Návrh domacej siete

Re:Návrh domacej siete
« Odpověď #45 kdy: 26. 05. 2023, 11:52:21 »
vlan nie su zamknute vnutorne dvere. Tebe ked pride navsteva, tak sa prechadza po celom dome a pouziva tvoje aj osobne veci? Vlan je o tom, ze povies, kam mozu ist a co mozu urobit.


.

  • *****
  • 558
    • Zobrazit profil
Re:Návrh domacej siete
« Odpověď #46 kdy: 26. 05. 2023, 12:08:53 »
Sorry, ale já mám doma svoji síť postavenou pro sebe a členy mé rodiny, nikoliv pro návštěvy. A i když ke mně občas nějaká návštěva zavítá, tak rozhodně nebudu kvůli ní dělat opičárny s VLAN jenom proto, že bych trpěl stihomamem, jak ta návštěva nemá na práci nic jiného, než se kamsi nabourávat a ukazovat svoje hackerské schopnosti.
A znovu se budu opakovat, že mnohem větší riziko je v tomto případě IP adresa přidělená ISP, kterou používám, a kde by mohl být problém v případě, že ji někdo zneužije a já pak budu mít co vysvětlovat. A tomuto žádná VLAN nikdy nezabrání.

bmn

  • ***
  • 156
    • Zobrazit profil
    • E-mail
Re:Návrh domacej siete
« Odpověď #47 kdy: 26. 05. 2023, 14:25:01 »
[VLAN mám "nasadené" na OpenWRT skrz veci čo ste popísali - Kamery/GuestWifi/DMZ ...

Jestli už používáte OpenWRT, tak bych místo pomalého RB, co se spoléhá na HW offload, radši doporučil něco výkonějšího na x86, třeba PC Engines APU2 (dokud se dá sehnat), nebo nějaké pasivně chlazené mini PC s Intel procesorem z Číny. Na Ali je toho spousta. S routováním 1Gb/s to nebude mít žádný problém a do budoucna určitě lépe využitelné, třeba na wireguard, home assistant a podobně.

Citace
Ďakujem za názor, ale myslím si, že ak sú dostupné prostriedky /napr VLAN/ ktoré môžu podporiť bezpečnosť, nieje dôvod ich nepoužiť.
Prosím Vás, môžete mi napísať nevýhody VLAN ktoré ste za roky praxe nazbieral?

Nevýhoda je akorát ten čas na nastavení navíc. I kdyby ty VLANy musely být z nějakého důvodu zas spojené do jedné sítě přes bridge, tak se alespoň dá filtrovat nechtěný provoz přes ebtables/nft.

oho

Re:Návrh domacej siete
« Odpověď #48 kdy: 26. 05. 2023, 17:45:18 »
Sorry, ale já mám doma svoji síť postavenou pro sebe a členy mé rodiny, nikoliv pro návštěvy. A i když ke mně občas nějaká návštěva zavítá, tak rozhodně nebudu kvůli ní dělat opičárny s VLAN jenom proto, že bych trpěl stihomamem, jak ta návštěva nemá na práci nic jiného, než se kamsi nabourávat a ukazovat svoje hackerské schopnosti.
A znovu se budu opakovat, že mnohem větší riziko je v tomto případě IP adresa přidělená ISP, kterou používám, a kde by mohl být problém v případě, že ji někdo zneužije a já pak budu mít co vysvětlovat. A tomuto žádná VLAN nikdy nezabrání.

Zrovna tady mám příklad ze života:

Na podzim jsem měl na baráku řemeslníky co tři týdny opravovali stěny. Chtěli na wifi protože celý den poslouchali rádio přes Internet. Jasně, mohl jsem jim říct že smůla, ale vzhledem k tomu že mám guest VLANu, tak jsem jim na wifině udělal temp. accounty a hodil je do ty guestový VLANy a vůbec nemusím řešit jestli jim telefony náhodou neukážou nějakej share ze sítě, který by - co si budem povídat - určitě o pauze prohrabali.

Nevím proč bych se měl bát o adresu. Pokuď přijdou policajti že odemne odešel nějaký problematický traffic. Kouknu do logů routeru a pokud to šlo z těch účtů co jsem měl pro ně, tak policajtum dám číslo na jejich šéfa a neřešim. Ale přijde mi to teda výrazně míň pravděpodobný než že by se mi pohrabali na těch sharech.

.

