VALOO valokuitu

[pulatunnus]

Alkuosasta oli hieman vaikea saada selkoa? Mutta jos tarkoitit sanoa että NAT ei ole palomuuri, niin totta, ei olekaan. NAT ei ota kantaa liikenteen sisältöön, toisin kuin palomuurin pitäisi. Mutta pelkästään jo NAT estää aika tehokkaasti pääsyn sisäverkkoon - olettaen että reititin ei ole haavoittuvaa mallia. Ja jos se reititin on haavoittuvaa mallia, niin sitten sen palomuurillakaan tuskin on virkaa?

Siinä olen samaa mieltä että NAT estää liikennettä. Mutta se ei ole NATin tarkoitus, vaan haitta, ongelma.

Jos sisäverkon laitteella ei ole tuoreita yhteyksiä nettiin, niin NAT heikosti osaa sille paketteja netistä ohjata, ei toivottujakaan.

Tiedätkö käyttäjiä joilla olisi verkkonsa kaikilla laitteilla julkiset IP:t? Minä en.

Nykyään tuskin, Yksi moneen NAT käytetään vain sen takia että niitä IPv4 osoitteita on niukasti. Muuten voitaisiin mennä niin että kaikille laitteille olisi julkinen IPv4.
IPv6lla julkinen ip on oletus.

Käsittääkseni NAT ei toimi kuten väität, eli että jos laite käyttää nettiä, niin "siellä on sitten reitit netistä tulostimeenkin päin". Eikös nuo reitit muodosteta sieltä NATin sisältä kohdeosoitteisiin? Simppeli simerkki, tulostin ottaa yhteyttä palveluun x netissä, resolvaten sen IP:ksi vaikka 1.2.3.4, niin sitten siellä on reitti auki tuosta 1.2.3.4 ja aukaistusta portista tuolle sisäverkosta huutelun aloittaneelle tulostimelle - ei mitenkään "ovi auki koko internetille huudella tulostimelle"? UPNP ymv on sitten erikseen, sen avulla voi aukoa NATtiin reikiä palveluille port forwardin tapaan...

Jos se tulostin haluaa sieltä netistä vastauksen niin NAT pitää olla reikä sille. (* NATkäyttö on toki johtanut siihen että siirrytty käyttään protokollia missä oletus että ei välissä on NAT. Ei sen takia että se olisi hyvä, vaan sen takia että netti ei toimi. NAT yrittää parhaansa mukaan arpo niitä tulevia paketteja oikealle laitteelle. Joillain protokollilla voi olla hankalempaa jos sen NATin takana useita samaa protokollaa käyttäviä.


NAT toteutuksiin on tullut myös palomuurikaltaisia ominaisuuksia, se voi joissain tapauksissa estää / päästää tulevaa liikennettä lähteen mukaan, se ei sinänsä ole NAT tehtävä, vaan enemmänkin haitta jota joudutaan tekemään että hanskataan useita sisäverkon yhteyksiä.

UPNP ymv on sitten erikseen, sen avulla voi aukoa NATtiin reikiä palveluille port forwardin tapaan...

Protokollat joilla sisäverkon laite voi kertoa NATille tarpeistaan on välttämättämiä että niitä reittejä saadaan auki. nekin sitten vaatii sen että jollain muualla tavalla viestitään se mistä portista, missä julkisessa osoitteessa palvellaan, sekin lähinnä vain vaikeuttaa palomuurin työtä.

Jos se IPv6 olisi ollut ajoissa, niin ei olisi noita murheita, palomuurit, joilla ihan lähtökohtaisesti helpompaa.

(NAT tässä yhteydessä tarkoitetaan Yksi moneen NAT)



(*
Tähän se NAT suoja perustuu, se ei osaa reittittään oikeaan kohteeseen muuta, no osaan yhteyksiä se voi arpoa useamman portin, eli ei sille tulostimelle mene kaikki liikenne mitä ko julkiseen osoitteeseen tulee, vaan vain ne reijät mitä avattu. Eli jos tulostin lähettää jonkin http pyynnön, niin ei NAT sille avaa portteja kaikille tulostimen palveluille.

Muihin julkisen osoitteen portteihin tuleva liikenne menee sitten jollekkin muulle laitteelle, tai jää reitittämättä kokonaan.

