UID ja hallinnan tunnukset. He ottivat yhteyden juuri tuon pilvipalvelimen kautta. Toisaalta ellei pääsen valmistajan palvelimeen kiinni niin silloin ilmeisesti kamera turvassa vai olenko väärässä ?
Teoriassa kyllä, jos internetistä ei pääse kameraan eikä kamera pääse internetin suuntaan liikennöimään valmistajan pilveen niin on aikalailla tuon osalta turvassa. Mahdotontahan tuo kameran kautta kotiverkkoon pääsy ei silti ole mutta vaatii sitten jonkun muun reikäisen laitteen kotiverkossa tai haittaohjelman saastuttaman koneen ja samaan aikaan paskaa tuuria (todennäköisyys lähestyy nollaa), jolloin yleensä ne muiden laitteiden ongelmat ovat jo suurempi riski.

Tavalliselle käyttäjälle tuskin tulee mitään kovin kohdistettuja hyökkäyksiä joten pitäisin todennäköisyyttä lähinnä olemattomana mutta kun ottaa huomioon tämän nykyisen maailmantilanteen niin jos vaan on mahdollista mitenkään suojautua "kaikelta" niin se kyllä kannattaa. Onhan nyt esim Nordeaan hyökätty hakkeroitujen kotireitittimien kautta joten kukin suojatkoon laitteensa ja verkkonsa parhaan osaamisensa mukaan, pienetkin teot on aina kotiinpäin, kuten oletus-salasanojen vaihtaminen ja turhien palveluiden sammuttaminen.

Täytyy myöntää että itse kun olen tavallaan osittain tietoturvahommissa työkseni niin oman kotiverkon palomuurit sun muut turvallisuusasiat ovat aikalailla yliampuvia, jopa siinä määrin etten samanlaisia ratkaisuja edes suosittelisi liki kenellekään. Mutta kun työn puolesta tulee touhuttua palomuurien sun muiden kanssa niin pitäähän sitä vähän harrastella kotonakin :D (lisää vaan ylläpitovaivaa kotiverkossa melkoisesti)
 
Mahdotontahan tuo kameran kautta kotiverkkoon pääsy ei silti ole mutta vaatii sitten jonkun muun reikäisen laitteen kotiverkossa tai haittaohjelman saastuttaman koneen ja samaan aikaan paskaa tuuria (todennäköisyys lähestyy nollaa), jolloin yleensä ne muiden laitteiden ongelmat ovat jo suurempi riski.
Kameran kanssa oli omassa mielessä se että mitä kameran kuvassa näkyy, joku pihatie, maisema, mitä ei nyt halua nettiin, mutta ei nyt mailmaa kaada, vai eteinen, olohuone, jotain muuta, mitä pitää tärkeänä suojella.

(lisää vaan ylläpitovaivaa kotiverkossa melkoisesti)
Mikään ei pelaa ennenkuin on säätänyt palomuurin. :-)
 
Eli toimii operaattorien NATien kautta, toimii palomuurien läpi jotka sallii sisältäalkaneet yhteydet . Jos sen haluaa torpata niin pitää estää kameralta moiset. Jos kuitenkin haluaa ulkoa kameraan yhteyden, niin jos ei halua suoria reittejä kameraan aukoa, niin VPN tunnelilla sisäverkkoon missä kamera.
Paljon mistään juuri mitään tietämätömänä ajattelin itse alkaa vihdoin viritellä IoT-tietoturvaa siten että palomuurin ulkopuolella olisi WIFI-hubi, johon kytkeytyisivät kamerat ym. kilkkeet, joiden toiminnan edellytys on että ne ovat yhteydessä internetiin. MESH-hubin ja sisäverkon välissä olisi kaapelilla kiinni reititin, joka muodostaisi palomuurin. Toimisiko näin yksinkertainen ratkaisu ja sopisiko GLi.Netin Flint reitittimeksi?
 
