Pont ezért, mert ha jár a cím, akkor kapod, ha olyan a júzer akkor nem tudja babrálni a hálókártya beállításait sem így azon cím előtt olyan védelem van, ha meg máshol bedugja akkor is kap valami DHCPvel és VPNezhet kedvére, ha úgy adja ki.
"Technikailag valóban lehetséges olyan (mozgás/nyitás)érzékelőket gyártani, amelyeknek közvetlen IP hálózati kapcsolata van (és ugyanilyen riasztó központot is lehetne csinálni), de valószínűleg komoly szakember nem vásárolna ilyet, ezért talán nem is gyártanak ilyet"
Hát, izé. Az a szolgáltatói, NAT-oló, kinai csoda az pont semmit nem ér. Persze az egységsugarú halászt megfogja, de kb itt vége is a történetnek. Bezzeg ha duplán NAT-olsz, az már valami (oh, wait...)
> de annyira dinamikusan, hogy ugyanazt a címet kapja meg EU összes irodájában
Annyi azért akad, hogy ha szolgáltatói natolós doboz mögött vannak a cuccaid, akkor kintről alapban nem basztatják és csak úgy nem jönnek be csomagok. Aztán lehet a végtelenségig elmélkedni, de NAT mögött belső hálón egy ezer éves frissítetlen win sem akkora gond, mint ha kilógatná direktben a netre. Azt amúgy mondtam, hogy nálunk a DHCP rendes külső publikus címeket oszt lanra is adott gépeknek, de annyira dinamikusan, hogy ugyanazt a címet kapja meg EU összes irodájában? Na, az a nagy matek.
Ebből is látszik, hogy valaki nem látott ilyet, mert a NAT mögül alapban visszafelé meg lehet látni és nem erre való meg kicsit bonyás menedzselni. A szó amit keresel az a VLAN.
"ha egy kliensről nem látsz ki, akkor az nem kliens és nem hálózat."
Számos kitűnően működő hálózatot csináltam, amelyben az összes kliensnek kiváló hálózati kapcsolata van, de mindenki csakis annyi hálózati hozzáférési jogot kap, amennyi a munkájához feltétlenül szükséges. Például a helyi hálón lévő IP kamerák, wifis dugaljak és egyéb ketyerék a helyi hálózaton keresztül kiváló kapcsolatban vannak a helyi központi rögzítővel/vezérlővel, de egyikük sem kommunikálhat kifelé az internetre.
És most olvasd el újból a fenti mondatodat :)
"(akárhány szint mélységű) Jó, ezen még dolgozz egy kicsit. Legközelebb már ekkora baromságot nem fogadunk el, jó"
Ha írnál konkrétumokat is, akkor talán elhinném, hogy értesz is a dologhoz. Az öncélú fikázás olyan, mint az ételkrritikus, aki valójában nem tud főzni :)
Szerinted nem lehetséges NAT-olt alhálózat alá egy másik NAT-olt hálótatot tenni? Akár több szint mélységben is? Pl egy az internetre csatklakozik egy 192.168.1.X-es hálózat, annak egyik tagja egy router, amely mögött van egy 10.0.0.X-es hálózat, amelynek egyik tagja egy router, amely mögött van egy 192.168.1.X-es hálózat, amelynek egyik tagja egy router, amely mögött van egy 10.10.0.X-es hálózat? És szerinted nincs olyan naiv "informatikai szakember", aki ezt nem a biztonsáág fokozásának hiszi?
"Ajajjj. Sok dolog keveredik itt. Szóval igen, a skype képes, de szerinted hogyan ?
Illetve mi ellen akarsz védekezni ? A riasztógyártó saját IP fölötti implementációja ellen, vagy a külső betörések ellen ?"
A riasztó (és bármely más IP-s ketyere), gyártója (vagy a gyártó országának titkosszolgálata) is próbálkozhat disznósággal a tudtunk nélkül, vagy pl ügyes hekker is belebarkácsolhat, de akár megfertőzheti vírus is. Még néhány év és el fognak szaporodni a házvezérléses és IP kamerás zsarolások (egyes mobiltelefonok és laptopok kamerái már most is gyűjtik a zsarolási anagot). Legalább a riasztók távvezérelhetőségét ne engedjük közéjük.
