Palomuuri ja valvontakameran etäkäyttö

[AkrRA]

Minulla on kodin sisäverkossa Reolink kamera. Saan sen kuvaa katsottua kotiverkon ulkopuolelta, kun vain tiedän kameran UID koodin ja käyttäjätunnuksen sekä salasanan. Kiinnostaa tietää miten se läpäisee kodin palomuurin, jossa kaikki ulkoapäin tuleva liikenne on estetty? Kytkeekö tuo UID koodin kameran Reolinkin palveluun, josta kuvaa katsotaan vai miten se tapahtuu ?

 

[Hyrava]

Minulla on kodin sisäverkossa Reolink kamera. Saan sen kuvaa katsottua kotiverkon ulkopuolelta, kun vain tiedän kameran UID koodin ja käyttäjätunnuksen sekä salasanan. Kiinnostaa tietää miten se läpäisee kodin palomuurin, jossa kaikki ulkoapäin tuleva liikenne on estetty? Kytkeekö tuo UID koodin kameran Reolinkin palveluun, josta kuvaa katsotaan vai miten se tapahtuu ?

Todennäköisesti toimii samalla tavalla kuin muillakin valmistajilla että kamera ottaa lupaa kysymättä yhteyden valmistajan pilvipalveluun (yhteys ulospäin) ja sitä yhteyttä pitkin sitten saa katsottua kotiverkon ulkopuolelta kameran kuvaa. Joillakin valmistajilla nuo kamerat oikein tahallaan kiertelevät palomuuria kaikin tavoin, muunmuassa naamioimalla oman liikenteensä sellaiseen porttiin mikä on yleensä palomuurista auki (esim http, https, dns, smtp, ...)

 

[AkrRA]

Todennäköisesti toimii samalla tavalla kuin muillakin valmistajilla että kamera ottaa lupaa kysymättä yhteyden valmistajan pilvipalveluun (yhteys ulospäin) ja sitä yhteyttä pitkin sitten saa katsottua kotiverkon ulkopuolelta kameran kuvaa. Joillakin valmistajilla nuo kamerat oikein tahallaan kiertelevät palomuuria kaikin tavoin, muunmuassa naamioimalla oman liikenteensä sellaiseen porttiin mikä on yleensä palomuurista auki (esim http, https, dns, smtp, ...)

Varmaankin noin. Itse mietin mitä se tarkoittaa tietoturvan kannalta. Tuo siis siirtää kuvadatan ulkoiselle palvelimelle, jonka tietoturvasta ei ole mitään tietoa. Tosin eihän siltikään pääse suoraan ulkoapäin kameraan, kun palomuurista kaikki portit kiinni ulkoapäin tulevalle liikenteelle.

 

[pulatunnus]

Varmaankin noin. Itse mietin mitä se tarkoittaa tietoturvan kannalta. Tuo siis siirtää kuvadatan ulkoiselle palvelimelle, jonka tietoturvasta ei ole mitään tietoa. Tosin eihän siltikään pääse suoraan ulkoapäin kameraan, kun palomuurista kaikki portit kiinni ulkoapäin tulevalle liikenteelle.

Eri valmistajilla erilaisia toteutuksia, tietoturvan kannalta sen tarkoittaa ensin sitä että kameraan pääsee ulkoverosta, eli riski sinänsä. jonka taso riippuu siitä kuinka varma, turvallinen se pääsynhallinta on.

Ko valmistajan palvelu ilmeisesti ensisijaisesti yrittää aukoa palomuuriin reitin niin että varsinainen datasiirto tapahtuu suoraan kamerasta katsojalle. Eli valmistajan palvelin on siinä yhteyden muodostamisessa apuna, eli kamera pitää yhteyttä sinne palvelimeen, ja katsoja ottaa yhteyden palvelimeen, ja sen jälkeen kameran ja katsojan väliin muodostetaan yhteys NATosaa reitittää ja mahdollinen palomuuri luottaa kun aloitteelinen sisäverkosta.

Jos suorahteys ei onnistu, niin tuolla valmistajalla ilmeisesti tuki sille että stream kulkee sen hallitseman palvelimen kautta, eli tässä kamera on yhteydessä palvelimeen, eli palomuurin mielestä juuri sinne minne sallittu, palvelin toimii välityspalvelimena minkä kautta se data kiertää.

Eli toimii operaattorien NATien kautta, toimii palomuurien läpi jotka sallii sisältäalkaneet yhteydet . Jos sen haluaa torpata niin pitää estää kameralta moiset. Jos kuitenkin haluaa ulkoa kameraan yhteyden, niin jos ei halua suoria reittejä kameraan aukoa, niin VPN tunnelilla sisäverkkoon missä kamera.


Se kuinka turvallista siirtää data valmistajan palvelunkautta, jos siihen ei kuulu muita ominaisuuksia ja yhteys on päästä päähän salattu, ja ylläpito laadukasta, ja pääsynhallinta, niin turvallisempaa kuin itse touhuta reittejä.

Toki jos jos sieltä paljastuu aukkoja joihin helppo hyökätä ja niihin hyökätään, niin varautua että kaikki mitä kameran edes näkyy ja kuuluu, niin voi joutua nettiin, sama riski toki itse ylläpitämässä reitissä. (*

Jos mennään ääripäähän, Uikuuri taustaa, niin eiköhän peli ole menetetty. Tuohon väliin sitten mahtuu kaikkea karvahatusta foliohattuun


(*
Näitä kamera aukkoja löynyt ja paljastanut eri taoisilta toimijoilta, välllä uhrina kansalaisia palvelevat tahot, välillä ihan koti käyttäjät. Se että jokin "ison" toimija palvelu vuotaa yleensä tulee julkisuuteen nopeasti, vs se että oma reitti vuotaa, niin sitä ei välttämättä huomaa kukaan ei julkisuuteenkaan ei tule ellei sieltä vuoda jotain hauskaa ja nouse iltapäivälehtiin yksittäis tapauksena.

Edellä oleva tarkistamatonta "faktaa", kyseisen valmistajan väitetty välityspalvelin tuki poimittu jostain. Sinänsä uskottava, kuin monella toimijalla tuollaiset.

 

[Hyrava]

Varmaankin noin. Itse mietin mitä se tarkoittaa tietoturvan kannalta. Tuo siis siirtää kuvadatan ulkoiselle palvelimelle, jonka tietoturvasta ei ole mitään tietoa. Tosin eihän siltikään pääse suoraan ulkoapäin kameraan, kun palomuurista kaikki portit kiinni ulkoapäin tulevalle liikenteelle.

Tuossa on tosiaan monenlaisia eri tapoja miten tuo voi olla toteutettu, pulatunnus jo vähän noita avasikin. Varmaan yleisimmät tavat noissa on että joko netin yli katsellaan kuvaa valmistajan pilvipalvelun kautta tai että kamera kertoo valmistajan pilvipalvelulle olemassaolostaan ja esimerkiksi mobiililaitteen äppi pyytää pilvipalvelulta kamerakuvaa jolloin pilvipalvelu kertoo kameralle suoran yhteyden mobiililaitteeseen ja kamera ottaa sitten suoraan mobiililaitteeseen yhteyden. Tietty tuo jälkimmäinen ei toimi jos molemmissa päissä on NAT, ainakaan ihan helposti.

Tietoturvahan noissa on vähän kyseenalainen, esimerkiksi jos joku onnistuu esittämään oikeaa käyttäjää pilvipalvelun suuntaan ja saa sitä kautta esimerkiksi tuon suoran yhteyden kameraan muodostettua. Sen jälkeenhän ei tarvitse kuin joku sopiva tietoturva-aukko tuossa kameran käyttämässä protokollassa ja sieltä pääsee kotiverkkoon sisälle. Todennäköisyys tuollaiselle ei tietty ole järin suuri tavan tallaajalla että hakkeri jaksaisi nähdä edes tuon verran vaivaa mutta on kuitenkin teoriassa täysin mahdollista.