 

[HTK12]

Jos laitatte kotiautomaatiota, turvakameroita, tulostimia tms. suoraan julkisen IP:n taakse nettiin niin katsokaan sitten, että se tietoturva on kunnossa. Suurimalle osalle en kyllä itse suosittaisi. Parempi olisi pitää ne sisäverkossa ja sitten vaikka VPN kautta käyttää.

 

[pulatunnus]

Jos laitatte kotiautomaatiota, turvakameroita, tulostimia tms. suoraan julkisen IP:n taakse nettiin niin katsokaan sitten, että se tietoturva on kunnossa. Suurimalle osalle en kyllä itse suosittaisi. Parempi olisi pitää ne sisäverkossa ja sitten vaikka VPN kautta käyttää.

Tuo ehkä vie jo yleismpään kekusteluun kuin pelkästään Valoo valokuitu , ja ehdottomasti palomuuri väliin.

En oikein löytänyt aihetta liippaavaa ketjua, rakennna oma palomuuri ehkä vähän liin pitkälle menevä, kameroista oli oma ketju threads/palomuuri-ja-valvontakameran-etakaytto.567833/. Tosin siinä kamera ei ollut suoraan julkisen IPn takana, ja palomuurikin taisi olla välissä. Joku voisi perustaa yleisen palomuuri ketjun.

Spoileri

Suoraan julkisen IPn taakse käytännössä tarkoittaa IPv6, tai sitten IPv4lla vahingossa laitettu suoraan kuitukytkimen tai sillatun modeemin perään. jälkimmäisiä mokia tapahtuu, joihin herätään lähinnä sen takia että tulostin, telkka ei toimi halutusti kotiverkosta, tai osa laitteista jää ilman IP osoitetta. Ja tuo ilman muuta vaarallista.

IoT, Kamerat, saa toki olla se julkinen IP (IPv6) jos ne nettiä tarvii, mutta palomuuri väliin , sillä voi sitten estää kaiken ei välttämättömän. (esim sen kameran niin ettei sitä pääse ulkoa katsomaan)

 

[HTK12]

Tuo ehkä vie jo yleismpään kekusteluun kuin pelkästään Valoo valokuitu , ja ehdottomasti palomuuri väliin.

En oikein löytänyt aihetta liippaavaa ketjua, rakennna oma palomuuri ehkä vähän liin pitkälle menevä, kameroista oli oma ketju threads/palomuuri-ja-valvontakameran-etakaytto.567833/. Tosin siinä kamera ei ollut suoraan julkisen IPn takana, ja palomuurikin taisi olla välissä. Joku voisi perustaa yleisen palomuuri ketjun.

Spoileri

Suoraan julkisen IPn taakse käytännössä tarkoittaa IPv6, tai sitten IPv4lla vahingossa laitettu suoraan kuitukytkimen tai sillatun modeemin perään. jälkimmäisiä mokia tapahtuu, joihin herätään lähinnä sen takia että tulostin, telkka ei toimi halutusti kotiverkosta, tai osa laitteista jää ilman IP osoitetta. Ja tuo ilman muuta vaarallista.

IoT, Kamerat, saa toki olla se julkinen IP (IPv6) jos ne nettiä tarvii, mutta palomuuri väliin , sillä voi sitten estää kaiken ei välttämättömän. (esim sen kameran niin ettei sitä pääse ulkoa katsomaan)

Kun tässä nyt aiemmin perusteltiin julkisen IPv4 tarvetta sillä, että näitä palveluita voisi helposti käyttää myös etänä, niin ajattelin tästä huomauttaa. Niin ja se, että laittaa palomuurin nyt ei vielä riitä alkuunkaan, jos siitä päästetään liikennettä omiin sisäverkon palveluihin. Pitää lisäksi huolehtia, että se palvelu jonka sinne nettiin kytkee on riittävän hyvin suojattu. Edes huipputason yrityspalomuuri ei vielä takaa, että niitä palveluita voisi huoletta laittaa nettiin. Jos esim. siinä IoT on joku haavoittovuus, niin koko verkko voi tästä vaarantua (vaikka ongelma olisi valmistajan softissa ei omissa käsissä). IOT haavoittovuudesta esimerkkinä esim. Robotti-imuri alkoi salakuvata ja solvata rasistisesti – myynnissä myös Suomessa.

