Re: Vzdálený přístup

Dodo Racek dodoracek na gmail.com
Čtvrtek Únor 11 06:26:15 CET 2016


Verejna IP musi byt na oboch stranach internetovej komunikacie. Inak by to
cez internet nepreslo.
Prisim nezamienat so _statickou_ verejnou IP.
NAT sa moze robit na ziadnej, jednej, alebo oboch stranach priamo na
koncovom bode alebo u providera.

Aj ked je ciel na dynamickej IP, da sa pouzit dynamicke DNS ddns.com alebo
viacero dalsich pristupnych sluzieb dynamickeho DNS. Na cielovej strane sa
nastavi aby si zariadenie zaregistrovalo svoju prave pridelenu IP k menu do
dyndns servera. Namiesto cielovej IP sa potom chodi na FQDN co je uplne
bezne.
Na cielovom routri sa nastavi forwarding portu/portov. Ak je NAT na cieli u
providera, da sa dohodnut port forwarding tam.
V takom pripade je PLC pripojene takmer rovnako, ako keby bolo priamo na
internete, ale len zvolenym portom,portami si vsetkymi bezpecnostnymi
rizikami. Roboticke servery skusaju vsetky ip a vsetky porty ci sa im
podari zistit co tam je a skusit to prelomit znamymi utokmi.
Vhodnejsim riesenim by bolo u zakaznika urobit nejaky server
(linux/.../win) v DNZ kludne virtualku, nan sa pripajat cez vpn, a az z
neho nat povolenu komunikaciu cez FW na PLC.
Bezne OS maju vyrazne lepsiu oodporu v platani dier radovo v dnoch po tom,
ako sa objavia.
Obavam sa ze PLC fw diery dlho nebude riesit.
PLC nemusia hacknut, staci ze mu takto zblbnu program ( pretecenie
pamate/zasobnikov kvoli interruptom a pod.)
a budete riesit preco vas program zblbol
ked po vypnuti a zapnuti tam ziadna chyba nie je a vsetko bezi ako ma...

Dodo
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20160211/af0ac6e6/attachment.html>


Další informace o konferenci Hw-list