  • *****
  • 558
    • Zobrazit profil
Re:Návrh domacej siete
« Odpověď #49 kdy: 26. 05. 2023, 18:41:12 »
Tvůj log z routeru je asi stejně důvěryhodný jako slova Babiše o tom, že to myslí s národem upřímně neboli v případě průseru si tě policajti odvezou na podání vysvětlení, k tomu ti zabaví výpočetní techniku na znalecké prozkoumání a naopak ti sotva skočí na dojemný příběh o montérech poslouchající netové rádio kdesi na stavbě (i kdyby to nakrásně byla pravda, což budeš horko-těžko prokazovat) :D
Jinak představa, že nějaký zedník opravující stěnu v baráku je ve skutečnosti skrytý agent-hacker, který nemá nic lepšího na práci, než ti prolamovat přístup do zařízení, je taky perla perel :D


Re:Návrh domacej siete
« Odpověď #50 kdy: 26. 05. 2023, 19:03:13 »
Proto mas misto ubiquiti, mikrotiku, wrt a podobnych chujovin pouzivat ngfw, zakazat nekorektni provoz globalne, naklikat si tech par vlan a nezabyvat se ..covinami. Za tu dobu, co zde obhajujes nesmysly, by bezny IT vydelal na rozdil mezi mikrotikem a davno doporucenym CP :-) a za par minut s jednou rukou v zadeli, by to mel nastavene.


rmrf

Re:Návrh domacej siete
« Odpověď #51 kdy: 26. 05. 2023, 19:06:23 »
Jinak představa, že nějaký zedník opravující stěnu v baráku

způsobí traffic, který přivodí nájezd policajtů se zabavením techniky na přezkoumání, je taky dost perla. ;-)

Každopádně ty VLANy nemohou ničemu ublížit. Naopak, mohou situaci jenom vylepšit.

.

  • *****
  • 558
    • Zobrazit profil
Re:Návrh domacej siete
« Odpověď #52 kdy: 26. 05. 2023, 19:36:40 »
Proto mas misto ubiquiti, mikrotiku, wrt a podobnych chujovin pouzivat ngfw, zakazat nekorektni provoz globalne, naklikat si tech par vlan a nezabyvat se ..covinami. Za tu dobu, co zde obhajujes nesmysly, by bezny IT vydelal na rozdil mezi mikrotikem a davno doporucenym CP :-) a za par minut s jednou rukou v zadeli, by to mel nastavene.

Ne, doma si opravdu nic takového dělat nebudu, protože je to naprostý nesmysl a jestli může být něco potenciální problém, tak ne jakési pseudo-hackerské útoky zedníků na moje zařízení, ale jen a pouze IP adresa, ze které odchází provoz.

Jinak představa, že nějaký zedník opravující stěnu v baráku

způsobí traffic, který přivodí nájezd policajtů se zabavením techniky na přezkoumání, je taky dost perla. ;-)

Každopádně ty VLANy nemohou ničemu ublížit. Naopak, mohou situaci jenom vylepšit.
Úplně stačí, aby došlo třeba k falešnému nahlášení bomby nebo nasdílení dětského porna přes IP adresu, kterou ISP přidělil majiteli domu. Pak se policajti nezabývají výmluvami co-kdo-kde-kdy, ale konají viz výše.

Re:Návrh domacej siete
« Odpověď #53 kdy: 26. 05. 2023, 20:06:36 »
Vetsi nesmysl je tva nekonecna obhajoba chujovin. Za ten promrhany cas bys mel uz davno na profi reseni ktere nemusis pytlikovat jako wrt a ostatni parodie na router/firewall.

Ne, doma si opravdu nic takového dělat nebudu, protože je to naprostý nesmysl a jestli může být něco potenciální problém, tak ne jakési pseudo-hackerské útoky zedníků na moje zařízení, ale jen a pouze IP adresa, ze které odchází provoz.

Vsechny uvedene problemy ti resi ngfw s pouzitim spravnych pravidel (blacklistu/whitelistu). Host na wifi se dostane jen na provoz, ktery je vhodny pro deti do 12 let :-) a za kvalitu pravidel ti ruci vyrobce. Zabezpeci/oskenuje ti to veskery provoz vcetne IOT.

Úplně stačí, aby došlo třeba k falešnému nahlášení bomby nebo nasdílení dětského porna přes IP adresu, kterou ISP přidělil majiteli domu. Pak se policajti nezabývají výmluvami co-kdo-kde-kdy, ale konají viz výše.

.

  • *****
  • 558
    • Zobrazit profil
Re:Návrh domacej siete
« Odpověď #54 kdy: 26. 05. 2023, 20:22:16 »
Ty jsi poněkud popletený, protože si domácí síť pleteš s nějakou sítí firemní. Takže znovu - doma nikdo nebude vytvářet jakési nesmyslné firewally kvůli tomu, že si zedník na stavbě poslouchá netové rádio a majitel domu má stihomam, že to není zedník, ale tajný agent a profesionální hacker :D Nehledě na to, že i kdybys to udělal jak zamýšlíš, tak tím stejně nevyloučíš možnost, že dotyčný zedník pošle přes tvoje připojení k netu někam oznámení o falešné bombě a ty to budeš mít na triku, což znovu opakuji je větší hrozba, než jakési nabourání se do vnitřní sítě (ve které stejně reálně nic zajímavého není).
Mimochodem výrobce ti neručí vůbec za nic, to jen tak na okraj.