Joo menee kyllä OT:n puolelle, mutta eipä taida oikein parempaakaan ketjua olla. Näistä ehkä kuitenkin hyvä ihmisiä varoitella vähän useammassakin ketjussa vaikka menisi ohi aiheen. Kaikki ei välttämättä ihan tajua miten iso juttu tuo tietoturva on siinä vaiheessa kun niitä omia palveluita alkaa nettiin työntämään.

Spoileri

Kyllä niitä laitteita laitetaan ihan tarkoituksella sinne julkisen IP:n taakse joskus. Itselläkin oli aikoinaan Elisan viihde boksi kun ei muuten saanut mesh verkon yli palomuurin takana toimimaan vakaasti. Tästä keskustelin Elisan teknisen tuen kanssa ja tuumasi, että kyllä heidän purkissa pitäisi olla riitävä tietoturva, joten laitoin sitten sillatunportin taakse ilman pääsyä sisäverkkoon, jossa toimikin ilman mitään ongelmia.

 

[pulatunnus]

Kun tässä nyt aiemmin perusteltiin julkisen IPv4 tarvetta sillä, että näitä palveluita voisi helposti käyttää myös etänä, niin ajattelin tästä huomauttaa. Niin ja se, että laittaa palomuurin nyt ei vielä riitä alkuunkaan, jos siitä päästetään liikennettä omiin sisäverkon palveluihin. ...

Kannatan oman ketjun perustamista, mutta jos tähän ketjuun tärkeää. Niin se julkinen IP ei ole vaarallinen, kaikilla laitteilla saa olla julkinen IP ja sen vain helpompaa palomuurissa. Oleellista on se ettei laitteita laita ilman palomuuria nettiin.
Valoolla julkinen IP useammalle laitteella tarkoittaa IPv6.

Jos ei luota kameraan, niin kannattaa siltä palomuurissa estää kaikki netti liikenne, jos luottaa vähän niin salli vain ne luotetut. Jos tarpeeseen sopii, niin VPN jolla voi sitten tulla sisäverkkoon. Kunhan se VPN nyt on luotettu.

Kannatan kotiympäristössäkin useampia eri verkkoja jotka erillään toisistaan, yhteen ne kodin arkilaitteet (esim tietokoneet ja niiden kanssa käytettävä laitteet), yhteen riskilaitteet (kiinan ihmeet), yhteen kriittiset suojeltavat laittee (kiinteistö automaatio, valvonta), Kriittisin verkko ilman nettiä.


Edit:
Ja kamerat, mikit jotka tarvitsee nettiyhteyttä, niin sijoittaa niin että sen vuotaminen julkiseen nettiin on asia minkä kestää.

 

[HTK12]

Kannatan oman ketjun perustamista, mutta jos tähän ketjuun tärkeää. Niin se julkinen IP ei ole vaarallinen, kaikilla laitteilla saa olla julkinen IP ja sen vain helpompaa palomuurissa. Oleellista on se ettei laitteita laita ilman palomuuria nettiin.
Valoolla julkinen IP useammalle laitteella tarkoittaa IPv6.

Jos ei luota kameraan, niin kannattaa siltä palomuurissa estää kaikki netti liikenne, jos luottaa vähän niin salli vain ne luotetut. Jos tarpeeseen sopii, niin VPN jolla voi sitten tulla sisäverkkoon. Kunhan se VPN nyt on luotettu.

Kannatan kotiympäristössäkin useampia eri verkkoja jotka erillään toisistaan, yhteen ne kodin arkilaitteet (esim tietokoneet ja niiden kanssa käytettävä laitteet), yhteen riskilaitteet (kiinan ihmeet), yhteen kriittiset suojeltavat laittee (kiinteistö automaatio, valvonta), Kriittisin verkko ilman nettiä.


Edit:
Ja kamerat, mikit jotka tarvitsee nettiyhteyttä, niin sijoittaa niin että sen vuotaminen julkiseen nettiin on asia minkä kestää.

