Návrh domacej siete

.

  • *****
  • 618
    • Zobrazit profil
Re:Návrh domacej siete
« Odpověď #15 kdy: 20. 05. 2023, 18:41:58 »
Jenom technická - pokud bude na WiFi použit systém Ubiquiti UniFi, pak tento sám o sobě VLAN umí, takže router/modem může klidně zůstat od UPC a switche mohou být běžné bez managementu. Tedy samozřejmě za předpokladu, že se návštěvy budou připojovat jenom přes WiFi a ne podloudně kabelem přímo do routeru nebo switche :D


Re:Návrh domacej siete
« Odpověď #16 kdy: 20. 05. 2023, 20:29:53 »
ja mam napr. v dome hlavny router mikrotik 750G s gigabit portmi. wan je wifi, to ale nie je podstatne. 2 porty idu na 2 wifi mikrotiky, kde mam 3 wifi siete - domaca, hostia a smart zariadenia.
Planujem dat hostia a smart do samostatnych vlan, pevne zasuvky v dome idu do jedneho gbit switcha, ktory je napojeny na treti port mikrotiku. stvrty port bude ethernet pre smart - tam mi bezi mini pc, ktore riadi domacnost.
hostovska wifi bude moct ist len na internet, smart budu samostna siet, kde pristup na internet sa bude urcovat pravidlami.
vlan v dome urcite nie je blbost, ale hlavne v dome smart zariadeni to zvysuje bezpecnost. A ked sa dobre nastavi, tak proste funguje, bez akehokolvek zasahu.

Re:Návrh domacej siete
« Odpověď #17 kdy: 20. 05. 2023, 21:50:50 »
Díky chalani za plodnú diskusiu.

Samozrejme sa nesnažím o kanón na vrabce, ale o niečo funkčné a trocha nadčasové

* Kotol považujem za vcelku kritickú súčasť domu a zvlášť ak je pripojená na internet, tam by mi VLAN dával logiku
* Moderné Smart TV sú bežne "vybavené" vlastným OS (Android?), popravde výrobca (ak ho) podporuje pár rokov a potom dovi, tiež by mi dávalo logiku niečo ako smart TV nepustiť do domácej siete
* K známym často chodia deti (pani je na dôchodku - bývala vychovatelka), všetky majú smartphony v rôznom stave rozkladu, Nové deti čo prídhádzaju občas na návštevu prvé čo si vypýtajú je heslo na wifi....  Guest wifi mi dáva tiež logiku


Rack je umiestnený v pivnici(sklepení)


Pre VLAN
    1)
        (1Gbit)
        * UPC (bridge)
        * Router: Ubiquiti EdgeRouter X (2000 Kč) (default/OpenWRT) / Mikrotik RouterBoard / TP-LINK
        * Switch: TP-LINK TL-SG116E/TP-Link TL-SG1016DE ( ~2500 kč)
        -----------------------
        4500 kč

    2)
        (1Gbit)
        * UPC (bridge)
        * Router: MikroTik RB4011iGS+RM (~4500 kč)
        * Switch: TP-LINK TL-SG116E/TP-Link TL-SG1016DE ( ~2500 kč)
        -----------------------
        7000 kč
   

Partial VLAN
        - Dom (Wifi)/PC pôjdu do switch-u (7x)
        - Kotol pôjde do router-u (1x)
        - SmartTV do router-u (2x)
        - Guest Wifi (??? 100mbit wifi AP) do router-u (1x)
        - Kamery/NVR do switch-u (5x) - druhý       
       
    4)
        (1Gbit)       
        * UPC (bridge)
        * Router: Mikrotik RB2011iL-IN (10p) (~2500 Kč)
        * Switch: 8P ( 600 kč) (LAN_NETWORK)
        * Switch: 8P ( 600 kč) (CAMERA_NVR)
        -----------------------
        3700 kč
       
 
Bez VLAN
    4)
        (1Gbit)
        * router: UPC
        * Switch: TP-LINK TL-SG116 ( ~ 1600Kč)
        -----------------------
        1600 kč
               

V prípade VLAN
    Segmentovanie:
        GUEST
        KOTOL
        LAN_NETWORK
        CAMERA_NVR
     
        --------
        GUEST -> WAN
        KOTOL -> WAN
        LAN_NETWORK -> WAN
        LAN_NETWORK -> KOTOL
        LAN_NETWORK -> CAMERA_NVR
       
       
V prípade 1), 2) zdá sa mi také čisté riešenie (pri prepočte na 5r dopredu) cena nieje taká zlá. Dá sa uvažovať o 3), malý diskomfort, treba trochu plánovania ale šlo by to. 4) Najekonomickejšie riešenie .. ale všetko je tak povediac na kope.