Paljon mistään juuri mitään tietämätömänä ajattelin itse alkaa vihdoin viritellä IoT-tietoturvaa siten että palomuurin ulkopuolella olisi WIFI-hubi, johon kytkeytyisivät kamerat ym. kilkkeet, joiden toiminnan edellytys on että ne ovat yhteydessä internetiin. MESH-hubin ja sisäverkon välissä olisi kaapelilla kiinni reititin, joka muodostaisi palomuurin. Toimisiko näin yksinkertainen ratkaisu ja sopisiko GLi.Netin Flint reitittimeksi?
En näistä paljoa tajua, mutta jotain ehdotusta.

Joku piirros voisi olla paikallaan.

Jos normi kotiverkosta ei tarvi päästä IoT verkkoon suoraan, niin Iot verkolle oma palomuuri reititin ja seuraan nettiin. Palomuuriista ruksiin kaiken kiinni, ulkoa sisään ja sisältä ulos ja aukoo sen mikä välttämätöntä. No voi olla työlästä, niin oletuksilla ja sitten yrittää sulkea asioita.

Kotiverkko sitten oman palomuurilla, Eli jos operaattorilta saa useamman IPn

Netti -> kytkin -> jonka perään rinnan koti ja IoT palomuuri reittimet.

Tässä idea se että jos IoT kamat saastuu, niin ei uhkaa kotiverkkoa. Haitta se että kotiverkosta ei suoraan pääse IoT verkkoon, mentävä netinkautta. No idea se että jos tarve mennä säätään, niin esim läppärillä liitytään IoT verkkoon.

Idea myös se että verkon on fyysisesti erillään, niin helppompi hahmottaa mikä missäkin.

Jos harrastuneisuutta, niin vähän monipuolisempaa rautaa, palomuurireititin millä hoitaa molemmat reittimet ja millä voi hallita verkkojen välistä likennettä, perään sitten hallittava kytkin ja WiFi tukarti joissa eri SSID ei eriverkoille. Vähemmän laatikoita, mutta vaatii enemmän ponnisteluita ja vähän sitten olo että mites tää nyt meni.
 
Joku piirros voisi olla paikallaan.
Saattaa olla mutta yritin kysellä ihan vaan mahdollisimman vähillä laitteilla toteutettavaa yksinkertaista periaatteellista ratkaisua, joten yritän kuvailla vähän yksityiskohtaisemmin niin saattaa olla jopa selkeömpi kuin kaaviokuvan tulkinta...

Data tulee nykyisin sisään mobiiliverkosta modeemin ja Huawein mesh-hubin (WA8021v5) kautta. Ulkoverkosta pitäisi edelleen saada yhteys ethernet-kaapelilla sisäverkossa kiinni olevaan älykodin hubiin (toistaiseksi Tellduksen 10v vanha 433MHz tikku) liitettyihin kytkimiin ja antureihin sekä ethernet- ja wifi-yhteydellä sisäverkossa oleviin TP Link-valvontakameroihin (livekatselu, muistikortin luku). Osaa kameroista ja joskus harvoin Tellstickiä pitäisi päästä säätämään myös suoraan sisäverkosta. Sisäverkossa on myös muutama itsenäistä WIFI-älykytkintä (Nedis Smartlife) ja pari Chromecastiakin löytyy. Käyttäjien laitteiden yhteys sisäverkkoon tapahtuu joko wifillä tai (vielä nykyisin suoraan) MESH-hubiin liitetyn ethernet-kaapelin kautta kun halutaan "täydet nopeudet". Laitteita ei ole yhtä aikaa kovin montaa käytössä.

Haluaisin eristää älylaitteet muusta lähiverkosta mieluiten niin ettei niitä edes pääsisi hyödyntämään mahdollisissa palvelunestohyökkäyksissä. Sen tajuan että guest wifi network saattaa olla osa ratkaisua mutta vaan osa. Varsinaiseen sisäverkkoon em. iOT-laitteita lukuunottamatta ei ole tarvetta saada yhteyttä ulkopuolelta eli ei ole tiedostopalvelimie tms.. Yritin jo etsiä mitä mahdollisuuksia tähän olisi pelkästään MESH-hubin asetusten kautta mutten vielä ainakaan Elisan, DNA:n tai valmistajan sivuilta mitään löytänyt. WA8021v5:ssahan on nimittäin kaksi ethernet-liitäntää sisäverkkoon. Pitääkö siis hankkia johonkin väliin reititin, kytkin - vai jopa useampia? Olisiko hallittava kytkin parempi kuin tyhmä?