Jos joku jaksaa tehdä tästä on ketjun, niin eikun vaan. Periaatteessa julkinen IP ei ole ongelma, mutta kun katsot näitä operaattorien jakamia laitteita, niin yleensä niiden takana saa julkisen IP:n vain siltaamalla ko. portin (ainakin omien kokemuksien perusteella). Näitä operaattorien jakamia laitteita taitaa kuitenkin suurinosa käyttää. Julkista IP:tä tarvitsee lähinnä mielestäni vain, jos ko. palveluun tarvitsee päästä sen kotiverkon ulkopuolelta käsiksi, jos ei tarvitse, niin mihin sitä julkista IP:tä tarvitsee? Julkisen IP:n käyttäminen (eli portin siltaaminen operaattorien purkeilla) lisää kolkuttelijoiden määrää, joten siinä mielessä se NAT on turvallisempi. Toki jos homma tehdään oikein ja kunnon palomuurilla näiden operaattorien purkkien sijaan, niin homma erikseen.

Itse olisin ainakin aika varovainen kaikkien IoT laitteiden nettiin päästämisessä. Miten esim. valmistajan X-kameran ohjelmiston tietoturvasta & päivityksistä voi edes kuluttajalaitteissa varmistua? Näiden kohdalla pitäisi sitten myös muistaa estää laitteen pääsy nettiin kun valmistaja lopettaa ohjelmistopäivitykset.

Jos pääsy sisäverkon laitteisiin ulkopuolelta on VPN kautta, niin tarvitsee murehtia vaan sen VPN tietoturvasta, ei jokaisen nettiin päästämänsä laitteen tietoturvasta erikseen.

Olen samaa mieltä, että kotiverkkokin pitäisi jakaa useampaan verkkoon. Tämäkään ei yleensä taida valitettavasti onnistua näillä operaattorin jakamilla laitteilla.

 

[pulatunnus]

Jos joku jaksaa tehdä tästä on ketjun, niin eikun vaan.

Kannatan oman ketjun tekemistä, ei ajatuksesi koske pelkästään Valoota.

Periaatteessa julkinen IP ei ole ongelma, mutta kun katsot näitä operaattorien jakamia laitteita, niin yleensä niiden takana saa julkisen IP:n vain siltaamalla ko. portin (ainakin omien kokemuksien perusteella). Näitä operaattorien jakamia laitteita taitaa kuitenkin suurinosa käyttää.

Valoolla julkinen IP joillekkin laitteelle (muu kuin eka reitin (*) tarkoittaa IPv6 , IPv6 taasen se onnistuu helposti ja se peruskäytäntöä. Tärkeintä on se että välissä on palomuuri. Nykyään Operaattorien tarjoamissa reittimissä pitäisi olla palomuuri IPv6, eli ollaan lähtötasolla jo turvallisemmassa kuin perus IPv4 NATissa.

Itse olisin ainakin aika varovainen kaikkien IoT laitteiden nettiin päästämisessä. Miten esim. valmistajan X-kameran ohjelmiston tietoturvasta & päivityksistä voi edes kuluttajalaitteissa varmistua? Näiden kohdalla pitäisi sitten myös muistaa estää laitteen pääsy nettiin kun valmistaja lopettaa ohjelmistopäivitykset.

Ilman muuta kannattaa olla varovainen, mutta jos kuitenkin niitä asentaa sinne kotiverkkoon, niin se eka tärkein juttu on palomuuri. Jos laitteita mitkä eivät tarvitse nettiä, niin niille oma verkko ilman nettiä on ihan pohdinnan arvoinen.

(*
Käytännössä muillakkin kuluttaja operaattoreilla, koska max julkinen IPv4 määrä on viisi tai vähemmän.

VPN käyttöä suosittelen myös jos on tarve päästä kotiverkon palveluihin, sen käyttö helpottaa että julkinen IPv4 sillä VPN palvelimella. Valoolla tarkoittaa että pitää pyytää julkinen IPv4 ja tarkoittaa sitä että kaikki kotiverkon IPv4 nettiliikenne sen IPn kautta.

 

[flamma]

Kannatan omaa ketjua. Keskustelu on mielenkiintoinen ja aina ajankohtainen. Ehdottomasti VPN:n kautta sisään sinne kotiverkkoon tai mihin tahaansa muuallekkaan, missä ei ole tarvetta pitää palvelua julkisessa verkossa. Wireguard on sen verran kevyt ja nopea, ettei sitä edes huomaa käytössä.