Pošlem mu návrh s cenovkou, +/- uvidím ako sa vyjadrí, možno skončime pri 4) :) (nepredpokladám, investicie sa nebojí)

Díky chalani!
       

.

  • *****
  • 618
    • Zobrazit profil
Re:Návrh domacej siete
« Odpověď #18 kdy: 20. 05. 2023, 22:54:47 »
Je zajímavé, že se řeší jakási rádoby bezpečnost s VLAN a přitom je úplně šumák, že mnohem větší riziko je, že nějaká návštěva bude na netu dělat nepatřičnosti a všechno v souvislosti s IP adresou půjde za tím, na koho je napsaná smlouva. Osobně bych měl obavy právě v tomto směru, než s jakýmsi kotlem nebo Smart TV :P

Re:Návrh domacej siete
« Odpověď #19 kdy: 20. 05. 2023, 23:10:52 »
Je zajímavé, že se řeší jakási rádoby bezpečnost s VLAN a přitom je úplně šumák, že mnohem větší riziko je, že nějaká návštěva bude na netu dělat nepatřičnosti a všechno v souvislosti s IP adresou půjde za tím, na koho je napsaná smlouva. Osobně bych měl obavy právě v tomto směru, než s jakýmsi kotlem nebo Smart TV :P

no... osobne by som tiez medzi:
- budu ma otravovat pravnici / krepy operator mi zablokuje internet
- bude mi v zime zima

tiez zvolil, ze treba chranit kotol :)


.

  • *****
  • 618
    • Zobrazit profil
Re:Návrh domacej siete
« Odpověď #20 kdy: 21. 05. 2023, 06:27:56 »
Pokud by se dal kotel jen tak odstřelit nějakým mobilním telefonem, tak by to byl tedy hodně špatný kotel, resp. hodně špatný obslužný SW a jeho zabezpečení. Sotva může výrobce kotlů vycházet z toho, že si každý uživatel bude vytvářet nějaké VLAN.
Jinak tedy u kotlů to obvykle funguje přes modul IoT připojený do cloudu výrobce kotle, aby bylo možné monitorovat a nastavovat určité věci vzdáleně odkudkoliv z netu (a nejenom z vnitřní sítě LAN), přičemž k tomu slouží aplikace v mobilním telefonu s nutností přihlášení do cloudu. Takže potenciální útočník by si napřed musel stáhnout konkrétní aplikaci, pak získat přihlašovací údaje a teprve následně mít kontrolu nad zařízením. Mimochodem v tomto případě je pak úplně jedno, jestli kotel běhá v nějaké VLAN nebo ne, protože na ovládání přes cloud toto vůbec žádný vliv nemá :)

bmn

  • ***
  • 176
    • Zobrazit profil
    • E-mail
Re:Návrh domacej siete
« Odpověď #21 kdy: 21. 05. 2023, 08:59:53 »
Je zajímavé jak se zde někteří snaží obhajovat méně bezpečné řešení. Jako kdyby to stálo hodiny času na nastavení. Dveře od domu taky nezamykáte, protože stačí zabouchnout?

Můj kotel se do cloudu nepřipojuje a ani nemůže připojit i kdyby chtěl. Prvky automatizace jsou izolované v samostatné síti a komunikují pouze mezi sebou přes MQTT.

