Tassimat
28/09/2021 20:21:58
- #1
शायद एक VPN समाधान भी हो सकता है, यदि आपके उपकरण जो आप इस पोर्ट से जोड़ना चाहते हैं, वह इसे सक्षम करते हैं।
एकल परिवार के घर में सुरक्षित, उच्च स्तरीय नेटवर्क
- Erstellt am 06/06/2020 23:00:54
Tarnari
28/09/2021 20:38:49
- #2
तुम्हें कुछ ऐसा चाहिए, जिस पर Radius-सर्वर चले। मेरे पास उदाहरण के लिए एक pfSense है। फिर स्वाभाविक रूप से अनुमत डिवाइस को 802.1x सक्षम होना चाहिए और उसे Radius लॉगिन विवरण पता होने चाहिए। इन डिवाइसों के मेनू में कहीं एक विकल्प होता है, जहां आप इसे सक्रिय कर सकते हैं और लॉगिन विवरण दर्ज कर सकते हैं।
कोई भी डिवाइस सीधे कनेक्ट करना संभव नहीं है - या फिर असल में व्यावहारिक लक्ष्य क्या है? किसी बिंदु पर तुम्हें अनुमति प्राप्त डिवाइस को सिस्टम से परिचित कराना होगा, चाहे वह सरल MAC-फिल्टरिंग के माध्यम से हो या Radius लॉगिन विवरण के द्वारा। अब तुम टीवी तक कैसे पहुँच गए? मैंने सोचा था कि तुम बाहरी पोर्ट्स को सुरक्षित करना चाहते हो? आउटडोर AP के RJ45 सॉकेट पर छत के बाहर शायद ही कोई टीवी या कंप्यूटर कनेक्ट किया जाता हो? घर के अंदर (और मुझे लगता है कि तुम एक निजी घर की बात कर रहे हो), आम तौर पर कोई संदिग्ध मेहमान LAN में छेड़छाड़ नहीं करता। "जोखिम वाले" पोर्ट्स को मेहमानों के कमरे में सीधे एक अलग VLAN में सीमित किया जा सकता है, जो सख्ती से नियंत्रित हो।
Hikvision कैमरों में यह कुछ इस तरह होता है:
व्यावहारिक लक्ष्य यह है कि तीनों पोर्ट्स (छत के ऊपर और गैरेज में दो) मेरे द्वारा अनधिकृत किसी भी डिवाइस द्वारा उपयोग नहीं किए जा सकें, लेकिन पोर्ट्स मेरे द्वारा अनुमति प्राप्त किसी भी डिवाइस के लिए उपयोगी हों। गैरेज में गार्डेना गेटवे और एक एक्सेस पॉइंट है, और छत के ऊपर भी एक एक्सेस पॉइंट है। मैं यह रोकना चाहता हूँ कि वहां कोई भी कोई भी डिवाइस कनेक्ट न कर सके और मेरे नेटवर्क तक पहुंच न बना सके, लेकिन मैं अपने डिवाइसों (कोई भी हों) के लिए अनुमति दे सकूँ।
Araknis
28/09/2021 20:43:37
- #3
मैं बिना रिसर्च किए यह कल्पना नहीं कर सकता कि चिनाक्रेचर गार्डेना-गेटवे रेडियस जैसा कुछ कर सकते हैं। अगर तुम वाकई हर डिवाइस को कनेक्ट करना चाहते हो, तो शायद केवल MAC-फिल्टर के जरिए ही रास्ता बचता है। लेकिन यह बहुत सुरक्षित नहीं है, MAC को पुराने डिवाइस से कम प्रयास में पढ़ा जा सकता है और फिर इसे मनमाने तरीके से स्पूफ किया जा सकता है। हमेशा कुछ न कुछ प्रभावित होता है, उपयोगिता, डिवाइस चयन या सुरक्षा।
"सीधे कनेक्ट करना" MAC-फिल्टर पर भी संभव नहीं है, तुम्हें हमेशा MAC-एड्रेस पहले प्राधिकृत स्थान पर दर्ज करनी होती है। इसके लिए हर डिवाइस जो MAC-एड्रेस रखता है, उपयोगी होना चाहिए।
"सीधे कनेक्ट करना" MAC-फिल्टर पर भी संभव नहीं है, तुम्हें हमेशा MAC-एड्रेस पहले प्राधिकृत स्थान पर दर्ज करनी होती है। इसके लिए हर डिवाइस जो MAC-एड्रेस रखता है, उपयोगी होना चाहिए।
Tarnari
28/09/2021 20:52:13
- #4
ठीक यही तो मेरा सवाल था।
MAC-फिल्टर से बिल्कुल भी कुछ नहीं होता।