Mitä noihin operaattoreiden purkkeihin tulee, niin ei tästä ole kauhean monta vuotta, kun jonkun yhteyden mukana kaveri sai reitittimen, jossa wlan vakiosalana oli kymmenen numeroa. Ei siis ollut sattumaa, vaan ihan joka boksissa sama homma. Ei tuota perusvehkeillä nyt varmaan ihan minuutissa brute forcea, mutta aukeaa kyllä ajan kanssa. En koske noihin vehkeisiin pitkällä, enkä lyhyellä tikulla. Tuolla tuo Valoon laatikko on autotallissa avaamattomana. Pitää varmaan antaa kaverille, kun ilmeisesti haluaisi mesh verkon.

Palataan takaisin aiheeseen.

Tänään soittivat Valoolta, että julkinen IP voidaan kytkeä ja ihan kysyivät haittaako katko. Kokemukset firmasta voisi summata:

+ Toimitus ainakin omalla kohdalla yllätävän nopea. Tilaus --> kytkentä - alle vuosi.
+ Tuotteet ja palvelut ilmoitettu järjevästi, ilman harhaanjohtavaa vouhkaamista. Saatan jopa harkita tuota IPTV:tä, vaikken TV:tä katsokkaan
+ Tuote toimii niinkuin luvattu, ainakin lyhyen kokemuksen perusteella.

- Asiakaspalvelu täysin tukossa. Soittavat kyllä parin päivän viiveellä takaisin ja palvelu on hyvää kunhan sitä saa.

 

[HTK12]

Valoolla julkinen IP joillekkin laitteelle (muu kuin eka reitin (*) tarkoittaa IPv6 , IPv6 taasen se onnistuu helposti ja se peruskäytäntöä. Tärkeintä on se että välissä on palomuuri. Nykyään Operaattorien tarjoamissa reittimissä pitäisi olla palomuuri IPv6, eli ollaan lähtötasolla jo turvallisemmassa kuin perus IPv4 NATissa.

Kyllähän suunnilleen kaikissa operaattorien IPv4 NAT reitittimissä on ollut jo ties kuinka kauan palomuuri. Julkiset IP:t lisää kolkuttelijoiden määrää, joten itse miettisin tarkkaan mikä laite oikeasti kannattaa päästää sinne kotiverkon ulkopuolelle. Minkälaiset säädöt noissa Valoon jakamissa reitittimissä on palomuurille, voiko niillä tehdä useamman toisistaan erillisen sisäverkon jne? Mitä nyt noita heidän käyttöohjeitaan on verkossa, niin ei kyllä saa oikein minkäänlaista käsitystä.

Ilman muuta kannattaa olla varovainen, mutta jos kuitenkin niitä asentaa sinne kotiverkkoon, niin se eka tärkein juttu on palomuuri. Jos laitteita mitkä eivät tarvitse nettiä, niin niille oma verkko ilman nettiä on ihan pohdinnan arvoinen.

Ennen kuin mitään omia palveluita laittaa näkymään kotiverkon ulkopuolelta kannattaa oikeasti perehtyä tietoturvaan. Kuten sanoin se palomuuri ei riitä alkuunkaan, jos muuten tietoturvasta ei ole huolehdittu. Palomuuri rajaa, että vain haluttuihin palveluihin pääsee käsiksi, mutta kun se verkkoon laittamasi palvelu voi vaarantaa koko kotiverkon. Laitteita bottiverkoissa on sen verran paljon, että sinne ei lisää enää tarvittaisi. Mutta eiköhän tämä offtopic ala riittää aiheesta omalta osaltani.

 

[pulatunnus]

Kyllähän suunnilleen kaikissa operaattorien IPv4 NAT reitittimissä on ollut jo ties kuinka kauan palomuuri. Julkiset IP:t lisää kolkuttelijoiden määrää, joten itse miettisin tarkkaan mikä laite oikeasti kannattaa päästää sinne kotiverkon ulkopuolelle. Minkälaiset säädöt noissa Valoon jakamissa reitittimissä on palomuurille, voiko niillä tehdä useamman toisistaan erillisen sisäverkon jne? Mitä nyt noita heidän käyttöohjeitaan on verkossa, niin ei kyllä saa oikein minkäänlaista käsitystä.

