On 08/10/2020 21:30, Mirek wrote:
>> Dokładnie tak. Router jest w obcych rękach,
> [...]
>> Ograniczone zaufanie to nie paranoja.
> A ograniczonego zaufania do swojego oprogramowania na komputerze nie masz?

Mam. Dlatego na routerach w domu wymieniłem oprogramowanie na OpenWRT (z
chińskiego). Ale Windowsa nie wymieniłem na ReactOSa, bo ograniczone
zaufanie to nie brak zaufania.

> (User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:68.0) Gecko/20100101)
> - jest w obcych rękach.

I majac tą wiedzę: co mi możesz zrobić? Podpowiem też że mam system
operacyjny na C:\, komputer z BIOSem i porty USB. Stawia mnie to w jakiś
90% populacji starych klikaczy na usenecie.

do góry

On 08.10.2020 22:02, heby wrote:

> Mam. Dlatego na routerach w domu wymieniłem oprogramowanie na OpenWRT (z
> chińskiego).

Powiem bardziej obrazowo: Jeśli nie chcę, żeby ktoś zobaczył moją d...
to ubieram spodnie, a nie chodzę goły po własnym, zamkniętym domu.
Zapewne nikt nie będzie się włamywał żeby zobaczyć moją d... , ale
zobaczy ją jeśli już tam będzie, a ja będę bez spodni.
Tak samo widzę sens szyfrowania danych, które chcę ukryć, a nie
puszczanie ich gołych gdziekolwiek.

>
> I majac tą wiedzę: co mi możesz zrobić?
Nic, z resztą user-agenta sobie można ustawić dowolnie jeśli się ma
wolne oprogramowanie, a nie będące "w obcych rękach" ;)

--
Mirek.

do góry

On 08/10/2020 22:45, Mirek wrote:
>> Mam. Dlatego na routerach w domu wymieniłem oprogramowanie na OpenWRT
>> (z chińskiego).
> Powiem bardziej obrazowo: Jeśli nie chcę, żeby ktoś zobaczył moją d...
> to ubieram spodnie, a nie chodzę goły po własnym, zamkniętym domu.
> Zapewne nikt nie będzie się włamywał żeby zobaczyć moją d... , ale
> zobaczy ją jeśli już tam będzie, a ja będę bez spodni.
> Tak samo widzę sens szyfrowania danych, które chcę ukryć, a nie
> puszczanie ich gołych gdziekolwiek.

Nie da się szyfrować większości rzeczy w lanie bo:
1) się nie da
2) straciła by się funkcjonalność

Po prostu nie wrzucaj obrazu z sypialni do LANu tylko do wydzielonej
sieci na kablach etnernetowych w ekranie, szyfrując bezpośrednio w
przetworniku obrazu...

>> I majac tą wiedzę: co mi możesz zrobić?
> Nic, z resztą user-agenta sobie można ustawić dowolnie jeśli się ma
> wolne oprogramowanie, a nie będące "w obcych rękach" ;)

Więc jak widzisz, można miec ograniczonee zaufanie bez paranoi i
funkcjonować w tym świecie. Albo mieć paranoje i szyfrować łaczność po
sambie z NASem metr dalej. Twój wybór, ale zastanów się dobrze jeśli
będziesz uważał że wszystko w LANie nalezy szyfrować. Nie da się, a na
sam koniec ktoś zapyta czy masz zaufanie do firmware w pendrive i znowu
jesteś w d... Popuść wymagania, nie można wykluczyć że ta czyjaś goła
d..., jak już wycieknie, będzie tylko jedną z 50 milionów które
wyciekają codziennie. Nawet jeśli w stringach, to wiedz że nie takie
d... widywano na necie i nie robi to już żadnego wrażenia na kimkolwiek.
No chyba że chcesz być politykiem konserwatystów, to wtedy faktycznie
zdjęcia w stringach warto szyfrować.

do góry

On 08.10.2020 21:58, heby wrote:
> On 08/10/2020 21:39, Mirek wrote:
>> Na 5 domowych ruterów na 2-ch się to udało. Więcej nie sprawdzałem, bo
>> nie zajmuję się hackingiem, wystarczy mi wiedza, że może to się udać.
>
> To miałeś je zle skonfigurowane.
Na fabrycznych ustawieniach były.

>
> Nic to nie da. Chyba że masz coś popsute.
Nie tyle popsute, co podatne na psucie. I nie ja jeden.

--
Mirek.

do góry

On 08/10/2020 23:06, Mirek wrote:
>> Nic to nie da. Chyba że masz coś popsute.
> Nie tyle popsute, co podatne na psucie. I nie ja jeden.

Na szczęsie moja uwaga "wstaw własny NAT" dotyczyła NAT a nie popsutego NAT.

do góry

On 08.10.2020 22:55, heby wrote:

> Nie da się szyfrować większości rzeczy w lanie bo:
> 1) się nie da
Ale tą o której była mowa akurat da się.
> 2) straciła by się funkcjonalność
Nie straciła by, bo są gotowe źródła - wystarczy skonfigurować pod
siebie, skompilować i działa.
Ale zamiast to zrobić to wdałem się w tą dyskusję.

>
> Po prostu nie wrzucaj obrazu z sypialni do LANu tylko do wydzielonej
> sieci na kablach etnernetowych w ekranie, szyfrując bezpośrednio w
> przetworniku obrazu...
Nie rozumiem aluzji, ale akurat szyfrowany strumień w kamerach to
codzienność.

> Więc jak widzisz, można miec ograniczonee zaufanie bez paranoi i
> funkcjonować w tym świecie. Albo mieć paranoje i szyfrować łaczność po
> sambie z NASem metr dalej.
Szyfrowanie to bym sobie może darował, ale hasłem to sobie zabezpiecz.
Zapląta się gdzieś mały skrypcik i pozbędziesz się danych.