Ja lopuksi: onko tämä liian simppeli ja/tai tyhmä kysymys tänne foorumille?
 
Viimeksi muokattu:
Data tulee nykyisin sisään mobiiliverkosta modeemin ja Huawein mesh-hubin (WA8021v5) kautta.
Niin mikä se modeemi on? Onko palomuuri ja reititin siinä modeemissa vai mesh-hubissa?

Laitteet voi eriyttää esimerkiksi käyttämällä erillisiä sisäverkkoja. Pienellä laitemäärällä tämä taas onnistuu vlanien avulla. Halvimmissa kuluttajalaitteissa ei tosin näitä asetuksia välttämättä ole, mutta esimerkiksi Mikrotik ja Ubiquiti on hyviä vaihtoehtoja tähän.

Esimerkiksi reitittimestä luotuna siis:
192.168.1.0/24 VLAN 10 "tietokoneet"
192.168.2.0/24 VLAN 20 "kamerat"
192.168.3.0/24 VLAN 30 "muu älyhärpäke"

Reitittimen perään sitten riittävän fiksu wifi joka ymmärtää vlaneja ja osaa luoda useita verkkoja. Tällä tavalla erillisten verkkojen laitteet eivät tiedä toistensa olemassaolosta, ellet sitten erikseen tee reititystä niiden välille.

Sama onnistuu tietysti myös erillisillä reitittimillä.

Haluaisin eristää älylaitteet muusta lähiverkosta mieluiten niin ettei niitä edes pääsisi hyödyntämään mahdollisissa palvelunestohyökkäyksissä.
Verkkojen eriyttäminen auttaa lähinnä yksityisyyden suojaamiseen, kun ei ole euron kiinanlaitteita samassa verkossa skannailemassa muita laitteita. Se miten sitten muuten haluat rajoittaa yksittäisen laitteen liikennettä ulos, onnistuu parhaiten reitittimen palomuurista säätämällä asetuksia mac-osoitetasolla.

Palvelunestohyökkäys voi tarkoittaa sitä, että hammasharjasi sarjatulittaa kyselyjä esimerkiksi portista 80 (http) pankin verkkosivulle. Jos haluat estää tämän katalan toiminnan, voit blokata hammasharjalta kyseiseen porttiin kohdistuvan liikenteen, mikäli laitteen toiminnallisuus ei siitä häiriinny.

Yleensä hyökkäysalustana toimii kuitenkin se vanhentunut reititin yksittäisen sisäverkon laitteen sijaan. Tai jos reititin on siltaavana ja se hammasharja on saanut julkiverkon IP:n ilman mitään palomuuria. Palomuurin/NAT:n takana olevien sisäverkon laitteiden "saastuminen" käytännössä edellyttää, että sitä laitetta pilvihallinnoivan kiinanfirman verkko on saastunut.

Olisiko hallittava kytkin parempi kuin tyhmä?
Hallittavan kytkimen etu on juurikin vlanit. Voit esimerkiksi säätää portteja eri vlaneille.
 
Saattaa olla mutta yritin kysellä ihan vaan mahdollisimman vähillä laitteilla toteutettavaa yksinkertaista periaatteellista ratkaisua, joten yritän kuvailla vähän yksityiskohtaisemmin niin saattaa olla jopa selkeömpi kuin kaaviokuvan tulkinta...

Data tulee nykyisin sisään mobiiliverkosta modeemin ja Huawein mesh-hubin (WA8021v5) kautta. Ulkoverkosta pitäisi edelleen saada yhteys ethernet-kaapelilla sisäverkossa kiinni olevaan älykodin hubiin (toistaiseksi Tellduksen 10v vanha 433MHz tikku) liitettyihin kytkimiin ja antureihin sekä ethernet- ja wifi-yhteydellä sisäverkossa oleviin TP Link-valvontakameroihin (livekatselu, muistikortin luku). Osaa kameroista ja joskus harvoin Tellstickiä pitäisi päästä säätämään myös suoraan sisäverkosta. Sisäverkossa on myös muutama itsenäistä WIFI-älykytkintä (Nedis Smartlife) ja pari Chromecastiakin löytyy. Käyttäjien laitteiden yhteys sisäverkkoon tapahtuu joko wifillä tai (vielä nykyisin suoraan) MESH-hubiin liitetyn ethernet-kaapelin kautta kun halutaan "täydet nopeudet". Laitteita ei ole yhtä aikaa kovin montaa käytössä.

