Интернет вещей не для нас

[mike-y-k]

А мне вполне hamachi хватает и нет проблем с отсечением всех желающих достучаться ко мне и перебрать все пароли - это головняк провайдера.

Ara41, наверное не сам лично, а Жаров с интерпретациями от провайдеров подсобили. А к лихородке в сети таки политические решения привели, помноженные на отсутствие работающих решений по их реализации. И недомыслие (в части IT точно) во всей цепочке принятия законов и решений источником всех последующих проблем становится… Но это просто грустные мысли вслух…

[ptr]

Сообщение от mike-y-k

А мне вполне hamachi хватает и нет проблем с отсечением всех желающих достучаться ко мне и перебрать все пароли -

Какие пароли? Pre-shared ключи, защищенные паролями! А вот если вдруг произошла утечка, то сразу же делаешь новую пару, аннулируя старую.

[mike-y-k]

ptr, эмодзи в тексте не просто так присутствуют однако, и смысл всей фразы совсем иной…

У ТС был вполне конкретный вопрос. Пока непонятно чего он достиг на этом пути. Через VPN сервисы доступ для его задачи работает.
В его варианте сами устройства доступ к облаку имеют (проверено - соединение идёт и без VPN). А вот управляющее приложение такой возможности не имеет. У меня эксперимент длился всего полчаса примерно и я не запускал tcpdump, так что не могу сказать что и куда там ходило или не ходило на уровне пакетов .

При наличии любой свободной отладочной платы под arduino (желательно таки WLAN/LAN подключение) или RPI Вы вполне можете проверить все самостоятельно.

[ptr]

Сообщение от mike-y-k

На реальных IP постоянный стук по портам и попытки залезть с перебором паролей

Про fail2ban слышали?

Сообщение от mike-y-k

Без реального IP и на hamachi мне только проколы провайдера по маршрутизации во внутренней сети могут грозить, но тут два маршрутизатора с FW паровозом уже весьма сильно усложняют задачу.

Вы сильно переоцениваете безопасность, обеспечиваемую NAT. И сильно недооцениваете вероятность подмены провайдера (атака между Вами и провайдером, например, подменой DNS). Скажем так, я бы управление отоплением на своей даче провайдеру не доверил.

Сообщение от mike-y-k

Через VPN сервисы доступ для его задачи работает.

Я у него попросил traceroute, но он мне его не дал. Не исключена еще необходимость настройки OpenVPN. Бывают случаи, когда он внешние адреса воспринимает локальными. Тогда их только пинками (route) приходится в него загонять.

[mike-y-k]

ptr, Вы так и будете все высказывания воспринимать как повод поучать других по всем вопросам? Реакции в теме про GD не достаточно?

Может таки стоит выдохнуть и остановиться? Потом ведь ещё и удалять опусы не по теме придётся.
Вам так нравится искать ошибки - пойдите работать корректором или техническим редактором, там этого достаточно и ещё зарплату платить будут. Или начните писать учебники. Можно преподаванием заняться. Но только не здесь.
Посчитайте в общем объёме Ваших постов процент признанных полезными.
Для теста попробуйте поучаствовать тут и вписаться в обсуждение.
Есть свободные места тут для обучения ТС по множеству направлений - можно даже отдельные темы по предметам в виде комиксов открыть…

И рекомендую меня в Ваш список игнорирования поместить, поскольку с Вашей точки зрения я постоянно какую-то хрень пишу, которую нужно править, уточнять, опровергать - не дай бог в неокрепшие умы попадёт крамола и прорастет адскими зёрнами неправильного знания.

[stalkernet]

народ а у нас что уже коннект по IP и порты отменили??? А то привыкли DNS. VPN.... NAT тоже не спасение. ломается также. а вот жесткую таблицу ломануть сложно. Сейчас с Теслой завязался. так у них все зарядки живут на таблице роутинга для сбора информации. на случай если вдруг клиент начнет возбухать - типа акб угробили неправильным режимом. а ведроид это воще гавно. даже с ихним VPN.

[ptr]

Сообщение от mike-y-k

ptr, Вы так и будете все высказывания воспринимать как повод поучать других по всем вопросам?

Вы бы лучше читали, что Вам пишут, а не циклились внутри своего ЧСВ...

Сообщение от mike-y-k

Hamachi создаёт туннель от меня до конкретного устройства в моей локальной сети. Туда влезть никак (кроме разве что взлома и подмены серверов hamachi).

Про подмену я уже писал, и даже один ее вариaнт привел. Зачем повторятся? Тоннель создаетя не от Вас до устройства, а от Вас к серверу Hamachi и от устройства к серверу Hamachi. Это большая разница, с тем, что Вы написали. Да и вообще, установка проприетарного софта на критичный узел, мне кажется очень опрометчивым. Какие там бекдоры, дыры и прочие трояны - никому не известно.

Сообщение от mike-y-k

Каким образом и с какого бока с перепугом явно указанный в тексте FW связан с NAT?