> Twój wybór, ale zastanów się dobrze jeśli
> będziesz uważał że wszystko w LANie nalezy szyfrować.

Ja nie mówię, że wszystko, ale akurat to chcę.
Po za tym co tak się uczepiłeś (liśmy) tego LAN-u? A jeśli chcę to
połączyć z zewnętrznym brokerem MQTT - zmienia to coś?

--
Mirek.

do góry

On 08/10/2020 23:50, Mirek wrote:
>> Po prostu nie wrzucaj obrazu z sypialni do LANu tylko do wydzielonej
>> sieci na kablach etnernetowych w ekranie, szyfrując bezpośrednio w
>> przetworniku obrazu...
> Nie rozumiem aluzji, ale akurat szyfrowany strumień w kamerach to
> codzienność.

Szczególnie w chińskim firmware, z podatnościami które całe to
szyfrowanie inwalidują.

Co ci po tym szyfrowaniu skoro z poziomu tego LANu można łatwo podmienić
nie tylko firmware ale i wyświetlić fałszywy strumień kiedy ktoś rabuje
drogocenne dilda z szafki nocnej?

Ludzie którzy to badali maja taką hipotezę że większego szajsu niż
firmware w kamerach security chwilowo nie napisano. Ale chińczycy nie
powiedzieli ostatniego słowa.

>> Więc jak widzisz, można miec ograniczonee zaufanie bez paranoi i
>> funkcjonować w tym świecie. Albo mieć paranoje i szyfrować łaczność po
>> sambie z NASem metr dalej.
> Szyfrowanie to bym sobie może darował, ale hasłem to sobie zabezpiecz.
> Zapląta się gdzieś mały skrypcik i pozbędziesz się danych.

Nie da się. Naciskam F8 w total commanderze i nie działa. Magia.

>> Twój wybór, ale zastanów się dobrze jeśli będziesz uważał że wszystko
>> w LANie nalezy szyfrować.
> Ja nie mówię, że wszystko, ale akurat to chcę.

No to trzeba było tak od razu.

> Po za tym co tak się uczepiłeś (liśmy) tego LAN-u? A jeśli chcę to
> połączyć z zewnętrznym brokerem MQTT - zmienia to coś?

Zasadniczo nigdy nie radziłem używania zewnętrznego MQTT, co najwyżej
jak ktoś naprawdę jest leniwy i chce wycebulić MQTT za friko. Radziłem
posatwić go sobie w LANie. I w tym momencie napadło mnie kilku
paranoików którzy najchętniej szyfrowali by włacznik światła technologią
kwantowego splątania z sznurkami na pranie.

do góry

2020-10-08 o 23:30 +0200, heby napisał:
> Na szczęsie moja uwaga "wstaw własny NAT" dotyczyła NAT a nie
> popsutego NAT.

Nie, dotyczyła "wstaw NAT z firewallem". Sam goły NAT zupełnie nie robi
tego, co myślisz że robi - zmienia tylko nagłówki tcp/ip z x do y w
pewnych ściśle określonych warunkach. W żaden sposób nie upośledza
routingu.

Mateusz

do góry

On 09/10/2020 10:00, Mateusz Viste wrote:
>> Na szczęsie moja uwaga "wstaw własny NAT" dotyczyła NAT a nie
>> popsutego NAT.
> Nie, dotyczyła "wstaw NAT z firewallem". Sam goły NAT zupełnie nie robi
> tego, co myślisz że robi

Ależ robi dokładnie to co myślę: nie pozwala dostać się nikomu z
zewnątrz do sieci wewnętrznej bez inicjanywy z LANu. A to byl problem z
modemem dostawcy, jeśli jeszcze pamiętasz.

- zmienia tylko nagłówki tcp/ip z x do y w
> pewnych ściśle określonych warunkach. W żaden sposób nie upośledza
> routingu.

Miło że nie zrozumiałeś gdzie jest zaleta NAT w tej sytuacji o której mowa.

do góry

2020-10-09 o 10:56 +0200, heby napisał:
> On 09/10/2020 10:00, Mateusz Viste wrote:
> >> Na szczęsie moja uwaga "wstaw własny NAT" dotyczyła NAT a nie
> >> popsutego NAT.
> > Nie, dotyczyła "wstaw NAT z firewallem". Sam goły NAT zupełnie nie
> > robi tego, co myślisz że robi
>
> Ależ robi dokładnie to co myślę: nie pozwala dostać się nikomu z
> zewnątrz do sieci wewnętrznej bez inicjanywy z LANu. A to byl problem
> z modemem dostawcy, jeśli jeszcze pamiętasz.

Otóż nie, niczego takiego nie robi. Zapewne niektóre implementacje
dodają do worka "NAT" jakiś firewallopodobny twór, ale nie jest to NAT.
Rozważ poniższy schemat.

10.0.0.2 ---- 10.0.0.1/8 [NATBOX] 1.2.3.4/24 ----------- 1.2.3.3

1.2.3.3 wysyła do 1.2.3.4 ramkę zawierającą pakiet IP z src=1.2.3.3 i
dst=10.0.0.2. W takiej sytuacji router NATBOX bez zająknięcia przekaże
pakiet (w nowej ramce) do 10.0.0.2. No chyba, że NATBOX ma również
jakieś ACLe, ale w takim razie nie mówimy już o NAT tylko o
filtrowaniu.

> Miło że nie zrozumiałeś gdzie jest zaleta NAT w tej sytuacji o której
> mowa.

Zrozumiałem, że ty myślisz o zalecie, która istnieć może w niektórych
implementacjach ale z NATem nie ma nic wspólnego.

Mateusz

do góry