Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Marekuss 19. 05. 2023, 23:12:45
-
Známy ma požiadal o prediskutovanie návrhu siete do RD kde sa mi/nám jedná o výber vhodného HW (router/switch).
Preto by som rád s Vami predebatoval použitý HW a technológie - jedná sa o RD, dajme tomu nadčasový HW, rozpočet je voľný ale s "rozumom"
Momentálne:
* Je osadený 19" Rack
* Je natahaná LAN 6A na všetky relevantné miesta v dome
* Do domu vediet prípojka D600/U100Mb (UPC Broadband router)
Do siete budu pripojené:
* PC(2x) + Notebook(Wifi)
* Kotol(1x)
* Samsung TV(2x)
* Guest WAN
* Kamerový systém(4/6x) (predpokladám že kamery budú mať svoje NVR (hikvision?)
Do siete nieje planované:
* NAS alebo server
Rád by som nasmerovanie:
1) Použijem 16p managed switch 1/2.5Gbit a vhodne rozvrstvím sieť/VLAN + vhodný non-wifi router - nejaké tipy?
2) ?
Ďakujem ža každú radu, podnet.
-
Takovou srandu ti v pohodě uroutuje i přímo modem od UPC (případně si ten modem přepni do bridge, pokud máš veřejnou IPv4 a za něho dej nějaký TP-Link typu Archer AX20) a WiFi po baráku udělej přes Ubiquiti UniFi. Switche pak úplně stačí za pár € s Gbps porty a na vymýšlení nějakých VLAN bych se vybodl. Čím jednoduší to celé bude, tím líp.
-
To já bych tam ty VLAN udělal. Jednu pro WLAN pro hosty, oddělenou od zbytku sítě, totéž pro televize. Kamerový systém by měl další VLAN, které bych zakázal přístup do všech ostatních. Do ní bych povolil pouze přístup z vnitřní sítě pro PC a případně přes VPN, protože bych třeba nerad, aby čínské nebo jakékoliv jiné NVR nebo přímo kamery posílaly jakákoliv data "domů".
Řekl bych, že switch bude v pohodě stačit nějaký managed (pokud půjdeš do těch VLAN), gigabit - přípojku internetu to omezovat nebude a přes gigabit se v dohledné době asi stejně nedostane. Navíc pokud tam není NAS, nepředpokládal bych potřebu nějakých velkých přesunů dat v síti, aby mělo smysl řešit třeba těch 2,5 Gbps. Postavil bych to buď na MikroTiku nebo na něčem, do čeho se dá rozumně nacpat OpenWRT (což může být nakonec i ten MT).
-
Proboha na co? Oddělená síť nemá v tomto případě smysl ani pro hosty, natož pro TV nebo kamery (ke kterým se stejně nikdo bez přístupových údajů nedostane). Je to zbytečné vytváření komplikací a zcela bez užitku, akorát si majitel domu bude časem rvát vlasy, když se to podělá. RD není nějaká firma nebo instituce, aby bylo potřeba dělat harakiri s VLAN/WLAN.
-
Port based vlan jsou na rvani si vlasu?
Proboha na co? Oddělená síť nemá v tomto případě smysl ani pro hosty, natož pro TV nebo kamery (ke kterým se stejně nikdo bez přístupových údajů nedostane). Je to zbytečné vytváření komplikací a zcela bez užitku, akorát si majitel domu bude časem rvát vlasy, když se to podělá. RD není nějaká firma nebo instituce, aby bylo potřeba dělat harakiri s VLAN/WLAN.
-
Autor dotazu se na něco ptá, takže zjevně není příliš kovaný v dané problematice. A ještě ke všemu se ptá proto, aby to pak realizoval u někoho dalšího, který se v tom nejspíš neorientuje vůbec (kdyby ano, pak si to udělá sám). To je jasné znamení, že všechno musí být co nejjednodušší a ne vytvářet složitosti, které navíc nemají absolutně žádné opodstatnění, jelikož se jedná o RD.
-
Dotaz byl o výběru hardware, ne o tom jestli má používat VLANy.
Ještě jsem teda nezažil, že by se VLANy nějak uměly samy podělat. Majitel nebude na nic chytat tak jako tak, jinak by si to dělal sám. V dotazu byl zmíněn kotel. Tak ten by určitě měl být v samostatné VLAN. Když mi přijde návštěva s mobilem plným malwaru, určitě nechci aby měli přístup do mojí automatizace.
-
Dotaz byl nejenom na HW, ale i na technologie. Stačí pozorně číst.
A když ke mně přijde návštěva, tak jestli má malware v telefonu nebo ne, to nemůže ohrozit provoz kotle, protože do jeho nastavení se nelze dostat jenom tím, že běhá ve stejné síti jako nějaký mobil. A opět napíši, že se bavíme o RD a ne nějaké veřejné WiFi, kde se budou připojovat stovky lidí, takže netřeba z toho dělat kovbojku.
-
Autor dotazu jasne pouzil vyraz VLAN, zminil rozvrstveni site a jeho kamarad ma v dome automatizaci. Nekteri povazuji za normalni, ze malware z mobilu si bude hrat s kotlem, jak naznacil bmn.
Klikaci a s uvedenym rozpoctem Checkpoint SMB + hloupy switch, modem do bridge a nejakou wifi. Checkpointy zacinaji na $500.
Wifi na jednom portu/VLAN, automatizace druhy port/VLAN, ostatni treti port/VLAN+switch, nastavit komunikaci mezi VLAN 1 a 3 je na par kliknuti ve webUI.
-
Mně je to nakonec fuk, protože moje síť to nebude a nebudu ani řešit její problémy. Pouze jsem napsal, že bych v případě RD nedělal z té sítě drama, toť vše :)
-
Tomuhle se říká dělat raketovou vědu, kde bohatě stačí papírová vlaštovka.
Proboha, na co VLAN? :-D Jeden router (klidně od toho UPC) a připojit kabely z bytu. Případně, pokud nedostatek portů, tak vlastní switch (není ani potřeba jakýkoli manageovatelný) s vícero dírama a roztahat.
Na wifi něco od UniFy.. a je vymalováno
VLANy na televizi? ježiš, proč?
-
Nebo RB2011/4011 a naklikat si ho podle navodu se stejnou logikou jako jsem psal u CP. Navody a vzorova konfigurace je u vyrobce na wiki.
Stejnou praci udela Ubiquiti, ale tam neumim poradit. Z jejich nabidky zmizelo co jsem pouzival/znal a male routery maji jen s wifi.
-
Koupis si novy kotel, protoze ti ho odvari malware z telefonu synacka posledni navstevy? Nejlepe v zime, kdyz je venku -20 a dostupnost kotle bude 2-4 mesice :-) A takovych scenaru je vic.
Ja bych cas do nastaveni 2x port based VLAN investoval, cloveku je pak mensi zima, napriklad. Trva to par minut a vysledek je blbuvzdorny.
Proboha, na co VLAN? :-D
-
Hmmm.. a kdyz ti na barak spadne meteorit, tak budes bez elektriny, bez plynu ... a VLANy ti budou k nicemu, i kdyby jich melo bejt deset :-D
-
Nekdo pozadoval ochranu pred meteoritem pomoci VLAN? Mas velmi zajimave mysleni.
