Existuje ethernetový kábel s vypínačom?

PanVP

Re:Existuje etherenetový kábel s vypínačom?
« Odpověď #15 kdy: 13. 05. 2021, 22:37:48 »
Vypnutí napájení levného switche mi přijde jako dobré řešení.

Řídil bych to tímhle:
https://www.alza.cz//emos-digitalni-spinaci-zasuvka-ip20-d5096874.htm

X krát za den se to zapne, odešle data a zase vypne.
Za pět kil včetně switche a nemusím nikam chodit něco zapínat :-D


Re:Extrémny nápad: Existuje Etherenet kábel s vypínačom
« Odpověď #16 kdy: 14. 05. 2021, 11:47:55 »


A nemuze si to zarizeni nahazovat a shazovat svuj ETH? Byl by defaultne shozeny, pred prenosem dat by si ho zarizeni nahodilo a po prenosu zase shodilo. Nebo je prenos dat inicializovany zvenci?

Bohužiaľ nie lebo je to sieťový riadiaci systém a teda  tá mašina  prijíma  dáta z inej podčasti stále
 cez  ETH a má len jeden  port.-.

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:Existuje etherenetový kábel s vypínačom?
« Odpověď #17 kdy: 14. 05. 2021, 13:10:26 »
Vypnutí napájení levného switche mi přijde jako dobré řešení.

Takže přepínač použitý jako vypínač.

Re:Existuje ethernetový kábel s vypínačom?
« Odpověď #18 kdy: 15. 05. 2021, 12:05:28 »
No tak si kup za 2 stovky nejakej walike talkie switch pripoj to pres nej a k tomu switchi zasuvku programovatelnou ktera ti bude ten switch vypinat zapinat podle tvych potreb, sice hrozna ptakovina ale ;-)

Re:Existuje ethernetový kábel s vypínačom?
« Odpověď #19 kdy: 15. 05. 2021, 21:23:51 »
Pojďme na to úplně jinak.
1) Proč chceš, aby nějaké zařízení bylo oddělené od firemní sítě? Zřejmě proto, že mnoho průmyslových zařízení je na tom s možnostmi zabezpečení tak, že by z toho odborník na IT bezpečnost okamžitě omdlel. Ač nevím, jaké zařízení to je a jaké hrozby řešíš, tak souhlasím, že to chce řešit. A jelikož to řešení neplatím a nejsem za něj zodpovědný, tak ti tu budu radit, že to řešení by mělo být systémové.

2) Odpojovat zařízení od firemní sítě (a je jedno, jestli odpojovat konektor, nebo vypínač na eth kabelu, nebo vypínač na napájení dedikovaného switche) je hezké řešení, které je levné, jednoduché a v principu špatné. Nevím, jaká rizika řešíš, ale spousta útoků může být automatizována a pak čekat - a pak zaútočí v tu chvíli, když připojíš to zranitelné zařízení.
Nemluvě o tom, že situace, že někdo nechá to zařízení připnuté ne pár minut, ale pár hodin (nebo dní) není z kategorie JESTLI, ale z kategorie KDY.

3) Co máš za problém s řešením odpojováním/vypínáním portu na switchi? Že to někdo zapomene pak vypnout/odpojit ten port? V čem se to liší od situace, kdy někdo zapomene odepnout fyzický vypínač? Že selže nějaký skript, který má vypínat ten port? No to se dá řešit jiným skriptem, který bude kontrolovat stav toho portu. Nebo co je tam za problém?

4) IMHO je správné a systémové řešení toto: Požádáš firemního IŤáka, ať pomocí firewallu, managovaného switche a VLAN zařídí unikátní prostup. Tedy, že s tím zranitelným zařízením bude moci komunikovat pouze jeden počítač, který je píchlý v jednom portu jednoho switche. A náš IŤák to měl ještě pojištěno tak, že když se tomu počítači změnila MAC adresa, tak se ten prostup zavřel a musel to ručně nahodit (a zahájilo se vyšetřování kdo a proč připojil jiné koncové zařízení). Ale to je nepodstatná třešnička na dortu. Ten počítač (i switch) může být umístěn tak, že se k němu fyzicky nedostane nikdo, kdo nemá.
Čili to zranitelné zařízení vlastně není ve firemní síti - je schopno se bavit pouze s jedním definovaným počítačem ve firemní síti. A ten počítač může poskytovat služby ostatním počítačům ve firemní síti, protože to už je normální počítač s normálním (ve firmě schváleným a provozovaným) operačním systémem, na který firemní IT dokáže aplikovat normální pravidla bezpečnosti.