Edelleen ei ole vain Valooseen liittyvää. Mutta Valoolla on oletuksena operaattori NAT, samasta julkisesta IP useita asiakkaita ja heidän ohjelmat, käyttäjät. Se trikkeroi niitä kolkutteluita. Jos joku yhteydessä johonkin vihamieliseen palvelimeen, joka sitten sitten voi iskeä vastapalloon. (Mahdollisesti siellä Valoon NATissa on palomuurimaisia ominaisuuksia)

Tiettävästi Valoon kytkyreittimessä on ihan tyypillinen palomuuri, eli sen takia ei kannata pelätä julkisen IPn tilaamista, eikä pelätä IPv6 käyttöönottoa. Ne lähinnä parantavat netin toimivuutta.

Vaikka yleinen oletus että operaattorin tarjoamassa reittimessä on palomuuri, niin kannattaa se kuitenkin varmistaa, ja että on siis IPv4 ja IPv6.

Silloin on jo pitkällä kun se kelpo reititin ja on huolellinen kytkennöissä ettei vahingossa kytke palomuuri reittimen lisäksi muita laitteita julkiseen nettiin.

Ja tiedostaa se että jos kytkee jonkin nettiäkäyttävän laitteen kotiverkkoon, niin se on sitten netissä ja oli NAT tai ei, niin siellä joku palvelu joka kuuntelee netistä tulevia paketteja.

 

[HTK12]

Edelleen ei ole vain Valooseen liittyvää. Mutta Valoolla on oletuksena operaattori NAT, samasta julkisesta IP useita asiakkaita ja heidän ohjelmat, käyttäjät. Se trikkeroi niitä kolkutteluita. Jos joku yhteydessä johonkin vihamieliseen palvelimeen, joka sitten sitten voi iskeä vastapalloon. (Mahdollisesti siellä Valoon NATissa on palomuurimaisia ominaisuuksia)

Tiettävästi Valoon kytkyreittimessä on ihan tyypillinen palomuuri, eli sen takia ei kannata pelätä julkisen IPn tilaamista, eikä pelätä IPv6 käyttöönottoa. Ne lähinnä parantavat netin toimivuutta.

Vaikka yleinen oletus että operaattorin tarjoamassa reittimessä on palomuuri, niin kannattaa se kuitenkin varmistaa, ja että on siis IPv4 ja IPv6.

Silloin on jo pitkällä kun se kelpo reititin ja on huolellinen kytkennöissä ettei vahingossa kytke palomuuri reittimen lisäksi muita laitteita julkiseen nettiin.

Ja tiedostaa se että jos kytkee jonkin nettiäkäyttävän laitteen kotiverkkoon, niin se on sitten netissä ja oli NAT tai ei, niin siellä joku palvelu joka kuuntelee netistä tulevia paketteja.

Vastataan nyt vielä. Kyllä niitä kolkutteluita tulee ilman, että yhteydessä mihinkään vihamieliseen palvelimeen.

Itsellä ei ainakaan ole kovin suuri luotto tuollaiseen operaattorin toimittaman purkin palomuuriin, jonka säädöt on luultavasti hyvin rajoittuneet kunnon palomuuriin verrattuna. Suurin osa käyttäjistä ei huomaa eroa normikäytössä onko käytössä IPv4 NATilla vai julkinen IPv6. Eroa tulee lähinnä siinä vaiheessa kun pitää syystä x saada yhteys ulkoa sinne sisäverkon palveluun y. NAT siinä välissä lisää turvallisuutta estämällä liikennettä. Eihän se ole NAT tarkoitus, mutta käytännössä parantaa tietoturvaa estämällä liikennettä. Joku voi toki pitää sitä ei toivottuna haittana. Ei sitä julkista IP:tä kannata pelätä, mutta kannattaa tiedostaa, että sen kanssa tietoturvasta on huolehdittava vielä tarkemmin.

Jos sinne kotiverkkoon kytkee jotain, johon pitää päästä ulkoa käsiksi, niin siinä vaiheessa kyllä suosittaisin suoraan heittämään ne operaattorin purkit olan yli ja hankkimaan kunnon palomuurin.

Kotona kannattaa miettiä mitkä laitteet oikeasti sitä nettiä tarvitsevat. Tarvitseeko sen kahvinkeittimen tai jääkaapin välttämättä päästä nettiin.