Kdyz chces, pridelavej si problemu kolik chces. 2 VLANy na portech mas nastavene za par sekund a prinos je velky.
-
Jenom technická - pokud bude na WiFi použit systém Ubiquiti UniFi, pak tento sám o sobě VLAN umí, takže router/modem může klidně zůstat od UPC a switche mohou být běžné bez managementu. Tedy samozřejmě za předpokladu, že se návštěvy budou připojovat jenom přes WiFi a ne podloudně kabelem přímo do routeru nebo switche :D
-
ja mam napr. v dome hlavny router mikrotik 750G s gigabit portmi. wan je wifi, to ale nie je podstatne. 2 porty idu na 2 wifi mikrotiky, kde mam 3 wifi siete - domaca, hostia a smart zariadenia.
Planujem dat hostia a smart do samostatnych vlan, pevne zasuvky v dome idu do jedneho gbit switcha, ktory je napojeny na treti port mikrotiku. stvrty port bude ethernet pre smart - tam mi bezi mini pc, ktore riadi domacnost.
hostovska wifi bude moct ist len na internet, smart budu samostna siet, kde pristup na internet sa bude urcovat pravidlami.
vlan v dome urcite nie je blbost, ale hlavne v dome smart zariadeni to zvysuje bezpecnost. A ked sa dobre nastavi, tak proste funguje, bez akehokolvek zasahu.
-
Díky chalani za plodnú diskusiu.
Samozrejme sa nesnažím o kanón na vrabce, ale o niečo funkčné a trocha nadčasové
* Kotol považujem za vcelku kritickú súčasť domu a zvlášť ak je pripojená na internet, tam by mi VLAN dával logiku
* Moderné Smart TV sú bežne "vybavené" vlastným OS (Android?), popravde výrobca (ak ho) podporuje pár rokov a potom dovi, tiež by mi dávalo logiku niečo ako smart TV nepustiť do domácej siete
* K známym často chodia deti (pani je na dôchodku - bývala vychovatelka), všetky majú smartphony v rôznom stave rozkladu, Nové deti čo prídhádzaju občas na návštevu prvé čo si vypýtajú je heslo na wifi.... Guest wifi mi dáva tiež logiku
Rack je umiestnený v pivnici(sklepení)
Pre VLAN
1)
(1Gbit)
* UPC (bridge)
* Router: Ubiquiti EdgeRouter X (2000 Kč) (default/OpenWRT) / Mikrotik RouterBoard / TP-LINK
* Switch: TP-LINK TL-SG116E/TP-Link TL-SG1016DE ( ~2500 kč)
-----------------------
4500 kč
2)
(1Gbit)
* UPC (bridge)
* Router: MikroTik RB4011iGS+RM (~4500 kč)
* Switch: TP-LINK TL-SG116E/TP-Link TL-SG1016DE ( ~2500 kč)
-----------------------
7000 kč
Partial VLAN
- Dom (Wifi)/PC pôjdu do switch-u (7x)
- Kotol pôjde do router-u (1x)
- SmartTV do router-u (2x)
- Guest Wifi (??? 100mbit wifi AP) do router-u (1x)
- Kamery/NVR do switch-u (5x) - druhý
4)
(1Gbit)
* UPC (bridge)
* Router: Mikrotik RB2011iL-IN (10p) (~2500 Kč)
* Switch: 8P ( 600 kč) (LAN_NETWORK)
* Switch: 8P ( 600 kč) (CAMERA_NVR)
-----------------------
3700 kč
Bez VLAN
4)
(1Gbit)
* router: UPC
* Switch: TP-LINK TL-SG116 ( ~ 1600Kč)
-----------------------
1600 kč
V prípade VLAN
Segmentovanie:
GUEST
KOTOL
LAN_NETWORK
CAMERA_NVR
--------
GUEST -> WAN
KOTOL -> WAN
LAN_NETWORK -> WAN
LAN_NETWORK -> KOTOL
LAN_NETWORK -> CAMERA_NVR
V prípade 1), 2) zdá sa mi také čisté riešenie (pri prepočte na 5r dopredu) cena nieje taká zlá. Dá sa uvažovať o 3), malý diskomfort, treba trochu plánovania ale šlo by to. 4) Najekonomickejšie riešenie .. ale všetko je tak povediac na kope.
Pošlem mu návrh s cenovkou, +/- uvidím ako sa vyjadrí, možno skončime pri 4) :) (nepredpokladám, investicie sa nebojí)
Díky chalani!
-
Je zajímavé, že se řeší jakási rádoby bezpečnost s VLAN a přitom je úplně šumák, že mnohem větší riziko je, že nějaká návštěva bude na netu dělat nepatřičnosti a všechno v souvislosti s IP adresou půjde za tím, na koho je napsaná smlouva. Osobně bych měl obavy právě v tomto směru, než s jakýmsi kotlem nebo Smart TV :P
-
Je zajímavé, že se řeší jakási rádoby bezpečnost s VLAN a přitom je úplně šumák, že mnohem větší riziko je, že nějaká návštěva bude na netu dělat nepatřičnosti a všechno v souvislosti s IP adresou půjde za tím, na koho je napsaná smlouva. Osobně bych měl obavy právě v tomto směru, než s jakýmsi kotlem nebo Smart TV :P
no... osobne by som tiez medzi:
- budu ma otravovat pravnici / krepy operator mi zablokuje internet
- bude mi v zime zima
tiez zvolil, ze treba chranit kotol :)
-
Pokud by se dal kotel jen tak odstřelit nějakým mobilním telefonem, tak by to byl tedy hodně špatný kotel, resp. hodně špatný obslužný SW a jeho zabezpečení. Sotva může výrobce kotlů vycházet z toho, že si každý uživatel bude vytvářet nějaké VLAN.
Jinak tedy u kotlů to obvykle funguje přes modul IoT připojený do cloudu výrobce kotle, aby bylo možné monitorovat a nastavovat určité věci vzdáleně odkudkoliv z netu (a nejenom z vnitřní sítě LAN), přičemž k tomu slouží aplikace v mobilním telefonu s nutností přihlášení do cloudu. Takže potenciální útočník by si napřed musel stáhnout konkrétní aplikaci, pak získat přihlašovací údaje a teprve následně mít kontrolu nad zařízením. Mimochodem v tomto případě je pak úplně jedno, jestli kotel běhá v nějaké VLAN nebo ne, protože na ovládání přes cloud toto vůbec žádný vliv nemá :)
-
Je zajímavé jak se zde někteří snaží obhajovat méně bezpečné řešení. Jako kdyby to stálo hodiny času na nastavení. Dveře od domu taky nezamykáte, protože stačí zabouchnout?
Můj kotel se do cloudu nepřipojuje a ani nemůže připojit i kdyby chtěl. Prvky automatizace jsou izolované v samostatné síti a komunikují pouze mezi sebou přes MQTT.
