Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - martin1332

Stran: [1] 2
1
Sítě / Re:Mikrotik - Winbox traffic indicator
« kdy: 30. 03. 2022, 17:06:35 »
Aha :D, děkuji....

2
Sítě / Mikrotik - Winbox traffic indicator
« kdy: 30. 03. 2022, 05:21:05 »
Mám dotaz, co ve Winboxu indikuje ten malý zelený bargraf (teploměr) vpravo nahoře? Já jsem žil v domnění, že to je zatížení CPU, jenomže tomu tak není. V dokumentaci je pouze: "Winbox traffic indicator"... co to je?
Všiml jsem si, že to lítá od nuly až do plného maxima...přitom zatížení CPU mám cca 1 - 15 %, paměť ze 2/3 prázdnou... a nějaké strašné objemy dat přes Mikrotik netahám...  Přemýšlím, jestli to může souviset s poměrně velkým dynamickým blacklistem, kde je permanentně v address listu ve firewallu asi 1300-1500 adres... ale to by spíš vytěžovalo CPU, kdyby to routeru vadilo, ne?
Děkuji

3
Vývoj / Re:Home Automation / Machine learning
« kdy: 17. 02. 2022, 05:10:16 »
Mě by docela pak zajímal výsledek, budete hotový systém, funkce, spolehlivost atd. potom někde prezentovat?
Nevím, třeba mě přesvědčíte,  ale přesně toto je důvod proč bych to asi nechtěl. Postupně se to čím dál víc komplikuje a potom se dostaneme do stavu, kdy systém dělá nějaké odhady chování a ty se stejně nakonec musí schválit / potvrdit. Potom se spousty času stráví tím programováním, štelováním, laděním a stejně  to 100 procentní nikdy nebude ...a nakonec stejně ten schvalovací pokyn udělat musíte...to už je opravdu jednodušší cvaknout tím (hloupým, silařským) vypínačem ve chvíli kdy chci a ne kdy mi to napoví nějaký systém..... Tedy, pokud do toho neintegrujete tu věšteckou křišťálovou kouli:,-) nebo čip umístěny v mozku a ovládaný vůlí :-D:-D
Ano, něco jiného je mít možnost se na mobilu podívat, jestli jsem nezapomněl zhasnout světla, zapnout si topení, podívat se jaká je doma teplota.....atd .. ale tohle zvládne naprogramovat a rozchodit i středoškolák SPŠ s Raspberry anebo nějakým IO modulem s ethernetovým rozhraním. Trochu vyšší level je pak sbírání těch spotřeb elektřiny, vody.... kreslení grafů spotřeb, atd...dělání statistiky počasí atd .... Potud je to užitečné a ulehčuje to život....... Ale vymýšlení nějaké umělé inteligence?.....proč?

4
Sítě / Re:MikroTik: nastavení limitu pro ICMP
« kdy: 05. 02. 2022, 23:57:21 »
Děkuji moc za nápad, já jsem měl na mysli přímo v pravidlech (stromečku) ve firewallu - tedy v pravidlu, které akceptuje ping (ICMP pakety). V záložce extra tam potom je Limit . Zde se dá nastavit limit paketů nebo bitů za sekundu, minutu, hodinu a burst - to je kolik paketů to nezapočítá.

Chybu už jsem objevil - když jsem zkoušel pingovat a trápil se s tím, proč to pingy neodmítá, tak jsem si neuvědomil, že ty další pingy už to bere jako estabilished a odbaví se to rovnou prvním pravidlem ve FW nahoře. Proto ty limity u ping pravidla níže nefungovaly. K prvnímu pravidlu esabilished, related, untracked jsem tedy přidal protokol !ICMP (odbaví to všechno kromě ICMP). ICMP potom vždy musí až tím svým pravidlem, které ho povoluje. Už se zdá, že to nějak funguje. Pokud se např. nastaví 1 paket / minutu a burst 4 pakety, tak to na první ping odpoví klasicky 4 odpovědi (pakety) na druhý ping jenom jeden (3 další ztraceny) a na další pingy už ztraceno všechno. Potom je potřeba počkat minimálně tu minutu a potom na první ping přijdou opět všechny 4 odpovědi. Stejně by se to asi chovalo ne s pakety ale bity.... ještě to chce odladit, vymyslet hodnoty těch limitů, ale aspoň nějak to funguje.....
Tak třeba to také někomu pomůže a díky.

5
Sítě / MikroTik: nastavení limitu pro ICMP
« kdy: 05. 02. 2022, 18:22:40 »
Zdravím, prosím poradí mi někdo, jak efektivně (nejlépe v jednom pravidle) nastavit maximální limit pro PINGy (ICMP pakety) na vstupu?