RDa

  • *****
  • 2 461
    • Zobrazit profil
    • E-mail
Re:Existuje ethernetový kábel s vypínačom?
« Odpověď #21 kdy: 15. 06. 2021, 13:11:58 »
A uplne failsafe reseni by byl ten malej switch napajeny baterii, nabijecka a diskretni casovac s prepinacim kontaktem.
(baterie se bud nabiji ze site a switch nejede, nebo vybiji a napaji switch)

To jen proto, ze kdyz selze casovac, aby jste nezustal viset ve stavu "pripojeno do internetu".

Re:Existuje ethernetový kábel s vypínačom?
« Odpověď #22 kdy: 16. 06. 2021, 15:50:37 »
A uplne failsafe reseni by byl ten malej switch napajeny baterii, nabijecka a diskretni casovac s prepinacim kontaktem.
(baterie se bud nabiji ze site a switch nejede, nebo vybiji a napaji switch)

To jen proto, ze kdyz selze casovac, aby jste nezustal viset ve stavu "pripojeno do internetu".

Nevím, co vede jinak rozumné diskutéry, aby se pouštěli do takových obskurností, co tady předvádí, ale budiž. Ale, co vede někoho k tomu, aby tohle nazval "úplně failsafe řešením", to je zcela mimo moje chápání.

Re:Existuje ethernetový kábel s vypínačom?
« Odpověď #23 kdy: 16. 06. 2021, 17:52:14 »
A uplne failsafe reseni by byl ten malej switch napajeny baterii, nabijecka a diskretni casovac s prepinacim kontaktem.
(baterie se bud nabiji ze site a switch nejede, nebo vybiji a napaji switch)

To jen proto, ze kdyz selze casovac, aby jste nezustal viset ve stavu "pripojeno do internetu".

Nevím, co vede jinak rozumné diskutéry, aby se pouštěli do takových obskurností, co tady předvádí, ale budiž. Ale, co vede někoho k tomu, aby tohle nazval "úplně failsafe řešením", to je zcela mimo moje chápání.

Asi tím chce rozumný diskutér poukázat na to, že produkt, který prakticky existuje už desítky let, je sám obskurní. Ale dokázat to prodat za milióny dolarů a navíc patentovat, to už chce opravdu umění najít správné hejly, zde z krypto oblasti.

Já bych to ještě vylepšil o PANIC BUTTON, krásný červený fyzický čudlík, který když uživatel zmáčkne, tak se připojí na tu baterku 230V a zařízení se vypaří  ;)

M_D

  • ****
  • 318
    • Zobrazit profil
    • E-mail
Re:Existuje ethernetový kábel s vypínačom?
« Odpověď #24 kdy: 16. 06. 2021, 23:52:19 »
Já bych to ještě vylepšil o PANIC BUTTON, krásný červený fyzický čudlík, který když uživatel zmáčkne, tak se připojí na tu baterku 230V a zařízení se vypaří  ;)
Vidíš, někde to červené tlačíko usilovně budují. :-(
Takový SI (směnový inženýr) v Dukovanech/Temelíně měl pravomoc a dneska už i bude mít konečně své "červené tlačítko", aby při pocitu/náznaku od podpůrných systémů, že se něco děje špatně a má to vztah k IT komunikacím, tak při jeho aktivaci dojde k úplnému odpojení od řídícího systému všech podružných komunikací a systémů, co nejsou nezbytně nutné minimum pro bezpečný provoz/odstavení/udržení na výkonu. A pak se bude dodatečně zkoumat, že se se jen blbě vyspal nebo se doopravdy něco dělo. :-)

RDa

  • *****
  • 2 461
    • Zobrazit profil
    • E-mail
Re:Existuje ethernetový kábel s vypínačom?
« Odpověď #25 kdy: 17. 06. 2021, 00:15:36 »
A uplne failsafe reseni by byl ten malej switch napajeny baterii, nabijecka a diskretni casovac s prepinacim kontaktem.
(baterie se bud nabiji ze site a switch nejede, nebo vybiji a napaji switch)

To jen proto, ze kdyz selze casovac, aby jste nezustal viset ve stavu "pripojeno do internetu".

Nevím, co vede jinak rozumné diskutéry, aby se pouštěli do takových obskurností, co tady předvádí, ale budiž. Ale, co vede někoho k tomu, aby tohle nazval "úplně failsafe řešením", to je zcela mimo moje chápání.

