On 07.10.2020 16:10, heby wrote:

> Zaufaną sieć to ja mam domowy LAN, w którym na NASie znajdują się
> zdjęcia prywatne. Mogę to tak zostawić albo zaszyfrować komunikację i
> stworzyć silne hasła. Sugerujesz że jednak szyfrowanie i hasła? A po h...?
>

To chyba jednak mówimy o różnych sprawach.
Po pierwsze [po co mi to]: nie zawsze chodzi o moją sieć i w ogóle nie
zawsze mam wpływ na to jaka ona jest.
Po drugie [definicja]: własna, zaufana sieć to ja bym rozumiał osobną
sieć z osobnymi hasłami do wifi i fizycznie (albo przynajmniej vlan-ami)
oddzielona od niezaufanej. Na to nie mogę sobie pozwolić dla urządzenia
wartego kilkanaście PLN. Wolę wydać kilkadziesiąt i zrobić to porządnie
z uwierzytelnianiem, szyfrowaniem, monitoringiem i raportowaniem.
Po trzecie [domowy LAN]: miałem taki przypadek, że w mojej domowej sieci
pojawiły się pakiety innego klienta mojego dostawcy internetu. Skoro ja
widziałem jego, jest bardzo prawdopodobne, że on widział moje. Zgłosiłem
to oczywiście natychmiast i dostawca tłumaczył to awarią sprzętu, ale
między wierszami wygadał się, że po prostu pop...lili vlan-y.


--
Mirek.

do góry

On 07/10/2020 20:56, Mirek wrote:
> to oczywiście natychmiast i dostawca tłumaczył to awarią sprzętu, ale
> między wierszami wygadał się, że po prostu pop...lili vlan-y.

Wstaw własny NAT.

do góry

2020-10-07 o 19:21 +0200, heby napisał:
> No ale mój komputer też może. Mam nie ufać własnemu komputerowi?

Nad swoim komputerem panujesz, więc pewnie wiesz co robi, jakie usługi
na nim działają i podglądasz od czasu do czasu jakie połączenia
nawiązuje i jakie pakiety wysyła w świat. Przynajmniej ja tak mam, i z
tego względu swojemu komputerowi ufam dużo bardziej, niż np.
windowsowemu netbookowi ciotki koleżanki sąsiadki.

> Idąc tym tropem nie ma sieci zaufanych, nawet loopback należy
> traktować podejrzliwie i nie zapominać brać tabletek.

Loopback to jak wyżej - jeśli wiesz co robisz na swoim PC to
można pokusić się o traktowanie 127.0.0.0/8 jako sieci zaufanej. Tym
bardziej, że aktywność loopback łatwo sprawdzić (gorzej mieć np.
pewność co do swojego BIOSu, firmwaru karty sieciowej czy implementacji
sprzętowego szyfrowania SSD).

> To czy moje prywatne zdjęcia wyciekną nie jest mi obojętne, ale z
> tego powodu nie zamierzam nie używać sieci LAN.

Nie chodzi oczywiście o nie używanie czegoś. Też mam sieć "LAN" w domu
- wspólną dla wszystkich, włącznie z drukarką, odkurzaczem itp. Żadnego
własnego firewalla ani IPSa nie mam. Tyle, że traktuję tę sieć tak, jak
otwarte wifi w McDonaldzie. Jeśli coś w niej majstruję, to staram się
aby endpointy były na tyle odporne, że mógłbym je bez większych
obaw wystawić publicznie.

> Natomaist te materiały, które nie mają prawa wyciekać, są prawidłowo
> odseparowane i zaszyfrowane i nie jest to zip na hasło z tajnym,
> ukrytym katalogu, tylko coś troche bardziej skomplikowanego.

O, i o to mi chodziło. Czyli jednak też jesteś zwolennikiem
bezpieczeństwa stricte lokalnego, kiedy uważasz, że dane są tego warte.
Zatem sprawa rozbija się tylko o to, czy dane z tych czujników itp są
dla kogoś istotne czy nie. Cała ta dyskusja o LANach, VPNach i własnych
NATach traci sens.

> Nie oceniaj ludzi tylko dlatago że nie są równie paranoiczni jak Ty,
> widząc wszędzie zagrożenia, mimo że one są częścią ryzyka z jakim się
> zgadzają i jakim gotowi są płacić jak-by-co.

