<html><body>No z hlediska bezpečnosti bych si to dovolil srovnat s tím jak mám VOIP.<div>Které má na firmě svůj IP rozsah, svůj switch (který má POE a napájí</div><div>telefony), případně konfigurovatelný switch, který mi fyzicky oddělí</div><div>ethernet porty.</div><div><br></div><div>No a pak na routeru/firewall je vlastně z té VOIP sítě vše zakázano a povoluje</div><div>se jen natvrdo co je potřeba žádné obecné pravidla, že může na internet</div><div>kam chce, jen tam kam se dají na tvrdo pravidla je to sice otrava, ale v celku bezpečné. </div><div><br></div><div>No a já když chci nastavit, něco na VOIP, telefonech nebo bránách</div><div>tak se musím do té sítě připojit pomocí VPN no a pak tam po ní mohu běhat,</div><div>ale opět VPN přijímá jen pár počítačů ve firemní síti, které na ni mohou.</div><div><br></div><div>No a když budu hodně paranoidní tak většina těch zařízení bran/VOIP telefonu </div><div>má taktéž svoji konfiguraci firewallu tak i tam by šlo povolit jen opravdu to nutné.</div><div><br></div><div>Není to všemocné, ale je to alespoň něco.</div><div><br></div><div>Tak nějak podobně bych to dělal i v té průmyslovém odvětví.</div><div><br></div><div>Ono plácnu, když to přeženu, tak třeba spouštění nějakého lisu na dálku kde není</div><div>kamera a nic a někdo se tam může někdo motat by o tom neměl asi ani</div><div>nikdo přemýšlet navíc si myslím, že nějaký bezpečák by šel do mdlob.</div><div><br></div><div>Jen tak co se může stát a to ani nemusí být internet věcí je to hodně dávno, ale tahali</div><div>jsme v obrovské tovární hale kabely a chodili po kolejích od jeřábu, řekli jsme to nějakému</div><div>vedoucímu směny, ale ty se vyměnili a nepředali informaci a někdo jeřáb zapnul</div><div>a začal používát, je to vcelku sranda když se proti člověku řítí jeřáb, uskočit není kam,</div><div>respektive je na jedoucí jeřáb a je to v dost slušné vyšce.....</div><div><br></div><div><br></div><div>Zdeněk Aster</div><div><br><p>---------- Původní zpráva ----------<br>Od: Zdeněk <zdej@atlas.cz><br>Komu: 'HW-news' <hw-list@list.hw.cz><br>Datum: 23. 10. 2016 15:52:50<br>Předmět: RE: Bezpečnost připojení - was: Bezpecnost ESP8266</p><br><blockquote>Ethernet jsem vynechal z důvodu, že ve výrobních prostorách většinou není<br>rozveden. Provizorní vedení je problematické kvůli úklidu nebo případnému<br>přemísťování linek. Tohle využijeme jen krátkodobě, kdy řešíme vzdáleně<br>nějaký problém.<br>Do instalace trvalého vedení LAN se zákazníkům moc nechce. Z toho také<br>pramení můj pesimismus ohledně smysluplnosti jejich požadavku na připojení.<br>U toho bezdrátového to zkrátka berou tak, že je to nebude nic stát. Takže si<br>s tím pár týdnů budou hrát a až je to přestane bavit, tak to vypnou.<br><br>Z.<br><br>-----Original Message-----<br>From: Hw-list [mailto:hw-list-bounces@list.hw.cz] On Behalf Of Jindroush<br>Sent: Sunday, October 23, 2016 3:39 PM<br>To: HW-news<br>Subject: Re: Bezpečnost připojení - was: Bezpecnost ESP8266<br><br><br>Zase jen obecne:<br>1) Prumyslove kontrolni systemy maji jak ovladaci, tak i dohlizeci software<br>a u toho dohlizeni je pomerne logicke, proc nemit personal doma 'v<br>pohotovosti' a dohlizet na jednotlive systemy, s tim, ze se v pripade<br>nutnosti dojede (pripadne, o krok dal, zasahne pres internet). (Proc jste<br>vlastne vynechal moznost pripojeni stroje pres Ethernet?) Jinak zase,<br>pouziti neceho generickeho, jako je teamviewer nebo prave prohlizec, zase<br>zjednodusuje a zlevnuje pristup. Ovsem i utocnikovi.<br>Co se tyce bezpecnosti wifi, nevim, zda bych si troufnul ji nastavit tak,<br>aby byla opravdu bezpecna. Co kdyz nekdo muze vysilat na stejnem SSID se<br>smerovou antenou mimo provoz?<br>Viz povidani zde<br>http://cecs.wright.edu/~pmateti/InternetSecurity/Lectures/WirelessHacks/Mate<br>ti-WirelessHacks.htm<br><br>2) V rade PLC byla nalezena rada chyb, vcetne hardcoded hesel. Jakmile<br>utocnik zjisti, ze mate dany stroj, muze toho zneuzit. Viz napr toto<br>https://www.wired.com/2011/08/siemens-hardcoded-password/<br>Motivace utocniku muze byt ruzna: blbost, plana zaskodnicka radost,<br>vydirani, prumyslova spionaz, u nejakych exponovanych firem pak i<br>'cyber-neco' (hrozne se mi termin cyberwar ekluje)<br><br>Existuje rada stranek se seznamy default hesel do ruznych systemu,<br>vyhledavace existujiciho hardware (Shodan) - viz https://icsmap.shodan.io/<br>Treba francouzska hydroelektrarna<br>http://money.cnn.com/gallery/technology/security/2013/05/01/shodan-most-dang<br>erous-internet-searches/4.html<br><br>--<br>Jindroush <jindroush@seznam.cz><br>_______________________________________________<br>HW-list mailing list  -  sponsored by www.HW.cz Hw-list@list.hw.cz<br>http://list.hw.cz/mailman/listinfo/hw-list<br><br>_______________________________________________<br>HW-list mailing list  -  sponsored by www.HW.cz<br>Hw-list@list.hw.cz<br>http://list.hw.cz/mailman/listinfo/hw-list</blockquote></div></body></html>