Új hozzászólás Aktív témák

• #13001 Dißnäëß nagyúr vargalex #13000

  Új Válasz 2020-06-07 11:30:53 #13001

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Dißnäëß

  nagyúr

  válasz vargalex #13000 üzenetére

  Sosem az az 1 dolog a lényeg, amiről szó van, hogy törhető-e vagy sem, látható-e vagy sem, hanem ezek kombinációja. Teljesen természetes dolog kellene, hogy legyen, hogy egy wifi router-t úgy setup-olunk fel, hogy csak a bele konfigolt MAC című eszközöket engedje fel, ez Pistikét távol tartja, miközben természetesen a WPA2 is aktiválva van, ami meg Jurijt és Szergejt is. És még AP isolation-el, meg routing-ban is lehet tovább cifrázni. Tökéletes védelem wifi-n nincs, az sosem lesz egy zárt lánccal egyenértékű (ezért is jó a wifi szegmenst a vezetékestől külön választani L2-ben, az eddig tárgyalt ARP poisoning így a wifi buborékon belül marad). De azt belátjuk, hogy Pistikéből rengeteg van, így MAC cím látás ide vagy oda, az első szűrő, amolyan nagyobb lyukú szita, megfogja a kosz 99%-át és már csak a maradék 1%-al kell mondjuk a további lépcsőkben foglalkozni, ha paranoidok vagyunk (hűtő és kávéfőző IoT esetében nem vagyok az, fűtés szó-szó, ott már inkább).

  Sosem egy dolog jelent abszolút biztonságot (ha lehet ilyenről beszélni). Egy kezdő szöcske nem fog neki MAC-eket nézegetni, egy zombi eszköz talán (ugye a kártékony kód írójának leleményességétől függ annak hatékonysága), egy okosabb ember igen. És minél több lépcsőn kell keresztülmennie, hogy eljusson céljához, annál jobb a védőnek, annál inkább fogy az akarat, a gőz a támadóból, míg végül ha az ember jól csinál mindent, megakad egy olyan ponton, ahonnan már nagyon nagy az esélye annak, hogy ott megállni kényszerül és kész. Persze ha tartós kárt nem is, bénulást így is okozhat, attól függően, milyen mélyre ment. Lényegében - elméletben - minden törhető, gyakorlatban ennek vannak lépcsői és fokozatai, melyek különböző mennyiségű erőfeszítésbe kerülnek, kezdve Pistike hobbista "törjünk valamit" kedvétől odáig, hogy kvantum számítógép sem fejti meg 10 perc alatt a sztorit, ez a vonalzó másik vége.

  Ha most körbenézek a telómon (társasház, földszint), perpill. 14 (!) SSID-t is szóró AP-t látok magam körül. A rájuk kötött okos eszközökkel és kliensekkel együtt ez nem túl megnyugtató, és bár - feltételezhetően - mindegyik Pistike, mi van, ha csak 1 közülük nem az. Arról nem is beszélek, hogy éjszaka a fejem mögött a téglafal túloldalán vajon a szomszéd ágya van-e a fejrésszel szintén, vagy egy router, mert neki az a nappalija és egész idő alatt kapom a rádiót agyba.

  Ezt túlbeszéltük (szegény Arduino topic). Mindent kell alkalmazni egy időben, ami kezünkben van. Ezért mondtam, hogy a wifihez képest a mobil netes SIM kártyás IoT ad nem kevés plussz biztonságot, de kitettséget is egyben. A biztonság az tiszta, a kitettség viszont azért, mert ha a mobilszolgáltató megmakkan, pl. kitör egy háború vagy a politika úgy dönt és bumm, akkor a kerti öntöző, locsoló és a többi, mondjuk alapvető élelmiszer-ellátásomat biztosító kis eszköz hirtelen elveszti a kapcsolatot a külvilággal és magára marad, meg a gyári is leáll. Az ő pici kódjában nem sok logika marad, bár ez is implementáció függő, de a bonyi dolgok általában külső agyba mennek, Pi, egyéb. Nem mintha egy háború vagy bármi hasonló esetén marhára érdekelne, mi megy, az ember fut inkább, de ez más téma.

  Ha most lenne egy 1-2 hektár területem, egy tanyám, ahol ilyenekkel foglalkoznék (ez a célom hamarosan), elagyalnék azon, wifi-re tenném-e az eszközöket, vagy mobilos netre. Valszeg az önállóság és függetlenség paraméterek mentén wifire szavaznék, pláne, ha a fizikai közelségbe kerülés esélye konvergál a nullához, akár még antennával is, mert olyan a terep. De ha mondjuk egy sűrűn lakott belvárosi kecóban kellene agyon IoT-zni mindent, a beléptetésen kívül szerintem mindent mobilnetes kütyükre bíznék wifi helyett, mert összehasonlíthatatlanul biztonságosabbak a kommunikáció alsóbb rétegei. Az más, hogy pont a kávéfőzőnek adni emelt biztonságot abszurd, de ha mondjuk egy műhelyről, kisebb telephelyről, gyárról, fontosabb dologról van szó, ahol azért még lehet bőven sniffelni wifit, jobb egy mobilszolgáltatóval menni.

  Szerintem aki eddig wifire tette az eszközeit, most nagyon kezd elbizonytalanodni, ügyelt-e vajon mindenre kellőképpen és legalább a minimumot meglépte-e ezen a biztonsági teendők skálán. Értelmezhető adat tekintetében a nagy átlagnak azért a WPA2 elég nagy lépcsőugrásnyi biztonsági szintet nyújt már a békés alváshoz. Egy darabig még. (Na itt lehet gond a korábban feszegetett 10+ éves életciklus).

  Szerk.: tökre egyetértek Veletek, ezt inkább csak úgy a nagy plénumnak leírtam..

Új hozzászólás Aktív témák