Nejlépe akceptovat pingnutí třeba jenom jednou za minutu a další pakety / bity neakceptovat. Prostě ochrana před zahlcením PINGy na veřejné adrese...

Já už fakt nevím... zkoušel jsem půl dne všechno možné v limit, connection limit, dst limit... asi dostatečně nechápu logiku tvůrce té limit logiky Mikrotiku:-) Ať tam nastavím cokoliv, tak buď to funguje nějak úplně blbě, nebo to nefunguje vůbec.

Díky moc.

6
Sítě / Re:Mikrotik - jaké porty povolit ve firewallu
« kdy: 26. 01. 2022, 20:37:27 »
Ahoj, díky za reakci. Já nepotřebuji přistupovat zvenku do Mikrotiku (8291), jde mi o dstnat do LAN.

Ten firewall (pravidla) jak jsem psal už celkem po odladění běhá... v blaclistu je permanentně asi 350 adres a router to ani nijak nevytěžuje. Ještě zvažuji místo "prvního" dropování při zápisu na blacklist nastavit trápit:-) (tarpit), prý to útočníka navíc trochu zpomalí, protože router chvilku paket drží, než ho zahodí. To by mohlo být dobré při útoku - zahlcení spoustou požadavků najednou. Druhé dropování při dalších pokusech v Raw už by bylo normálně drop.
Co si o tom myslíte?

A dále, na router mi stále chodí ty UDP pakety z vysílače poskytovatele - je to na portech 5678 - to je to hledání sousedů Mikrotiku a na 67 > 68. To je DHCP? Můj router je u poskytovatele jako DHCP klient, ale on mu přiděluje stále stejnou adresu a směruje na ní tu veřejnou IP. Všechny tyto pakety zatím končí drop (defaultní pravidlo MIkrotiku), ale nevím, jestli bych to neměl povolit, aby to prošlo? Je zvláštní, že i přesto to DHCP funguje a i poskytovatel mi říkal, že tam můj router vidí... tak nevím...

7
Sítě / Re:Mikrotik - jaké porty povolit ve firewallu
« kdy: 23. 01. 2022, 12:45:39 »
Ahoj, děkuji za názor. Analyzovat nepotřebuji nic, útočí kdekdo a na jakýkoliv router na internetu téměř neustále:-)
Zabezpečení, tak jak to mám vymyšlené mi příjde dostatečné. Skenovač by opravdu musel začít a trefit se napoprvé zrovna do toho definovaného portu. Jakmile zkusí jakýkoliv jiný, zahodí ho to a dá na blacklist. A díky Raw ho to zahodí i kdyby se hned na druhý pokus trefil do čísla toho NATovaného portu. To je několikanásobně vyšší zabezpečení než třeba PIN k bankovní kartě:-)
VPN - zkoušel jsem Open VPN, asi dělám něco špatně ale i se všemi certifikáty apod. se mi to nepovedlo rozchodit tak, aby to bylo naprosto a trvale bez chyb (chybové hlášky, vypadávání spojení atd...). Navíc, stejně by byl otevřený ten port VPN a jsme zase u toho původního.... opět stejný firewall, jako mám teď... navíc, svoje zařízení a i jejich další zabezpečení (hesla apod.), která jsou na těch portech už znám. Vím co od nich mohu čekat, kde je nějaká slabost. O VPN a jeho dírách nevím naprosto nic....a určitě také nějaké budou, díry má všechno... Za druhé, nepřipadá mi moc bezpečné se zvenku do vnitřní sítě připojovat třeba NTB, kterým se leze všude možně po netu...i když občas to na tom místě také dělám, ale moc košér to není. Takhle se připojím jen k jednomu danému portu / službě.  Opět, aby ta VPN byla bezpečná musely by se nadefinovat další pravidla kam všude VPN host může atd...  tím je firewall jenom složitější a složitější... Už teď tam na routeru mám dvě oddělené LAN, teď by musela být ještě třetí.
Dobrý je prý WireGuard VPN...ale ten je u Mikrotiku jenom ve vývojové verzi SW.. nechce se mi moc ze stable (kterou pravidelně aktualizuji) přecházet na vývojovou. 

