Forum
Zdravim,
mam instalovany internet LTE vzduchem od T-Mobile s modemem Huawei (venkovni a vnitrni antena) a verejnou IP adresu.
Rad bych pro LAN a Wifi v dome pouzit system Ubiquity Unify. Resim ale, jak se vyporadat s verejnou IP adresou. Rad bych dostal verejnou IP az na Unify USG (Unify Security Gateway).
Nedari se mi ale router Huawei donutit, aby fungoval jak bridge. Ma nekdo Unify USG reseno az v ramci LAN site, to znamena za routerem od poskytovatele internetu? Vznikaji zde pak nejake bezpecnostni rizika nebo je to vlastne jedno, zda je verejna IP na Huawei routeru nebo na Unify USG?
Hoj,
ja mam napojeni na optiku a taky mi puvodne nacpali nejaky jejich router (ktery byl navic deravy). Ale dalo se nakonec domluvit tak, ze misto routeru mi dali jen prevodnik optika->ethernet a tim padem mi do USG jde primo venkovni IP.
V pripade Tmobilu netusim, ale mozna by se s nima dalo domluvit na jinem zarizeni, co by to umelo.
Dalsi varianta by mohla byt nechat ho v router rezimu a proste forwardovat cely rozsah portu na unify. Tim padem sice bude mit USG nejakou vnitrni IP, ale bude z internetu normalne pristupna (pokud je to duvod, proc to resis).
Jinak co se bezpecnosti tyka, jediny problem co mne napada, tak v pripade napadeni routeru ti muzou odposlouchavat napriklad trafic, presmerovat jinam, atd. Ale to ti muzou udelat i kdyz napadnou jinou cast cesty. I kdyz ten router je v tomto pripade asi nejsnazsi napadnout (jelikoz jde o obecne routery dodavane masove milionum lidi, takze jsou znamy vulnerability).
Myslím že existuje i varinta USG s optickým portem, na který bys mohl optiku napojit napřímo a nepotřeboval bys ani převodník.
jj existuje a mam ji i doma. Jenze ten nas poskytovatel (Vivo Connection) maji nejakou vlastni technologii nad optikou. Oni mi to nejak vysvetlovali, ze maji nejak vlastnim zpusobem reseny duplex, aby to lepe vyuzili v jejich podminkach. Takze je potreba jejich prevodnik.
Ale taky jsem puvodne myslel, ze to pichnu naprimo 😉
Jakou má výhodu, pokud přesměruju všechny porty na USG? Nestačilo by USG schovat jen za jeden port a přes ten přistupovat?
Tak predpokladal sem, ze kdyz ho chces mit na verejny IP, tak ho chces mit pristupny.
Pokud ti staci jeden port, tak proc to pak resis?
Já právě nevím, jestli mi stačí jeden port...jaký rozsah portů bych měl tedy směřovat na USG a proč?Co myslíš tím celým rozsahem portu?
Pokud tomu správně rozumím, každý jednotlivý port umožňuje, vzdáleně přistupovat přes veřejnou adresu a daný port do konkrétního zařízení, např. do Loxone miniserveru, NVR atd...Pokud bude tedy toto zařízení až za USG, musím nejdříve všechny porty směřovat na USG a poté z USG na dané zařízení?
proboha, jen to ne. hlavne nedelej takovou takovou kravinu, jako dat miniserver do internetu.
z toho co pises predpokladam, ze do siti a celkove bezpecnosti moc nevidis. Doporucuju proto najit nekoho, kdo se v sitich vyzna a pomuze ti. Tohle uz neni na radu pres forum.
Potrebujes poradne zabezpecnei, VPN, spravne nastaveni pristupu do domu, spravne nastaveni zabezpeceni site.
Mas pravdu, asi radej nekoho najdu,chtel jsem to zkusit vyresit sam.
Davam odpoved sem, at si to muzou precist i ostatni.
Moc diky za osvetleni, nasel jsem tady i starsi diskusi na toto tema - zabezpeceni Loxone. Snad to pomuze i jinym. Je mi ted jasne, ze to chce opravdu komplexni reseni, ktere sam dohromady nedam.
@MartinR mohl by se pls podelit o svoji zkusenost se zarizovanim site? Taky se na to pomalu chystam (ethernet po dome, wlan pres nejake ap, pripojeni tc a miniserveru) tak bych uviral nejakou radu.
Pouzivam komponenty Ubiquiti Unify. Jelikoz nemam v miste pevne pripojeni, pouzivam LTE internet od T-Mobile. K tomu je router Huawei a venkovni antena.
Mam statickou IP,ale tu nejak nejsem schopen dostat primo na Unify USG. To byl hlavni muj problem, jak vyresit souhrou Huawei- USG. Proto presmerovam vsechny porty z Huawei na Unify USG a router Huawei funguje tedy jen jako jakysi bridge.
Za USG mam mam dva 8-portove switche. Po dome mam rozmisteny 3x Unify AP.