Szia, a helyzet az hogy elég vizes volt a fű a sok eső után, nemrég költöztem ide, és az ősök mindenáron rögtön füvet akartak nyírni/nyírjuk le mind, a leggyorsabb megoldásnak az látszott hogy elugrok egy boltba és veszek egy ilyen konnektoros fi-relét, így a lelkiismeretem nyugodt marad. Természetesen a legpraktikusabb a biztosítékméretű biztosítékszekrénybe helyezhető fi relé, akkor persze a relén kívül a bekötési költséggel is számolni kell, amit ti villanyszerelők lévén jobban tudtok mennyi, de gondolom kb. annyi mint maga a relé.
Látszik hogy pár témáról már olvastál, de sajnos nem értesz hozzá. Ez nem baj, de így nem kellene megmondani a tutit.
> Az én értelmezésemben nyílt IP hálózat olyan, amely hálózatból pl egy router bárkit automatikusan enged kifelé az internet felé kommunikálni
A nyílt hálózat definíciója úgy kezdődik, hogy KÍVÜLRŐL lehet elérni.
Viszont ha egy kliensről nem látsz ki, akkor az nem kliens és nem hálózat.
> Tehát a NAT-olás szart sem ér mint védelem
A NAT nem védelem. Sose volt, senki nem állította ezt, de legalább te lelkesen tagadod amit senki nem állított.
> (akárhány szint mélységű)
Jó, ezen még dolgozz egy kicsit. Legközelebb már ekkora baromságot nem fogadunk el, jó ?
> A NAT valóban segít BIZONYOS ESETEKBEN,
Igen, pl ha elfogy az IPv4 címtér, azon segít. Securityhez sok köze nincs.
> Ahogy NAT mögül egy Skype vagy egy Teamviewer lazán képes kétirányú kommunikációra a nagyvilág felé, ugyanúgy képes lehet a hálszobádat néző IP kamera, egy üvegtörés érzékelő mikrofonja, vagy a bejáratodat néző mozgásérzékelő.
Ajajjj. Sok dolog keveredik itt. Szóval igen, a skype képes, de szerinted hogyan ?
Illetve mi ellen akarsz védekezni ? A riasztógyártó saját IP fölötti implementációja ellen, vagy a külső betörések ellen ? (nem mindegy, nagyon nem)
> ennélfogva az IP hálózat vagyonvédelmi szintű biztonsági kommunikációra alkalmatlan.
Ja, de pl bankolásra, vagy éppen az ügyfélkapura arra jó. Esetleg céges vagy katonai szupertitkos kommunikációra, arra is. De arra, hogy nehogy valaki ellopja a lapostévét meg a családi szinesfémet, arra nem. Értem. Oh wait...
> Ida tartoznak azok a riasztó központok és házvezérlések is, amelyek nyílt IP hálózatra csatlakoznak.
Hagyjuk ezt a terminológiát.
Inkább olvass utána a másik kettőnek amit írtam. Az a vicc, hogy szerinted a routernek a könyvespolcon a helye, Jahno meg akkora routereket reszelget, amik nagyobbak mint a könyvespolc. Az hogy magyarázod neki az IP hálózatokat, az olyan, mintha Paudits Béla magyarázná Schwarzeneggernek, hogy mi az a koksz :)
"A cloud megoldásaikra pedig nem igazán merném rábízni a házam biztonságát"
Ebben nagyon egyetértünk.
A legdurvább, hogy egyre több az olyan ketyere, amelynek folyamatos cloud kapcsolat nélkül nem is képesek működni (pl Paradox IP150 nevű rettenet, vagy egyes "korszerű" DVR-ek). Bizonyos feladatokra lassan már nem is lehet semmi megbízhatót venni.
Ha értelmes árfekvésben van ajánlatod, akkor vázolj fel egy nagyságrendi tervet, aztán ha működőképesnek néz ki, akkor fizetek is érte. Elek-féle "előre nem adunk ki dokumkentációt még 2 milláért sem és 500ezer Kuvaiti dínár/perc a munkadíjam" típusú opciók nyilván nem érnek.
Bár ha valaki tudna is két mondatban működőképes megoldást, vagy találkozott volna hasonlóval akkor rég bemondta volna. Így mivel senki nem akarja fogni miről van szó, nem látott ilyet és nem ért hozzá, onnantól tárgytalan.