Kaikenlaisia aukkojahan varsinkin kiinalaisista kameroista ja tallentimista löytyy koko ajan mutta nykyään niitä tunnutaan myös paikkailemaan yleensä kohtalaisen nopeasti, ainakin jos ei ole kyse ihan halvimmasta "hinnat alkaen" -tuotteesta. Eli ainakin kannattaa pitää päivitykset ajantasalla. Ja tietty kannattaa ylipäätäänkin kaikki nettiin jollakin tavalla yhteydessä olevat laitteet koittaa palomuurata mahdollisimman mukaan mahdollisimman tarkkaan että esimerkiksi jos joku pääsee kameraan sisään jonkun reiän kautta niin ainakaan siltä kameralta ei pääse mitään ssh:ta tai rdp:tä käyttämällä muihin verkon laitteisiin käsiksi eli laitetta ei voi käyttään niinsanottuna "pomppukoneena".

 

[AkrRA]

Kiitos selvennyksestä. Tuo kuulostaa oikealta, koska valmistajan tuki pääsi kameran hallintaan kunhan heille kerrottiin kameran UID ja hallinnan tunnukset. He ottivat yhteyden juuri tuon pilvipalvelimen kautta. Toisaalta ellei pääsen valmistajan palvelimeen kiinni niin silloin ilmeisesti kamera turvassa vai olenko väärässä ?

 

[pulatunnus]

He ottivat yhteyden juuri tuon pilvipalvelimen kautta. Toisaalta ellei pääsen valmistajan palvelimeen kiinni niin silloin ilmeisesti kamera turvassa vai olenko väärässä ?

Jos kameralla ei ole nettiyhteyttä, se ei pääse nettiin, eikä netistä siihen, niin se puoli kunnossa.

Sitten seuraava pohdinta että on pääsy estetty jollain palomuurilla, vai ihan erillinen verkko mistä ei mitään yhteyttä nettiin. Siitä seuraava onko vihamilisillä pääsy laitteeseen tai lähettyville, esim onko siinä Wifi, onko verkkoon pääsy vihamielisillä. tallentaako. Kameroita ja tallentimia on pöllitty, joitain harmittanut kun ei mennyt pilveen niin olis nähnyt vakrkaat,, joitain taasen se sisältö mikä joutu varkaiden haltuun.

Joo sori vähän lähti laukalle, mutta en tiedä tilannetta. onko jollain mitään väliä.

 

[Hyrava]

Kiitos selvennyksestä. Tuo kuulostaa oikealta, koska valmistajan tuki pääsi kameran hallintaan kunhan heille kerrottiin kameran UID ja hallinnan tunnukset. He ottivat yhteyden juuri tuon pilvipalvelimen kautta. Toisaalta ellei pääsen valmistajan palvelimeen kiinni niin silloin ilmeisesti kamera turvassa vai olenko väärässä ?

Teoriassa kyllä, jos internetistä ei pääse kameraan eikä kamera pääse internetin suuntaan liikennöimään valmistajan pilveen niin on aikalailla tuon osalta turvassa. Mahdotontahan tuo kameran kautta kotiverkkoon pääsy ei silti ole mutta vaatii sitten jonkun muun reikäisen laitteen kotiverkossa tai haittaohjelman saastuttaman koneen ja samaan aikaan paskaa tuuria (todennäköisyys lähestyy nollaa), jolloin yleensä ne muiden laitteiden ongelmat ovat jo suurempi riski.

Tavalliselle käyttäjälle tuskin tulee mitään kovin kohdistettuja hyökkäyksiä joten pitäisin todennäköisyyttä lähinnä olemattomana mutta kun ottaa huomioon tämän nykyisen maailmantilanteen niin jos vaan on mahdollista mitenkään suojautua "kaikelta" niin se kyllä kannattaa. Onhan nyt esim Nordeaan hyökätty hakkeroitujen kotireitittimien kautta joten kukin suojatkoon laitteensa ja verkkonsa parhaan osaamisensa mukaan, pienetkin teot on aina kotiinpäin, kuten oletus-salasanojen vaihtaminen ja turhien palveluiden sammuttaminen.

Täytyy myöntää että itse kun olen tavallaan osittain tietoturvahommissa työkseni niin oman kotiverkon palomuurit sun muut turvallisuusasiat ovat aikalailla yliampuvia, jopa siinä määrin etten samanlaisia ratkaisuja edes suosittelisi liki kenellekään. Mutta kun työn puolesta tulee touhuttua palomuurien sun muiden kanssa niin pitäähän sitä vähän harrastella kotonakin (lisää vaan ylläpitovaivaa kotiverkossa melkoisesti)

 

[pulatunnus]

Mahdotontahan tuo kameran kautta kotiverkkoon pääsy ei silti ole mutta vaatii sitten jonkun muun reikäisen laitteen kotiverkossa tai haittaohjelman saastuttaman koneen ja samaan aikaan paskaa tuuria (todennäköisyys lähestyy nollaa), jolloin yleensä ne muiden laitteiden ongelmat ovat jo suurempi riski.

Kameran kanssa oli omassa mielessä se että mitä kameran kuvassa näkyy, joku pihatie, maisema, mitä ei nyt halua nettiin, mutta ei nyt mailmaa kaada, vai eteinen, olohuone, jotain muuta, mitä pitää tärkeänä suojella.

(lisää vaan ylläpitovaivaa kotiverkossa melkoisesti)

Mikään ei pelaa ennenkuin on säätänyt palomuurin.

 

[jsalmika]

Eli toimii operaattorien NATien kautta, toimii palomuurien läpi jotka sallii sisältäalkaneet yhteydet . Jos sen haluaa torpata niin pitää estää kameralta moiset. Jos kuitenkin haluaa ulkoa kameraan yhteyden, niin jos ei halua suoria reittejä kameraan aukoa, niin VPN tunnelilla sisäverkkoon missä kamera.

Paljon mistään juuri mitään tietämätömänä ajattelin itse alkaa vihdoin viritellä IoT-tietoturvaa siten että palomuurin ulkopuolella olisi WIFI-hubi, johon kytkeytyisivät kamerat ym. kilkkeet, joiden toiminnan edellytys on että ne ovat yhteydessä internetiin. MESH-hubin ja sisäverkon välissä olisi kaapelilla kiinni reititin, joka muodostaisi palomuurin. Toimisiko näin yksinkertainen ratkaisu ja sopisiko GLi.Netin Flint reitittimeksi?

 

[jsalmika]

Tupla...

 

[pulatunnus]

Paljon mistään juuri mitään tietämätömänä ajattelin itse alkaa vihdoin viritellä IoT-tietoturvaa siten että palomuurin ulkopuolella olisi WIFI-hubi, johon kytkeytyisivät kamerat ym. kilkkeet, joiden toiminnan edellytys on että ne ovat yhteydessä internetiin. MESH-hubin ja sisäverkon välissä olisi kaapelilla kiinni reititin, joka muodostaisi palomuurin. Toimisiko näin yksinkertainen ratkaisu ja sopisiko GLi.Netin Flint reitittimeksi?

En näistä paljoa tajua, mutta jotain ehdotusta.

Joku piirros voisi olla paikallaan.

Jos normi kotiverkosta ei tarvi päästä IoT verkkoon suoraan, niin Iot verkolle oma palomuuri reititin ja seuraan nettiin. Palomuuriista ruksiin kaiken kiinni, ulkoa sisään ja sisältä ulos ja aukoo sen mikä välttämätöntä. No voi olla työlästä, niin oletuksilla ja sitten yrittää sulkea asioita.

Kotiverkko sitten oman palomuurilla, Eli jos operaattorilta saa useamman IPn

Netti -> kytkin -> jonka perään rinnan koti ja IoT palomuuri reittimet.

Tässä idea se että jos IoT kamat saastuu, niin ei uhkaa kotiverkkoa. Haitta se että kotiverkosta ei suoraan pääse IoT verkkoon, mentävä netinkautta. No idea se että jos tarve mennä säätään, niin esim läppärillä liitytään IoT verkkoon.

Idea myös se että verkon on fyysisesti erillään, niin helppompi hahmottaa mikä missäkin.

Jos harrastuneisuutta, niin vähän monipuolisempaa rautaa, palomuurireititin millä hoitaa molemmat reittimet ja millä voi hallita verkkojen välistä likennettä, perään sitten hallittava kytkin ja WiFi tukarti joissa eri SSID ei eriverkoille. Vähemmän laatikoita, mutta vaatii enemmän ponnisteluita ja vähän sitten olo että mites tää nyt meni.

