Ograniczanie dostępu do usług w zależności od urządzenia

[IC_Current]

@surface123
viewtopic.php?p=1165936#p1165936

Opłata 130zł nie jest za ONT, tylko za wizytę technika, ktorego przed przyjazdem musisz poprosić o zabranie terminala.
To taka oficjalna droga na około, żeby mieć ONT. Osobiście uważam, że brak oficjalnej drogi montażu bezpłatnie ONT jest bezpośrednim łamaniem dyrektyw, ale po prostu nie miałem okazji tego konia kopnąć, bo nie miałem takie potrzeby (zawsze dbam o ONT przed instalacją). Na Twoim miejscu napisałbym pismo do Orange z zadanie montażu ONT i dostosowaniem się do dyrektyw i obowiązków prawnych (we Francji możesz sobie nawet ONT kupić sam w sklepie z wolnej dystrybucji i Ci go autoryzują, więc teksty o "wpływie na sieć operatora to bzdury"). Jak się nie zgodzą, to poinformować UOKIK. Najwyższy czas skończyć z tą patologią w kwestii wymuszania konkretnych urządzeń i jeszcze do tego wymuszania haraczu za nie.

[Remington]

Ad.4
Potrzebne dużej części konsumentów by było, gdyby byli trochę bardziej świadomi technicznie. Ale znowu - Tiktok, Temu i Pejzbuk bez powodu takiej popularności nie zyskały.

Śmiem mieć siebie za świadomego, stałe łącze mam od ok. 2002 roku i nie mam pojęcia na co mi stałe IP w domu. Możesz wyjaśnić co masz na myśli? Serwer w domu by miało dużo ludzi chcieć stawiać?

[IC_Current]

@Remington
Nie stałe, tylko PUBLICZNE.

Po co?
Tak na szybko, z czego tylko ja korzystam w domu:
- NAS i uplink bez opłat za chmurę
- VPN (do domu, ale i praca zdalna i czasem problemy z AAA na serwerach w miejscu pracy, kiedy nie mamy publika)
- Automatyka domowa (bez ryzyka, że producent zwija serię, zamyka chmurę i wymieniaj sobie teraz jeleniu, coś się nabrał cały sprzęt)
- Podgląd z monitoringu (bez dzielenia się obrazem z chińskimi serwerami). Czy teraz już nawet często płatne abonamenty za możliwość podglądu zdalne przez chmurę.
- Drugi rejestrator w zdalnej lokalizacji, którego złodziej nie ukradnie po włamaniu do domu (żadna chmura producenta nie ma opcji transmisji ciągłej)

[Remington]

Kamery to jedyne co by mi się przydało. Ale z tego co czytałem protokół RTSP bezpieczny nie jest, zresztą nie brakuje serwisów pozwalających na podglądanie takich prywatnych kamer (choć nie wiem czy korzystających z tego protokołu).

I tu już nie rozchodzi się o świadomość użytkowników co ich umiejętności w dziedzinie zabezpieczenia dostępu - ja nie odważyłbym się samemu zabezpieczyć dostępu do swojej domowej sieci i tym samym obrazu z kamer. Ilekroć uruchamiałem VPS-y z publicznym IP, ataki rozpoczynały się już w pierwszej minucie po ich uruchomieniu - dziesiątki prób na minutę.

[IC_Current]

Nowe kamery mają szyfrowanie RTSP, więc jeden problem odpada. Jak nie ma szyfrowania, to zestawiam klientom po prostu VPN.
Co do prób połączeń, to one są zazwyczaj zestawiane na standardowe porty. Ja zawsze ustawiam całkowicie losowe, wysokie porty. W takim układzie atakujący musiałby naprawdę spore zasoby techniczne zainwestować, żeby zeskanować wszystkie porty a do tego jeszcze z jakimś prawdopodobieństwem zidentyfikować akurat uruchomioną usługę. Tam, gdzie mam pozmieniane porty, to z automatu liczba prób wykonanych przez boty spada o trzy, cztery zera.
Natomiast dbałość o aktualność oprogramowania, łatki itp jest oczywiście konieczna.
Zresztą wszystko ma różne strony. Z założenia chmura dla laika jest bezpieczniejsza i łatwiejsza w obsłudze ale jak coś się rypnie, to już na maksa. Choćby taki Ubiquiti i jego seria Unifi. Rok temu była akcja z uprawnieniami, że przez prawie dobę każdy użytkownik ich chmury miał dostęp do dowolnej sieci (zbudowanej na serii Unifi), w dowolnej firmie na świecie.
Serwerek NAS - mega sprawa na kopie zapasowe, synchronizację pomiędzy urządzeniami i uwolnienie się od opłat dla korpo za magazyn w chmurze.
No i jeszcze kwestie, dla których używam własnego VPN:
- kiedy potrzebuję polskiego IP, mogę przekierować ruch przez swój router
- w domu mam dosyć porządny PC do zadań wymagających mocy obliczeniowej (np środowisko wirtualizacyjne do testów wdrożeń IT) a laptop to raptem średnia półka. Mogę się w dowolnym momencie bezpiecznie połączyć z PC i wykonać konkretne zadania.

Oczywiście moje potrzeby są specyficzne, ale tak jak piszę - łącze bez adresu publicznego jest dla mnie tylko atrapą, do użycia kiedy nie ma innej opcji.

Do tego mocny oręż daje zmienny adres. Atakujący bot musiałby po każdej zmianie rozpoczynać procedurę pełnej identyfikacji portów i usług po każdej zmianie adresu a atak i przejęcie dostępu musi zakończyć się sukcesem jeszcze przed zmianą tego adresu.