8
Sítě / Re:Mikrotik - jaké porty povolit ve firewallu
« kdy: 23. 01. 2022, 09:37:48 »
Tak jsem nakonec udělal Blaclisty dva (A a B). Do A se dávají IP s TCP porty 0-19000, 29000-65535 a úplně všechny UDP (já UDP jenom odesílám, nikoliv přijímám) a v blaclistu je to jen pár minut - hodin (odladí se). Do blaclistu B se dávají všechny porty mezi tím kromě definovaných. To je ohroženější, tak v něm adresy budou 3 dny.
Mám ale ještě jeden dotaz, všiml jsem si, že na můj Mikrotik pravidelně chodí UDP na 5678 z nadřazeného routeru (vnitřní adresy) na vysílači poskytovatele a pak ještě jeden z defaultní adresy 192.168.88... to je odněkud ze sousedství.
Dočetl jsem se, že to je nějaké hledání sousedů Mikrotiku. Chci se zeptat, můžu to s klidným svědomím zařezávat? Souseda klidně, ale jde mi hlavně o tu adresu vysílače poskytovatele. Aby nebyl problém s tím, že celá adresa nadřazeného routeru poskytovatele se dropne hned v Raw:-))

9
Sítě / Re:Mikrotik - jaké porty povolit ve firewallu
« kdy: 22. 01. 2022, 17:46:45 »
Ahoj, díky moc.
Zkusil jsem to dát pod defaultní pravidla Mikrotiku accept - estabilished, related, untracked a drop - invalid. Zdá se, že to funguje. Až na to, že blacklist se docela rychle plní. Ještě zvažuji, že bych to rozdělil na porty 1 - 10000 a tam dal jen drop. A pod to ten zbytek - ten by se dával do blacklistu, aby pokud by se někdo začal vrtat v těch vyšších portech postupně nedošel k těm NATovaným. Odmítne ho to pak hned v Raw po prvním pokusu.
Dal bych tam 1 - 10000 TCP i UDP. To co by náhodou prošlo, se pak chytne na drop negace LAN od Mikrotiku.

10
Sítě / Mikrotik - jaké porty povolit ve firewallu
« kdy: 22. 01. 2022, 14:08:44 »
Dobrý den,
Mám veřejnou IP, která je poskytovatelem nasměrovaná na můj Mikrotik. Používám to pro přístup zvenku k určitým zařízením a službám, které běží na různých portech v rámci vnitřní LAN. Na routeru pak je přesměrování a NAT.
Přemýšlím o tom, jak zatočit (opravdu účinně) se všemi skenovači, zkoušeči hesel a dalšími šmejdy, co mi tam neustále dorážejí. Takové ty návody na různé chytré blacklisty, co jsou na internetu na port scan, syn flood atd. úplně dokonale nefungují, vždycky je potřeba tam nastavit nějaký limit počtu připojení, času atd. a i přes to vždycky něco projde. Povolení přístupu z jedné WAN, to také moc neřeší, zvlášť když chci přistupovat z více míst, nebo např. i přes data od mobilního operátora, který IP pořád mění.
Proto přemýšlím, jak všechny ty polofunkční pravidla nahradit jedním a opravdu rázným. Porty na které se potřebuji připojovat jsou až někde v rozsahu 26xxx tedy hodně vysoké. Říkám si, že bych udělal pravidlo s negací (!) těchto portů a všechno ostatní by se hodilo do blacklistu, pod to hned pravidlo drop z toho blacklistu a stejný drop i do RAW tabulky.  Uvažuji tak, že nějaký šmejd zkusí jeden (jakýkoliv) port mimo ty definované, hned ho to zapíše na blacklist, pravidlo pod tím to hned z toho blaclistu dropne a pokud by si nedal pokoj a zkusil jiný port, tak ho to z blaclistu, kde už je zapsán zabije hned v té RAW a ani se nedostane do stromečku s pravidly.
Na blacklistu by byl třeba tři dny.... více asi nemá cenu i s ohledem na přeplnění toho blacklistu.
Mělo by to zlikvidovat všechno a všechny útoky, jakmile to jednou zkusí, tak konec.... jedině, že by se trefil zrovna hned napoprvé do toho definovaného NATovaného portu. To je ale velká nepravděpodobnost. Musel by hned napoprvé zkusit třeba 26438, ale jakmile by zkusil třeba druhý o jednotku vedle, stejně by ho to zabilo.
Jediné riziko pro mě, že se uklepnu a sám se zkusím připojit na špatný port, potom by to hodilo na blacklist i mě...ale toto riziko jsem ochotný podstoupit:-)
Já sám si myslím, že toto by mohlo být opravdu účinné a nahradilo by to všechna ostatní pravidla a všechny ty návody s limity vč. např. defaultního pravidla Mikrotiku, kde s příznakem input dropoval pod estabilished všechno co není LAN.
Otázka je, jestli mohu zakázat opravdu všechny porty? Nejspíše by se to pravidlo pak muselo dát až pod estabilished, related... a pokud by se dalo nahoru, jaké porty bych tam měl ještě povolit? 123 UDP na čas? a co nějaké aktualizace Mikrotiku? Abych mu je tím také nezaříznul? Zvenku na administraci Mikrotiku chodit nemusím. To dělám třeba přes vzdálenou plochu z místní LAN.
Děkuji moc

11
Sítě / Re:Mikrotik a SYN flood útoky
« kdy: 08. 07. 2021, 18:27:20 »
Díky za vyčerpávající odpovědi. Chápu....  P.S. s tím paketem jsem se neobratně vyjádřil...ale chápu to, že input, forward atd. je záležitostí až firewallu v routeru a pakety žádný takový příznak hned od začátku nemají. Díky moc za všechny rady.