 

[jsalmika]

Joku piirros voisi olla paikallaan.

Saattaa olla mutta yritin kysellä ihan vaan mahdollisimman vähillä laitteilla toteutettavaa yksinkertaista periaatteellista ratkaisua, joten yritän kuvailla vähän yksityiskohtaisemmin niin saattaa olla jopa selkeömpi kuin kaaviokuvan tulkinta...

Data tulee nykyisin sisään mobiiliverkosta modeemin ja Huawein mesh-hubin (WA8021v5) kautta. Ulkoverkosta pitäisi edelleen saada yhteys ethernet-kaapelilla sisäverkossa kiinni olevaan älykodin hubiin (toistaiseksi Tellduksen 10v vanha 433MHz tikku) liitettyihin kytkimiin ja antureihin sekä ethernet- ja wifi-yhteydellä sisäverkossa oleviin TP Link-valvontakameroihin (livekatselu, muistikortin luku). Osaa kameroista ja joskus harvoin Tellstickiä pitäisi päästä säätämään myös suoraan sisäverkosta. Sisäverkossa on myös muutama itsenäistä WIFI-älykytkintä (Nedis Smartlife) ja pari Chromecastiakin löytyy. Käyttäjien laitteiden yhteys sisäverkkoon tapahtuu joko wifillä tai (vielä nykyisin suoraan) MESH-hubiin liitetyn ethernet-kaapelin kautta kun halutaan "täydet nopeudet". Laitteita ei ole yhtä aikaa kovin montaa käytössä.

Haluaisin eristää älylaitteet muusta lähiverkosta mieluiten niin ettei niitä edes pääsisi hyödyntämään mahdollisissa palvelunestohyökkäyksissä. Sen tajuan että guest wifi network saattaa olla osa ratkaisua mutta vaan osa. Varsinaiseen sisäverkkoon em. iOT-laitteita lukuunottamatta ei ole tarvetta saada yhteyttä ulkopuolelta eli ei ole tiedostopalvelimie tms.. Yritin jo etsiä mitä mahdollisuuksia tähän olisi pelkästään MESH-hubin asetusten kautta mutten vielä ainakaan Elisan, DNA:n tai valmistajan sivuilta mitään löytänyt. WA8021v5:ssahan on nimittäin kaksi ethernet-liitäntää sisäverkkoon. Pitääkö siis hankkia johonkin väliin reititin, kytkin - vai jopa useampia? Olisiko hallittava kytkin parempi kuin tyhmä?

Ja lopuksi: onko tämä liian simppeli ja/tai tyhmä kysymys tänne foorumille?

 

[Alfh]

Data tulee nykyisin sisään mobiiliverkosta modeemin ja Huawein mesh-hubin (WA8021v5) kautta.

Niin mikä se modeemi on? Onko palomuuri ja reititin siinä modeemissa vai mesh-hubissa?

Laitteet voi eriyttää esimerkiksi käyttämällä erillisiä sisäverkkoja. Pienellä laitemäärällä tämä taas onnistuu vlanien avulla. Halvimmissa kuluttajalaitteissa ei tosin näitä asetuksia välttämättä ole, mutta esimerkiksi Mikrotik ja Ubiquiti on hyviä vaihtoehtoja tähän.

Esimerkiksi reitittimestä luotuna siis:
192.168.1.0/24 VLAN 10 "tietokoneet"
192.168.2.0/24 VLAN 20 "kamerat"
192.168.3.0/24 VLAN 30 "muu älyhärpäke"

Reitittimen perään sitten riittävän fiksu wifi joka ymmärtää vlaneja ja osaa luoda useita verkkoja. Tällä tavalla erillisten verkkojen laitteet eivät tiedä toistensa olemassaolosta, ellet sitten erikseen tee reititystä niiden välille.

Sama onnistuu tietysti myös erillisillä reitittimillä.

Haluaisin eristää älylaitteet muusta lähiverkosta mieluiten niin ettei niitä edes pääsisi hyödyntämään mahdollisissa palvelunestohyökkäyksissä.

Verkkojen eriyttäminen auttaa lähinnä yksityisyyden suojaamiseen, kun ei ole euron kiinanlaitteita samassa verkossa skannailemassa muita laitteita. Se miten sitten muuten haluat rajoittaa yksittäisen laitteen liikennettä ulos, onnistuu parhaiten reitittimen palomuurista säätämällä asetuksia mac-osoitetasolla.

Palvelunestohyökkäys voi tarkoittaa sitä, että hammasharjasi sarjatulittaa kyselyjä esimerkiksi portista 80 (http) pankin verkkosivulle. Jos haluat estää tämän katalan toiminnan, voit blokata hammasharjalta kyseiseen porttiin kohdistuvan liikenteen, mikäli laitteen toiminnallisuus ei siitä häiriinny.

Yleensä hyökkäysalustana toimii kuitenkin se vanhentunut reititin yksittäisen sisäverkon laitteen sijaan. Tai jos reititin on siltaavana ja se hammasharja on saanut julkiverkon IP:n ilman mitään palomuuria. Palomuurin/NAT:n takana olevien sisäverkon laitteiden "saastuminen" käytännössä edellyttää, että sitä laitetta pilvihallinnoivan kiinanfirman verkko on saastunut.

Olisiko hallittava kytkin parempi kuin tyhmä?

Hallittavan kytkimen etu on juurikin vlanit. Voit esimerkiksi säätää portteja eri vlaneille.

 

[pulatunnus]

Saattaa olla mutta yritin kysellä ihan vaan mahdollisimman vähillä laitteilla toteutettavaa yksinkertaista periaatteellista ratkaisua, joten yritän kuvailla vähän yksityiskohtaisemmin niin saattaa olla jopa selkeömpi kuin kaaviokuvan tulkinta...

Data tulee nykyisin sisään mobiiliverkosta modeemin ja Huawein mesh-hubin (WA8021v5) kautta. Ulkoverkosta pitäisi edelleen saada yhteys ethernet-kaapelilla sisäverkossa kiinni olevaan älykodin hubiin (toistaiseksi Tellduksen 10v vanha 433MHz tikku) liitettyihin kytkimiin ja antureihin sekä ethernet- ja wifi-yhteydellä sisäverkossa oleviin TP Link-valvontakameroihin (livekatselu, muistikortin luku). Osaa kameroista ja joskus harvoin Tellstickiä pitäisi päästä säätämään myös suoraan sisäverkosta. Sisäverkossa on myös muutama itsenäistä WIFI-älykytkintä (Nedis Smartlife) ja pari Chromecastiakin löytyy. Käyttäjien laitteiden yhteys sisäverkkoon tapahtuu joko wifillä tai (vielä nykyisin suoraan) MESH-hubiin liitetyn ethernet-kaapelin kautta kun halutaan "täydet nopeudet". Laitteita ei ole yhtä aikaa kovin montaa käytössä.

Haluaisin eristää älylaitteet muusta lähiverkosta mieluiten niin ettei niitä edes pääsisi hyödyntämään mahdollisissa palvelunestohyökkäyksissä. Sen tajuan että guest wifi network saattaa olla osa ratkaisua mutta vaan osa. Varsinaiseen sisäverkkoon em. iOT-laitteita lukuunottamatta ei ole tarvetta saada yhteyttä ulkopuolelta eli ei ole tiedostopalvelimie tms.. Yritin jo etsiä mitä mahdollisuuksia tähän olisi pelkästään MESH-hubin asetusten kautta mutten vielä ainakaan Elisan, DNA:n tai valmistajan sivuilta mitään löytänyt. WA8021v5:ssahan on nimittäin kaksi ethernet-liitäntää sisäverkkoon. Pitääkö siis hankkia johonkin väliin reititin, kytkin - vai jopa useampia? Olisiko hallittava kytkin parempi kuin tyhmä?

Ja lopuksi: onko tämä liian simppeli ja/tai tyhmä kysymys tänne foorumille?

