Bezpečnost a soukromí v domácí síti

[palocx]

mám dotaz
jak by měla být alespoň obecně postavena a konfigurována domácí síť tak aby byla
a) bezpečná
b) poskytovala pokud možno maximum soukromí?

#security
#privacy

[Reklama]

[3ugeene]

To je tezky rict. Zalezi na okolnostech a co je pozadovano.

Pro zacatek treba oddelit soukrome stroje (pracovni PC) od obecnych (guest wifi, iot sra*ky apod.) pomoci VLAN.

[palocx]

To je tezky rict.
Zalezi na okolnostech a co je pozadovano.

Pro zacatek treba oddelit soukrome stroje (pracovni PC) od obecnych (guest wifi, iot sra*ky apod.) pomoci VLAN.

dobrá poznámka!

Napadlo mne akorát vložit hw firewall 
třeba MikroTik RB750Gr3 hEX
stačí případně u tohoto typu fw nějaké výchozí nastavení?


ale
třeba nevím zda mohou některá zařízení či sw / app (zneužitelně) číst MAC adresy
POKUD ano
zda je lze třeba nějak maskovat... aby nebyla jednoznačná identifikace až tak jednoduchá

[3ugeene]

pokud mas zarizeni v jedny siti, vzdy jde sit nejak oskenovat a ziskat MAC adresy - je to tak dany, tak funguji site.

Proti tomu je prave treba oddeleni pomoci VLAN - je to jina sit, takze ty MAC jednoduse ziskat nelze

[Adolf.Shitler.2]

mám dotaz
jak by měla být alespoň obecně postavena a konfigurována domácí síť tak aby byla
a) bezpečná
b) poskytovala pokud možno maximum soukromí?

#security
#privacy

a) co si představuješ pod pojmem "bezpečná"?
b) co si představuješ pod pojmem "maximum soukromí"?

[Reklama]

[greenlinuxguru]

Myslím, že dnes už je to skoro jedno, většina routerů a providerů blokuje příchozí porty díky NAT, WiFi už běhá na WPA, a pokud člověk nedělá vysloveně blbosti (sdílení C: bez hesla do celé sítě apod.), tak podle mě nebezpečí moc nehrozí. Navíc když si člověk ukládá třeba hesla do prohlížeče, tak Chrome automaticky čekuje databázi uniklých hesel a hlásí taková, která jsou slabá.

Lidi jsou občas až moc paranoidní s tím, že znají případy totálně lehkovážných jedinců, kteří si na warez a porno webech stáhnou EXE soubor a nemají na počítači ani antivirus, pak jo. Ale pokud je člověk normální a nedělá vysloveně rizikové věci, je větší šance, že ho srazí auto na přechodu před barákem.

Znáte ten vtip, kdy dva misionáři zahlédnou lva, a ten jeden si začne obouvat boty a ten druhý na něj: "proč si je obouváš, stejně mu neutečeš?", a on na toho druhého: "to ne, ale mě stačí utíkat jen rychleji než ty".

Pointa je, že na světě je tolik totálně laxních lidí, že hackeři se snadněji zaměří na ně než na mě.

Pamatuji se ještě na dobu, kdy všechny modemy u O2 měli stejné uživatelské jméno a heslo: "admin:admin", a web rozhraní bylo na bráně do internetu blokováno, ale mohli jste se připojit k libovolnému routeru ve svém segmentu a nasdílet si tam třeba C: do internetu, ano toto je fakt laxnost.

[cznarg]

Myslím, že dnes už je to skoro jedno, většina routerů a providerů blokuje příchozí porty díky NAT, WiFi už běhá na WPA, a pokud člověk nedělá vysloveně blbosti (sdílení C: bez hesla do celé sítě apod.), tak podle mě nebezpečí moc nehrozí. Navíc když si člověk ukládá třeba hesla do prohlížeče, tak Chrome automaticky čekuje databázi uniklých hesel a hlásí taková, která jsou slabá.

NAT jako firewall? NAT rozhodně nesupluje funkci firewallu. Navíc zvláště v době kdy spoustu lidí má IPV6 a každé zařízení má public ip mě to přijde poněkud úsměvné. Krom toho si představte, že dneska máme spoustu smart zařízení. Televize, pračky, vypínače, světla, žárovky... Které se připojují do internetu. Každé takovéhle zařízení v případě hacknutí lze použít jako proxy pro další hacky na síti.