Haluaisin eristää älylaitteet muusta lähiverkosta mieluiten niin ettei niitä edes pääsisi hyödyntämään mahdollisissa palvelunestohyökkäyksissä. Sen tajuan että guest wifi network saattaa olla osa ratkaisua mutta vaan osa. Varsinaiseen sisäverkkoon em. iOT-laitteita lukuunottamatta ei ole tarvetta saada yhteyttä ulkopuolelta eli ei ole tiedostopalvelimie tms.. Yritin jo etsiä mitä mahdollisuuksia tähän olisi pelkästään MESH-hubin asetusten kautta mutten vielä ainakaan Elisan, DNA:n tai valmistajan sivuilta mitään löytänyt. WA8021v5:ssahan on nimittäin kaksi ethernet-liitäntää sisäverkkoon. Pitääkö siis hankkia johonkin väliin reititin, kytkin - vai jopa useampia? Olisiko hallittava kytkin parempi kuin tyhmä?

Ja lopuksi: onko tämä liian simppeli ja/tai tyhmä kysymys tänne foorumille?

Modeemi, sen perään reitin, esim Ubiquitin, jolla luodaan kaksi sisäverkkoa ja kummallekkin omat palomuuri säännöt, ja verkkojen välillä palomuuri säännöt millä onnistuu vain se haluttu.
Sen perään sitten hallittava kytkin joka tukee virtuaalilania (VLAN), ja sinne sitten määritykset mikä portti mikäkin verkko ja mistä kaikki tagattuna, jälkimäiseten perään tarvittavati Wifi tukarit joilla voi eri VLAN verkoilla määrittää oman SSID:n. Tässä laitteita vähän, mutta kaikki modeemi lukuunottamatta uusiksi.

Jos ei uutta rautaa, niin jos modeemi on myös palomuuri reititin, niin sen perään palomuurireititin laite verkolle ja se toinen palomuuri reititin kotiverkolle, kotiverkosta laite verkkoon mennään sen modeemi verkon kautta. Laitteiden verkolle sitten omat kaapeloinnit a WiFi tukarit.

Edelläolevassa se idea että kotiverkko on kotiverkon palomuurireittimen takana suojassa laiteverkon sekoiluista. osoitemuutoksia on nippu, ja IPv6 mobiilissa varsinkin haasteensa.

Mobilissa et saa kuin yhden julkisen IPv4 osoitteen (oletan että se käytössä), niin kaikki nettiin saman IPn takaan, ja jos ulko pitää sisäänpäästä, niin ensin modeemista reittejä seuraaviin reittimiin ja niistä sitten kohdepalvelimelle.
 
Niin mikä se modeemi on? Onko palomuuri ja reititin siinä modeemissa vai mesh-hubissa?
ZTE:n 5G-modeemi. En tiedä, liekö kummassakaan päällä tai edes tarjolla... Sekä modeemi että hubi toistaiseksi oletusasetuksilla ja siitä syystä tässä kyselenkin.
 
ZTE:n 5G-modeemi. En tiedä, liekö kummassakaan päällä tai edes tarjolla... Sekä modeemi että hubi toistaiseksi oletusasetuksilla ja siitä syystä tässä kyselenkin.
Kyllä niissä yleensä joku muuri on. Aloita tutustumalla niiden laitteiden ominaisuuksiin ja asetuksiin jotka jo omistat ja tee vaikka havainnollistava verkkokaavio nykyisestä setupista.

Oletan ZTE:n modeemin saavan julkisen IP:n ja muuttavan sen sisäverkon IP-osoitteiksi, joita se jakelee muille laitteille. Näet tämän kirjautumalla laitteen hallintaan ja tarkistamalla, onko palomuuri, NAT ja DHCP päällä. NAT on se joka tekee osoitteenmuutoksen ja DHCP on se joka jakelee niitä osoitteita eteenpäin.
 