Pokud někdo teda ale šetřil a má řízení přes cloud, tak je to pořád jednodušší napadnout ze stejné sítě než ze sousední. Přes DHCP mu může útočník podstrčit vlastní adresu jako gateway a může si s jeho síťovým provozem dělat co chce. Třeba zabránit připojení do toho cloudu nebo využít nějaké chyby v jeho prehistorické TLS implementaci. Taky může zkusit napadnout ten router přes jeho webové rozhraní. O takových chybách se tu píše každou chvíli. Navštěvy maji mít přistup jen ven do Internetu, na nic lokálního. To jsou naprosté základy bezpečnosti.
I vlastní mobily je vhodné dát do samostatné sítě kvůli spotřebě, ať je zbytečně neprobouzí multicast/broadcast provoz od ostatních zařízení, a jejich wifi může mít nastavený delší beacon interval a DTIM. Nebo když nějaký starší mobil ještě nezvládá WPA3, tak se může vypnout jen pro tu jejich síť.
-
Je zajímavé jak se zde někteří snaží obhajovat méně bezpečné řešení. Jako kdyby to stálo hodiny času na nastavení. Dveře od domu taky nezamykáte, protože stačí zabouchnout?
Když jsme u těch analogií. Zamykáte doma každý pokoj zvlášť ? Ve větších firmách institucích je přeci běžné mít klíče/vstup na kartu do každé druhé místnosti, takže by to určitě byl dobré nápad to zavést i doma, ne ?
-
Pokud někdo teda ale šetřil a má řízení přes cloud
Řízení přes cloud není o šetření, nýbrž o tom, že ne každý má veřejnou IP adresu, aby se ke svému zařízení (co má doma) mohl připojovat odkudkoliv z internetu. Protože právě dostupnost zařízení odkudkoliv je tím hlavním důvodem, proč ta zařízení mají moduly IoT s přístupem do netu.
A jestli má doma někdo kotel, který funguje výhradně ve vnitřní LAN síti, pak je snad úplně zbytečné, aby v té síti ten kotel vůbec byl, jelikož si uživatel může vše nastavit a kontrolovat přímo na něm.
-
Když jsme u těch analogií. Zamykáte doma každý pokoj zvlášť ? Ve větších firmách institucích je přeci běžné mít klíče/vstup na kartu do každé druhé místnosti, takže by to určitě byl dobré nápad to zavést i doma, ne ?
Není to nejlepší analogie, uznávám. Rozdíl je, že věřím rodině a známým, že se mi nebudou hrabat ve věcech, ale nevěřím, že jsou schopni mít mobily bez malware. Kdybych tu měl někoho cizího (opraváře) a musel ho tu nechat bez dozoru, tak pokoje zamknu.
Řízení přes cloud není o šetření, nýbrž o tom, že ne každý má veřejnou IP adresu, aby se ke svému zařízení (co má doma) mohl připojovat odkudkoliv z internetu. Protože právě dostupnost zařízení odkudkoliv je tím hlavním důvodem, proč ta zařízení mají moduly IoT s přístupem do netu.
Z Internetu do domací sítě se přistupuje přes VPN. Když není veřejná IP adresa, je možné použít placené služby.
-
V Benesovske nemocnici byla desna pohodicka, az jednou... a pokracovani znate. Nepracujete tam nekteri nahodou?
-
Vyrobce kotlu tyhle veci vetsinou neresi. Je jim u zadele ze ten jejich arduino/rpi bastl napadne nejaky ransomware. Zakaznik si koupi dalsi, nebo zaplati servisni zasah.
Hardware ktery jsem navrhoval na zacatku, resi i bezpecnostni problemy uvedeneho typu a mnoho dalsich, protoze se jedna o NGFW a ma hafo prednastavenych pravidel, ktere staci aktivovat. Bylo to All-in-one, jenze prednost ma vzdy bastleni s mikrotikem/ubiquiti, nebo aušusama a TPlinkem. Pak to casto dopada spatne.
Pokud by se dal kotel jen tak odstřelit nějakým mobilním telefonem, tak by to byl tedy hodně špatný kotel, resp. hodně špatný obslužný SW a jeho zabezpečení. Sotva může výrobce kotlů vycházet z toho, že si každý uživatel bude vytvářet nějaké VLAN.
Jinak tedy u kotlů to obvykle funguje přes modul IoT připojený do cloudu výrobce kotle, aby bylo možné monitorovat a nastavovat určité věci vzdáleně odkudkoliv z netu (a nejenom z vnitřní sítě LAN), přičemž k tomu slouží aplikace v mobilním telefonu s nutností přihlášení do cloudu. Takže potenciální útočník by si napřed musel stáhnout konkrétní aplikaci, pak získat přihlašovací údaje a teprve následně mít kontrolu nad zařízením. Mimochodem v tomto případě je pak úplně jedno, jestli kotel běhá v nějaké VLAN nebo ne, protože na ovládání přes cloud toto vůbec žádný vliv nemá :)
-
Z Internetu do domací sítě se přistupuje přes VPN. Když není veřejná IP adresa, je možné použít placené služby.
Ale zde není řeč o vzdáleném přístupu do domácí sítě, nýbrž o přístupu ke konkrétnímu zařízení (kotel). A pro tyto účely - pokud výrobce kotle nabízí cloudové řešení - není důvod toho nevyužít. A naopak je zbytečné se zabývat nějakou VPN a ještě placenou, když se jedná o home použití.
Vyrobce kotlu tyhle veci vetsinou neresi. Je jim u zadele ze ten jejich arduino/rpi bastl napadne nejaky ransomware. Zakaznik si koupi dalsi, nebo zaplati servisni zasah.
Jak který. Možná nějaký noname šmejd ne, ale jinak je to úplně stejně jako třeba u TP-Linku aplikace Tether na vzdálenou správu routerů/AP/chytrých zásuvek atd., tj. 1) stažení aplikace, 2) vytvoření přihlašovacích údajů, 3) přidání zařízení - a následně možnost jejich správy odkudkoliv z netu.
-
A jestli má doma někdo kotel, který funguje výhradně ve vnitřní LAN síti, pak je snad úplně zbytečné, aby v té síti ten kotel vůbec byl, jelikož si uživatel může vše nastavit a kontrolovat přímo na něm.
Nie je to zbytocne. Niekto to vyuziva ako sucast inteligentnej domacnosti, kde mu kotol riadi nejaky centralny "server" napr. podla pocasia, otvorenych okien, vyvoja teplot, alebo zatiahnutych zaluzii.
Alebo chce nejake statistiky ohladom vyvoja teploty, kolko spali v urcitych hodinach... A to mu tazko poskytne pidi displej na kotli.
Neexistuje len moznost cloud, alebo nic. Praveze ti uvedomelejsi chci smart riesenia, ale take, ze data neopustia lokalnu siet.
-
Jedna věc je, co někdo chce a druhá věc pak, co je reálně dostupné. A prakticky všechny systémy pro chytrou domácnost fungují přes aplikace do mobilu a se vzdáleným přístupem, protože právě toto zákazníci nejvíc vyžadují a výrobci jim logicky vychází vstříc. Takže opravdu je možnost pouze cloud nebo nic (pokud je samozřejmě řeč o home použití).
-
Proboha na co?
Proc se pripojujes do diskusi o vecech, kterym nerozumis a nic o nich nevis?
