<html><body>Ano jasně, mám to ve své správě.<div>To si pak zákazník/dodavatel musí vybrat jestli jednoduše bez zabezpečení.</div><div>Nebo se zabezpečením se starostmi a třeba za peníze...</div><div>Vždy je to kompromis, a velikost problému. Měl jsem u zákazníka ovládání </div><div>halogenu, aby si mohl nasvítit v noci na jez kde byly kamery, zabezpečení</div><div>žádné jen webovka, rozhodlo se, že se bude řešit až když s tím někdo bude blikat :-)</div><div>Bez znalosti konkrétní stránky neměl moc šancí to trefit a i kdyby tak</div><div>způsobí škodu maximálně ve zničené halogence.....</div><div><br></div><div>Ale když se tady probírá třeba mikrotík, tak tam by šlo udělat třeba klepáni </div><div>na porty a následně se otevře webivé rozhraní nebo jiný přístup kanál.</div><div><br></div><div>Takhle opět otvírám třeba FTP server na zálohy</div><div>Klient tukne TCP port 60000, pak UDP 23000, pak TCP 10000 v ramci treba</div><div>10 vterin a ta adresa ktera to zkusi se prida na firewallu jako, ze muze po prenosu</div><div>tukne zase do nejakeho definovaneho portu a on ji smaze.</div><div>Je to vcelku krasna taktika, aby zbytecne se nehlasil ftp serveru do netu a stale</div><div>se nekdo neskousel prihlasovat, ci hledat nejaky zadni vratka.</div><div>Samozrejme tohle nejde udelat u webovýho serveru co je pristupny vsem.</div><div>Ale SSH pripojeni, FTP, a ruzne sluzby pres RDP a tak podobne jdou takto schovat,</div><div>z venci pak ta adresa je defakto naprosta mrtva ani port scaner nic nenajde.</div><div><br></div><div>Moznosti je dost je to otazka ceny/problemu/otravovani a tak podobne.</div><div><br></div><div><br></div><div>Zdeněk Aster</div><div><br><p>---------- Původní zpráva ----------<br>Od: Zdeněk <zdej@atlas.cz><br>Komu: 'HW-news' <hw-list@list.hw.cz><br>Datum: 23. 10. 2016 19:10:00<br>Předmět: RE: Bezpečnost připojení - was: Bezpecnost ESP8266</p><br><blockquote><div><div><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Jestli to dobře chápu, tak celou síť máte ve své správě. V našem případě by se po prodeji stroje měl o správu starat zákazník sám. Pokud to nezvládne budeme s tím mít starosti navíc. </span></p><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">  </span></p><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Nyní máme ve strojích router, který propojuje PLC a HMI a případně NTB nebo vzdálený přístup. Nahradit ho Wifi routerem je to nejmenší. Jen si říkám, jak ho potom zákazník bude konfigurovat? Běžnou cestou přes NTB a webové rozhraní to pro BFU moc není. Přes HMI, které nemá funkci prohlížeče to nepůjde. </span></p><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Z </span></p><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">  </span></p><p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">  </span></p><div><div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm"><p><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Hw-list [mailto:hw-list-bounces@list.hw.cz] <b>On Behalf Of </b>Zdeněk Aster<br><b>Sent:</b> Sunday, October 23, 2016 4:41 PM<br><b>To:</b> HW-news<br><b>Subject:</b> RE: Bezpečnost připojení - was: Bezpecnost ESP8266 </span></p></div></div><p>  </p><p>No z hlediska bezpečnosti bych si to dovolil srovnat s tím jak mám VOIP. </p><div><p>Které má na firmě svůj IP rozsah, svůj switch (který má POE a napájí </p></div><div><p>telefony), případně konfigurovatelný switch, který mi fyzicky oddělí </p></div><div><p>ethernet porty. </p></div><div><p>  </p></div><div><p>No a pak na routeru/firewall je vlastně z té VOIP sítě vše zakázano a povoluje </p></div><div><p>se jen natvrdo co je potřeba žádné obecné pravidla, že může na internet </p></div><div><p>kam chce, jen tam kam se dají na tvrdo pravidla je to sice otrava, ale v celku bezpečné.  </p></div><div><p>  </p></div><div><p>No a já když chci nastavit, něco na VOIP, telefonech nebo bránách </p></div><div><p>tak se musím do té sítě připojit pomocí VPN no a pak tam po ní mohu běhat, </p></div><div><p>ale opět VPN přijímá jen pár počítačů ve firemní síti, které na ni mohou. </p></div><div><p>  </p></div><div><p>No a když budu hodně paranoidní tak většina těch zařízení bran/VOIP telefonu  </p></div><div><p>má taktéž svoji konfiguraci firewallu tak i tam by šlo povolit jen opravdu to nutné. </p></div><div><p>  </p></div><div><p>Není to všemocné, ale je to alespoň něco. </p></div><div><p>  </p></div><div><p>Tak nějak podobně bych to dělal i v té průmyslovém odvětví. </p></div><div><p>  </p></div><div><p>Ono plácnu, když to přeženu, tak třeba spouštění nějakého lisu na dálku kde není </p></div><div><p>kamera a nic a někdo se tam může někdo motat by o tom neměl asi ani </p></div><div><p>nikdo přemýšlet navíc si myslím, že nějaký bezpečák by šel do mdlob. </p></div><div><p>  </p></div><div><p>Jen tak co se může stát a to ani nemusí být internet věcí je to hodně dávno, ale tahali </p></div><div><p>jsme v obrovské tovární hale kabely a chodili po kolejích od jeřábu, řekli jsme to nějakému </p></div><div><p>vedoucímu směny, ale ty se vyměnili a nepředali informaci a někdo jeřáb zapnul </p></div><div><p>a začal používát, je to vcelku sranda když se proti člověku řítí jeřáb, uskočit není kam, </p></div><div><p>respektive je na jedoucí jeřáb a je to v dost slušné vyšce..... </p></div><div><p>  </p></div><div><p>  </p></div><div><p>Zdeněk Aster </p></div></div></div>_______________________________________________<br>HW-list mailing list  -  sponsored by www.HW.cz<br>Hw-list@list.hw.cz<br>http://list.hw.cz/mailman/listinfo/hw-list</blockquote></div></body></html>