Pokud někdo teda ale šetřil a má řízení přes cloud, tak je to pořád jednodušší napadnout ze stejné sítě než ze sousední. Přes DHCP mu může útočník podstrčit vlastní adresu jako gateway a může si s jeho síťovým provozem dělat co chce. Třeba zabránit připojení do toho cloudu nebo využít nějaké chyby v jeho prehistorické TLS implementaci. Taky může zkusit napadnout ten router přes jeho webové rozhraní. O takových chybách se tu píše každou chvíli. Navštěvy maji mít přistup jen ven do Internetu, na nic lokálního. To jsou naprosté základy bezpečnosti.

I vlastní mobily je vhodné dát do samostatné sítě kvůli spotřebě, ať je zbytečně neprobouzí multicast/broadcast provoz od ostatních zařízení, a jejich wifi může mít nastavený delší beacon interval a DTIM. Nebo když nějaký starší mobil ještě nezvládá WPA3, tak se může vypnout jen pro tu jejich síť.

Jimmyx

  • ***
  • 173
    • Zobrazit profil
    • E-mail
Re:Návrh domacej siete
« Odpověď #22 kdy: 21. 05. 2023, 09:29:57 »
Je zajímavé jak se zde někteří snaží obhajovat méně bezpečné řešení. Jako kdyby to stálo hodiny času na nastavení. Dveře od domu taky nezamykáte, protože stačí zabouchnout?
Když jsme u těch analogií. Zamykáte doma každý pokoj zvlášť ? Ve větších firmách institucích je přeci běžné mít klíče/vstup na kartu do každé druhé místnosti, takže by to určitě byl dobré nápad to zavést i doma, ne ?

.

  • *****
  • 618
    • Zobrazit profil
Re:Návrh domacej siete
« Odpověď #23 kdy: 21. 05. 2023, 09:59:13 »
Pokud někdo teda ale šetřil a má řízení přes cloud
Řízení přes cloud není o šetření, nýbrž o tom, že ne každý má veřejnou IP adresu, aby se ke svému zařízení (co má doma) mohl připojovat odkudkoliv z internetu. Protože právě dostupnost zařízení odkudkoliv je tím hlavním důvodem, proč ta zařízení mají moduly IoT s přístupem do netu.
A jestli má doma někdo kotel, který funguje výhradně ve vnitřní LAN síti, pak je snad úplně zbytečné, aby v té síti ten kotel vůbec byl, jelikož si uživatel může vše nastavit a kontrolovat přímo na něm.

bmn

  • ***
  • 176
    • Zobrazit profil
    • E-mail
Re:Návrh domacej siete
« Odpověď #24 kdy: 21. 05. 2023, 10:48:35 »
Když jsme u těch analogií. Zamykáte doma každý pokoj zvlášť ? Ve větších firmách institucích je přeci běžné mít klíče/vstup na kartu do každé druhé místnosti, takže by to určitě byl dobré nápad to zavést i doma, ne ?

Není to nejlepší analogie, uznávám. Rozdíl je, že věřím rodině a známým, že se mi nebudou hrabat ve věcech, ale nevěřím, že jsou schopni mít mobily bez malware. Kdybych tu měl někoho cizího (opraváře) a musel ho tu nechat bez dozoru, tak pokoje zamknu.

Řízení přes cloud není o šetření, nýbrž o tom, že ne každý má veřejnou IP adresu, aby se ke svému zařízení (co má doma) mohl připojovat odkudkoliv z internetu. Protože právě dostupnost zařízení odkudkoliv je tím hlavním důvodem, proč ta zařízení mají moduly IoT s přístupem do netu.

Z Internetu do domací sítě se přistupuje přes VPN. Když není veřejná IP adresa, je možné použít placené služby.

Re:Návrh domacej siete
« Odpověď #25 kdy: 21. 05. 2023, 10:58:50 »
V Benesovske nemocnici byla desna pohodicka, az jednou... a pokracovani znate. Nepracujete tam nekteri nahodou?

Re:Návrh domacej siete
« Odpověď #26 kdy: 21. 05. 2023, 11:00:35 »
Vyrobce kotlu tyhle veci vetsinou neresi. Je jim u zadele ze ten jejich arduino/rpi bastl napadne nejaky ransomware. Zakaznik si koupi dalsi, nebo zaplati servisni zasah.