12
Sítě / Re:Mikrotik a SYN flood útoky
« kdy: 07. 07. 2021, 21:56:22 »
Hezký večer,
uvažuji správně, že bych tedy mohl vytvořit vlastní pravidlo, forward (input), new connection state, TCP flags syn, limit Rate (!) 400 (nebo nějaký jiný limit), Burst 5, add src to address list. A do raw tabulky bych dal prerouting a drop z toho daného address listu? Tím by se to docela zjednodušilo.
Fungovalo by to tak správně?
Další pravidlo by bylo s tím connection limit, to by se opět dropovalo v raw tabulce. V raw  se mohou dopovat i adresy z port-scan address listu anebo i z blacklistu (na něm mám pár adres hlavně z Ruska, co mi na router pořád dorážely).
Bylo by to tak OK?

A druhá otázka - spíše teoretická, co by se reálně stalo pokud by byly původní tři pravidla, kde by nebyl forward ale input a pod tím to původní pravidlo accept. Teď by do routeru přišel syn paket od nějakého útočníka jako input. Pravidlo accept by paket přijalo a co by se nyní stalo dál? Já předpokládám, že nějaká další komunikace by stejně asi skončila na nějakém dalším drop pravidlu ve firewallu. A kdyby ne, co v routeru útočník může udělat? Když se stejně nikam dál nedostane, do routeru se nepřihlásí atd.. je to jenom o tom, že mu užírá výkon zbytečnou komunikací?

13
Sítě / Re:Mikrotik a SYN flood útoky
« kdy: 07. 07. 2021, 01:13:13 »
Tedy bych měl dát drop pravidla na adresy z blacklistů i do RAW?

14
Odkladiště / Re:realisticky pohled na IoT pro dum
« kdy: 06. 07. 2021, 18:51:44 »
pruzkumbojem:
pokud byste se alespoň podíval např. hned na ten první systém Loxone, který jsem psal, tak na svých stránkách mají cenu za přízemní domek ve variantě Premium cca 134 tis. vč. DPH bez montáže. Je v tom ovládání osvětlení (stmívání), stínění (žaluzie), meteostanice, dešťový senzor atd... jsou v tom třeba i takové "blbosti" jako ovládání žaluzií podle pohybu slunce atd. 
800 tis. za 6 žaluzií je samozřejmě nesmysl, určitě vám v tom nabízeli i něco dalšího, nebo to zrovna byli nějací "koumáci".... Jednotlivé komponenty si samozřejmě můžete od jakéhokoliv (uvedeného) výrobce nakoupit i sám a poskládat si to sám. Prolistujte katalogy toho Schneideru, Legrandu, ABB atd... Potom to budete mít levnější. Pokud jste v takové firmě pracoval, tak předpokládám, že alespoň základní přehled o KNX máte. Z původních příspěvků jsem ale pochopil, že hledáte hotové řešení.

15
Odkladiště / Re:realisticky pohled na IoT pro dum
« kdy: 06. 07. 2021, 16:09:36 »
pruzkumbojem:
mohu se zeptat proč to dle Vašich slov několik let řešíte po fórech, řešíte bastlení, nějaké s prominutím hobby komponenty z Alzy, s Raspberry atd.? Mimochodem Raspberry je dobrá hračka, sám to v některých hobby aplikacích používám, ale pořád je to něco, co bylo původně vymyšleno jako hračka pro děti. Pokud Vás peníze netrápí, tak proč se místo toho neobrátíte na nějakou specializovanou firmu zabývající se domácí automatizací a KNX systémy? Aniž bych chtěl někomu dělat reklamu, tak takových systémů a firem je spousta..Loxone, Stakohome, KNX komponenty vyrábí Schneider Electric, Legrand, Jung, svůj systém má i české ABB...+ spousta dalších.... na výrobce těchto komponentů je navázáno plno dalších projekčních a montážních firem. Stačí jim sdělit své požadavky, několik jich poptat a určitě vám vyjdou vstříct s návrhem, montáží i případným servisem. Navíc to budete mít jako jeden funkční celek, případně i ve stejném designu jako klasické ovládací prvky a zásuvky....a ne jako hromadu nějakých samodomo poslepovaných noname hraček v jeden celek.

Stran: [1] 2