RE: Bezpečnost připojení - was: Bezpecnost ESP8266

Zdeněk Aster Zdenek.Aster na seznam.cz
Neděle Říjen 23 20:01:49 CEST 2016 

Ano jasně, mám to ve své správě.
To si pak zákazník/dodavatel musí vybrat jestli jednoduše bez zabezpečení.

Nebo se zabezpečením se starostmi a třeba za peníze...

Vždy je to kompromis, a velikost problému. Měl jsem u zákazníka ovládání 

halogenu, aby si mohl nasvítit v noci na jez kde byly kamery, zabezpečení

žádné jen webovka, rozhodlo se, že se bude řešit až když s tím někdo bude 
blikat :-)

Bez znalosti konkrétní stránky neměl moc šancí to trefit a i kdyby tak

způsobí škodu maximálně ve zničené halogence.....




Ale když se tady probírá třeba mikrotík, tak tam by šlo udělat třeba klepáni
 

na porty a následně se otevře webivé rozhraní nebo jiný přístup kanál.




Takhle opět otvírám třeba FTP server na zálohy

Klient tukne TCP port 60000, pak UDP 23000, pak TCP 10000 v ramci treba

10 vterin a ta adresa ktera to zkusi se prida na firewallu jako, ze muze po 
prenosu

tukne zase do nejakeho definovaneho portu a on ji smaze.

Je to vcelku krasna taktika, aby zbytecne se nehlasil ftp serveru do netu a 
stale

se nekdo neskousel prihlasovat, ci hledat nejaky zadni vratka.

Samozrejme tohle nejde udelat u webovýho serveru co je pristupny vsem.

Ale SSH pripojeni, FTP, a ruzne sluzby pres RDP a tak podobne jdou takto 
schovat,

z venci pak ta adresa je defakto naprosta mrtva ani port scaner nic nenajde.




Moznosti je dost je to otazka ceny/problemu/otravovani a tak podobne.







Zdeněk Aster



---------- Původní zpráva ----------
Od: Zdeněk <zdej na atlas.cz>
Komu: 'HW-news' <hw-list na list.hw.cz>
Datum: 23. 10. 2016 19:10:00
Předmět: RE: Bezpečnost připojení - was: Bezpecnost ESP8266

"


Jestli to dobře chápu, tak celou síť máte ve své správě. V našem případě by 
se po prodeji stroje měl o správu starat zákazník sám. Pokud to nezvládne 
budeme s tím mít starosti navíc. 

 

Nyní máme ve strojích router, který propojuje PLC a HMI a případně NTB nebo 
vzdálený přístup. Nahradit ho Wifi routerem je to nejmenší. Jen si říkám, 
jak ho potom zákazník bude konfigurovat? Běžnou cestou přes NTB a webové 
rozhraní to pro BFU moc není. Přes HMI, které nemá funkci prohlížeče to 
nepůjde. 

Z 

 

  


 
 From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Zdeněk Aster
 Sent: Sunday, October 23, 2016 4:41 PM
 To: HW-news
 Subject: RE: Bezpečnost připojení - was: Bezpecnost ESP8266 
 


 

No z hlediska bezpečnosti bych si to dovolil srovnat s tím jak mám VOIP. 


Které má na firmě svůj IP rozsah, svůj switch (který má POE a napájí 



telefony), případně konfigurovatelný switch, který mi fyzicky oddělí 



ethernet porty. 



 



No a pak na routeru/firewall je vlastně z té VOIP sítě vše zakázano a 
povoluje 



se jen natvrdo co je potřeba žádné obecné pravidla, že může na internet 



kam chce, jen tam kam se dají na tvrdo pravidla je to sice otrava, ale v 
celku bezpečné.  



 



No a já když chci nastavit, něco na VOIP, telefonech nebo bránách 



tak se musím do té sítě připojit pomocí VPN no a pak tam po ní mohu běhat, 



ale opět VPN přijímá jen pár počítačů ve firemní síti, které na ni mohou. 



 



No a když budu hodně paranoidní tak většina těch zařízení bran/VOIP telefonu
  



má taktéž svoji konfiguraci firewallu tak i tam by šlo povolit jen opravdu 
to nutné. 



 



Není to všemocné, ale je to alespoň něco. 



 



Tak nějak podobně bych to dělal i v té průmyslovém odvětví. 



 



Ono plácnu, když to přeženu, tak třeba spouštění nějakého lisu na dálku kde 
není 



kamera a nic a někdo se tam může někdo motat by o tom neměl asi ani 



nikdo přemýšlet navíc si myslím, že nějaký bezpečák by šel do mdlob. 



 



Jen tak co se může stát a to ani nemusí být internet věcí je to hodně dávno,
ale tahali 



jsme v obrovské tovární hale kabely a chodili po kolejích od jeřábu, řekli 
jsme to nějakému 



vedoucímu směny, ale ty se vyměnili a nepředali informaci a někdo jeřáb 
zapnul 



a začal používát, je to vcelku sranda když se proti člověku řítí jeřáb, 
uskočit není kam, 



respektive je na jedoucí jeřáb a je to v dost slušné vyšce..... 



 



  



Zdeněk Aster 



_______________________________________________
HW-list mailing list - sponsored by www.HW.cz
Hw-list na list.hw.cz
http://list.hw.cz/mailman/listinfo/hw-list"
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20161023/334ac236/attachment-0001.html>

Další informace o konferenci Hw-list