Csak mindegyiknél a kliens kezdeményezi a kapcsolatot, de megnyugodhatsz, nálam sokszor az a baj, hogy általad kedvelt megoldások vannak és már a napi működést is veszélyezteti a szigorított formáció, csak akkor meg az lesz a bajod mer' semminemmegy :-D Nem, ha VLANról pofázunk, akkor az úgy van ahogy én akarom és arrafelé megy forgalom amerre akarom.
"A belső hálón NAT-olt, agyontűzfalazott VLAN szerinted mennyire meríti ki a "nyílt IP hálózat" követelményeit ?"
Az én értelmezésemben nyílt IP hálózat olyan, amely hálózatból pl egy router bárkit automatikusan enged kifelé az internet felé kommunikálni. Tehát a NAT-olás szart sem ér mint védelem (akárhány szint mélységű). A NAT valóban segít BIZONYOS ESETEKBEN, de csak kezdők tekintik komoly védelemnek. Ahogy NAT mögül egy Skype vagy egy Teamviewer lazán képes kétirányú kommunikációra a nagyvilág felé, ugyanúgy képes lehet a hálszobádat néző IP kamera, egy üvegtörés érzékelő mikrofonja, vagy a bejáratodat néző mozgásérzékelő.
Egy ilyen hálón lévő egyetlen klienst sem szabadna valóban biztonságosnak tekinteni, ennélfogva az IP hálózat vagyonvédelmi szintű biztonsági kommunikációra alkalmatlan.
Ida tartoznak azok a riasztó központok és házvezérlések is, amelyek nyílt IP hálózatra csatlakoznak.
"Ha komolyan gondolnád, akkor a megoldást keresnéd."
Szerinted miért kérdeztem itt? Hogy Elekkel túrázzatok valami marhaságon?
"Első menetben megpróbálnál egy vagyonvédelmi gerincet behúzni. (4x0,22+2x0,5 például.)"
Továbbra is: a sziréna/villogó felőli végén IP hálózat van. Felőlem még lehet UDP is nahh :-)
Ennyi a környezet, amiket felvázoltam, lerajzolhatom Visioban is, mert van 1+2 féle kivitel aminek *2 lehetséges hardveres módozata van. Érdekel, összeüssem? Igazából mióta csőtörés volt, abból indult ki, hogy kellene valami vízérzékelés riasztás, de nem app, nem felhő, nem faszom, de mivel ezek úgyis központban és egyébben végződnek akkor már a szobába is tehetek mozgásérzékelőt, tasztatúrát, esetleg szomszéddal közösködve. Első körben 2-4 víz érzékelő, világ másik végén IP hálózat és ott riasszon. Bár menet közben jön az ügyfél igény, elzárhatnám a tolózárat is, csak ha a Nesquick nyuszi leköpi az érzékelőm, akkor sokan morcosak lesznek a vízhiány miatt :-)
Átlagos kamerás/riasztós fejjel matekozik, azok is kiforwardolnak minden portot aztán kész is, elballagnak a naplementébe, biztonság meg valahol a béka segge alatt.
"s az IP kapcsolat csupán pl távmenedzselés vagy statisztikai célokat szolgál. Az ilyen beléptető vidáman elműködik IP kapcsolat nélkül is."
Nem erre gondoltam. Maga az eszköz is egy POE végberendezés és kész, IP nélkül halott, ha nincs hova csatlakozzon és honnan ellenőrizzen. Főleg mert manapság egyre több komoly biztonsági funkciót raknak IP kamerákba is.
A buszos érzékelőknél meg legjobban azt szeretem ahol megadják, hogy melyik nyílt szabványra támaszkodik :-)
Az, hogy mi megfizethető, vagy mi nem, azt nem tudjuk de mivel az éves átlagos mobiltarifákkal sem voltál tisztában, csak egyre jobban bonyolítottad a feladatot azt sem érte, hogy nem kell minden eszköznek előfizetés, így azért elsőre had ne nyeljek be már bármit, ami felőled jön infónak.
Ja, a komoly riasztógyártókról meg csak annyit, hogy az összes "szupertitkos" protokolljukat szarrá törték. A cloud megoldásaikra pedig nem igazán merném rábízni a házam biztonságát (nem is engedtem bekötni semmi ilyesmit)