RE: Bezpečnost připojení - was: Bezpecnost ESP8266
Zdeněk Aster
Zdenek.Aster na seznam.cz
Neděle Říjen 23 20:01:49 CEST 2016
Ano jasně, mám to ve své správě.
To si pak zákazník/dodavatel musí vybrat jestli jednoduše bez zabezpečení.
Nebo se zabezpečením se starostmi a třeba za peníze...
Vždy je to kompromis, a velikost problému. Měl jsem u zákazníka ovládání
halogenu, aby si mohl nasvítit v noci na jez kde byly kamery, zabezpečení
žádné jen webovka, rozhodlo se, že se bude řešit až když s tím někdo bude
blikat :-)
Bez znalosti konkrétní stránky neměl moc šancí to trefit a i kdyby tak
způsobí škodu maximálně ve zničené halogence.....
Ale když se tady probírá třeba mikrotík, tak tam by šlo udělat třeba klepáni
na porty a následně se otevře webivé rozhraní nebo jiný přístup kanál.
Takhle opět otvírám třeba FTP server na zálohy
Klient tukne TCP port 60000, pak UDP 23000, pak TCP 10000 v ramci treba
10 vterin a ta adresa ktera to zkusi se prida na firewallu jako, ze muze po
prenosu
tukne zase do nejakeho definovaneho portu a on ji smaze.
Je to vcelku krasna taktika, aby zbytecne se nehlasil ftp serveru do netu a
stale
se nekdo neskousel prihlasovat, ci hledat nejaky zadni vratka.
Samozrejme tohle nejde udelat u webovýho serveru co je pristupny vsem.
Ale SSH pripojeni, FTP, a ruzne sluzby pres RDP a tak podobne jdou takto
schovat,
z venci pak ta adresa je defakto naprosta mrtva ani port scaner nic nenajde.
Moznosti je dost je to otazka ceny/problemu/otravovani a tak podobne.
Zdeněk Aster
---------- Původní zpráva ----------
Od: Zdeněk <zdej na atlas.cz>
Komu: 'HW-news' <hw-list na list.hw.cz>
Datum: 23. 10. 2016 19:10:00
Předmět: RE: Bezpečnost připojení - was: Bezpecnost ESP8266
"
Jestli to dobře chápu, tak celou síť máte ve své správě. V našem případě by
se po prodeji stroje měl o správu starat zákazník sám. Pokud to nezvládne
budeme s tím mít starosti navíc.
Nyní máme ve strojích router, který propojuje PLC a HMI a případně NTB nebo
vzdálený přístup. Nahradit ho Wifi routerem je to nejmenší. Jen si říkám,
jak ho potom zákazník bude konfigurovat? Běžnou cestou přes NTB a webové
rozhraní to pro BFU moc není. Přes HMI, které nemá funkci prohlížeče to
nepůjde.
Z
From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Zdeněk Aster
Sent: Sunday, October 23, 2016 4:41 PM
To: HW-news
Subject: RE: Bezpečnost připojení - was: Bezpecnost ESP8266
No z hlediska bezpečnosti bych si to dovolil srovnat s tím jak mám VOIP.
Které má na firmě svůj IP rozsah, svůj switch (který má POE a napájí
telefony), případně konfigurovatelný switch, který mi fyzicky oddělí
ethernet porty.
No a pak na routeru/firewall je vlastně z té VOIP sítě vše zakázano a
povoluje
se jen natvrdo co je potřeba žádné obecné pravidla, že může na internet
kam chce, jen tam kam se dají na tvrdo pravidla je to sice otrava, ale v
celku bezpečné.
No a já když chci nastavit, něco na VOIP, telefonech nebo bránách
tak se musím do té sítě připojit pomocí VPN no a pak tam po ní mohu běhat,
ale opět VPN přijímá jen pár počítačů ve firemní síti, které na ni mohou.
No a když budu hodně paranoidní tak většina těch zařízení bran/VOIP telefonu
má taktéž svoji konfiguraci firewallu tak i tam by šlo povolit jen opravdu
to nutné.
Není to všemocné, ale je to alespoň něco.
Tak nějak podobně bych to dělal i v té průmyslovém odvětví.
Ono plácnu, když to přeženu, tak třeba spouštění nějakého lisu na dálku kde
není
kamera a nic a někdo se tam může někdo motat by o tom neměl asi ani
nikdo přemýšlet navíc si myslím, že nějaký bezpečák by šel do mdlob.
Jen tak co se může stát a to ani nemusí být internet věcí je to hodně dávno,
ale tahali
jsme v obrovské tovární hale kabely a chodili po kolejích od jeřábu, řekli
jsme to nějakému
vedoucímu směny, ale ty se vyměnili a nepředali informaci a někdo jeřáb
zapnul
a začal používát, je to vcelku sranda když se proti člověku řítí jeřáb,
uskočit není kam,
respektive je na jedoucí jeřáb a je to v dost slušné vyšce.....
Zdeněk Aster
_______________________________________________
HW-list mailing list - sponsored by www.HW.cz
Hw-list na list.hw.cz
http://list.hw.cz/mailman/listinfo/hw-list"
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20161023/334ac236/attachment-0001.html>
Další informace o konferenci Hw-list