Laitteet voi eriyttää esimerkiksi käyttämällä erillisiä sisäverkkoja. Pienellä laitemäärällä tämä taas onnistuu vlanien avulla. Halvimmissa kuluttajalaitteissa ei tosin näitä asetuksia välttämättä ole, mutta esimerkiksi Mikrotik ja Ubiquiti on hyviä vaihtoehtoja tähän.
Kiitos, näköjään joihinkin perusvehkeisiinkin saa toteutettua tämän Openwrt:llä. Harjoittelu alkaa TP-Link Archer A7:lla, johon pystyy flashaamaan Openwrt:n sen oman hallintakäyttöliittymän kautta. Sen perään TP-Linkin 5-porttinen hallittava VLANeja ymmärtävä kytkin (26€). Löytyi pari selkeää ohjevideotakin, joista saattaa olla hyötyä jollekulle muullekin.



 
Viimeksi muokattu:
Modeemi, sen perään reititin, esim Ubiquitin, jolla luodaan kaksi sisäverkkoa ja kummallekkin omat palomuuri säännöt, ja verkkojen välillä palomuuri säännöt millä onnistuu vain se haluttu.
Sen perään sitten hallittava kytkin joka tukee virtuaalilania (VLAN), ja sinne sitten määritykset mikä portti mikäkin verkko ja mistä kaikki tagattuna, jälkimäiseten perään tarvittavati Wifi tukarit joilla voi eri VLAN verkoilla määrittää oman SSID:n. Tässä laitteita vähän, mutta kaikki modeemi lukuunottamatta uusiksi.
Kokeillaan pärjäisikö pelkästään EdgeRouter X-SFP:llä...
Kts. https://help.ui.com/hc/en-us/articles/115012700967-EdgeRouter-VLAN-Aware-Switch
Sitä jäi muuten nyt vk.comin outletiin vielä yksi kappale hintaan 52€ ja muutama vähän kalliimmalla (+postitus).
 
Viimeksi muokattu:
Minulla oli EdgeRouter X ja kun tarvitsin toimiston perällä jakaa verkkopiuhan, hommasin kytkimen. Kun sitten aloitin hallinnoimaan VLAN:eja piti säännöt määritellä Edgerouterille ja käydä kytkimelle säätämässä samat uudelleen ja muistella mikä oli minkäkin VLAN:n numero. Lopulta meni hermo ja ostin Ubiquitin perheestä reitittimen ja pari saman sarjan kytkintä. Nyt koko verkon laitteet näkyy verkkotopologia -kaaviossa ja on äärettömän kivaa kun näkee heti, minkä kytkimen takana mikäkin vehje on ja hallittavuus on noin 1001 kertaa helpompaa kuin ennen.

Aloituskustannus toki oli nelisensataa siihen aikaan, mutta ei harmita. VLANE:ja on 6 eri tarkoituksiin ja helppo laittaa esim. IOT-laitteille oma suljettu, josta ei pääse nettiin ja kameroille oma. Sitten vain tarpeen mukaan tietyt portit tietyistä suunnista auki, jos tarvii jonkin laitteen päästä toisesta VLAN:sta toiseen. Moni verkkojen kanssa työskentelevä tykkää palomuurisäännöistä joissa määritellään niitä hankalasti palomuuriin päin mutta itsellä meni aivot solmuun, onko inbound vai outbound ja mistä verkosta katsoen. Nyt on selkeämpi tehdä firewall rules, jossa toki pitää siinäkin hetki pohtia, mutta nopeasti saa valittua jonkin VLAN:n tai laitteita ja tehtyä niille sääntöjä.
 
Minulla oli EdgeRouter X ja kun tarvitsin toimiston perällä jakaa verkkopiuhan, hommasin kytkimen. Kun sitten aloitin hallinnoimaan VLAN:eja piti säännöt määritellä Edgerouterille ja käydä kytkimelle säätämässä samat uudelleen ja muistella mikä oli minkäkin VLAN:n numero. Lopulta meni hermo ja ostin Ubiquitin perheestä reitittimen ja pari saman sarjan kytkintä. Nyt koko verkon laitteet näkyy verkkotopologia -kaaviossa ja on äärettömän kivaa kun näkee heti, minkä kytkimen takana mikäkin vehje on ja hallittavuus on noin 1001 kertaa helpompaa kuin ennen.
Ymmärrän... Ilmeisesti silloinen EdgeRouter X ei kyennyt samaan kuin mm. EdgeRouter X-SFP nyt toivottavasti (uudella firmwarella) kykenee.
 
