Re: Vzdálený přístup

Martin Záruba swz na volny.cz
Čtvrtek Únor 11 08:03:01 CET 2016


Rozdíl mezi pevnou a veřejnou IP je mi jasný, i to jak lze neexistenci 
pevné obejít pomocí dynamického DNS. Ale problém je právě ta veřejná IP.
Samozřejmě robotické servery zkouší útok, ale PLC má jen několik 
příkazů, které musí mít přesný formát včetně kontrolního 16-ti bitového 
součtu, jinak nic neodpoví a paket zahodí. Takže robot zjistí sice 
otevřený port, ale který nijak nereaguje. Z logu na mém serveru vidím, 
že ho to v naprosté většině případů přestane bavit. Ta IP pro něj není 
zajímavá a číslo portu mu nic neříká.
Asi opravdu není jiné lepší řešení, než server u mě. Pak může být klient 
(PLC i obslužný program) za jeho NATem a nic nemusí nastavovat.

Martin Záruba
Dne 11.2.2016 v 6:26 Dodo Racek napsal(a):
>
> Verejna IP musi byt na oboch stranach internetovej komunikacie. Inak 
> by to cez internet nepreslo.
> Prisim nezamienat so _statickou_ verejnou IP.
> NAT sa moze robit na ziadnej, jednej, alebo oboch stranach priamo na 
> koncovom bode alebo u providera.
>
> Aj ked je ciel na dynamickej IP, da sa pouzit dynamicke DNS ddns.com 
> <http://ddns.com> alebo viacero dalsich pristupnych sluzieb 
> dynamickeho DNS. Na cielovej strane sa nastavi aby si zariadenie 
> zaregistrovalo svoju prave pridelenu IP k menu do dyndns servera. 
> Namiesto cielovej IP sa potom chodi na FQDN co je uplne bezne.
> Na cielovom routri sa nastavi forwarding portu/portov. Ak je NAT na 
> cieli u providera, da sa dohodnut port forwarding tam.
> V takom pripade je PLC pripojene takmer rovnako, ako keby bolo priamo 
> na internete, ale len zvolenym portom,portami si vsetkymi 
> bezpecnostnymi rizikami. Roboticke servery skusaju vsetky ip a vsetky 
> porty ci sa im podari zistit co tam je a skusit to prelomit znamymi 
> utokmi.
> Vhodnejsim riesenim by bolo u zakaznika urobit nejaky server 
> (linux/.../win) v DNZ kludne virtualku, nan sa pripajat cez vpn, a az 
> z neho nat povolenu komunikaciu cez FW na PLC.
> Bezne OS maju vyrazne lepsiu oodporu v platani dier radovo v dnoch po 
> tom, ako sa objavia.
> Obavam sa ze PLC fw diery dlho nebude riesit.
> PLC nemusia hacknut, staci ze mu takto zblbnu program ( pretecenie 
> pamate/zasobnikov kvoli interruptom a pod.)
> a budete riesit preco vas program zblbol
> ked po vypnuti a zapnuti tam ziadna chyba nie je a vsetko bezi ako ma...
>
> Dodo
>
>
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list



Další informace o konferenci Hw-list