Для того, чтобы Ваш электрочайник или СВЧ связались с сервером (мы же в теме про IoT, не правда ли?), необходимо или установить на них Hamachi, или установить его на NAT. Так как Hamachi проприетарен и исходников нет, то на тот же ESP8266 Вы его не поставите. Raspbery PI для чайника выглядит расточительным Значит иного варианта, кроме установки одного Hamachi на все устройства на отдельном роутере уже нет. А в этом случае и получается, что без весьма тонкой настройки FW Ваша Hamachi оказывается открытой для атак через NAT. Ведь чайник и СВЧ после NAT уже не защищены. Или же мы связываем наши устройства IoT через те же самые pre-shared ключи. Но на хрена нам тогда Hamachi?

Сообщение от mike-y-k

С какого перепуга тут появился вопрос передоверия провайдеру отоплением на даче? И каким образом это осуществить?

Вы это и делаете, используюя проприетарный Hamachi для IoT. Провайдер, или тот кто изобразит из себя провайдера, будет иметь доступ к управлению отоплением на Вашей даче. Если, конечно, контроллер этого отопления связывается с сервером провайдера, а не с Вашим личным сервером по pre-shared ключу того-же ГОСТ, шифрование по которому и с гаммированием, и с имитовставками, даже ардуина потянет.

Сообщение от mike-y-k

И чтобы нам впредь не пришлось сильно пересекаться - рекомендую меня в Ваш список игнорирования поместить

Вы бы глаза протерли и внимательно пречитали свои посты. Тогда бы обнаружили, что это как раз Вы, в ответ на одну-две моих кратких фразы, раздуваете немерянную дискуссию с политичиским и воспитательным уклоном. Вот и включите сами меня в Ваш список игнорирования, чтобы, как в этом топике, из-за одного моего предложения не выходить из себя и не мусорить в топике. Текущий холивар Вы устраиваете из-за фразы "Pre-shared ключи, защищенные паролями", предыдущий - из-за моего указания того, что VPN не обязательно должен быть с шифрованием. Может хватит так печься о своем ЧСВ?

Сообщение от mike-y-k

Выполнение traceroute из под android уже слишком сильно напоминает закат солнца вручную.

Установить traceroute из маркета и запустить на адрес провайдера это "закат солнца вручную"? А как Вы тогда диагностируете сетевые проблемы на андроиде? Только рутованием что-ли?

[ptr]

Сообщение от stalkernet

народ а у нас что уже коннект по IP и порты отменили???

Речь идет об IoT между дачей, машинами, офисом и своим, жены, детей смартфонами, когда нигде нет статического IP. С каким адресом коннектиться будете? Я дома плачу за статический IP, поэтому все устройства связываются с домашниим сервером. Но большинство же жаба душит два бакса в месяц за статику платить. Вот и начинаются извращения с провайдером, предоставляющим такой внешний IP.

[mike-y-k]

ptr, и что же мне такого пишут, а я не читаю?

А кроме как на NAT установить некуда или это очередная догма?

На тему подмены hamachi неплохо бы Вам на практике попробовать и выложить пруфы успешной атаки на туннель снаружи, заодно от LogMeIn сможете бонус получить…

А вот отсутствие от ТС информации отразвитии событий неоднозначно.
Или нашёл решение и тема для него исчерпана, или ищет его в другом месте…

[ptr]

Сообщение от mike-y-k

ptr, и что же мне такого пишут, а я не читаю?

Фразу, с которой начался Ваш холивар:
"Какие пароли? Pre-shared ключи, защищенные паролями!"

Сообщение от mike-y-k

А кроме как на NAT установить некуда или это очередная догма?

И опять не читали. Написано то было "или установить его на NAT". А далее:
"Ведь чайник и СВЧ после NAT уже не защищены. Или же мы связываем наши устройства IoT через те же самые pre-shared ключи. Но на хрена нам тогда Hamachi?"
Проблема не в том, где стоит Hamachi, а в том, как защитить устройства IoT. Локальная сеть подвержена атакам через NAT и этого Вам не изменить, только минимизировать вероятность настройками iptable.

Сообщение от mike-y-k

На тему подмены hamachi неплохо бы Вам на практике попробовать и выложить пруфы успешной атаки на туннель снаружи

Зачем мне это? Раз имеем проприетарный продукт с закрытым исходным кодом, вероятность наличия там бекдора или трояна есть всегда и довольно высока. Ни один безопасник под таким не подпишется.

Вы же разбираетесь в вопросе и хорошо знаете, что единственный надежный способ защиты канала связи - только pre-shared ключи, передаваемые не по тем же каналам связи, а иными путями. Все остальные варианты взламываются за обозримое время при современном техническом развитии. Или основаны на доверии к третьей стороне (наример, к сертификационному центру). Но доверие и безопасность - это все же плохо совместимые понятия. Не правда ли?