WPA: WPA nezaručuje nic víc než že se do Vaší sítě připojí člověk který zná heslo (otázka je kde ho získal) a že provoz na síti je šifrovaný.

Typický use-case: Přijde k vám soused na návštěvu. Chce se připojit k Wifi. Opravdu mu dáte "klíče" od Vaší sítě aby Vám skenoval otevřené porty, ovládal Vám Vaší televizi, rozsvěcel světla (ne smart vypínače nemají hesla a ani https :-)), zkoušel exploity na síťové prvky, NASky atp.? Koukal se kdo k Vám chodí a kdo chodí po dvorku (ani kamery to dneska se zabezpečením nepřehání) ? Já tedy o to nestojím.

K původní otázce (doma to mám takhle):
- untagged + maintanence VLAN (ovládání síťových prvků - switche, ap když to zařízení umí ...)
- VLAN pro kamery (úplně odríznutá od internetu)
- VLAN pro hosty (internet)
- VLAN pro IOT které vyžadují cloud (internet)
- VLAN pro IOT které nevyžadují cloud (bez internetu)
- VLAN pro domácnost (PC, mobily, televize, chromecasty, NAS... - internet)
V brzké době ještě hodlám rozdělit VLAN pro domácnost na tři další (SmartTV a chromecasty mám nový tak jsem se tím ještě neměl čas zabývat):
- VLAN pro PC
- VLAN pro servery - NAS, HomeAssistant
- VLAN pro ostatní prvky (mobily, televize, chromecasty) ... Nevidím jediný důvod proč by mě televize měla šahat na PC. Akorát budu muset zjistit co AndroidTV potřebuje za porty kvůli streamování, mirroru obrazovky...

Všechno dobře ofirewallovat, dovnitř zakázat traffic který není ESTABLISHED, RELATED a traffic potřebný k provozu sítě (speciálně IPV6)

Pointa je, že na světě je tolik totálně laxních lidí, že hackeři se snadněji zaměří na ně než na mě.

To je jako nechávat odemčený dům a klíčky v zapalování auta -- Na světě je spoustu laxních lidí co nechávají klíčky v zapalování od lepších vozů než mám já a i mnohem majetnějších lidí kteří nechávají odemčený dům -- ale když už zloděj najde odemčený dům nebo klíčky v zapalování, je mu to jedno. Prostě ukradne co se dá...

[Adolf.Shitler.2]

Typický use-case: Přijde k vám soused na návštěvu. Chce se připojit k Wifi. Opravdu mu dáte "klíče" od Vaší sítě aby Vám skenoval otevřené porty, ovládal Vám Vaší televizi, rozsvěcel světla (ne smart vypínače nemají hesla a ani https :-)), zkoušel exploity na síťové prvky, NASky atp.? Koukal se kdo k Vám chodí a kdo chodí po dvorku (ani kamery to dneska se zabezpečením nepřehání) ? Já tedy o to nestojím.

Od toho je tzv. "síť pro hosty", která se navíc zapne v routeru (AP) jenom v případě potřeby a není u ni pochopitelně problém ani pravidelně měnit hesla. Takže soused se při návštěvě podívá max. na web a tím to končí.

[𝑾𝑰𝑭𝑻]

…K původní otázce (doma to mám takhle):
- untagged + maintanence VLAN (ovládání síťových prvků - switche, ap když to zařízení umí ...)
- VLAN pro kamery (úplně odríznutá od internetu)
- VLAN pro hosty (internet)
- VLAN pro IOT které vyžadují cloud (internet)
- VLAN pro IOT které nevyžadují cloud (bez internetu)
- VLAN pro domácnost (PC, mobily, televize, chromecasty, NAS... - internet)
V brzké době ještě hodlám rozdělit VLAN pro domácnost na tři další (SmartTV a chromecasty mám nový tak jsem se tím ještě neměl čas zabývat):
- VLAN pro PC
- VLAN pro servery - NAS, HomeAssistant
- VLAN pro ostatní prvky (mobily, televize, chromecasty) ... Nevidím jediný důvod proč by mě televize měla šahat na PC. Akorát budu muset zjistit co AndroidTV potřebuje za porty kvůli streamování, mirroru obrazovky...

Všechno dobře ofirewallovat, dovnitř zakázat traffic který není ESTABLISHED, RELATED a traffic potřebný k provozu sítě (speciálně IPV6)…

To je konečně pořádná paranoia! . Ale jako odpověď na původní otázku naprosto validní.