Ymmärrän... Ilmeisesti silloinen EdgeRouter X ei kyennyt samaan kuin mm. EdgeRouter X-SFP nyt toivottavasti (uudella firmwarella) kykenee.
Samalta tuo EdgeOS näytti kuin mitä itse käpistelin aikoinaan. Mutta sehän on ihan osaamisesta ja paneutumisesta kiinni. Itse en tykännyt siitä että en ymmärtänyt kaikkea asetuksissa = en tiennyt vaikka avaisin tietoturvareikiä tietämättäni. Mutta jollekin toiselle tuo on hyvinkin selkeä käyttöliittymä. Itse ostin ensin pari Ubiquitin kytkintä ja Wifi AP:n ja kun niille oli oma käyttöliittymä, joka oli paljon selkeämpi kuin EdgeOS niin alkoi houkuttaa kaikille yhteinen käyttöliittymä. Muutoin piti osa asetuksista tehdä EdgeOS:ssa ja samat uudelleen määritellä UnifinOS:ssa. Osasyynä reitittimen vaihtoon siis tämä.
 
OK. Kyllä osaa olla hankalaa mutta tahkotaan ja harjoitellaan nyt tuon EdgeRouter X-SFP:n kanssa niin nähdään mihin se pystyy... Kiva jos siihen saa tehtyä sellaiset asetukset että tiettyyn porttiin voi iskeä esim. Wifi AP:n, valvontakameran, kotiautomaation hubin tms. miettimättä enää sen enempää niiden verkkoasetuksia. Aluksi voisi tosin kokeilla miten paljon reikiä teleoperaattorien "kiinteänä kotinettinä" asiakkailleen tarjoamassa nykyratkaisussa - siis pelkkä 5G- (tai kaapeli)modeemi + Wifi AP - on. Onko tähän jotain turvallista (ilmais)työkalua?
 
OK. Kyllä osaa olla hankalaa mutta tahkotaan ja harjoitellaan nyt tuon EdgeRouter X-SFP:n kanssa niin nähdään mihin se pystyy... Kiva jos siihen saa tehtyä sellaiset asetukset että tiettyyn porttiin voi iskeä esim. Wifi AP:n, valvontakameran, kotiautomaation hubin tms. miettimättä sen enempää niiden verkkoasetuksia. Aluksi voisi tosin kokeilla miten paljon reikiä teleoperaattorien kiinteänä kotimettinä asiakkailleen tarjoamassa nykyratkaisussa - siis pelkkä 5G-modeemi + Wifi AP - on. Onko tähän jotain turvallista (ilmais)työkalua?
Perus kotireittimet tarjoaa tilallisen palomuuri NATin, eli lähinnä ne pyrkii mahdollisimman hyvin aukoon portteje/reittejä sisältä päin aloitetuille yhteyksille, jos siinä jonkinlaista palomuuria niin yrittää arpoa sen verran että niitä autottuja reittejä käytä muut. IPv6 palomuuri jos on niin se pitää portit kiinni ja arpoo mitä auotaan sen mukaan mitä sisältä aloitetun liikenteen perusteella tarvisi, tämä jo sinänsä parempi kuin suodatusta yrittävä IPv4 NAT.

Jos hallinnassa on enemmän palomuuri asetuksia, esim voit estää manuaalisesti osoitteita, osoite avaruuksia, rajoittaa tiettyjen sisäverkon osoiteiden liikennettä jne. Joissain voi olla jonkinlaisia algoritmejä jotka tarttuu epäilyttävään liikenteeseen jne.

Testaaminen on vaikea, jotain selain testejä joissa vastapää vetää jonkin testi sarjan sivuille tulleen julkiseen osoitteeseen, jos ei mitään, niin ei takaa mitään, jos jotain niin voi sitten selvittää mikä juttu, onko ok, tarpeellinen, vai ihan riski. Mutta ei ne siitä mitään kerro soitteleeko kotiverkon laitteet kotiin,pahikselle, jonnekkin muualla ja touhuuko ne pahojaan.
 