Modeemi, sen perään reitin, esim Ubiquitin, jolla luodaan kaksi sisäverkkoa ja kummallekkin omat palomuuri säännöt, ja verkkojen välillä palomuuri säännöt millä onnistuu vain se haluttu.
Sen perään sitten hallittava kytkin joka tukee virtuaalilania (VLAN), ja sinne sitten määritykset mikä portti mikäkin verkko ja mistä kaikki tagattuna, jälkimäiseten perään tarvittavati Wifi tukarit joilla voi eri VLAN verkoilla määrittää oman SSID:n. Tässä laitteita vähän, mutta kaikki modeemi lukuunottamatta uusiksi.

Jos ei uutta rautaa, niin jos modeemi on myös palomuuri reititin, niin sen perään palomuurireititin laite verkolle ja se toinen palomuuri reititin kotiverkolle, kotiverkosta laite verkkoon mennään sen modeemi verkon kautta. Laitteiden verkolle sitten omat kaapeloinnit a WiFi tukarit.

Edelläolevassa se idea että kotiverkko on kotiverkon palomuurireittimen takana suojassa laiteverkon sekoiluista. osoitemuutoksia on nippu, ja IPv6 mobiilissa varsinkin haasteensa.

Mobilissa et saa kuin yhden julkisen IPv4 osoitteen (oletan että se käytössä), niin kaikki nettiin saman IPn takaan, ja jos ulko pitää sisäänpäästä, niin ensin modeemista reittejä seuraaviin reittimiin ja niistä sitten kohdepalvelimelle.

 

[jsalmika]

Niin mikä se modeemi on? Onko palomuuri ja reititin siinä modeemissa vai mesh-hubissa?

ZTE:n 5G-modeemi. En tiedä, liekö kummassakaan päällä tai edes tarjolla... Sekä modeemi että hubi toistaiseksi oletusasetuksilla ja siitä syystä tässä kyselenkin.

 

[Alfh]

ZTE:n 5G-modeemi. En tiedä, liekö kummassakaan päällä tai edes tarjolla... Sekä modeemi että hubi toistaiseksi oletusasetuksilla ja siitä syystä tässä kyselenkin.

Kyllä niissä yleensä joku muuri on. Aloita tutustumalla niiden laitteiden ominaisuuksiin ja asetuksiin jotka jo omistat ja tee vaikka havainnollistava verkkokaavio nykyisestä setupista.

Oletan ZTE:n modeemin saavan julkisen IP:n ja muuttavan sen sisäverkon IP-osoitteiksi, joita se jakelee muille laitteille. Näet tämän kirjautumalla laitteen hallintaan ja tarkistamalla, onko palomuuri, NAT ja DHCP päällä. NAT on se joka tekee osoitteenmuutoksen ja DHCP on se joka jakelee niitä osoitteita eteenpäin.

 

[jsalmika]

Laitteet voi eriyttää esimerkiksi käyttämällä erillisiä sisäverkkoja. Pienellä laitemäärällä tämä taas onnistuu vlanien avulla. Halvimmissa kuluttajalaitteissa ei tosin näitä asetuksia välttämättä ole, mutta esimerkiksi Mikrotik ja Ubiquiti on hyviä vaihtoehtoja tähän.

Kiitos, näköjään joihinkin perusvehkeisiinkin saa toteutettua tämän Openwrt:llä. Harjoittelu alkaa TP-Link Archer A7:lla, johon pystyy flashaamaan Openwrt:n sen oman hallintakäyttöliittymän kautta. Sen perään TP-Linkin 5-porttinen hallittava VLANeja ymmärtävä kytkin (26€). Löytyi pari selkeää ohjevideotakin, joista saattaa olla hyötyä jollekulle muullekin.

 

[jsalmika]

Modeemi, sen perään reititin, esim Ubiquitin, jolla luodaan kaksi sisäverkkoa ja kummallekkin omat palomuuri säännöt, ja verkkojen välillä palomuuri säännöt millä onnistuu vain se haluttu.
Sen perään sitten hallittava kytkin joka tukee virtuaalilania (VLAN), ja sinne sitten määritykset mikä portti mikäkin verkko ja mistä kaikki tagattuna, jälkimäiseten perään tarvittavati Wifi tukarit joilla voi eri VLAN verkoilla määrittää oman SSID:n. Tässä laitteita vähän, mutta kaikki modeemi lukuunottamatta uusiksi.

Kokeillaan pärjäisikö pelkästään EdgeRouter X-SFP:llä...
Kts. https://help.ui.com/hc/en-us/articles/115012700967-EdgeRouter-VLAN-Aware-Switch
Sitä jäi muuten nyt vk.comin outletiin vielä yksi kappale hintaan 52€ ja muutama vähän kalliimmalla (+postitus).

 

[Aquarium]

Pärjäisikö pelkästään EdgeRouter X-SFP:llä? Kts. https://help.ui.com/hc/en-us/articles/115012700967-EdgeRouter-VLAN-Aware-Switch

Minulla oli EdgeRouter X ja kun tarvitsin toimiston perällä jakaa verkkopiuhan, hommasin kytkimen. Kun sitten aloitin hallinnoimaan VLAN:eja piti säännöt määritellä Edgerouterille ja käydä kytkimelle säätämässä samat uudelleen ja muistella mikä oli minkäkin VLAN:n numero. Lopulta meni hermo ja ostin Ubiquitin perheestä reitittimen ja pari saman sarjan kytkintä. Nyt koko verkon laitteet näkyy verkkotopologia -kaaviossa ja on äärettömän kivaa kun näkee heti, minkä kytkimen takana mikäkin vehje on ja hallittavuus on noin 1001 kertaa helpompaa kuin ennen.

Aloituskustannus toki oli nelisensataa siihen aikaan, mutta ei harmita. VLANE:ja on 6 eri tarkoituksiin ja helppo laittaa esim. IOT-laitteille oma suljettu, josta ei pääse nettiin ja kameroille oma. Sitten vain tarpeen mukaan tietyt portit tietyistä suunnista auki, jos tarvii jonkin laitteen päästä toisesta VLAN:sta toiseen. Moni verkkojen kanssa työskentelevä tykkää palomuurisäännöistä joissa määritellään niitä hankalasti palomuuriin päin mutta itsellä meni aivot solmuun, onko inbound vai outbound ja mistä verkosta katsoen. Nyt on selkeämpi tehdä firewall rules, jossa toki pitää siinäkin hetki pohtia, mutta nopeasti saa valittua jonkin VLAN:n tai laitteita ja tehtyä niille sääntöjä.

 

[jsalmika]

Minulla oli EdgeRouter X ja kun tarvitsin toimiston perällä jakaa verkkopiuhan, hommasin kytkimen. Kun sitten aloitin hallinnoimaan VLAN:eja piti säännöt määritellä Edgerouterille ja käydä kytkimelle säätämässä samat uudelleen ja muistella mikä oli minkäkin VLAN:n numero. Lopulta meni hermo ja ostin Ubiquitin perheestä reitittimen ja pari saman sarjan kytkintä. Nyt koko verkon laitteet näkyy verkkotopologia -kaaviossa ja on äärettömän kivaa kun näkee heti, minkä kytkimen takana mikäkin vehje on ja hallittavuus on noin 1001 kertaa helpompaa kuin ennen.

Ymmärrän... Ilmeisesti silloinen EdgeRouter X ei kyennyt samaan kuin mm. EdgeRouter X-SFP nyt toivottavasti (uudella firmwarella) kykenee.

 

[Aquarium]

Ymmärrän... Ilmeisesti silloinen EdgeRouter X ei kyennyt samaan kuin mm. EdgeRouter X-SFP nyt toivottavasti (uudella firmwarella) kykenee.

Samalta tuo EdgeOS näytti kuin mitä itse käpistelin aikoinaan. Mutta sehän on ihan osaamisesta ja paneutumisesta kiinni. Itse en tykännyt siitä että en ymmärtänyt kaikkea asetuksissa = en tiennyt vaikka avaisin tietoturvareikiä tietämättäni. Mutta jollekin toiselle tuo on hyvinkin selkeä käyttöliittymä. Itse ostin ensin pari Ubiquitin kytkintä ja Wifi AP:n ja kun niille oli oma käyttöliittymä, joka oli paljon selkeämpi kuin EdgeOS niin alkoi houkuttaa kaikille yhteinen käyttöliittymä. Muutoin piti osa asetuksista tehdä EdgeOS:ssa ja samat uudelleen määritellä UnifinOS:ssa. Osasyynä reitittimen vaihtoon siis tämä.