...
dtto
Je zajímavé,...
A dalsi nehorazny blabol ...
...
Cisco/Linksys - to jsou takovy ty levny cisco krabky. Kdyz vyberes spravnej model, je to routoswitch, a umi to vse co budes chtit. Nejspis chces PoE variantu.
Pripadne mikrotik, ale tady pocitej s tim, ze po aktualizacich cas od casu neco prestane fungovat.
Unify bych uz moc nedoporucil, cim dal vic to tlacej do toho, ze musis mit ucet v cmoudu bez kteryho nic nenastavis.
-
Dát TV, mobily, smarthome, atd. do oddělených VLAN je sice nápad dobrej, ale v praxi dost z toho naráží na mDNS. Mikrotik to "neumí" forwardovat mezi VLANama, takže z mobilu neuděláte Miracast/AirPlay/Spotify Connect/..., nevytisknete si nic na tiskárně ani si nenastavíte např. Ikea Tradfri Gateway nebo HomeKit.
-
Proc se pripojujes do diskusi o vecech, kterym nerozumis a nic o nich nevis?
Tak to fakt netuším, proč tady děláš chytrolína, když dané problematice rozumíš jak koza petrželi...
-
...
4)
(1Gbit)
* UPC (bridge)
* Router: Mikrotik RB2011iL-IN (10p) (~2500 Kč)
* Switch: 8P ( 600 kč) (LAN_NETWORK)
* Switch: 8P ( 600 kč) (CAMERA_NVR)
-----------------------
3700 kč
...
Mikrotik RB2011 je celkem starý a pomalý, je možné, že narazíte na výkonnostní strop (zejména u pps). Na rychlou VPN a podobné náročnější věci zapomeňte. Stejný výkon procesoru má i switch Mikrotik CRS326-24G-2S+RM, kterým byste vyřešil vše v jednom včetně podpory VLAN. Cena je ale o pár stovek vyšší.
-
Proc se pripojujes do diskusi o vecech, kterym nerozumis a nic o nich nevis?
Tak to fakt netuším, proč tady děláš chytrolína, když dané problematice rozumíš jak koza petrželi...
Ja se tim hosanku narozdil od tebe zivim, a rozdeleni site je zaklad zcela jakykoli bezpecnosti a provozni spolehlivosti, a samozrejme i doma. Takze negramotnej tatar kterej tady vyklada kravoviny mi muze leda tak pucovat ...
-
Nemá pravdu, protože celou dobu je řeč o domácí síti. A v ní opravdu není potřeba dělat harakiri s VLAN apod. a celé to naprosto zbytečně komplikovat. Možná pokud je někdo hračička, tak se tím může bavit, nicméně autor dotazu a ten, koho se to týká, jsou zjevně laici a tedy čím jednoduší vše bude, tím lépe.
-
Vzhledem k tomu, jak byl formulován dotaz, pravdu má. Pokud by autorovi dotazu na správném návrhu sítě nezáleželo, neptal by se na to a použil by první router, který by mu padnul pod ruku v kombinaci s libovolným switchem. To ale dle všeho není ten případ, dokonce sám např. VLANy zmínil.
-
Otazka ale je, jestli je zmínil proto, ze vi, co to je, a nebo simomtom nekde precetl, a z toho jen ziskal pocit, ze je nutne potrebuje.
-
Když to tak čtu, tak mě přijde jak kdyby si pár zdějších osazenců myslelo že jakákoli forma zabezpečení domácí sítě (zvlášť třeba VLANy, což je ta nejprimitivnější forma zabezpečení) je zcela zbytečná.
Tak si vezme co mám(e) na domácí síti:
- Různé fotografie a backupy, vč. např. různých které by se ven neměli dostat.
- Nevím jak kdo, ale já tam mám třeba doma firemní data (práce z WS na HO, firemní notebook, klíče na VPNky, SSH klíče...)
- Mobil s kontakty, facebookem, firemním kecálkem, emaily
- SmartTV
- IoT věci a ovladače (světla, větráky, žaluzky, mikrofony (google nest), pračka, někdo má např. i kotel...)
- 3D tiskárnu
- a další...
Pokud někdo hackne byť jednu IoT věc (což je dnes celkem běžné z hlediska chabého zabezpečení výrobců) tak bez další vrstvy zabezpečení to útočník může zkoušet dál a všude... a dřív nebo později někde patrně uspěje, a to vážně nechete... (únik firemních dat, instalace ransomware, pokud bude útočnik vtipálek tak třeba i 3D tiskárnou s vhodným nastavením Vám může zapálit klidně celý byt)
Za mě: do zabezpečení se má investovat vždy, a zvláště doma, kde se používají přístroje které mají mnohdy chatrné zabezpečení (ne všechno bohužel neběží na OS které si uživatel může libovolně updatovat). Natož pokud ještě do sítě ke všemu pustíte návštěvy...
-
Pokud jde o zálohu dat, jenž nemají být přístupná, pak jistě každý zná třeba 7-Zip a dostatečně silné heslo. To je podstatně větší ochrana, než pitomosti s VLAN.
A samozřejmě nezpřístupňovat ven do netu ta zařízení, u kterých to není nezbytně nutné. Tedy tiskárna zpřístupněná do netu být obvykle nemusí a pak ani není riziko, že s ní někdo na dálku zapálí byt.
-
Pokud jde o zálohu dat, jenž nemají být přístupná, pak jistě každý zná třeba 7-Zip a dostatečně silné heslo. To je podstatně větší ochrana, než pitomosti s VLAN.
A samozřejmě nezpřístupňovat ven do netu ta zařízení, u kterých to není nezbytně nutné. Tedy tiskárna zpřístupněná do netu být obvykle nemusí a pak ani není riziko, že s ní někdo na dálku zapálí byt.
Už vidím, jak denně zálohujete všechny data z WS a notebooku do 7-zipu, nastavujete mu heslo a ručně to někam kopírujete (dohromady cca. 1 TB dat). Takhle se to fakt běžně provozovat nedá :-)
A samozřejmě nezpřístupňovat ven do netu ta zařízení: ve Vašem návrhu sítě stačí 1 zařízení které bude, byť třeba omylem, přístupné z venku (případně děravý cloud) a útočníkovi se do něj podaří dostat. Thats all. Pak bude mít celou síť na dlani, vč. celého IoT, tiskárny, všech počítačů (...) jako kdyby u Vás lokálně seděl a připojil se fyzicky do všech vlan (které ve Vašem případě nemáte). A to jen kvůli lenosti administrátora a názoru že zabezpečovat domov je zcela zbytečné.
-
Proč bych měl denně zálohovat TB dat? Nebo běžná domácnost má takovou potřebu? Asi sotva :D
Když se nějaký útočník (hypoteticky) dostane do jednoho mého zařízení přístupného z netu, tak tím také končí, protože z toho zařízení žádná cesta nikam dál nevede.