Mutta ei ne siitä mitään kerro soitteleeko kotiverkon laitteet kotiin,pahikselle, jonnekkin muualla ja touhuuko ne pahojaan.
Niin, ja (teleoperaattorien) maksullinen asennuspalvelukin kattaa todennäköisesti vaan sen että isketään purkit tehdasasetuksissaan paikalleen ja korkeintaan vaihdetaan hyvässä lykyssä pääkäyttäjän salasana(t),,,
 
Itsellä on Ubiquitin WiFi-tukareita, mutta niistä puuttuu ärsyttävästi oma web-hallintasivu, eli ne vaativat erillisen kontrollerilaitteen tai -softan asetusten muuttamiseen. Eli Ubiquiti on tyyliltään enemmän Applen kaltainen oma (kaupallinen) ekosysteeminsä kuin avoin propellipäiden virittelyalusta. Hyvänä puolena tosiaan että kaikkea voi hallita yhden softan kautta, jos siihen ekosysteemiin lähtee.

Ymmärrän... Ilmeisesti silloinen EdgeRouter X ei kyennyt samaan kuin mm. EdgeRouter X-SFP nyt toivottavasti (uudella firmwarella) kykenee.
Olen ymmärtänyt että EdgeRouterit ovat poistuvaa mallistoa. Niihin ei välttämättä kannata odottaa päivityksiä loputtomiin.

Mikrotik on vähemmän pöhinäluokassa ja muutenkin epäseksikkäämpi kuin Ubiquitin laitteet, mutta niillä on mm. reitittimen ja kytkimen yhdistelmiä, joissa on hyvät hallintaominaisuudet. Tai toisin sanoen niillä on kytkimiä, joissa on reitittimen ominaisuudet. Latvialainen valmistaja. Ei ole omaa kokemusta niistä mutta monet suosittelevat.

--

Olen estänyt kameroilta ja iot-tauhkalta yhteydet ulkoverkkoon kokonaan. Ne on omassa vlanissaan jossa ei ole määritelty oletusyhdyskäytävää. Kameroita hoitaa Zoneminder ja muita iot-laitteita hallitaan Home Assistantin kautta, jotka siis pyörivät kotiserverillä.

En ihan periaatesyistä asenna yhtäkään valmistajakohtaista "äppiä" äly- tai verkkolaitteiden hallintaan.
 
Viimeksi muokattu:
Olen ymmärtänyt että EdgeRouterit ovat poistuvaa mallistoa. Niihin ei välttämättä kannata odottaa päivityksiä loputtomiin.
...ja senpä takia niitä varmaan onkin esim. vk.comissa vaan outlet-puolella. Olisi tosin pitänyt kirjoittaa "uusimmalla" softalla, jolla voi tehdä tuonne ylemmäksi linkkaamani ohjeen mukaiset viritykset. Sellaista laitetta, joka saa päivityksiä loputtomiin ei edelleenkään ole olemassa - mitenkäs niiden uusien saman valmistaja mallien myyntiä vanhoille käyttäjille muuten edistettäisiin...
 
Viimeksi muokattu:
...ja senpä takia niitä varmaan onkin esim. vk.comissa vaan outlet-puolella. Olisi tosin pitänyt kirjoittaa "uusimmalla" softalla, jolla voi tehdä tuonne ylemmäksi linkkaamani ohjaan mukaiset viritykset. Sellaista laitetta, joka saa päivityksiä loputtomiin ei edelleenkään ole olemassa - mitenkäs niiden uusien saman valmistaja mallien myyntiä vanhoille käyttäjille muuten edistettäisiin...
Eiköhän niille OpenWrt:n saa kuitenkin flashattua. Kuten myös noihin WiFi-tukareihin, jota olen kyllä harkinnut, ettei tarvisi tuota Unifin kontrollerisoftaa ylläpitää. Sekin pyörii nyt tuossa kotiserverillä omassa virtuaalissaan Debianin päällä.
 