 

[jsalmika]

OK. Kyllä osaa olla hankalaa mutta tahkotaan ja harjoitellaan nyt tuon EdgeRouter X-SFP:n kanssa niin nähdään mihin se pystyy... Kiva jos siihen saa tehtyä sellaiset asetukset että tiettyyn porttiin voi iskeä esim. Wifi AP:n, valvontakameran, kotiautomaation hubin tms. miettimättä enää sen enempää niiden verkkoasetuksia. Aluksi voisi tosin kokeilla miten paljon reikiä teleoperaattorien "kiinteänä kotinettinä" asiakkailleen tarjoamassa nykyratkaisussa - siis pelkkä 5G- (tai kaapeli)modeemi + Wifi AP - on. Onko tähän jotain turvallista (ilmais)työkalua?

 

[pulatunnus]

OK. Kyllä osaa olla hankalaa mutta tahkotaan ja harjoitellaan nyt tuon EdgeRouter X-SFP:n kanssa niin nähdään mihin se pystyy... Kiva jos siihen saa tehtyä sellaiset asetukset että tiettyyn porttiin voi iskeä esim. Wifi AP:n, valvontakameran, kotiautomaation hubin tms. miettimättä sen enempää niiden verkkoasetuksia. Aluksi voisi tosin kokeilla miten paljon reikiä teleoperaattorien kiinteänä kotimettinä asiakkailleen tarjoamassa nykyratkaisussa - siis pelkkä 5G-modeemi + Wifi AP - on. Onko tähän jotain turvallista (ilmais)työkalua?

Perus kotireittimet tarjoaa tilallisen palomuuri NATin, eli lähinnä ne pyrkii mahdollisimman hyvin aukoon portteje/reittejä sisältä päin aloitetuille yhteyksille, jos siinä jonkinlaista palomuuria niin yrittää arpoa sen verran että niitä autottuja reittejä käytä muut. IPv6 palomuuri jos on niin se pitää portit kiinni ja arpoo mitä auotaan sen mukaan mitä sisältä aloitetun liikenteen perusteella tarvisi, tämä jo sinänsä parempi kuin suodatusta yrittävä IPv4 NAT.

Jos hallinnassa on enemmän palomuuri asetuksia, esim voit estää manuaalisesti osoitteita, osoite avaruuksia, rajoittaa tiettyjen sisäverkon osoiteiden liikennettä jne. Joissain voi olla jonkinlaisia algoritmejä jotka tarttuu epäilyttävään liikenteeseen jne.

Testaaminen on vaikea, jotain selain testejä joissa vastapää vetää jonkin testi sarjan sivuille tulleen julkiseen osoitteeseen, jos ei mitään, niin ei takaa mitään, jos jotain niin voi sitten selvittää mikä juttu, onko ok, tarpeellinen, vai ihan riski. Mutta ei ne siitä mitään kerro soitteleeko kotiverkon laitteet kotiin,pahikselle, jonnekkin muualla ja touhuuko ne pahojaan.

 

[jsalmika]

Mutta ei ne siitä mitään kerro soitteleeko kotiverkon laitteet kotiin,pahikselle, jonnekkin muualla ja touhuuko ne pahojaan.

Niin, ja (teleoperaattorien) maksullinen asennuspalvelukin kattaa todennäköisesti vaan sen että isketään purkit tehdasasetuksissaan paikalleen ja korkeintaan vaihdetaan hyvässä lykyssä pääkäyttäjän salasana(t),,,

 

[Alfh]

Itsellä on Ubiquitin WiFi-tukareita, mutta niistä puuttuu ärsyttävästi oma web-hallintasivu, eli ne vaativat erillisen kontrollerilaitteen tai -softan asetusten muuttamiseen. Eli Ubiquiti on tyyliltään enemmän Applen kaltainen oma (kaupallinen) ekosysteeminsä kuin avoin propellipäiden virittelyalusta. Hyvänä puolena tosiaan että kaikkea voi hallita yhden softan kautta, jos siihen ekosysteemiin lähtee.

Ymmärrän... Ilmeisesti silloinen EdgeRouter X ei kyennyt samaan kuin mm. EdgeRouter X-SFP nyt toivottavasti (uudella firmwarella) kykenee.

Olen ymmärtänyt että EdgeRouterit ovat poistuvaa mallistoa. Niihin ei välttämättä kannata odottaa päivityksiä loputtomiin.

Mikrotik on vähemmän pöhinäluokassa ja muutenkin epäseksikkäämpi kuin Ubiquitin laitteet, mutta niillä on mm. reitittimen ja kytkimen yhdistelmiä, joissa on hyvät hallintaominaisuudet. Tai toisin sanoen niillä on kytkimiä, joissa on reitittimen ominaisuudet. Latvialainen valmistaja. Ei ole omaa kokemusta niistä mutta monet suosittelevat.

--

Olen estänyt kameroilta ja iot-tauhkalta yhteydet ulkoverkkoon kokonaan. Ne on omassa vlanissaan jossa ei ole määritelty oletusyhdyskäytävää. Kameroita hoitaa Zoneminder ja muita iot-laitteita hallitaan Home Assistantin kautta, jotka siis pyörivät kotiserverillä.

En ihan periaatesyistä asenna yhtäkään valmistajakohtaista "äppiä" äly- tai verkkolaitteiden hallintaan.

 

[jsalmika]

Olen ymmärtänyt että EdgeRouterit ovat poistuvaa mallistoa. Niihin ei välttämättä kannata odottaa päivityksiä loputtomiin.

...ja senpä takia niitä varmaan onkin esim. vk.comissa vaan outlet-puolella. Olisi tosin pitänyt kirjoittaa "uusimmalla" softalla, jolla voi tehdä tuonne ylemmäksi linkkaamani ohjeen mukaiset viritykset. Sellaista laitetta, joka saa päivityksiä loputtomiin ei edelleenkään ole olemassa - mitenkäs niiden uusien saman valmistaja mallien myyntiä vanhoille käyttäjille muuten edistettäisiin...

 

[Alfh]

...ja senpä takia niitä varmaan onkin esim. vk.comissa vaan outlet-puolella. Olisi tosin pitänyt kirjoittaa "uusimmalla" softalla, jolla voi tehdä tuonne ylemmäksi linkkaamani ohjaan mukaiset viritykset. Sellaista laitetta, joka saa päivityksiä loputtomiin ei edelleenkään ole olemassa - mitenkäs niiden uusien saman valmistaja mallien myyntiä vanhoille käyttäjille muuten edistettäisiin...

Eiköhän niille OpenWrt:n saa kuitenkin flashattua. Kuten myös noihin WiFi-tukareihin, jota olen kyllä harkinnut, ettei tarvisi tuota Unifin kontrollerisoftaa ylläpitää. Sekin pyörii nyt tuossa kotiserverillä omassa virtuaalissaan Debianin päällä.

 

[Aquarium]

Itsellä on Ubiquitin WiFi-tukareita, mutta niistä puuttuu ärsyttävästi oma web-hallintasivu, eli ne vaativat erillisen kontrollerilaitteen tai -softan asetusten muuttamiseen. Eli Ubiquiti on tyyliltään enemmän Applen kaltainen oma (kaupallinen) ekosysteeminsä kuin avoin propellipäiden virittelyalusta. Hyvänä puolena tosiaan että kaikkea voi hallita yhden softan kautta, jos siihen ekosysteemiin lähtee.


Olen ymmärtänyt että EdgeRouterit ovat poistuvaa mallistoa. Niihin ei välttämättä kannata odottaa päivityksiä loputtomiin.

Mikrotik on vähemmän pöhinäluokassa ja muutenkin epäseksikkäämpi kuin Ubiquitin laitteet, mutta niillä on mm. reitittimen ja kytkimen yhdistelmiä, joissa on hyvät hallintaominaisuudet. Tai toisin sanoen niillä on kytkimiä, joissa on reitittimen ominaisuudet. Latvialainen valmistaja. Ei ole omaa kokemusta niistä mutta monet suosittelevat.