Kdyby někoho zajímalo, jak to mám já - nijak. Teda - trochu zabezpečení na vnějším rozhraní je, ale vnitřek nijak neřeším. Není proč. To je jako kdybych si zamykal každou skříň zvlášť heslem, co kdyby se mi domu dostal zloděj.

[Buldr]

První podmínkou bezpečnosti stále zůstává silně pesimistický přístup a toho se v popisu drží. Vlastně to mám velice podobné s rozšířením o lokální přístup skrze dvě maliny, které to řeší vlastním zubatým firmware. Paranoidní by byla čepice vystlaná alobalem

To, že na to většina lidí dlabe, mají děravé routery, výchozí hesla ... to už je druhá věc.

[greenlinuxguru]

NAT jako firewall? NAT rozhodně nesupluje funkci firewallu. Navíc zvláště v době kdy spoustu lidí má IPV6 a každé zařízení má public ip mě to přijde poněkud úsměvné. Krom toho si představte, že dneska máme spoustu smart zařízení. Televize, pračky, vypínače, světla, žárovky... Které se připojují do internetu. Každé takovéhle zařízení v případě hacknutí lze použít jako proxy pro další hacky na síti.

- VLAN pro kamery (úplně odríznutá od internetu)
- VLAN pro hosty (internet)...

Jj, to jsou ti teoretici, kteří někde mají certifikaci od Cisco, už jsem jim párkrát ukázal, že zabezpečení na síťové vrstvě není ani náhodou všechno.

Kdysi jsem známému ukázal, jak se nabourat do banky, kde zrovna dělal audit, nevěřil mi to, dokud to neviděl, jak jsem to jednoduše udělal.

Systém je, že zabezpečení je tak silné, jako nejslabší článek, to je udělání nějakého totálně silného článku (vlastní VLAN pro kamery), nic nemění na tom, že až pojedete do města do divadla, že si na vás někdo v podchodu nepočká s kudlou.

Takže ano, je to paranoia. Je to stejné jako snažit se vysvětlit preperrům, že jejich plechovky s jídlem ve sklepě jim jsou na nic, když nebudou mít vodu

Možná, kdybyste místo toho ladění VPN strávil čas nad přípravem kvalitní stravy, uděláte pro své přežití a bezpečí víc.

Mimo jiné co bych v té vaší síti dělal, sledoval kamery nebo snížil teplotu o stupeň v ledničce? Nezlobte se na mě, zloději jsou dneska profesionálové, jim nejde o čas, kdy chodíte na zahradu, ale o peníze, které vám vytáhnou s účtu třeba prostřednictvím inflace nebo podvedeného dluhopisu.

Hackerům jde primárně o prachy, u života jde o nějakou vyváženost, rozumě si zabezpečit síť, rozumě pečovat o zdraví, rozumě pečovat o majetek a vztahy.

Ten váš styl super zabezpečení je jak člověk, který se soustředí jen na prachy, skončí milionář, ale nakonec je sám, protože mu ušlo dalších 50 věcí.

[greenlinuxguru]

To, že na to většina lidí dlabe, mají děravé routery, výchozí hesla ... to už je druhá věc.

To jsou z 99% ti lidi, co jsou hacknuti, tihle co na to totálně dlabou, k tomu určitě nenavádím, jen si myslím, že když člověk nastaví rozumná hesla a rozumě záplatuje a nepouští "sr*čky" z pochybných webů, že je v pohodě.

Já za 20 let nemám jediný incident, dokonce skoro všude platím na internetu kartou, a ani jedno zneužití. Prostě nedělám totální ptákoviny, používám základní inteligenci a nemusím být paranoidní, aby mě někdo nehackl.

[Buldr]

Minimálně polovina zařízení ve světě SOHO žádné bezpečnostní aktualizace prakticky nedostane, protože na to výrobci z vysoka kašlou už v první instanci, tedy děravých routerů. Často je jedinou možností koupit nový a celý cyklus opakovat.

Se schopnostmi a znalostmi zvládnout Mikrotik, Ubqt, Turris ... není problém, ale zase tolik se jich v domácnostech netoulá. IoT už je kapitola sama o sobě, stejně jako domácí elektronika, pračky, televize, ...