Itsellä on Ubiquitin WiFi-tukareita, mutta niistä puuttuu ärsyttävästi oma web-hallintasivu, eli ne vaativat erillisen kontrollerilaitteen tai -softan asetusten muuttamiseen. Eli Ubiquiti on tyyliltään enemmän Applen kaltainen oma (kaupallinen) ekosysteeminsä kuin avoin propellipäiden virittelyalusta. Hyvänä puolena tosiaan että kaikkea voi hallita yhden softan kautta, jos siihen ekosysteemiin lähtee.


Olen ymmärtänyt että EdgeRouterit ovat poistuvaa mallistoa. Niihin ei välttämättä kannata odottaa päivityksiä loputtomiin.

Mikrotik on vähemmän pöhinäluokassa ja muutenkin epäseksikkäämpi kuin Ubiquitin laitteet, mutta niillä on mm. reitittimen ja kytkimen yhdistelmiä, joissa on hyvät hallintaominaisuudet. Tai toisin sanoen niillä on kytkimiä, joissa on reitittimen ominaisuudet. Latvialainen valmistaja. Ei ole omaa kokemusta niistä mutta monet suosittelevat.

--

Olen estänyt kameroilta ja iot-tauhkalta yhteydet ulkoverkkoon kokonaan. Ne on omassa vlanissaan jossa ei ole määritelty oletusyhdyskäytävää. Kameroita hoitaa Zoneminder ja muita iot-laitteita hallitaan Home Assistantin kautta, jotka siis pyörivät kotiserverillä.

En ihan periaatesyistä asenna yhtäkään valmistajakohtaista "äppiä" äly- tai verkkolaitteiden hallintaan.
Periaatteet on joskus hyviä, joskus joutuu joustaa. Oon mieluummin vahvistanu tärkeiden datojen tallennusta ja varmistusta kuin käyttäny yhtään enempää aikaa verkon varmisteluun. Selkeys oli itselle tärkeämpää kuin firmisten fläshääminen, kauhea opettelu ja säätäminen. Nimenomaan siksi että jos et tiedä mitä teet, saatat aiheuttaa isojakin (tietoturva) ongelmia.
Jännä että nää verkkojen hallinnat on vieläkin vähän niinku pro-harrastajien juttuja. Ei UnifiOS:kaan ole ihan kenen tahansa konffattavissa tuosta vain.
 
Periaatteet on joskus hyviä, joskus joutuu joustaa. Oon mieluummin vahvistanu tärkeiden datojen tallennusta ja varmistusta kuin käyttäny yhtään enempää aikaa verkon varmisteluun. Selkeys oli itselle tärkeämpää kuin firmisten fläshääminen, kauhea opettelu ja säätäminen. Nimenomaan siksi että jos et tiedä mitä teet, saatat aiheuttaa isojakin (tietoturva) ongelmia.
Jännä että nää verkkojen hallinnat on vieläkin vähän niinku pro-harrastajien juttuja. Ei UnifiOS:kaan ole ihan kenen tahansa konffattavissa tuosta vain.
Tuo Unifin kontrollerin asentaminen oli jo periaatteista joustamista ja teinkin sen vähän hammasta purren. Halusin kuitenkin oppia käyttämään sitäkin järjestelmää.
Mielestäni on ihan hyvä että on tuollaisia selkeästi hahmotettavia vaihtoehtoja, mutta en arvosta, jos vaihtoehtoinen tapa konffata puuttuu kokonaan.

Yhtä useammin tulee vastaan verkkolaitteita, joissa ainoa tapa säätää asetuksia on valmistajan kännykkäsoftan asentaminen ja se on minusta huonoa kehitystä.
Yhtenä ääriesimerkkinä, valokuituoperaattorini toimitti liittymän mukana WiFi-tukarin, jonka "'äpillä" pystyi lähinnä vaihtamaan verkon nimeä ja salasanaa. Laitteessa olisi kyllä ominaisuuksia luoda esimerkiksi vierasverkko, mutta web-hallintaan ei ole pääsyä operaattorin firmiksen takia. Tosi "kätevää" valtaosalle, mutta en minä tuollaisella laitteella mitään tee.
 

Statistiikka

Viestiketjuista
261 180
Viestejä
4 531 372
Jäsenet
74 771
Uusin jäsen
Salaliittoteoreetikko

Hinta.fi

Back
Ylös Bottom