--

Olen estänyt kameroilta ja iot-tauhkalta yhteydet ulkoverkkoon kokonaan. Ne on omassa vlanissaan jossa ei ole määritelty oletusyhdyskäytävää. Kameroita hoitaa Zoneminder ja muita iot-laitteita hallitaan Home Assistantin kautta, jotka siis pyörivät kotiserverillä.

En ihan periaatesyistä asenna yhtäkään valmistajakohtaista "äppiä" äly- tai verkkolaitteiden hallintaan.

Periaatteet on joskus hyviä, joskus joutuu joustaa. Oon mieluummin vahvistanu tärkeiden datojen tallennusta ja varmistusta kuin käyttäny yhtään enempää aikaa verkon varmisteluun. Selkeys oli itselle tärkeämpää kuin firmisten fläshääminen, kauhea opettelu ja säätäminen. Nimenomaan siksi että jos et tiedä mitä teet, saatat aiheuttaa isojakin (tietoturva) ongelmia.
Jännä että nää verkkojen hallinnat on vieläkin vähän niinku pro-harrastajien juttuja. Ei UnifiOS:kaan ole ihan kenen tahansa konffattavissa tuosta vain.

 

[Alfh]

Periaatteet on joskus hyviä, joskus joutuu joustaa. Oon mieluummin vahvistanu tärkeiden datojen tallennusta ja varmistusta kuin käyttäny yhtään enempää aikaa verkon varmisteluun. Selkeys oli itselle tärkeämpää kuin firmisten fläshääminen, kauhea opettelu ja säätäminen. Nimenomaan siksi että jos et tiedä mitä teet, saatat aiheuttaa isojakin (tietoturva) ongelmia.
Jännä että nää verkkojen hallinnat on vieläkin vähän niinku pro-harrastajien juttuja. Ei UnifiOS:kaan ole ihan kenen tahansa konffattavissa tuosta vain.

Tuo Unifin kontrollerin asentaminen oli jo periaatteista joustamista ja teinkin sen vähän hammasta purren. Halusin kuitenkin oppia käyttämään sitäkin järjestelmää.
Mielestäni on ihan hyvä että on tuollaisia selkeästi hahmotettavia vaihtoehtoja, mutta en arvosta, jos vaihtoehtoinen tapa konffata puuttuu kokonaan.

Yhtä useammin tulee vastaan verkkolaitteita, joissa ainoa tapa säätää asetuksia on valmistajan kännykkäsoftan asentaminen ja se on minusta huonoa kehitystä.
Yhtenä ääriesimerkkinä, valokuituoperaattorini toimitti liittymän mukana WiFi-tukarin, jonka "'äpillä" pystyi lähinnä vaihtamaan verkon nimeä ja salasanaa. Laitteessa olisi kyllä ominaisuuksia luoda esimerkiksi vierasverkko, mutta web-hallintaan ei ole pääsyä operaattorin firmiksen takia. Tosi "kätevää" valtaosalle, mutta en minä tuollaisella laitteella mitään tee.

 

[pulatunnus]

En löytänyt parempaa ketjua, mutta kai tämä nyt parempi kuin Valoo ketjua

Vastataan nyt vielä. Kyllä niitä kolkutteluita tulee ilman, että yhteydessä mihinkään vihamieliseen palvelimeen.

No toki tulee, mutta ei se nyt ainakaan vähennä jos saman julkisen IP takana on paljon käyttäjiä.

Itsellä ei ainakaan ole kovin suuri luotto tuollaiseen operaattorin toimittaman purkin palomuuriin, jonka säädöt on luultavasti hyvin rajoittuneet kunnon palomuuriin verrattuna.

Toki rajoittuneemmat, mutta noin oletuksena päästää liikenenttä sisälle jos aloite tullut sisältä päin.

Operaattorien markkinoimissa purkeissa on ollut myös asetuksia millä voi tiukentaa tai avata portteja pysyvästi. Toki varsinkin vanhoissa voi olla lähinnä perus automatiikka

Suurin osa käyttäjistä ei huomaa eroa normikäytössä onko käytössä IPv4 NATilla vai julkinen IPv6. Eroa tulee lähinnä siinä vaiheessa kun pitää syystä x saada yhteys ulkoa sinne sisäverkon palveluun y. NAT siinä välissä lisää turvallisuutta estämällä liikennettä. Eihän se ole NAT tarkoitus, mutta käytännössä parantaa tietoturvaa estämällä liikennettä. Joku voi toki pitää sitä ei toivottuna haittana. Ei sitä julkista IP:tä kannata pelätä, mutta kannattaa tiedostaa, että sen kanssa tietoturvasta on huolehdittava vielä tarkemmin.

NAT markkinoiminen tieturvana, en nyt vain ymmärrä miksi. Se on haitta halutulle liikenteelle, se että se ei osaa jotain paketti ohjata perille ei ole tieturvaa. Luomalla mielikuvaa että se olisi turvallisempi kuin palomuuri ja julkinen IP. Palomuurille helpompaa kun laitteilla (IPv6) on julkinen IP, tuleva paketti, niin siitä ei tarvi arpoa kuin se päästetäänkö läpi vai ei. Kun tiedetään minne se on tarkoitettu niin palomuurille helppoa, eli ihan yksikertainenkin minimi on jo parempi kuin NAT.

 

[pulatunnus]

..

 

[HTK12]

En löytänyt parempaa ketjua, mutta kai tämä nyt parempi kuin Valoo ketjua


No toki tulee, mutta ei se nyt ainakaan vähennä jos saman julkisen IP takana on paljon käyttäjiä.

Väittäisin, että se NAT itsessään vähentää kun reitti perille ei ole yhtä selvä kuin julkisen IP:n kanssa.

Toki rajoittuneemmat, mutta noin oletuksena päästää liikenenttä sisälle jos aloite tullut sisältä päin.

Operaattorien markkinoimissa purkeissa on ollut myös asetuksia millä voi tiukentaa tai avata portteja pysyvästi. Toki varsinkin vanhoissa voi olla lähinnä perus automatiikka

No en ole Valoon jakamia purkkeja käyttänyt, mutta ne operaattorien purkit mitä on tullut vastaan on hyvin rajoittuneet säädöt, joten niiden varaan en kyllä laskisi paljon, jos on tarkoitus jotain omia palveluita helposti saavutettavaksi julkisen IP:n taakse (tämähän oli se mistä keskustelu lähti).

NAT markkinoiminen tieturvana, en nyt vain ymmärrä miksi. Se on haitta halutulle liikenteelle, se että se ei osaa jotain paketti ohjata perille ei ole tieturvaa. Luomalla mielikuvaa että se olisi turvallisempi kuin palomuuri ja julkinen IP. Palomuurille helpompaa kun laitteilla (IPv6) on julkinen IP, tuleva paketti, niin siitä ei tarvi arpoa kuin se päästetäänkö läpi vai ei. Kun tiedetään minne se on tarkoitettu niin palomuurille helppoa, eli ihan yksikertainenkin minimi on jo parempi kuin NAT.

En minä sitä minään tietoturvana markkinoi, mutta se nyt vaan todistetusti estää liikennettä. Se estää paljon sellaista liikennettä joka ei ole varsinaisesti haluttua, vaan sitä nyt vaan on kotiverkossa, koska sinne kotiverkkoon on kytketty vähän vaikka mitä laitetta sen suuremmin miettimättä tietoturvaa. Läheskään kaikki normikuluttajat ei paljon sitä tietoturvaa mieti kun sinne kotiverkkoon kytketään kodin kaikki laitteet. Ei NAT ole että NAT yksistään olisi turvallisempi kuin julkinen IP ja kunnon palomuuri. NAT & palomuuri vaan estää enemmän liikennettä kuin julkinen IP & palomuuri kun puhutaan noista operaattorien jakamista purkeista, joissa säädöt on todella rajalliset. Jos hankkii kunnon palomuurin ja konffaa sen kunnolla, niin se julkinen IP & palomuuri on toki parempi ratkaisu kun operaattorin purkin oletus NAT & palomuuri. Itse näkisin, että lähtökohtaisesti kaikki liikenne, jota ei ole erikseen sallittu pitäisi estää kun puhutaan nyt siitä kotiverkosta, jossa kaikki laitteet kahvinkeittimestä kotiautomaatioon on samassa verkossa (joka on se yleinen tilanne). Ainakaan itselle ei ole tullut sellaista operaattorin jakaman purkkia vastaan, jolla voisi tehdä monta eri verkkoa ja jokaiselle verkolle määrittää omat palomuurisääntönsä.