Hardware ktery jsem navrhoval na zacatku, resi i bezpecnostni problemy uvedeneho typu a mnoho dalsich, protoze se jedna o NGFW a ma hafo prednastavenych pravidel, ktere staci aktivovat. Bylo to All-in-one, jenze prednost ma vzdy bastleni s mikrotikem/ubiquiti, nebo aušusama a TPlinkem. Pak to casto dopada spatne.

Pokud by se dal kotel jen tak odstřelit nějakým mobilním telefonem, tak by to byl tedy hodně špatný kotel, resp. hodně špatný obslužný SW a jeho zabezpečení. Sotva může výrobce kotlů vycházet z toho, že si každý uživatel bude vytvářet nějaké VLAN.
Jinak tedy u kotlů to obvykle funguje přes modul IoT připojený do cloudu výrobce kotle, aby bylo možné monitorovat a nastavovat určité věci vzdáleně odkudkoliv z netu (a nejenom z vnitřní sítě LAN), přičemž k tomu slouží aplikace v mobilním telefonu s nutností přihlášení do cloudu. Takže potenciální útočník by si napřed musel stáhnout konkrétní aplikaci, pak získat přihlašovací údaje a teprve následně mít kontrolu nad zařízením. Mimochodem v tomto případě je pak úplně jedno, jestli kotel běhá v nějaké VLAN nebo ne, protože na ovládání přes cloud toto vůbec žádný vliv nemá :)
« Poslední změna: 21. 05. 2023, 11:06:04 od prevadecspojitostivole »

.

  • *****
  • 618
    • Zobrazit profil
Re:Návrh domacej siete
« Odpověď #27 kdy: 21. 05. 2023, 11:15:59 »
Z Internetu do domací sítě se přistupuje přes VPN. Když není veřejná IP adresa, je možné použít placené služby.
Ale zde není řeč o vzdáleném přístupu do domácí sítě, nýbrž o přístupu ke konkrétnímu zařízení (kotel). A pro tyto účely - pokud výrobce kotle nabízí cloudové řešení - není důvod toho nevyužít. A naopak je zbytečné se zabývat nějakou VPN a ještě placenou, když se jedná o home použití.

Vyrobce kotlu tyhle veci vetsinou neresi. Je jim u zadele ze ten jejich arduino/rpi bastl napadne nejaky ransomware. Zakaznik si koupi dalsi, nebo zaplati servisni zasah.
Jak který. Možná nějaký noname šmejd ne, ale jinak je to úplně stejně jako třeba u TP-Linku aplikace Tether na vzdálenou správu routerů/AP/chytrých zásuvek atd., tj. 1) stažení aplikace, 2) vytvoření přihlašovacích údajů, 3) přidání zařízení - a následně možnost jejich správy odkudkoliv z netu.

Re:Návrh domacej siete
« Odpověď #28 kdy: 22. 05. 2023, 08:43:47 »
A jestli má doma někdo kotel, který funguje výhradně ve vnitřní LAN síti, pak je snad úplně zbytečné, aby v té síti ten kotel vůbec byl, jelikož si uživatel může vše nastavit a kontrolovat přímo na něm.
Nie je to zbytocne. Niekto to vyuziva ako sucast inteligentnej domacnosti, kde mu kotol riadi nejaky centralny "server" napr. podla pocasia, otvorenych okien, vyvoja teplot, alebo zatiahnutych zaluzii.
Alebo chce nejake statistiky ohladom vyvoja teploty, kolko spali v urcitych hodinach... A to mu tazko poskytne pidi displej na kotli.
Neexistuje len moznost cloud, alebo nic. Praveze ti uvedomelejsi chci smart riesenia, ale take, ze data neopustia lokalnu siet.

.

  • *****
  • 618
    • Zobrazit profil
Re:Návrh domacej siete
« Odpověď #29 kdy: 22. 05. 2023, 09:43:52 »
Jedna věc je, co někdo chce a druhá věc pak, co je reálně dostupné. A prakticky všechny systémy pro chytrou domácnost  fungují přes aplikace do mobilu a se vzdáleným přístupem, protože právě toto zákazníci nejvíc vyžadují a výrobci jim logicky vychází vstříc. Takže opravdu je možnost pouze cloud nebo nic (pokud je samozřejmě řeč o home použití).