-
Že vám to stojí za to se tady hádat, vlastně diskutovat. Ať si to každý udělá, jak chce. Já bych si síť taky rozdělil do VLAN, IoT síť zvlášť, možná bych spojil hlavní drát a bezdrát do jedné sítě, aby nebyl problém třeba při hraní her (ale taky jde často zadat IP adresa a tím to obejít). Nesmí se to překombinovat, ale základní oddělení to chce. + firewall zakázat vše a povolit jen nutné.
-
Dát TV, mobily, smarthome, atd. do oddělených VLAN je sice nápad dobrej, ale v praxi dost z toho naráží na mDNS. Mikrotik to "neumí" forwardovat mezi VLANama, takže z mobilu neuděláte Miracast/AirPlay/Spotify Connect/..., nevytisknete si nic na tiskárně ani si nenastavíte např. Ikea Tradfri Gateway nebo HomeKit.
Skvely hint, ďakujem! Mikrotik túto funkctionalitu plánuje doplniť https://forum.mikrotik.com/viewtopic.php?t=174354#p992798 (https://forum.mikrotik.com/viewtopic.php?t=174354#p992798).
Mikrotik RB2011 je celkem starý a pomalý, je možné, že narazíte na výkonnostní strop (zejména u pps). Na rychlou VPN a podobné náročnější věci zapomeňte. Stejný výkon procesoru má i switch Mikrotik CRS326-24G-2S+RM, kterým byste vyřešil vše v jednom včetně podpory VLAN. Cena je ale o pár stovek vyšší.
Ďakujem za tip, pár stoviek hore/dole nieje smerodatné. Príde mi to koncipované ako switch, kde síce to má aj routerOS, ale myslím si podla CPU, že router nebude primárna funkcionalita.
Vzhledem k tomu, jak byl formulován dotaz, pravdu má. Pokud by autorovi dotazu na správném návrhu sítě nezáleželo, neptal by se na to a použil by první router, který by mu padnul pod ruku v kombinaci s libovolným switchem. To ale dle všeho není ten případ, dokonce sám např. VLANy zmínil.
Otazka ale je, jestli je zmínil proto, ze vi, co to je, a nebo simomtom nekde precetl, a z toho jen ziskal pocit, ze je nutne potrebuje.
VLAN mám "nasadené" na OpenWRT skrz veci čo ste popísali - Kamery/GuestWifi/DMZ ...
...
Ďakujem za názor, ale myslím si, že ak sú dostupné prostriedky /napr VLAN/ ktoré môžu podporiť bezpečnosť, nieje dôvod ich nepoužiť.
Prosím Vás, môžete mi napísať nevýhody VLAN ktoré ste za roky praxe nazbieral?
-
Jak VLAN u domácí sítě zajistí nějakou bezpečnost? A co je vlastně potřeba v domácí síti tak akutně zabezpečovat? Už se opakuji, ale někdo to napsal výše - doma si samozřejmě každý ohlídá vstupní dveře před nezvanou návštěvou, ale pokoje uvnitř domu/bytu asi zamyká sotva kdo. Takže já nebudu psát nevýhody VLAN u home použití, ale pouze napíši, že není ani jedna smysluplná výhoda používat VLAN doma. Samozřejmě pokud má ale někdo pocit, že si musí svoji síť takto doma řešit, tak je to jeho problém a moje zbytečná starost. Ať si to klidně udělá, nikdo mu v tom nebrání :)
-
vlan nie su zamknute vnutorne dvere. Tebe ked pride navsteva, tak sa prechadza po celom dome a pouziva tvoje aj osobne veci? Vlan je o tom, ze povies, kam mozu ist a co mozu urobit.
-
Sorry, ale já mám doma svoji síť postavenou pro sebe a členy mé rodiny, nikoliv pro návštěvy. A i když ke mně občas nějaká návštěva zavítá, tak rozhodně nebudu kvůli ní dělat opičárny s VLAN jenom proto, že bych trpěl stihomamem, jak ta návštěva nemá na práci nic jiného, než se kamsi nabourávat a ukazovat svoje hackerské schopnosti.
A znovu se budu opakovat, že mnohem větší riziko je v tomto případě IP adresa přidělená ISP, kterou používám, a kde by mohl být problém v případě, že ji někdo zneužije a já pak budu mít co vysvětlovat. A tomuto žádná VLAN nikdy nezabrání.
-
[VLAN mám "nasadené" na OpenWRT skrz veci čo ste popísali - Kamery/GuestWifi/DMZ ...
Jestli už používáte OpenWRT, tak bych místo pomalého RB, co se spoléhá na HW offload, radši doporučil něco výkonějšího na x86, třeba PC Engines APU2 (dokud se dá sehnat), nebo nějaké pasivně chlazené mini PC s Intel procesorem z Číny. Na Ali je toho spousta. S routováním 1Gb/s to nebude mít žádný problém a do budoucna určitě lépe využitelné, třeba na wireguard, home assistant a podobně.
Ďakujem za názor, ale myslím si, že ak sú dostupné prostriedky /napr VLAN/ ktoré môžu podporiť bezpečnosť, nieje dôvod ich nepoužiť.
Prosím Vás, môžete mi napísať nevýhody VLAN ktoré ste za roky praxe nazbieral?
Nevýhoda je akorát ten čas na nastavení navíc. I kdyby ty VLANy musely být z nějakého důvodu zas spojené do jedné sítě přes bridge, tak se alespoň dá filtrovat nechtěný provoz přes ebtables/nft.
-
Sorry, ale já mám doma svoji síť postavenou pro sebe a členy mé rodiny, nikoliv pro návštěvy. A i když ke mně občas nějaká návštěva zavítá, tak rozhodně nebudu kvůli ní dělat opičárny s VLAN jenom proto, že bych trpěl stihomamem, jak ta návštěva nemá na práci nic jiného, než se kamsi nabourávat a ukazovat svoje hackerské schopnosti.
A znovu se budu opakovat, že mnohem větší riziko je v tomto případě IP adresa přidělená ISP, kterou používám, a kde by mohl být problém v případě, že ji někdo zneužije a já pak budu mít co vysvětlovat. A tomuto žádná VLAN nikdy nezabrání.
Zrovna tady mám příklad ze života:
Na podzim jsem měl na baráku řemeslníky co tři týdny opravovali stěny. Chtěli na wifi protože celý den poslouchali rádio přes Internet. Jasně, mohl jsem jim říct že smůla, ale vzhledem k tomu že mám guest VLANu, tak jsem jim na wifině udělal temp. accounty a hodil je do ty guestový VLANy a vůbec nemusím řešit jestli jim telefony náhodou neukážou nějakej share ze sítě, který by - co si budem povídat - určitě o pauze prohrabali.
Nevím proč bych se měl bát o adresu. Pokuď přijdou policajti že odemne odešel nějaký problematický traffic. Kouknu do logů routeru a pokud to šlo z těch účtů co jsem měl pro ně, tak policajtum dám číslo na jejich šéfa a neřešim. Ale přijde mi to teda výrazně míň pravděpodobný než že by se mi pohrabali na těch sharech.