 

[pulatunnus]

Väittäisin, että se NAT itsessään vähentää kun reitti perille ei ole yhtä selvä kuin julkisen IP:n kanssa.

Jos ei ole palomuuria, niin NAT toki vähentää kolkuttelua portteihin joihin NAT ei ole reittiä avannut. Siitä ei varmaan kinaa.
Mutta jos siellä on se perus palomuuri joka avaa reitin jos sisältä aloite, niin ei sinne kohde koneelle sen enempää tule kolkutteluita, asiat vaan pelaa varmemmin ja palomuurilla paremmat edellytykset toimi halutusti.

No en ole Valoon jakamia purkkeja käyttänyt, mutta ne operaattorien purkit mitä on tullut vastaan on hyvin rajoittuneet säädöt, joten niiden varaan en kyllä laskisi paljon, jos on tarkoitus jotain omia palveluita helposti saavutettavaksi julkisen IP:n taakse (tämähän oli se mistä keskustelu lähti).

Automatiikalla iin operaattoripurkit yleistän parempi kuin NAT, jos käsin mahdollista säätää, niin vielä parempi.

En minä sitä minään tietoturvana markkinoi, mutta se nyt vaan todistetusti estää liikennettä. Se estää paljon sellaista liikennettä joka ei ole varsinaisesti haluttua, vaan sitä nyt vaan on kotiverkossa, koska sinne kotiverkkoon on kytketty vähän vaikka mitä laitetta sen suuremmin miettimättä tietoturvaa.

NAT vs palomuuri ? NAT estää haluttua liikennettä, mutta se päästää myös ei haluttua liikennettä.

NAT tärkein tehtävä (Sen yksi moneen lisäksi) parhaan mukaan saada liikenne sujuun minimi häiriöin. Lähtökohtaisesti se yrittää aukoa ne portit mitä asiakkaat haluaa, mahdollisesti tarvitsee, ei aina onnistu, mutta kuitenkin. Se ei yritä rajoittaa liikennettä.

Palomuuri taasen toimii suojana, estää ei toivottua liikennettä, toki voi välillä estää haluttuakin, mutta idea nimenomaan estää ei toivottu. Jos kaikilla julkinen ip, niin sillä paremmat edellytykset sallia toivottu liikenne je estää ei toivottu.

Kotipukkien palomuurit oletuksen estää ulkotulevan liikenteen, ja sallivat sitä sitten jos sisäverkosta aloite. jos jukisen osoitteet, niin reittimen on helppo reitittää paketit oikein, helppo suodattaa, jopa estää ilmeisen vaaralliset.

. Itse näkisin, että lähtökohtaisesti kaikki liikenne, jota ei ole erikseen sallittu pitäisi estää kun puhutaan nyt siitä kotiverkosta, jossa kaikki laitteet kahvinkeittimestä kotiautomaatioon on samassa verkossa (joka on se yleinen tilanne). Ainakaan itselle ei ole tullut sellaista operaattorin jakaman purkkia vastaan, jolla voisi tehdä monta eri verkkoa ja jokaiselle verkolle määrittää omat palomuurisääntönsä.

No kotikäyttäjä, ei edes semi harrastaja ala säätää sen kanssa että oletuksena kaikki liikenne estetty palomuurissa, jos käyttäjähaluaa ettei internet yhteyttä jollain laitteella, niin ei kytke sitä nettiin. Pelkällä NATilla se on ainoa vaihtoehto, julkisella IPllä ja palomuurilla voi sen kyllä estää (toki onnistuu privaatti IPlläkin), jos esim haluaa kotiverkkoon laitteita joilla ei pääsyä nettiin, mutta kotiverkossa pitää olla käytettävissä.

 

[HTK12]

NAT tärkein tehtävä (Sen yksi moneen lisäksi) parhaan mukaan saada liikenne sujuun minimi häiriöin. Lähtökohtaisesti se yrittää aukoa ne portit mitä asiakkaat haluaa, mahdollisesti tarvitsee, ei aina onnistu, mutta kuitenkin.

Kyllä minä tiedän mikä NAT tärkein tehtävä on ja miten se toimii, mutta käytännössä rajoittaa kuitenkin sitä liikennettä, joka mielestäni on toivottavaa sille perus kotikäyttäjälle tietoturvan kannalta. Tästä voi vapaasti olla erimieltä.

Palomuuri taasen toimii suojana, estää ei toivottua liikennettä, toki voi välillä estää haluttuakin, mutta idea nimenomaan estää ei toivottu. Jos kaikilla julkinen ip, niin sillä paremmat edellytykset sallia toivottu liikenne je estää ei toivottu.

Tästä nyt voi olla montaa mieltä miten hyvin ne operaattorin purkkien palomuurit automaatilla hoitaa. Itse en ainakaan niiden varaan ihan hirveästi laskisi, jos ja kun sinne sisäverkkoon kytketään suunnilleen kaikki mitkä voi kytkeä. En kyllä näe miten se palomuuri suojaisi paremmin julkisen IP:n kanssa. Toki toivottu liikenne pääsee helpommin läpi, mutta niin pääsee se ei toivottukin sisältä ulos.

No kotikäyttäjä, ei edes semi harrastaja ala säätää sen kanssa että oletuksena kaikki liikenne estetty palomuurissa, jos käyttäjähaluaa ettei internet yhteyttä jollain laitteella, niin ei kytke sitä nettiin. Pelkällä NATilla se on ainoa vaihtoehto, julkisella IPllä ja palomuurilla voi sen kyllä estää (toki onnistuu privaatti IPlläkin), jos esim haluaa kotiverkkoon laitteita joilla ei pääsyä nettiin, mutta kotiverkossa pitää olla käytettävissä.

Moni perus kotikäyttäjä ei varmaan ala myöskään erikseen pyytämään sitä julkista IPv6:stakaan. Kuinkahan moni peruskäyttäjä osaa alkaa estämään palomuurista laitteen x pääsyn kotiverkon ulkopuolelle. Itse veikkaan ettei hirveän moni. Foorumilaisista varmaan iso osa kyllä osaa, mutta se nyt ei kuvasta mitenkään sitä peruskäyttäjää. Ei varmaan moni peruskäyttjä ala säätämään palomuuria tai paljon muutakaan, mutta jos alkaa omia palveluita laittamaan nettiin näkyviin julkisen IP:n taakse, niin kannattaa jo alkaa miettimään miten sen palomuurin konffaa. Jos ei halua alkaa miettimään, niin sitten ehkä viisaampi toteuttaa pääsy niihin sisäverkon palveluihin VPN:n kautta.

 

[minapamina]

Eihän tuossa ole kahta sanaakaan, tottakai se NAT lisää tietoturvaa. NATittomuuden vastakohta olisi se, että sisäverkossa jokainen laite olisi omalla julkkariosoitteella. Tällöin kukaan vaan voisi periaatteessa kolkutella sitä himawindowssia tai kameraa. Samalla tavalla CGNAT suojaa operaattorin päätelaitteita/liittymiä, yleensä esim. mobiiliverkossa puhelimia. Ei se tietoturva yhdestä NATista muodostu, mutta se on osa sitä.

Mitä tulee NAT vs muuri väittelyyn, palomuuri on laite jolla voidaan tehdä tietoturvaa, NAT on teknologia jota voidaan käyttää esim. tietoturvaa varten. Toki sillä on paljon muutakin käyttöä. Ei se palomuuri ole sen parempi jos sääntökanta on any-any ja hallinta defaulteilla nettiin.

 

[pulatunnus]

Tästä nyt voi olla montaa mieltä miten hyvin ne operaattorin purkkien palomuurit automaatilla hoitaa. Itse en ainakaan niiden varaan ihan hirveästi laskisi, jos ja kun sinne sisäverkkoon kytketään suunnilleen kaikki mitkä voi kytkeä. En kyllä näe miten se palomuuri suojaisi paremmin julkisen IP:n kanssa. Toki toivottu liikenne pääsee helpommin läpi, mutta niin pääsee se ei toivottukin sisältä ulos.

