Asus reititin ja hardening?

Viestiketju alueella 'Internet, tietoturva ja muu tietoliikenne' , aloittaja Occurrence, 19.05.2020.

NOSTOJA MUROPAKETIN SISÄLLÖSTÄ
  1. Occurrence

    Rekisteröitynyt:
    23.06.2007
    Viestejä:
    779
    Onko mahdollista Asus WiFi tukarilla (AC-68 ) blokata vaikkapa IP-kameralta ja sinne kaikki muut portit kuin ne mitä oikeasti tarvitaan?

    Onkohan jollain wifi-tukarivalmistajalla selvästi paremmat tietoturva-asetusmahdollisuudet kuin ASUSilla?

    Tietoturva tuntuu olevan asia mitä ei lehtien eikä netin wifi-reititin testeissä/vertailuissa huomioida ollenkaan.
     
    Viimeksi muokattu: 19.05.2020
  2. Ormu

    Rekisteröitynyt:
    09.10.2006
    Viestejä:
    5 209
    Onko sinulla tuo laite vai oletko vasta harkitsemassa? Jos on, tarkista, löytyykö asetusvalikoista jotain palomuurin tapaista. Sillä onnistunee...

    Sisäänpäin tulevat yhteydet pysähtyvät jo sillä, jos tuossa laitteessa (tai jossain muussa) on NAT käytössä. Lähtevän liikenteen blokkaus pitää tehdä palomuurilla erikseen.
     
  3. Occurrence

    Rekisteröitynyt:
    23.06.2007
    Viestejä:
    779
    AC-68 ollut vuosikausia mutta pitäisikin saada tukittua myös verkon sisäisesti portteja. NAT ei auta jos tunkeutuminen tapahtuu IP-kameran kautta. Näin tehtiin Ylen esittämän kotimaisessa tietoruvasta kertovassa sarjassa.
     
  4. pirimv

    Rekisteröitynyt:
    18.02.2004
    Viestejä:
    130
    Eipä siinä paljon ole muillakaan laitteilla tehtävissä jos kameraa varten on reikä ulospäin..

    Oikea palomuuri jossa oma portti/ip alue kameralle, silloin voi rajata kameran liikennettä paremmin ja myöskin logittaa sen..

    Kameran vaihto parempaan jossa ei ole tiedossa olevia heikkouksia ehkä helpoin..
     
  5. ampula

    Rekisteröitynyt:
    04.11.2015
    Viestejä:
    2 707
    Tarviiko kameran päästä sisäverkkoon ? jos ei ja jos se lähtökohtaisesti on turvaton, niin tee sille ihan oma verkko, omalla palomuurireittimellä, jos sen pitää kuitekin nettiin päästä (se kai syy jos se nettiin on liitetty).

    Ko palomuuripurkki sitten tarpeen , harrastuneisuuden ja budjetin mukaan. Kaupalliset kodin pilvipalomuuri purkit voi olla liiantiukkoja ja estää ko kameran liikenteen, joten vähän harrastuneisuutta vaaditaan jotta palomuurin saa itse säädettyä niin että toimii riittävästi, mutta ettei ihan koko mailmaa saastuta. (aajtus kai sallia liikenne kiinaan, mutta ei muualle).

    Eli en lähtis estämään vain portteja, vaan sallia vain niihin palvelimiin liikenteen mihin välttämätöntä, ja suoraan ulkoa ei kai tarkoitus päästä lainkaan. UPnP ym aukova automatiikka poispäältä

    Edit
    Ja tuo siis suoraan nettiin kiinni, eikä se kotiverkon perään.

    Voi noi yhdelläkin laitteella tehdä, mutta helpompi pitää ajatus kasassa jos ihan fyysisesti on eri raudan perässä. Edellyttää toki että operaattori yhteyteetesi tarjoaa useamman julkisen IP4n (IPv6 ehkä kannattaa kameralta ja sen reittimeltä disabloida, jos IPv4 on tutumpi).

    Wlan tukiasemat ei noin yleistäen ole se paikka missä nuo hoidetaan, vaikka ns koti wlan reititin purkeissa on mm vierasverkkojakin (lähinnä wlan). Wlan tukiasemassa voi olla VLAN tuki, jos siis kamera on WLAN ja sille ei millään voi järkevästi omaa WLAN tukiasemaa toteuttaa.

    Edit:
    Rajoittaa vielä kameran kaistaa nettiin päin minimaaliseksi, jos se kuitenkin yltyy riehuun.
     
    Viimeksi muokattu: 22.06.2020
  6. Occurrence

    Rekisteröitynyt:
    23.06.2007
    Viestejä:
    779
    Kyllä kameran pitää päästä tallentamaan kuvat NASille. Kameralla ei ole mitään pääsyä ulkoverkkoon, eikä se olekaan oneglma vaan sisäverkkoon murtautuminen mikä onkin aika yleinen tapa tunkeutua järjestelmiin.