Re:Návrh domacej siete
« Odpověď #55 kdy: 26. 05. 2023, 21:03:00 »
Co porad tocis nejakeho zednika, o tom psal nekdo jiny.

Deti do 12 let maji znacne osekane whitelisty, ale to bys musel nejaky videt, abys chapal o cem je rec a pak te nepusti hloubkova kontrola provozu. Najde nevhodny vzorek a zarizeni odpoji od site. Pravidla te nepusti na mail a socialni site, nedovoli ti VPN a spoustu dalsich. Moznosti jsou.

Na zapade je zcela bezne ze si clovek koupi funkcni reseni, nebo si to pronajme od providera, tady porad lepite mikrotiky a wrt.

Jak te zalohovani chrani proti odeslani hlaseni o bombe z tveho PC, nebo brouzdani tveho mobilu na nevhodnem pornu vlivem skodliveho kodu v zarizeni? Nijak! Najezd policajtu tak aktivuje tvuj telefon ;D

Ted jsi ukazal, ze nechapes jak ty listy funguji a ze vlastne vubec nerozumis problematice zabezpeceni, konkretne prohlasenim "Mimochodem výrobce ti neručí vůbec za nic, to jen tak na okraj." Vono to totiz funguje presne obracene, nez si myslis.

Jsi proste lepic nejakeho mikrotik/wrt a nema cenu se s tebou bavit! Je to marny.

Ty jsi poněkud popletený, protože si domácí síť pleteš s nějakou sítí firemní. Takže znovu - doma nikdo nebude vytvářet jakési nesmyslné firewally kvůli tomu, že si zedník na stavbě poslouchá netové rádio a majitel domu má stihomam, že to není zedník, ale tajný agent a profesionální hacker :D Nehledě na to, že i kdybys to udělal jak zamýšlíš, tak tím stejně nevyloučíš možnost, že dotyčný zedník pošle přes tvoje připojení k netu někam oznámení o falešné bombě a ty to budeš mít na triku, což znovu opakuji je větší hrozba, než jakési nabourání se do vnitřní sítě (ve které stejně reálně nic zajímavého není).
Mimochodem výrobce ti neručí vůbec za nic, to jen tak na okraj.

Re:Návrh domacej siete
« Odpověď #56 kdy: 26. 05. 2023, 21:20:17 »
Doplneni kvuli nemoznosti editace
Na pouzitelnem zarizeni lze jednoduse naklikat napriklad:

Pravidla pro nezname zarizeni:
Zaradit do kategorie "deti do 12 let"

Pravidla pro deti do 12 let:
blacklist na vsechno
whitelist na stream.ctyrlistek.cz

Re:Návrh domacej siete
« Odpověď #57 kdy: 26. 05. 2023, 21:21:45 »
Nehledě na to, že i kdybys to udělal jak zamýšlíš, tak tím stejně nevyloučíš možnost, že dotyčný zedník pošle přes tvoje připojení k netu někam oznámení o falešné bombě a ty to budeš mít na triku, což znovu opakuji je větší hrozba, než jakési nabourání se do vnitřní sítě (ve které stejně reálně nic zajímavého není).
Jasně, to zedníci běžně dělávají. A taky tak nějak taktně pomíjíš, že i kdyby udělali a někdo to chtěl prošetřovat, musel by ti dokázat, žes to poslal Ty (ano, máme tu presumpci neviny). K tomu bych mu popřál tak akorát hodně štěstí.

Citace: prevadecspojitostivole
Na zapade je zcela bezne ze si clovek koupi funkcni reseni, nebo si to pronajme od providera, tady porad lepite mikrotiky a wrt.
S ostatním textem souhlasím, ale s tímhle fakt ne. Na OpenWRT ani MT není nic špatného (čímž neříkám, že se to nedá udělat jinak a možná lépe - ale záleží na kontextu, penězích a potřebě).

.

  • *****
  • 558
    • Zobrazit profil
Re:Návrh domacej siete
« Odpověď #58 kdy: 26. 05. 2023, 21:23:22 »
Co porad tocis nejakeho zednika, o tom psal nekdo jiny.

Deti do 12 let maji znacne osekane whitelisty, ale to bys musel nejaky videt, abys chapal o cem je rec a pak te nepusti hloubkova kontrola provozu. Najde nevhodny vzorek a zarizeni odpoji od site. Pravidla te nepusti na mail a socialni site, nedovoli ti VPN a spoustu dalsich. Moznosti jsou.

Na zapade je zcela bezne ze si clovek koupi funkcni reseni, nebo si to pronajme od providera, tady porad lepite mikrotiky a wrt.