Mimo vase chapani je tedy bezpecnost, ktera funguje ciste na zaklade fyzikalnich zakonu a zcela pasivne.

Tj. i kdyby se porouchal casovac, tak aby po nejake dobe se ty site rozpojili. Tohle nejde resit aktivni ochranou na zaklade druheho casovace, pocitadla uptimu a resetu, aktivni rekonfiguraci atd.. protoze vsechno muze selhat a neprovest se. Ale baterie, v zapojeni ktere jsem navrhnul, nemuze fungovat vecne.

Na podobnem principu snad funguji i urcite bezpecnostni systemy v jadernych elektrarnach - kde si nemuzete dovolit neco ridit aktivne, kdyz system selze.
Musi to zafungovat ze sve podstaty.

M_D

  • ****
  • 318
    • Zobrazit profil
    • E-mail
Re:Existuje ethernetový kábel s vypínačom?
« Odpověď #26 kdy: 17. 06. 2021, 07:50:48 »
RDa: Tak ono je třeba také zvážit škody z případného neoprávněného odepření služby, že se to bezpečnostní zařízení porouchá. I ten aku s přepínači chcípne, tak když to chcípne tak, že to neumožní oprávněný  přenos, tak to bude nějaká škoda a jde o posouzení, co víc bude bolet.
Kdysi jsme podobně řešili napájení nějakého specifického měřícího zařízení, co mělo 3 akumulátory, z jednoho to jelo, druhý se dobíjel a třetí byl horká záloha, kde se relátkově přepínaly akumulátory z pozic pracovní/záložní/dobíjené a dlouhodobě to byl dost porod. :-(
Dají se dneska sehnat i programovatelné časové relé, co mají dle "atom norem" certifikace pro zařízení třídy A / BT1 (komponenta, která když selže, tak to bude příčinou vzniku jaderné havárie), takového bych se nebál v té fabrice použít.
Chápu, že u výrobní linky je to problém, když se to posere, tak dohledáš, co se stalo. U atomky mám výhodu, že když se to opravdu posere hodně, tak nikdo 100+ let se nepůjde podívat, zda to relátko ne/seplo, to už budu mrtvej a budu mít klid. :-)
Ano, používají se "pasivní systémy" bezpečnosti, kde se dá dokázat funkčnost - např. zjedodušeně, mám bazén vody nad reaktorem, rupne trubka u hlavního cirkulačního čerpadla, tím pádem klesne v reaktoru tlak a pokud v té chvíli někdo nepředělá gravitační zákony, tak voda pro nouzové chlazení poteče z bazénu celkem spolehlivě, u IT světa k takovým věcem se bude muset teprve postupně dospět...

Re:Existuje ethernetový kábel s vypínačom?
« Odpověď #27 kdy: 17. 06. 2021, 09:40:47 »

Mimo vase chapani je tedy bezpecnost, ktera funguje ciste na zaklade fyzikalnich zakonu a zcela pasivne.


15. 05. 2021, 21:23:51 jsem napsal příspěvek, kde to nějak shrnuji. Předpokládám, že jste ho četl. Současně předpokládám, že nemáte od původního tazatele žádné dodatečné informace, které sem nenapsal.

Mimo moje chápání je v první řadě to, proč tak usilovně a komplikovaně řešíte, aby se systém překlopil do "superbezpečného stavu", když se předtím nějakou dobu vystavuje ve stavu, který je (s největší pravděpodobností) zcela nezabezpečený.

Pokud má ten systém nějakou zranitelnost, tak je potřeba ho chránit - a to pořád. A ne chvíli superbezpečně a chvíli vůbec.

Pokud je v té síti nějaká automaticky se šířící hrozba, tak může mít různou frekvenci s níž zkoumá síť a hledá cíle, ale je jenom věc statistiky, než se trefí do chvíle, kdy bude dané zařízení připojeno.

Pokud je v té síti nějaký útočník, který cílí přímo na ten systém, tak si napíše skript, který bude pingovat ten zranitelný systém (případně jinak detekovat, že je systém připojen) a až uvidí, že je systém připojen, tak zaútočí.

Vaše řešení (tedy nejenom vaše, ale vy jste tu obskurnost dotáhl nejdál) mi připadá jako: Pohlavní styk s neznámými provozuji bez kondomu, ale jenom krátce. A když ten pohlavní styk neprovozuji, tak mám nasazeny 2 kondomy.