Pro vzdaleny pristup do Loxone a ke kameram mam udelanou sit VPN, coz Unify umoznuje. Pote staci na mobilu nebo v pc zapnout VPN a mam pristup do vnitrni site odkudkolik jako bych byl doma. S prvotnim nastavenim mi pomohl tady jeden kolega z fora. Ted uz si to tak nejak spravuju sam.
Pridal jsem ted jeste moznost, dostat se na Loxone i bez VPN primo pomoci staticke IP a presmerovani portu, ale jak popsano vyse, ma to udajne sva bezpecnostni rizika a proto to radej nepouzivam. I kdyz by to takto bylo pohodlnejsi, protoze s presmerovanim portu mas pristup do Loxone hned, co spustis Loxone app. Docela by me zajimalo, jak to resi ostatni, jestli taky vsichni co maji Loxone app na mobilu, pokazde musi zapnout VPN,aby se mohli podivat, co se v dome deje...Tohle mi prijde prochu zdlouhave, navic u me v mobilu mam VPN nekde uvnitr nastaveni site a nejsem to schopen dostat na listu.
Jinak Unify ma vyhodu, ze je na youtube spousta videi a navodu, pokud si s tim chces hrat, delat ruzne nastaveni, Wifi pro hosty, pridelovat ruzna opravneni atd, ale k tomu jsem se nedostal. Internet jede, takze jsem zatim spokojeny.
jestli mas otevreny port na Loxone dovrnitr, tak ho urcite hned zavri.
Popisu ti teoreticky scenar.
Ja, jakozto provozovatel webu vodnici.net (a stejne tak jakykoli jiny provozovatel) vidim tvou IP adresu. Nyni vim, ze mas otevreny port na Loxone z venku.
Nabizi se mi nekolik moznosti, jak ti tvuj dum napadnout. Jednak provedu portscan abych zjisitl, na kterem portu ti loxone bezi (rada Loxone, ze ho presmerujes z 80 na 7777 nebo cokoli jineho mi zabere cca o 1minutu dyl).
Nyni uz vim, ze ti to bezi na http://tvojeadresa:7777. Nyni, vetsina lidi ma admin + telefoni cislo, vetsinou si to zmeni, ale nemusi.
Muzu zkusit lamat hesla, bude mit o trvat, ale mozna se trefim. Kdyz o tobe budu vedet nejake info, budu zkouset tvoje manzelky, deti, kocky, psy... doplnene rodnym cislem atd. Mozna se nepovede.
Nevadi, na dalsim Loxone srazu prijdu jako prvni do hospody a budu mit sebou mobil/rasp/book, kde nahodim verejnou wifi. Pojmenuju ji PrometheusWifi a ty se mozna pripojis (a nebo kdokoli jiny, kdo ma primy pristup domu).
V tu chvili uvidim http trafic smerujici na Loxone, spolu se jmenem a heslem. Uvidim i IP adresu. V tu chvili mam pristup k tobe domu.
Ale mozna se nepripojis, protoze mas data. Nevadi. Jelikoz znam tvoji IP adresu a prave si mi rekl, ze mas Huawei modem, zacnu zkouset prolomeni se do modemu. Rada modemu a poskytovatelu ma zakladni / defautni hesla.
Navic, znam tvoji IP, vim ze je to Huwavei a mam neomezene casu. Muzu opet pustit utok vuci modemu. Jakmile budu v modemu, zacnu poslouchat internetovy trafic. A protoze se pripojujes pres HTTP, tak jakmile se pripojis, uvidim tvoje jmeno a heslo.
A uz sem zvolil jakoukoli cestu, nebo klidne jakoukoli jinou, nasledkem je, ze mam plny pristu k tobe domu.
A pokracovat se da dal. Kdyz uz jsem u tebe doma, nemusim ti jen rozsvedcet a zhasinat. Muzu se pres Loxone (ktery je obyc linux s ssh pristupem) zacit bourat do dalsich zarizeni. Do tveho NASu, do tveho PC.
Tam najdu pristupy k bance, mozna nejaky bitcoin, webcameru, fotky z dovolene. A to pak pouziju dal.
Zkratka..... fakt to neni prdel. Zakazte jakykoli HTTP pristup, nerikejte Vase IP adresy. A do domu lezte jen pres VPN.
PS: Pro android je appka VPN, ktera ti da VPN ikonu primo na plochu a jednim klikem se pripojis.
PS2: Lezim doma v tepotach, tak mam cas psat kraviny 😉
A jeste jeden bezpecnostni dodatek. Tady je video z Avastiho workshopu, kde popisuji a ukazuji utok na dum pres kamery, Sono, Alexu
https://www.youtube.com/watch?v=iKBR18gxOKI&feature=youtu.be
Ve finale donuti Sono rict alexe, aby otevrela dvere a ta to nadsene udela 😉
Edit2: Jo, a jeste existuje vektor utoku pres roombu a jeji OTA. Kdy se da roomba donutit, aby se updatla, nahrat do ni system, pres ktery se pak dostanete do zbytku domu.