Ajatus on siinä että jos jokaisella laitteella on se julkinen ip niin palomuuri suojaa sitä laitetta, sallii vain sen liikenteen mikä siihen laitteeseen. Eli jos tulevia portteja avataan sisältä tulleen aloitteen perusteella, niin siellä kuunnellaan sitä mitä toivotaan, tarvittaessa sieltä mistä halutaan.

Jos kytkee sisäverkkoon laitteita joiden ei halua pääsevän nettiin, niin ei siinä NAT auta mitään, siihen tarvitaan palomuuri. toki siitä palomuurista sitten pitää estää se liikenne kokonaan. Vaikka annat ymmärtää ettei kukaan tee niin, niin se kuitenkin palomuurilla mahdollista.

Moni perus kotikäyttäjä ei varmaan ala myöskään erikseen pyytämään sitä julkista IPv6:stakaan. Kuinkahan moni peruskäyttäjä osaa alkaa estämään palomuurista laitteen x pääsyn kotiverkon ulkopuolelle.

IPv6 (netti) jolloin jokaisella laitteella julkinen ip, jos se on nettiin kytketty. (yleistys) , ei tarvi erikseen pyytää. Jos mietit Louneaa, niin sillä kai se IPv6 on veilläkin erikseen pyydettävä. Ja sitten on joku Telia jolla ei saa edes pyytämällä, no silläkin on IPv6 pilottia menossa missä IPv6 käytössä (ilman asiakkaan pyyntöä) , joten toivoa että lähivuosina olisi kaikilla Telian asikkailla saatavilla.

Eihän tuossa ole kahta sanaakaan, tottakai se NAT lisää tietoturvaa. NATittomuuden vastakohta olisi se, että sisäverkossa jokainen laite olisi omalla julkkariosoitteella. Tällöin kukaan vaan voisi periaatteessa kolkutella sitä himawindowssia tai kameraa. Samalla tavalla CGNAT suojaa operaattorin päätelaitteita/liittymiä, yleensä esim. mobiiliverkossa puhelimia. Ei se tietoturva yhdestä NATista muodostu, mutta se on osa sitä.

Lähtökohta on se että välissä on palomuuri.
Suomessa sadattuhannet puhelimet on netissä julkisella IPv6lla.

Mitä tulee NAT vs muuri väittelyyn, palomuuri on laite jolla voidaan tehdä tietoturvaa, NAT on teknologia jota voidaan käyttää esim. tietoturvaa varten. Toki sillä on paljon muutakin käyttöä. Ei se palomuuri ole sen parempi jos sääntökanta on any-any ja hallinta defaulteilla nettiin.

NAT on käytössä ensisijaisesti sen takia että IPv4 osoitteita ei ole tarpeeksi, on sillä sekin idea että piilotetaan sisäverkon IP osoite. privaatti IP osoitteen piilottamista voi pitää tieturvana (ei yksilöi laitetta), mutta 1-moneen NATissa samalla paljastetaan saman IPn takaa tulevat samassa sisäverkossa oleviksi. (no jos kaikilla olisi julkinen samasta nipusta niin toki sekin niitä niputtaa).

Totta että jos palomuuri avaa portit samoin kuin NAT niin ei se tietoturvaa isosti paranna vs NAT.

Jos kotiverkossa on jokin laite joka haluaa portteja auki, niin se sitten aukoo (* ne portit sen oman tai operaattori NATin läpi, julkiseen IPhen verrattuna on se ongelma että kun haluaa käyttää niin se IP ja portti pitää jotenkin välitää toiselle osapuolelle. Jos NATin takaa joku yhteydessä vihamieliseen palvelimeen, niin se iskee suoraan siihen, tai random kolkuttelia sitten kolkuttelee.

NAT on johtanut siihen että palvelut ei enään ole vakiintuneissa porteissa ja siirrytty käyttään protokollia jotka toimii paremmin NATin läpi, en sitäkään laske NATin eduksi, vaan haitaksi, myös tietoturvan kannalta.

(*
Nykyään sovellukset joutuu sen tekemään toimiakseen, jos NAT ei sitä osaa, niin se on sen toimimattomuutta, voidaan tietenkin ajatella että toimimaton netti on tieturvaa.

Tämäketju alkoi kamerasta, eli kamerat jos suunninteltu netin yli käytettäväksi niin ne toimii sen toimivan operaattorin natin läpi. Ongelma on sillä oikealle käyttäjälle se että miten hän löytää sen kameran, kolkuttelia taasen kolkuttelee, ja löytää.



Ja toistan, jos kytkee jonkin laitteen julkiseen nettiin ilman palomuuria, niin kaikki sen palvelut on sitten julkisessa netissä. Jo sinne kytkee verkkotulostimen missä ei mitään pääsynhallintaa ja nippu verkko tulostuspalveluita, niin ne on sitten kaikkien käytössä. Jos välissä on NAT ja tulostin ei siitä auo portteja niin julkisesta netistä ei ole siihen reittejä auki, jos se tulostin soittelee kotiin, niin sitten jo aukeaa sitä liikennettä varten reitti. Tämä ilmeisesti on se miksi moni niin kovasti pitää NAT tieturvajuttuna.

 

[HTK12]

Ajatus on siinä että jos jokaisella laitteella on se julkinen ip niin palomuuri suojaa sitä laitetta, sallii vain sen liikenteen mikä siihen laitteeseen. Eli jos tulevia portteja avataan sisältä tulleen aloitteen perusteella, niin siellä kuunnellaan sitä mitä toivotaan, tarvittaessa sieltä mistä halutaan.

Aivan samoin se suojaa vaikka se NAT olisi käytössä. Ei siis lisää mitenkään tietoturvaa se julkinen IP.

Jos kytkee sisäverkkoon laitteita joiden ei halua pääsevän nettiin, niin ei siinä NAT auta mitään, siihen tarvitaan palomuuri. toki siitä palomuurista sitten pitää estää se liikenne kokonaan.

No monilla normi kuluttajilla vaan siellä kotiverkossa on paljon laitteita, joiden ei tarvitsisi näkyä julkisen IP:n takaa suoraan. Se perus kuluttaja ei ymmärrä vielä tänäkään päivänä juurikaan tietoturvasta eikä mieti kovin syvällisesti kun kytkee vaikka sen kahvinkeittimen kotiverkkoon. Edelleen se NAT blokkaa aika paljon liikennettä, joten se oletuksena lisää tietoturvaa.

Vaikka annat ymmärtää En minä missään ole sanonut ettei kukaan tee, vaan suurinosa niistä peruskäyttäjistä ei tee. Kun eivät tiedä miten se tehdään tai, että niin edes kannattaisi tehdä. Läheskään kaikilla operaattorien purkeilla ei ole mitään erittäin hyviä säätöjä mahdollisuuksia ainakaan omien kokemuksien mukaan. Ne ketkä tuollaisia tekee luultavasti heivaa sen operaattorin purkin jo olan yli ja hankkivat saa paremman laitteen, että saa ne kodin laitteet jaettua eriverkkoihin jne.ettei kukaan tee niin, niin se kuitenkin palomuurilla mahdollista.

En minä missään ole väittänyt ettei kukaan tee, vaan suurinosa niistä peruskäyttäjistä ei tee (itsehän aloit näistä peruskäyttäjien palomuurin konffaamisesta puhumaan). Kun eivät tiedä miten se tehdään tai, että niin edes kannattaisi tehdä. Läheskään kaikilla operaattorien purkeilla ei ole mitään erittäin hyviä säätöjä mahdollisuuksia ainakaan omien kokemuksien mukaan. Ne ketkä tuollaisia tekee luultavasti heivaa sen operaattorin purkin jo olan yli ja hankkivat saa paremman laitteen, että saa ne kodin laitteet jaettua eriverkkoihin jne. Oletusasetuksilla se operaattoripurkin palomuuri ei mikään erinomainen ole, vaikka muuta tunnut väittävän.