RDa

  • *****
  • 2 461
    • Zobrazit profil
    • E-mail
Re:Existuje ethernetový kábel s vypínačom?
« Odpověď #28 kdy: 17. 06. 2021, 10:28:26 »
RDa: Tak ono je třeba také zvážit škody z případného neoprávněného odepření služby, že se to bezpečnostní zařízení porouchá. I ten aku s přepínači chcípne, tak když to chcípne tak, že to neumožní oprávněný  přenos, tak to bude nějaká škoda a jde o posouzení, co víc bude bolet.
Kdysi jsme podobně řešili napájení nějakého specifického měřícího zařízení, co mělo 3 akumulátory, z jednoho to jelo, druhý se dobíjel a třetí byl horká záloha, kde se relátkově přepínaly akumulátory z pozic pracovní/záložní/dobíjené a dlouhodobě to byl dost porod. :-(

Tak u tazatele je preferovany stav "odpojeno" (a spolehlive odpojit po urcitem case), nez u vas - to "udrzet v provozu skrze 3 aku", ne?

15. 05. 2021, 21:23:51 jsem napsal příspěvek, kde to nějak shrnuji. Předpokládám, že jste ho četl. Současně předpokládám, že nemáte od původního tazatele žádné dodatečné informace, které sem nenapsal.

Unika vam smysl airgap:
https://en.wikipedia.org/wiki/Air_gap_(networking)

Slouzi prave k tomu, ze nic nelze 100% zabezpecit, a jedinou ochranou zustava skutecne *fyzicke* odpojeni se od site.

Jinak hodne stesti v zabezpecovani binarniho hnoje od stovky dodavatelu (hw/sw), jiste to zvladnete levou zadni ve svem vyrobnim podniku s miliardovym obratem. A hned druhej den zabezpecite i druhou stranu spoje - cely internet, jste totiz buh, vid?

Jestli je v dane siti utocnik zevnitr, tak to mate problem nekde jinde, nez na obcasne spravcovske pripojce.

Re:Existuje ethernetový kábel s vypínačom?
« Odpověď #29 kdy: 17. 06. 2021, 11:00:26 »

Unika vam smysl airgap:
https://en.wikipedia.org/wiki/Air_gap_(networking)

Slouzi prave k tomu, ze nic nelze 100% zabezpecit, a jedinou ochranou zustava skutecne *fyzicke* odpojeni se od site.

Jinak hodne stesti v zabezpecovani binarniho hnoje od stovky dodavatelu (hw/sw), jiste to zvladnete levou zadni ve svem vyrobnim podniku s miliardovym obratem. A hned druhej den zabezpecite i druhou stranu spoje - cely internet, jste totiz buh, vid?

Jestli je v dane siti utocnik zevnitr, tak to mate problem nekde jinde, nez na obcasne spravcovske pripojce.

Tak jako v mateřské školce, sjedeme si to ještě jednou:
1+3) Nevíme co a proč chce ten člověk zabezpečovat. A také nevíme, proč má ten člověk problém s odpojováním portu na chytrém switchi. Nicméně vzhledem k tomu kde se ptá a jak se ptá, je nepravděpodobné, že se snaží zabezpečovat zařízení, které brání puknutí Zeměkoule. Těžko to bude typ zařízení, kde dává skutečný smysl air-gapping. Nenapadá mě situace, kdy by dávalo smysl kombinovat air-gapping a občasné fyzické připojení zařízení.

4) Řešení jsem navrhl na úrovni pravidel firewallu, tzn. že se k tomu zařízení (bez hacknutí toho firewallu) nedostane nikdo, kromě schváleného komunikačního partnera. Ano, je to řešení velmi nudné, neobsahuje žádné fyzické odpojování a vybíjení baterek, ale funguje pořád. Není to to "sundávání kondomu na pohlavní styk". Jestli se ti to řešení nelíbí, tak nějak argumentuj. Jestli máš pocit, že se ve velkých výrobních podnicích používá obskurní "máme to odpojeno a jenom na chvíli to fyzicky připojíme", tak jsi zřejmě v žádném nebyl.

Jestli je (resp. může být) v síti útočník zevnitř (což tazatel fakticky naznačuje), tak moje řešení bude fungovat tak dlouho, dokud neovládne firewall nebo toho komunikačního partnera, což může být velmi velmi dlouho. Tvoje odpojovací řešení bude fungovat do prvního připojení.



Přijde mi, že je veliké štěstí, že ten člověk nenapsal, že chce fyzický přístup k zařízení zabezpečit plotem s vysokým napětím, protože vy byste se tady vůbec neptali, jestli to není blbost a začali mu radit jaké VN trafo použít.