-
Tvůj log z routeru je asi stejně důvěryhodný jako slova Babiše o tom, že to myslí s národem upřímně neboli v případě průseru si tě policajti odvezou na podání vysvětlení, k tomu ti zabaví výpočetní techniku na znalecké prozkoumání a naopak ti sotva skočí na dojemný příběh o montérech poslouchající netové rádio kdesi na stavbě (i kdyby to nakrásně byla pravda, což budeš horko-těžko prokazovat) :D
Jinak představa, že nějaký zedník opravující stěnu v baráku je ve skutečnosti skrytý agent-hacker, který nemá nic lepšího na práci, než ti prolamovat přístup do zařízení, je taky perla perel :D
-
Proto mas misto ubiquiti, mikrotiku, wrt a podobnych chujovin pouzivat ngfw, zakazat nekorektni provoz globalne, naklikat si tech par vlan a nezabyvat se ..covinami. Za tu dobu, co zde obhajujes nesmysly, by bezny IT vydelal na rozdil mezi mikrotikem a davno doporucenym CP :-) a za par minut s jednou rukou v zadeli, by to mel nastavene.
-
Jinak představa, že nějaký zedník opravující stěnu v baráku
způsobí traffic, který přivodí nájezd policajtů se zabavením techniky na přezkoumání, je taky dost perla. ;-)
Každopádně ty VLANy nemohou ničemu ublížit. Naopak, mohou situaci jenom vylepšit.
-
Proto mas misto ubiquiti, mikrotiku, wrt a podobnych chujovin pouzivat ngfw, zakazat nekorektni provoz globalne, naklikat si tech par vlan a nezabyvat se ..covinami. Za tu dobu, co zde obhajujes nesmysly, by bezny IT vydelal na rozdil mezi mikrotikem a davno doporucenym CP :-) a za par minut s jednou rukou v zadeli, by to mel nastavene.
Ne, doma si opravdu nic takového dělat nebudu, protože je to naprostý nesmysl a jestli může být něco potenciální problém, tak ne jakési pseudo-hackerské útoky zedníků na moje zařízení, ale jen a pouze IP adresa, ze které odchází provoz.
Jinak představa, že nějaký zedník opravující stěnu v baráku
způsobí traffic, který přivodí nájezd policajtů se zabavením techniky na přezkoumání, je taky dost perla. ;-)
Každopádně ty VLANy nemohou ničemu ublížit. Naopak, mohou situaci jenom vylepšit.
Úplně stačí, aby došlo třeba k falešnému nahlášení bomby nebo nasdílení dětského porna přes IP adresu, kterou ISP přidělil majiteli domu. Pak se policajti nezabývají výmluvami co-kdo-kde-kdy, ale konají viz výše.
-
Vetsi nesmysl je tva nekonecna obhajoba chujovin. Za ten promrhany cas bys mel uz davno na profi reseni ktere nemusis pytlikovat jako wrt a ostatni parodie na router/firewall.
Ne, doma si opravdu nic takového dělat nebudu, protože je to naprostý nesmysl a jestli může být něco potenciální problém, tak ne jakési pseudo-hackerské útoky zedníků na moje zařízení, ale jen a pouze IP adresa, ze které odchází provoz.
Vsechny uvedene problemy ti resi ngfw s pouzitim spravnych pravidel (blacklistu/whitelistu). Host na wifi se dostane jen na provoz, ktery je vhodny pro deti do 12 let :-) a za kvalitu pravidel ti ruci vyrobce. Zabezpeci/oskenuje ti to veskery provoz vcetne IOT.
Úplně stačí, aby došlo třeba k falešnému nahlášení bomby nebo nasdílení dětského porna přes IP adresu, kterou ISP přidělil majiteli domu. Pak se policajti nezabývají výmluvami co-kdo-kde-kdy, ale konají viz výše.
-
Ty jsi poněkud popletený, protože si domácí síť pleteš s nějakou sítí firemní. Takže znovu - doma nikdo nebude vytvářet jakési nesmyslné firewally kvůli tomu, že si zedník na stavbě poslouchá netové rádio a majitel domu má stihomam, že to není zedník, ale tajný agent a profesionální hacker :D Nehledě na to, že i kdybys to udělal jak zamýšlíš, tak tím stejně nevyloučíš možnost, že dotyčný zedník pošle přes tvoje připojení k netu někam oznámení o falešné bombě a ty to budeš mít na triku, což znovu opakuji je větší hrozba, než jakési nabourání se do vnitřní sítě (ve které stejně reálně nic zajímavého není).
Mimochodem výrobce ti neručí vůbec za nic, to jen tak na okraj.
-
Co porad tocis nejakeho zednika, o tom psal nekdo jiny.
Deti do 12 let maji znacne osekane whitelisty, ale to bys musel nejaky videt, abys chapal o cem je rec a pak te nepusti hloubkova kontrola provozu. Najde nevhodny vzorek a zarizeni odpoji od site. Pravidla te nepusti na mail a socialni site, nedovoli ti VPN a spoustu dalsich. Moznosti jsou.
Na zapade je zcela bezne ze si clovek koupi funkcni reseni, nebo si to pronajme od providera, tady porad lepite mikrotiky a wrt.
Jak te zalohovani chrani proti odeslani hlaseni o bombe z tveho PC, nebo brouzdani tveho mobilu na nevhodnem pornu vlivem skodliveho kodu v zarizeni? Nijak! Najezd policajtu tak aktivuje tvuj telefon ;D
Ted jsi ukazal, ze nechapes jak ty listy funguji a ze vlastne vubec nerozumis problematice zabezpeceni, konkretne prohlasenim "Mimochodem výrobce ti neručí vůbec za nic, to jen tak na okraj." Vono to totiz funguje presne obracene, nez si myslis.
Jsi proste lepic nejakeho mikrotik/wrt a nema cenu se s tebou bavit! Je to marny.
Ty jsi poněkud popletený, protože si domácí síť pleteš s nějakou sítí firemní. Takže znovu - doma nikdo nebude vytvářet jakési nesmyslné firewally kvůli tomu, že si zedník na stavbě poslouchá netové rádio a majitel domu má stihomam, že to není zedník, ale tajný agent a profesionální hacker :D Nehledě na to, že i kdybys to udělal jak zamýšlíš, tak tím stejně nevyloučíš možnost, že dotyčný zedník pošle přes tvoje připojení k netu někam oznámení o falešné bombě a ty to budeš mít na triku, což znovu opakuji je větší hrozba, než jakési nabourání se do vnitřní sítě (ve které stejně reálně nic zajímavého není).
Mimochodem výrobce ti neručí vůbec za nic, to jen tak na okraj.
-
Doplneni kvuli nemoznosti editace
Na pouzitelnem zarizeni lze jednoduse naklikat napriklad:
Pravidla pro nezname zarizeni:
Zaradit do kategorie "deti do 12 let"
Pravidla pro deti do 12 let:
blacklist na vsechno
whitelist na stream.ctyrlistek.cz
-
Nehledě na to, že i kdybys to udělal jak zamýšlíš, tak tím stejně nevyloučíš možnost, že dotyčný zedník pošle přes tvoje připojení k netu někam oznámení o falešné bombě a ty to budeš mít na triku, což znovu opakuji je větší hrozba, než jakési nabourání se do vnitřní sítě (ve které stejně reálně nic zajímavého není).