Jak te zalohovani chrani proti odeslani hlaseni o bombe z tveho PC, nebo brouzdani tveho mobilu na nevhodnem pornu vlivem skodliveho kodu v zarizeni? Nijak! Najezd policajtu tak aktivuje tvuj telefon ;D

Ted jsi ukazal, ze nechapes jak ty listy funguji a ze vlastne vubec nerozumis problematice zabezpeceni, konkretne prohlasenim "Mimochodem výrobce ti neručí vůbec za nic, to jen tak na okraj." Vono to totiz funguje presne obracene, nez si myslis.

Jsi proste lepic nejakeho mikrotik/wrt a nema cenu se s tebou bavit! Je to marny.

Ty jsi poněkud popletený, protože si domácí síť pleteš s nějakou sítí firemní. Takže znovu - doma nikdo nebude vytvářet jakési nesmyslné firewally kvůli tomu, že si zedník na stavbě poslouchá netové rádio a majitel domu má stihomam, že to není zedník, ale tajný agent a profesionální hacker :D Nehledě na to, že i kdybys to udělal jak zamýšlíš, tak tím stejně nevyloučíš možnost, že dotyčný zedník pošle přes tvoje připojení k netu někam oznámení o falešné bombě a ty to budeš mít na triku, což znovu opakuji je větší hrozba, než jakési nabourání se do vnitřní sítě (ve které stejně reálně nic zajímavého není).
Mimochodem výrobce ti neručí vůbec za nic, to jen tak na okraj.
Je fajn, že sis někde přečetl o NGFW, ale při tom čtení ti asi utekla důležitá informace o ceně. A ta cena (když vynechám nějaké Huawei z Ali, které si na NGFW jenom hrají) se pohybuje v částkách, které jsou pro domácnost naprosto nereálné (pro představu je to od 1.000 USD výše). A NGFW není jenom nějaký black/white list, ale je to celkové řešení firewallu pro podnikovou sféru. To prostě nemá v této diskuzi smysl dál rozebírat, protože si to autor dotazu stejně pořizovat nebude. Jedině bys měl nějaký levný zázrak, o kterém nevím. Pak sem s ním :)

V celé této diskuzi se IP adresa začala řešit hlavně proto, že si někdo naivně myslel, jak se pomocí VLAN proti něčemu ochrání a vůbec mu nedošlo, že mnohem větší hrozba je právě průser s IP adresou a nikoliv nějaká vnitřní síť. Proto jsem to také zmínil, že je lepší se začít zabývat skutečnými problémy a neřešit nesmysly.

Co se týká výrobců home zařízení, tak ti se ve smyslu odpovědnosti za škody jasně vymezují, že za nic neručí a jedinou garanci máš tak akorát na samotný HW neboli i když ti třeba něco proleze přes black list a prolézt by nemělo, tak si na výrobci nic nevezmeš. No ale můžeš to pochopitelně zkusit se na výrobci zhojit, hodně štěstí :D

.

  • *****
  • 558
    • Zobrazit profil
Re:Návrh domacej siete
« Odpověď #59 kdy: 26. 05. 2023, 21:34:35 »
Nehledě na to, že i kdybys to udělal jak zamýšlíš, tak tím stejně nevyloučíš možnost, že dotyčný zedník pošle přes tvoje připojení k netu někam oznámení o falešné bombě a ty to budeš mít na triku, což znovu opakuji je větší hrozba, než jakési nabourání se do vnitřní sítě (ve které stejně reálně nic zajímavého není).
Jasně, to zedníci běžně dělávají. A taky tak nějak taktně pomíjíš, že i kdyby udělali a někdo to chtěl prošetřovat, musel by ti dokázat, žes to poslal Ty (ano, máme tu presumpci neviny). K tomu bych mu popřál tak akorát hodně štěstí.
Ano, zedníci to dělají stejně běžně jako to, že se o svačině přes mobilní telefon nabourávají do vnitřní netové sítě :D

A presumpci neviny ti nikdo nebere, leč tady zjevně neznáš postup orgánů činných v trestním řízení, který je ten, že tě předvolají na podání vysvětlení (nebo tě i tzv. "seberou") a následně vyzvou k vydání výpočetní techniky, kterou máš doma. Když odmítneš, tak si během chvilky seženou souhlas státního zástupce s domovní prohlídkou (takže radši neodmítej) a zabavená výpočetní technika se bude rok válet někde v policejním skladu, než si soudní znalec udělá čas na její prozkoumání a napsání závěru, že nic nenašel. Mezitím si tě ještě párkrát předvolají na doplnění výpovědi a pak to celé možná Policie odloží a uvěří ti, že v tom nejedeš. Takže pokud se někomu chce toto absolvovat, tak vzhůru do toho :P