    Asustorin tukarissa ei pysty estämään kameran tiettyjen porttien liikennettä muualle kuin vaikka NASin tiettyyn porttiin. Tämä pitäisi nimenomaan tehdä tukiasemassa koska muutenhan jos tunkeutuminen onnistuu vaikka juuri kameraan, sitäkautta pääsee muihin samassa wifiverkossa oleviin ihan suoraan.
     
  7. ampula

    Rekisteröitynyt:
    04.11.2015
    Viestejä:
    2 707
    Jos kameran yhteys on riskinen , niin miettisin onko tarve kytkeä verkkoon jossa muita laitteita. kuitenkin sillä pitää mennä, niin sijoita se NAS samaan verkkoon sen kameran kanssa. Jolloin eivät sitten vaaranna ja häirise muita, saati netissä olevia.

    NAS sitten oltava turvallinen ja säädettävä niin ettei tallenteita voi lukea ko verkon kautta.
    Jos riski ei ihan noin paha, ja tarve niitä tallenteita katsella usein ja haluat sen NASin olevan kotiverkossa, niin palomuuripurkki kameran ja kotiverkon väliin, jos NAS "nettiturvallinen" (mm päivitykset)ja kameralle minimi oikeudet (vain kirjoitus). Kaapelointi ja kytkennät niin että tunkeutuminen havaitavissa. NAS silti tuossa toki täysin alttiina hyökkäyksille, jos sitä pitää riskinä, niin palomuuraa NASin ja kotiverkon väiin.

    Kannattaa miettiä tuohon käyttöön tarkoitettuja tallentimia, niin saisi hälyä jos jotain kyvyempää räpläämistä ilmenee kameran yhteydessä (piuha/kuori), ja kun kamera ko purkin takana suoraan, niin kustannuksetkin kotikäyttöön sopivia, ei välttämättä tarvi kytkeä kotiverkkoon, joku halpanäyttö, niin voi siitä suoraan tarkistaa tallenteita. Eli säästät NAS, palomuurit jne.

    Jos tarve liittää kotiverkkoon, niin palomuuri väliin.

    Jos se kamera on wlanilla, niin tarvitset sitä kameraa varten lisäksi oman WLAN tukiaseman.
    Markkinoilla on toki WLAN tukiasemia joissa VLAN (virtual LAN) tuki, eli eri SSID (nimellä) voi luode eri WLAN verkkoja, silloin tarvitset lisäksi VLAN tuellisen hallittavan kytkimen (muun raudan lisäksi), jos nykyinen Wlan reititin on riittävä kotikäyttöön, niin ehkä erillisillä purkeilla halvempaa ja ennenkaikkea selkeämpää, eli vähemmän virheitä.
    Vaikka wlania ei kameroille suositella, niin sellainen pieni etu on että ei ole sitä piuhaa jota pitkin pahis voisi hyökätä, mutta jos sen wlanin PSK vuotaa jotenkin, niin sitten siinä hyökkääjä saa puuhastella piilossa.
    Toteutustapoja on monia ja riittävään tulokseen voi päästä vähemälläkin raudalla. Mutta jos pitää asian fyysisesti erillään, niin se vähän helpottaa jä vähentää riskjeä.
    ***
    Oletus että kamera on eristetty netistä, riskinä pidetään kameran yhteyttä, piuha tai wlan, sieltä varaudutaan vihamieliseen hyökkäykseen. (piuhaan pääsee hyökkääjä käsiksi, tai WLANiin pääsee hyökkääjä)
    Hankittava NAS on niin turvallinen että kestää hyökkäyksiä, tarvittaessa sekin eristetään.
    Kameraankaan ei sinänsä luoteta.


    Ok, Kameraa tallentimelle suosittelen ja miettisin että mikä se riski on. Eli onko tarve muunkin kotiverkkon tasoa nostaa. Eli jos kotiverkkoon olet kameratallentimatta laittamassa, niin onko millainen riski siellä kotiverkon puolella. vähän miettiä ennen hankintoja.
     
    Viimeksi muokattu: 07.07.2020 klo 09:19

Jaa tämä sivu

Alibi
Anna
Deko
Dome
Erä
Hymy
Kaksplus
Kippari
Kotilääkäri
Kotiliesi
Koululainen
Ruoka.fi
Parnasso
Seura
Suomen Kuvalehti
TM Rakennusmaailma
Tekniikan Maailma
Vauhdin Maailma
Golfpiste
Vene
Nettiauto
Ampparit
Plaza
Muropaketti