No ale ty też płacisz, zarządzając w domu siecią, własnym routerem,
VPNami, ACLami itp. Ja tego (już) nie robię, ale uczciwie muszę przyznać
że też miałem taką fazę w życiu: w piwnicy rack 20U z różnymi serwerami,
domowy VPN, własna centralka PABX z kilkoma IP phonami, serwer web,
jabber, mail, ftp... a na styku sieci firewall z IPSem. Na szczęście
wyleczyłem się z tego. :) Tzn. głównie to życie i brak czasu mnie
wyleczyło.

Mateusz

do góry

On 07.10.2020 22:49, heby wrote:

> Wstaw własny NAT.

... ale nie szyfruj danych w sieci lokalnej, bo to paranoja ;)

--
Mirek.

do góry

On 08.10.2020 19:15, Mirek wrote:
> On 07.10.2020 22:49, heby wrote:
>
>> Wstaw własny NAT.
>
> ... ale nie szyfruj danych w sieci lokalnej, bo to paranoja ;)
>
Z resztą dla ścisłości NAT bez firewalla niewiele zmienia, bo wystarczy
na niego ustawić nexthop. Adresację za NAT-em trzeba zgadnąć, ale to
zwykle żaden problem.

--
Mirek.

do góry

On 08/10/2020 19:15, Mirek wrote:
>> Wstaw własny NAT.
> ... ale nie szyfruj danych w sieci lokalnej, bo to paranoja ;)

Dokładnie tak. Router jest w obcych rękach, zazwyczaj nisko opłacanego
admina. Może się nudzi i postanowił pooglądać co tam u sąsiada w sieci?

Ograniczone zaufanie to nie paranoja.

do góry

On 08/10/2020 19:51, Mirek wrote:
>>> Wstaw własny NAT.
>> ... ale nie szyfruj danych w sieci lokalnej, bo to paranoja ;)
> Z resztą dla ścisłości NAT bez firewalla niewiele zmienia

Zmienia zasadniczo. Jeśli nie chcesz z zewnątrz przez NAT bardzo ciężko
dostać się do LANu.

, bo wystarczy
> na niego ustawić nexthop.

Coś mi się nie wydaje aby to było takie trywialne. Ni da się w poprawnym
NACie zestawić połaczenia bez aktywnych chęci kogoś z LAN. NAT to nie
jest zwykły routing.

> Adresację za NAT-em trzeba zgadnąć, ale to
> zwykle żaden problem.

No więc masz zewnątrzny adres delikwenta i jego adresację. I co dalej
robisz? Msz miliard przykładów w necie, dostępny z palca. Podpowiedz
jakie masz opcje, jako zły argenyński hacker.

PS. Mała podpowiedź: 95% tych sieci za natem ma 192.168.0.x. Walcz.

do góry

On 08.10.2020 20:36, heby wrote:

> Dokładnie tak. Router jest w obcych rękach,
[...]
> Ograniczone zaufanie to nie paranoja.

A ograniczonego zaufania do swojego oprogramowania na komputerze nie masz?
(User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:68.0) Gecko/20100101)
- jest w obcych rękach.

--
Mirek.

do góry

On 08.10.2020 20:40, heby wrote:

> Coś mi się nie wydaje aby to było takie trywialne. Ni da się w poprawnym
> NACie zestawić połaczenia bez aktywnych chęci kogoś z LAN. NAT to nie
> jest zwykły routing.

Na 5 domowych ruterów na 2-ch się to udało. Więcej nie sprawdzałem, bo
nie zajmuję się hackingiem, wystarczy mi wiedza, że może to się udać.

> No więc masz zewnątrzny adres delikwenta i jego adresację.
Bez przesady, aż tak dobrze nie ma. Musisz być w jego WAN-ie.

--
Mirek.

do góry

On 08/10/2020 21:39, Mirek wrote:
> Na 5 domowych ruterów na 2-ch się to udało. Więcej nie sprawdzałem, bo
> nie zajmuję się hackingiem, wystarczy mi wiedza, że może to się udać.

To miałeś je zle skonfigurowane. Z grubsza, z poza NATu nie da się
dostać do komputerów wewnątrz, chyba że one same zainicjują połaczenie,
lub Twój NAT ma funkcjonalność na to pozwalającą (jak routowanie
WAN->LAN). NAT jest firewallem, choć niekoniecznie dobrym, można go
wszak źle skonfigurować.

>> No więc masz zewnątrzny adres delikwenta i jego adresację.
> Bez przesady, aż tak dobrze nie ma. Musisz być w jego WAN-ie.

Nic to nie da. Chyba że masz coś popsute.

do góry