Jasně, to zedníci běžně dělávají. A taky tak nějak taktně pomíjíš, že i kdyby udělali a někdo to chtěl prošetřovat, musel by ti dokázat, žes to poslal Ty (ano, máme tu presumpci neviny). K tomu bych mu popřál tak akorát hodně štěstí.
Na zapade je zcela bezne ze si clovek koupi funkcni reseni, nebo si to pronajme od providera, tady porad lepite mikrotiky a wrt.
S ostatním textem souhlasím, ale s tímhle fakt ne. Na OpenWRT ani MT není nic špatného (čímž neříkám, že se to nedá udělat jinak a možná lépe - ale záleží na kontextu, penězích a potřebě).
-
Co porad tocis nejakeho zednika, o tom psal nekdo jiny.
Deti do 12 let maji znacne osekane whitelisty, ale to bys musel nejaky videt, abys chapal o cem je rec a pak te nepusti hloubkova kontrola provozu. Najde nevhodny vzorek a zarizeni odpoji od site. Pravidla te nepusti na mail a socialni site, nedovoli ti VPN a spoustu dalsich. Moznosti jsou.
Na zapade je zcela bezne ze si clovek koupi funkcni reseni, nebo si to pronajme od providera, tady porad lepite mikrotiky a wrt.
Jak te zalohovani chrani proti odeslani hlaseni o bombe z tveho PC, nebo brouzdani tveho mobilu na nevhodnem pornu vlivem skodliveho kodu v zarizeni? Nijak! Najezd policajtu tak aktivuje tvuj telefon ;D
Ted jsi ukazal, ze nechapes jak ty listy funguji a ze vlastne vubec nerozumis problematice zabezpeceni, konkretne prohlasenim "Mimochodem výrobce ti neručí vůbec za nic, to jen tak na okraj." Vono to totiz funguje presne obracene, nez si myslis.
Jsi proste lepic nejakeho mikrotik/wrt a nema cenu se s tebou bavit! Je to marny.
Ty jsi poněkud popletený, protože si domácí síť pleteš s nějakou sítí firemní. Takže znovu - doma nikdo nebude vytvářet jakési nesmyslné firewally kvůli tomu, že si zedník na stavbě poslouchá netové rádio a majitel domu má stihomam, že to není zedník, ale tajný agent a profesionální hacker :D Nehledě na to, že i kdybys to udělal jak zamýšlíš, tak tím stejně nevyloučíš možnost, že dotyčný zedník pošle přes tvoje připojení k netu někam oznámení o falešné bombě a ty to budeš mít na triku, což znovu opakuji je větší hrozba, než jakési nabourání se do vnitřní sítě (ve které stejně reálně nic zajímavého není).
Mimochodem výrobce ti neručí vůbec za nic, to jen tak na okraj.
Je fajn, že sis někde přečetl o NGFW, ale při tom čtení ti asi utekla důležitá informace o ceně. A ta cena (když vynechám nějaké Huawei z Ali, které si na NGFW jenom hrají) se pohybuje v částkách, které jsou pro domácnost naprosto nereálné (pro představu je to od 1.000 USD výše). A NGFW není jenom nějaký black/white list, ale je to celkové řešení firewallu pro podnikovou sféru. To prostě nemá v této diskuzi smysl dál rozebírat, protože si to autor dotazu stejně pořizovat nebude. Jedině bys měl nějaký levný zázrak, o kterém nevím. Pak sem s ním :)
V celé této diskuzi se IP adresa začala řešit hlavně proto, že si někdo naivně myslel, jak se pomocí VLAN proti něčemu ochrání a vůbec mu nedošlo, že mnohem větší hrozba je právě průser s IP adresou a nikoliv nějaká vnitřní síť. Proto jsem to také zmínil, že je lepší se začít zabývat skutečnými problémy a neřešit nesmysly.
Co se týká výrobců home zařízení, tak ti se ve smyslu odpovědnosti za škody jasně vymezují, že za nic neručí a jedinou garanci máš tak akorát na samotný HW neboli i když ti třeba něco proleze přes black list a prolézt by nemělo, tak si na výrobci nic nevezmeš. No ale můžeš to pochopitelně zkusit se na výrobci zhojit, hodně štěstí :D
-
Nehledě na to, že i kdybys to udělal jak zamýšlíš, tak tím stejně nevyloučíš možnost, že dotyčný zedník pošle přes tvoje připojení k netu někam oznámení o falešné bombě a ty to budeš mít na triku, což znovu opakuji je větší hrozba, než jakési nabourání se do vnitřní sítě (ve které stejně reálně nic zajímavého není).
Jasně, to zedníci běžně dělávají. A taky tak nějak taktně pomíjíš, že i kdyby udělali a někdo to chtěl prošetřovat, musel by ti dokázat, žes to poslal Ty (ano, máme tu presumpci neviny). K tomu bych mu popřál tak akorát hodně štěstí.
Ano, zedníci to dělají stejně běžně jako to, že se o svačině přes mobilní telefon nabourávají do vnitřní netové sítě :D
A presumpci neviny ti nikdo nebere, leč tady zjevně neznáš postup orgánů činných v trestním řízení, který je ten, že tě předvolají na podání vysvětlení (nebo tě i tzv. "seberou") a následně vyzvou k vydání výpočetní techniky, kterou máš doma. Když odmítneš, tak si během chvilky seženou souhlas státního zástupce s domovní prohlídkou (takže radši neodmítej) a zabavená výpočetní technika se bude rok válet někde v policejním skladu, než si soudní znalec udělá čas na její prozkoumání a napsání závěru, že nic nenašel. Mezitím si tě ještě párkrát předvolají na doplnění výpovědi a pak to celé možná Policie odloží a uvěří ti, že v tom nejedeš. Takže pokud se někomu chce toto absolvovat, tak vzhůru do toho :P
-
Zarizeni resici vsechny diskutovane problemy jsem doporucil ve DRUHEM prispevku a cena je od 499USD u Checpointu. Fortinet je na tom podobne.
Ty mas v tomto vlakne tolik prispevku, ze bys s hodinovkou 1000CZK davno vydelal na FW za 1000USD.
Radit co je NGFW opravdu nepotrebuji a uz vubec ne od cloveka, ktery odmita vlany.
S pravidlem blacklist ALL a whitelist stream.ctyrlistek.cz se muze tvuj imaginarni zednik dosyta vyradit na stream.ctyrlistek.cz ;) a to je teprve zacatek omezeni, ktera rozumny clovek aplikuje na skupinu neduveryhodnych uzivatelu.
-
Jestli se někdo bojí, že mu u něj návštěva bude stahovat dětské porno, tak i tady je překvapivě řešení VLAN. Akorát se musí routovat přes Tor.
Mně teda dělá víc starostí co dělá malware. U levných mobilů přímo od výrobce. Takový botnet v podstatě. Viděl jsem jeden mobil co měl v conntracku stovky otevřených spojení i když se s ním nic nědělalo. Možná to jen klikalo na reklamy, ale je jasné že to má pod kontrolou někdo jiný.
-
Asi zijes v alternativnim vesmiru, muj pravni zastupce by s tvym vykladem nesouhlasil. Kazdy to mame jinak.