[cznarg]

NAT jako firewall? NAT rozhodně nesupluje funkci firewallu. Navíc zvláště v době kdy spoustu lidí má IPV6 a každé zařízení má public ip mě to přijde poněkud úsměvné. Krom toho si představte, že dneska máme spoustu smart zařízení. Televize, pračky, vypínače, světla, žárovky... Které se připojují do internetu. Každé takovéhle zařízení v případě hacknutí lze použít jako proxy pro další hacky na síti.

- VLAN pro kamery (úplně odríznutá od internetu)
- VLAN pro hosty (internet)...

Jj, to jsou ti teoretici, kteří někde mají certifikaci od Cisco, už jsem jim párkrát ukázal, že zabezpečení na síťové vrstvě není ani náhodou všechno.

Cisco certifikaci nemám ani o ni moc nestojím, jde totálně mimo můj obor kterým je programování 

Mimo jiné co bych v té vaší síti dělal, sledoval kamery nebo snížil teplotu o stupeň v ledničce? Nezlobte se na mě, zloději jsou dneska profesionálové, jim nejde o čas, kdy chodíte na zahradu

Jak kterým. Máme tu taktéž drobné zloděje. Podle kamer se dá dost dobře vytipovat kdy vůbec nikdo není doma, jaký máte majetek atd. atd. Zárovň jde i o leaky z cloudů kde se data ukládají (a následné otázky drahé polovičky kde se vzali naše fotky na pornhubu? -- ne že bych měl kameru v ložnici ale na přístupové chodbě už ano), pingování domu, exploity na firmware kamery kde zpravidla běží nějaký očesaný linux a stejně jako další věci se to dá využívat k dalšímu útoku. Sám píšete že zabezpečení je tak silné jak nejslabší článek -- a nejslabší článek jsou neaktualizované věci, což jsou prakticky všechny tyhle hračky (kamery, iot)

Hackerům jde primárně o prachy, u života jde o nějakou vyváženost, rozumě si zabezpečit síť, rozumě pečovat o zdraví, rozumě pečovat o majetek a vztahy.

Tohle je podle mě rozumné zabezpečení sítě. Pokud to uděláte jednou a dobře, pak do toho starání se zas tolik času investovat nemusíte. Navíc mě to celkem baví 

Ten váš styl super zabezpečení je jak člověk, který se soustředí jen na prachy, skončí milionář, ale nakonec je sám, protože mu ušlo dalších 50 věcí.

To nemusí být nutně špatně, každý jsme jiný. Ačkoliv nepreferuji hromadění majetku nad osobním životem, znám lidi kteří ano. A přeji jim to, každý by si měl vybrat styl života který mu sedí. Těch 50 věcí jim určitě došlo, jen vidí svět jinak než Vy.

Takže ano, je to paranoia.

Já netvrdím že po mě jdou  . Ale reálně když si vezmete kolik se objevilo 0day exploitů, kolik se už hacklo firem... Myslím že zabezpečení vlastní sítě je dnes nutnost, obzláště když třeba děláte programátora a na počítači máte zdrojáky, VPNku do firemní sítě, jako jeden z mála přístup na PRODukční servery... Už vidím jak by se můj zaměstnavatel tvářil kdyby mě leakly. A reálně vidím jak by vytahoval tu část smlouvy kde mám 100k za každý případ leaku nějakých interních informací.

Ono to vlastně je celé o tom co máte na síti a jaký máte přístup k datům na své síti. Já si svého soukromí cením, ovšem chci používat chytré vypínače, kamerový systém a chytrou televizi. Navíc se tak trochu cítím být zodpovědný za data zaměstnavatele a chápu že firma pro kterou pracuji by ráda ochránila data svých zákazníků a uživatelů. Rozhodně nechci být tím slabým článkem přes který se někdo náhodou dostane k produkčním datům a zdrojovým kódům. A rozhodně taktéž nechci řešit že mě soukromá data unikli kvůli chabě zapezpečené kameře nebo vypínači.

Dneska je doba, kdy se na internetu válí spoustů skiptů využívající exploity, takže opravdu když Vás někdo hackne, nemusí to být hacker který tráví čas hledáním 0day exploitů, hackováním NVIDIe atd., může to být třeba sousedovo děcko

[FKoudelka]

Zatím všechny příspěvky řeší soukromí, ale dle mne je pravděpodobnější, že by si hacker přidal vaše zařízení do botnetu.