IP-видеонаблюдение, HD аналоговое видеонаблюдение, общие вопросы ч. 2

"непринужденно открывается" брутфорсом, после отлова хеша с эфира, если пароль в словарях. Не более. Уж простите, но надувать щеки, беседуя о безопасности, лучше с кем-то другим, а не с одним из самых старых российских хакеров Хотя, конечно, я уже скоро как 20 лет "на пенсии", но немножко слежу за темой. Поэтому если есть что конкретное сказать - вы говорите конкретно, а если нет - то надувание щек меня не удивляло еще до того, как я "на пенсию вышел".

Ну не используйте устаревшие устройства, кто вас заставляет?

У меня разрешен только wpa2 и работает все, любая китайщина, wpa3 не пробовал, может и не будет проблем. Риски кражи хеша с эфира есть, конечно, но по словарю его не вскроете.

И что тут интересного, расскажите.

У меня есть другое оборудование и ценные данные, поэтому камеры и прочие какашки изолированы

Никак не усложняет, тем более что доступ к домашним устройствам нужен 2-3 членам семьи с их смартфонов, и таких устройств, к которым нужен доступ - 3 штуки. Прописал все правильно и забыл.

 

А какая проблема вывести все в отдельную сеть, и подключить через нат к основной сети?

 

Но мы тут говорим не о конкретном Вашем частном, исключительно продуманном случае. А о "усредненном" случае типичной домашней сети построенной на бытовом роутере.

 

У меня бытовой роутер - кинетик, с ними можно все, кроме назначения VLAN на порты mesh-ТД, приходится ставить там коммутатор.

Типичный бытовой потребитель ломается по причине неграмотности, а не слабости вайфая. Не умеешь, беспокоишься о безопасности - обратись к специалисту

 

Аналогично коллега! Только я в своё время лет 20 назад увлекался взломом Viaccess (кодировка НТВ+) и был известен в некоторых кругах под ником Pyramid...Так же и хеш и digital word в DES перехватывал и подставлял их куда нужно. Поэтому тоже не люблю таких аляповатых заявлений, что взламывается Wi-Fi за несколько минут...

 

Не, я начал в 1986 со взлома многопользовательской защиты в RSX-11M, в 10 классе школы

А 20 лет уже назад "ушел на пенсию". Сначала в 2000 завязал со всей активностью, попадающей под действия статей УК (неуспешно пытались посадить, и я решил не ждать вторую попытку), а в 2005 закончилось мое участие в разработке одного файрвола, и больше я напрямую в этой сфере ничего не делал. Так, новости читаю и немножко в курсе.

Просто когда человек далекий от темы читает про "за 10 минут вскрыли вайфай", то происходящее непонятно и остается ощущение "легло ломается".

А когда ты в теме и все слова понятны, то вопрос о том, что и как взломано, что слабое, а что нет - не стоит. Даже если ты "пенсионер".

 

А на меня пыталась СБ компании "МОСТ" Гусинского охотится... Но потом Гусинский свалил в Гибралтар да и я тоже "завязал" с этим делом.

 

Я не хочу заниматься организацией видеонаблюдения у соседа, поскольку согласившись на схему попроще, да и подороже, получу претензии, когда нужных записей не окажется. Я ему и предложил съездить в компьютерный магазин в городе в 2023 г. Специалисты оказались только в интернете. Поэтому ответов на вопрос об оборудовании избежать не удастся.

 

Отвалите под благовиным предлогом, что все сложное и геморойное, не знаете решений для него

 

Заранее сделать запрет доступа на сайт мобильного оператора. И еще озаботиться сложными паролями для всех устройств LAN, доступных vlan видеонаблюдение. Вот доступ к ИБП из основной vlan бы будете открывать из vlan видеонаблюдение? Если да, то и там надо менять заводской пароль.

Себе буду делать. И кое что из монтажных работ у него проконсультируюсь. Он неплохой строитель монтажник. Хуже не будет, если у соседа тоже будет хоть какое видеонаблюдение.

 

Типичный бытовой потребитель (или типичная домашняя сеть), "ломается" по простейшей причине - финансовой.

Поднятие уровня безопасности требует постоянного вложения денежных средств в каждое устройство подключаемое к сети.

 

Почему нет? у меня работает несколько vlan на ethernet портах mesh-тд кинетиков. особенно полезно это оказалось в ТД, которые не связаны с основной сетью по проводу.

 

У вас работает то, что не сделали? Ну норм.

На контроллере порты настраиваются, на меш тд - там ничего не меняется, при попытке кликнуть, всплывает сообщение "этот параметр задается контроллером вайфай системы" и саппорт сказал "не можем", я надеялся может как-то хоть командами CLI можно

Говорят "сделаем, но потом". Пытал их месяца 3 назад

Нет, не нужно постоянно. Нужно 1 раз настроить всю китайщину максимально параноидально, и пусть себе висит. Да, людям надо 1 раз позвать специалиста.

А постоянные вложения эффективны только в бизнесе, когда сидят специально обученные люди и бдят. Хотя в бизнесе тоже не всегда работает.

https://bugtraq.ru/library/books/attack3/intro/#levin
"Естественно, на VAXах был замечательный контроль безопасности, результатом которого были огромные отчеты по всей подозрительной деятельности ... Буказоид нашел один такой - в нем были все следы его работы. Уверен, что тот отчет был распечатан, переплетен и поставлен на полку ). "

 

Не очевидно, но действительно управляется через CLI. вот цитата из их pdf

Код:

3.29.192 interface switchport trunk
Описание ДобавитьпортвоVLAN.Разрешитьприемипередачукадровуказанного
VLANвпорт,причеммаркерVLANизпередаваемыхкадровнеудаляется.
В режиме trunk допускается добавление порта в несколько VLAN.
Команда с префиксом no удаляет порт из указанного VLAN.

(ну, да, и документация тоже, не самая сильная сторона кинетика)

Правильный подход - один раз сесть, подумать и честно ответить себе: Кому (постороннему) может быть вообще интересно влезать в мою домашнюю сеть и зачем?
А уже исходя из честного ответа на эти вопросы и настраивать безопасность.

В большинстве случаев, достаточную безопасность (значительно бОльшую чем мнимый пароль на wifi) даст установка паролей непосредственно на сами ресурсы - nas, регистратор, другое.

 

Много раз замечал.
1. Оператор мобильного интернета в деревне не предусматривает пароль в ЛК при выходе в интернет через это подключение. Так и в квартире, оператор интернета администрирует свой оптический терминал и дает конечным пользователям стандартный пароль. Оба случая имеют критическую уязвимость отключения LAN от интернета, если кого угодно бесконтрольно допускать в LAN.
2. Если сеть домашняя LAN небольшая, число пользователей ограниченное, то большинство устройств хорошо живут с несложными паролями. Более того, не требуют их регулярную смену, как на предприятии.
Вы примерно заявляете следующее: доведите защиту всех устройств домашней LAN до уровня предприятия, куда могут подключаться временные клиенты. Так не было нужды это делать.