-
Tvého právního zástupce by se orgány činné v trestním řízení při domovní prohlídce u tebe na nic neptaly. Nanejvýš by tam mohl být jako pozorovatel. A možná by mohl koukat i na ten vesmír, než by Policie stihla všechno naložit a odvézt :D
-
Zarizeni resici vsechny diskutovane problemy jsem doporucil ve DRUHEM prispevku a cena je od 499USD u Checpointu. Fortinet je na tom podobne.
A k těm USD za zařízení ještě doprava a DPH+clo a najednou je výsledná cena někde úplně jinde. Ne, to si domů opravdu běžný user pořizovat nebude a už vůbec ne proto, aby tím blokoval jakési zedníky na stavbě při poslechu rádia. A o ničem jiném zde řeč není.
-
Malo pouzivas vlany a moc koukas na kovbojky.
S PCR spolupracujeme. Lide kteri neznaji zkratku ngfw, obcas porizuji a dodavaji policii dukazni materialy ;)
-
V CR uz nemame obchodni zastoupeni?
-
S pravidlem blacklist ALL a whitelist stream.ctyrlistek.cz se muze tvuj imaginarni zednik dosyta vyradit na stream.ctyrlistek.cz ;) a to je teprve zacatek omezeni, ktera rozumny clovek aplikuje na skupinu neduveryhodnych uzivatelu.
Nedůvěryhodným uživatelům nebudu dávat přístup na net, čímž mám problém vyřešený.
Jinak pokud tě někdo cizí, např. výše zmiňovaná návštěva u tebe, požádá o přístup k netu, tak se 100% jistotou ne proto, aby mohla být jenom na webu ctyrlistek.cz, ale proto, aby mohla využívat komunikátory typu Messenger, WhatsApp a dále sociální sítě, email, web a další. A v takovém případě si můžeš doma nasadit třeba NGFW Cisco za 200.000 USD a bude to k ničemu, protože buď se ta návštěva nikam nedostane (což je pak lepší nedávat vůbec přístup k netu), anebo dostane všude a to pak viz ta IP adresa, o které již byla řeč.
-
Malo pouzivas vlany a moc koukas na kovbojky.
S PCR spolupracujeme. Lide kteri neznaji zkratku ngfw, obcas porizuji a dodavaji policii dukazni materialy ;)
VLANy nepoužívám doma vůbec a ano, někdy je práce Policie skutečně jako kovbojka, ale bohužel pro toho, kdo si ve své naivitě myslí, jak to za něho vyřeší nějaký právní zástupce ve vesmíru :D
-
To vyresi i problem s tvym kompromitovanym notebookem, IOT napojenym na kompromitovany cloud a nakazenym telefonem deti, nebo manzelky? Proste si nedas pristup do vlastni site a tim zabranis zasifrovani zaloh na NAS?
Genialni myslenka, stejne jako tva vlan ochrana proti asteroidum.
-
V CR uz nemame obchodni zastoupeni?
Píšeš o cenách v USD, takže nelze předpokládat, že se bavíš o prodeji v ČR, kde je měnou CZK.
-
To vyresi i problem s tvym kompromitovanym notebookem, IOT napojenym na kompromitovany cloud a nakazenym telefonem deti, nebo manzelky? Proste si nedas pristup do vlastni site a tim zabranis zasifrovani zaloh na NAS?
Genialni myslenka, stejne jako tva vlan ochrana proti asteroidum.
Začínáš se ztrácet v diskuzi, protože o pádu meteoritu psal někdo jiný a ne já, takže zbytečně mně na toto téma odepisuješ :D
A za svoji síť a provoz v ní si odpovídám sám, vč. toho, co mohou případně udělat členové rodiny. Což je něco zcela jiného, než náhodný zedník s netovým rádiem.
-
Co nechapes na sdeleni, ze kdyz spolupracujeme s PCR, tak vim jak PCR v techto pripadech funguje?
-
Sorry, pletou se mi trollove :D
-
Co nechapes na sdeleni, ze kdyz spolupracujeme s PCR, tak vim jak PCR v techto pripadech funguje?
Sice nevím, kdo jsou to ti "my", když píšeš v plurálu, každopádně o práci Policie při podezření z trestné činnosti toho moc nevíš a už vůbec ne postup, jaký v těchto případech je. A opravdu to není o vesmírném právním zástupci, který to jak ve filmu z Hollywoodu všem natře, což je možná tvoje představa, leč do reality má velmi, velmi daleko...
Sorry, pletou se mi trollove :D
To nic, já už tě mezi ně taky zařadil :D
-
Vysledek:
mas zasifrovany NAS, odpaleny kotel, policajti busi na dvere beranidlem, syn tvrdi ze na to divny porno nelezl, manzelka nikdy nebrouzdala na ruskych webech a netusi odkud ten malware ma, ale jsi vitez :D protoze nemas VLANy ani poradny firewall. Ten pouzivaji jen korporace a kupuje se od CISCO.
A za svoji síť a provoz v ní si odpovídám sám, vč. toho, co mohou případně udělat členové rodiny. Což je něco zcela jiného, než náhodný zedník s netovým rádiem.
-
Az tak tezke to je? Kdo asi bude MY, kdyz pracujes v nejakem tymu? Zkus to, tohle zvladnes.
-
To já nevím, kdo jsou to ti MY. Klidně to může být osazenstvo PL Bohnice, což bude jistě také slušný tým, jak se lze občas někde dočíst :D
-
Zkus to jeste jednou, tohle je slabe.
To já nevím, kdo jsou to ti MY. Klidně to může být osazenstvo PL Bohnice, což bude jistě také slušný tým, jak se lze občas někde dočíst :D
-
Na Wifi bych určitě doporučil Ubiquiti Unifi APčka(aktuálně U6 které jsou aktuální - sám mám doma U6-PRO) včetně jejich controlleru, pro jejich centrální správu (nedávno jsem na ně sám přešel a nemůžu si ten systém vynachválit, jako páteř pro pevnou síť mám mikrotiky kvůli omezenému rozpočtu).
Jinak osobně bych jako hlavní bránu použil Mikrotika s více porty a z něj bych to vše vytahal. Mikrotik sice neni uživatelsky nejpřívětivější co se týče nastavení, ale je to dobrý HW za rozumnou cenu, kterým člověk co se týče kabelové sítě nemůže nic pokazit. Ale pokud máte volný rozpočet a nevadí víc utratit, tak bych celou síť postavil na UniFičkách a měl to celé řízené z jednoho bodu/rozhraní přes controller.
Co se týče vlan, tak pokud si zdokumentujete jejich nastavení na portech, tak i v budoucnu by neměl být problém s rozřířením sítě, ale sám bojovávám v návrhem sítě s použitím vlan a tak s tím neporadím a sám ladím jak bych to měl navrhnout ideálně. Samozřejmně nejjedožší to bude bez vlan, ale zabezpečovačku bych osobně hodil do vlastní vlany aby byla oddělená od hlavní sítě, což se mi ukázalo jako dobré řešení. Pokud chcete extra vlanu i pro wifi pro návštěvy, tak klidně do ní jděte, ale zvažte + a - co z toho plynou.