अगर मेरे सवाल का जवाब "नहीं होता" है, तो मैं आगे बढ़ जाऊंगा।
विशेष रूप से मैं जानना चाहता था कि क्या मैं नियंत्रित कर सकता हूँ कि कौन सा डिवाइस DHCP के माध्यम से पता प्राप्त करे और कौन नहीं। अगर यह संभव नहीं है, तो ठीक है। फिर मुझे पता चल जाएगा कि मेरा विचार गलत था और मुझे यह पसंद नहीं है।
MAC-फिल्टर से बिल्कुल भी कुछ नहीं होता।
अगर मेरे सवाल का जवाब "नहीं होता" है, तो मैं आगे बढ़ जाऊंगा।
विशेष रूप से मैं जानना चाहता था कि क्या मैं नियंत्रित कर सकता हूँ कि कौन सा डिवाइस DHCP के माध्यम से पता प्राप्त करे और कौन नहीं। अगर यह संभव नहीं है, तो ठीक है। फिर मुझे पता चल जाएगा कि मेरा विचार गलत था और मुझे यह पसंद नहीं है।
Araknis
28/09/2021 20:55:53
- #5
ठीक है, तो संक्षेप में:
हाँ, तुम कर सकते हो।
यह सामान्यतः हमेशा संभव होता है। "अच्छा" तब होता है जब तुम्हारा डिवाइस 802.1x समर्थित हो। "कम अच्छा" तब होता है जब इसमें केवल एक MAC पता हो।
सामान्यतः मैं ऐसे हमले की स्थितियों के बारे में यथार्थवादी ढंग से सोचने की सलाह दूंगा। VLAN का उपयोग करके तुम पहले ही आउटडोर पोर्ट्स को बाकी नेटवर्क से अलग कर देते हो। फिर कुछ निश्चित मार्ग जैसे कि इंटरनेट तक रास्ते बचे रहते हैं। और फिर? तुम्हारा आगंतुक इंटरनेट ब्राउज़ कर सकता है। लेकिन ऐसा प्रयास करना उचित है, जब पड़ोस के हर दूसरे WLAN की सुरक्षा खराब होती है? मुझे तो अधिक समस्या इस बात की होगी कि इस अवसर पर कोई मेरा एक्सेसपॉइंट या गार्डेना-गेटवे चुरा ले।
मैं विशेष रूप से जानना चाहता था कि क्या मैं नियंत्रित कर सकता हूँ कि कौन सा डिवाइस DHCP के द्वारा पता प्राप्त करे और कौन नहीं।
हाँ, तुम कर सकते हो।
अगर यह संभव नहीं है, तो ठीक है। फिर मुझे पता चल जाएगा कि मेरा विचार गलत था और मुझे यह पसंद नहीं है।
यह सामान्यतः हमेशा संभव होता है। "अच्छा" तब होता है जब तुम्हारा डिवाइस 802.1x समर्थित हो। "कम अच्छा" तब होता है जब इसमें केवल एक MAC पता हो।
सामान्यतः मैं ऐसे हमले की स्थितियों के बारे में यथार्थवादी ढंग से सोचने की सलाह दूंगा। VLAN का उपयोग करके तुम पहले ही आउटडोर पोर्ट्स को बाकी नेटवर्क से अलग कर देते हो। फिर कुछ निश्चित मार्ग जैसे कि इंटरनेट तक रास्ते बचे रहते हैं। और फिर? तुम्हारा आगंतुक इंटरनेट ब्राउज़ कर सकता है। लेकिन ऐसा प्रयास करना उचित है, जब पड़ोस के हर दूसरे WLAN की सुरक्षा खराब होती है? मुझे तो अधिक समस्या इस बात की होगी कि इस अवसर पर कोई मेरा एक्सेसपॉइंट या गार्डेना-गेटवे चुरा ले।
Tassimat
28/09/2021 21:14:40
- #6
सामान्य रूप से मैं ऐसे हमले के परिदृश्यों के बारे में यथार्थवादी रूप से सोचता हूँ। VLAN के साथ आप आउटडोर पोर्ट्स को बाकी नेटवर्क से अलग कर देते हैं। फिर कुछ विशेष रूट्स बचते हैं जैसे कि इंटरनेट के लिए।
मैं भी ऐसा ही मानता हूँ। VLAN इसके लिए ही बनाए गए हैं। अगर आप फिर फ़ायरवॉल के ज़रिए ट्रैफ़िक को उन एड्रेसों तक सीमित कर दें जो गार्डेना आदि को चाहिए, तो कोई गड़बड़ी नहीं कर सकता।
(या फिर मॉडेम की गति पर डेटा दर को कम कर दें :D)