1 Téma vytvořil depett

  • depett
  • registrovaný
  • Nepřítomen

Téma: SDS a bezpečnosť dát

Zaujímala by ma bezpečnosť a ochrana dát v súvislosti s SDS, preto by som rád vedel odpovede na nasledujúce otázky:

- či je možné sa zaručiť, že SDS okrem http_get neposiela von žiadne iné dáta "samo" (z kódu firmware), ani na základe nelegálnej požiadavky zvonka (myslím tým iné dáta, ako si ja želám)
- či je možné v rámci SNMP komunity pripojiť sa na cudzie SDS , ktoré je na známej IP a ťahať odtiaľ akékoľvek dáta,
- či sa v rámci tejto komunity získavajú z SDS a využívajú akékoľvek dáta (napr.  IP ),
- či je možné nejako sa z tej komunity dostať von,
- prečo nie je umožnené názov komunity SDSXPUBLIC premenovať alebo vymazať

Ďakujem za odpovede.

2 Odpověď zaslal adamn

  • adamn
  • adamn
  • administrátor
  • Nepřítomen

Re: SDS a bezpečnosť dát

depett napsal:

- či je možné sa zaručiť, že SDS okrem http_get neposiela von žiadne iné dáta "samo" (z kódu firmware), ani na základe nelegálnej požiadavky zvonka (myslím tým iné dáta, ako si ja želám)

Úpravou firmware. Některé komunikační prvky jsou chráněny heslem už teď (UDP protokol, některé S0 stránky).

depett napsal:

- či je možné v rámci SNMP komunity pripojiť sa na cudzie SDS , ktoré je na známej IP a ťahať odtiaľ akékoľvek dáta,

Ano to možné je.
Otázkou je, jak jsou data citlivá, co kdo získá tím že si je přečte, bez znalosti souvislostí.

depett napsal:

- či sa v rámci tejto komunity získavajú z SDS a využívajú akékoľvek dáta (napr.  IP ),

Pouze čtení dat, podle platných SNMP pravidel (SNMP GET, WALK, ...). Zápis (změna) dat či nastavení trapu není možné.

depett napsal:

- či je možné nejako sa z tej komunity dostať von,

To znamená co ?

depett napsal:

- prečo nie je umožnené názov komunity SDSXPUBLIC premenovať alebo vymazať

Název je napevno ve firmware. Možná v budoucí verzi firmware to bude možné editovat.
Název SDSXPUBLIC je zvolen záměrně, aby při náhodném scanu na IP adrese nebyla nalezena výchozí komunika PUBLIC.
Takže pouze ten, kdo ví že je tam zařízení SDS, pak umí zvolit správý název komunity.

Pochlubte se - popište jak využíváte své zařízení SDS zde ! Můžete si bezplatně přidat svou reklamu !

3 Odpověď zaslal depett

  • depett
  • registrovaný
  • Nepřítomen

Re: SDS a bezpečnosť dát

Vďaka za odpoveď, hoci ma neuspokojila.
Jedná sa mi hlavne o tú prvú otázku:

Môžete sa zaručiť, že SDS okrem http_get neposiela von žiadne iné dáta "samo" (z kódu firmware), ani na základe nelegálnej požiadavky zvonka (myslím tým iné dáta, ako si ja želám)?

Čisto teoreticky: vo firmware môže byť kľudne kód, ktorý zbiera aktivitu na mojej lokálnej sieti, môže logovať napr. emaily, adresy, ktoré navštívim na webe, zbierať heslá... je toho veľa. A potom ich môže odoslať po porte 80 bez môjho vedomia. Zbytočne budem blokovať na routeri všetky ostatné porty - port 80 potrebujem pre http_get. Nepomôže žiaden antivír, žiaden firewall.

Otázka okolo bezpečnosti ma napadla, keď 12.12. pred polnocou som zistil nevšednú aktivitu na mojom routri, masívne scanovanie portov a kopa icmp. Router tento nápor nezvládol a 2 minúty po polnoci "kľakol". Tiež ma napr. zaujala zmienka o 102% vlhkosti - táto hodnote je predsa iba v SDS... (pre vysvetlenie - ciachovanie napr. vlhkomera robím programovo, teda na konzole sds mi síce ukazuje hodnotu 102, ale v skutočnosti je to 90%, teda v skripte na webe odpočítavam od načítanej hodnoty 12, princíp platí aj pre tlakomer a pre teplomer, veď výstupné napätie je lineárne. Načo sa trápiť ciachovaním nastavovaním deliča, je to predsa úplne jedno).
Aj keď moje sds navštívil pravdepodobne niekto z sdsxpublic komunity, nie je mi príjemné, aby sa ktokoľvek kedykoľvek cúral v mojej lokálnej sieti bez môjho vedomia!
Preto som sa pýtal, "- či je možné nejako sa z tej komunity dostať von", teda nemienim s nikým zdielať takýmto spôsobom prístup na mojej zariadenie do mojej siete. Ako teda možno (bez čakania na otáznu úpravu fw) opustiť sdsxpublic komunitu?
Momentálne sa problematike nemám čas venovať, ale plánujem nasadiť na sds sniffer a logovať komplexne komunikáciu. O výsledku budem informovať.
Napriek tomu by som rád vedel odpoveď na moju otázku, uvedenú hore - ÁNO alebo NIE?

4 Odpověď zaslal adamn

  • adamn
  • adamn
  • administrátor
  • Nepřítomen

Re: SDS a bezpečnosť dát

Ano, můžu se zaručit že SDS (kterékoliv naše SDS s naším firmware, s kteroukoliv verzí firmware) neposílá samo o sobě jakékoliv data ven.


Pouze to, co přijde z venku do SDS jako požadavek na získání dat (např. uživatel otevře webové rozhraní, nebo pošle SNMP dotaz, atd.), tak pouze na takovéto požadavky je poskytnuta odpověď. Pokud pak vložíte do zařízení SDS vlastní SDS-C program, tak samozřejmě zařízení bude případně komunikovat podle toho co bude konkrétní program provádět (http_get, smtp email). Ale to už je váš program, který tam sám vložíte (ale nemusíte, a když tam takový program není vámi dodatečně nahraný, tak se nic neposílá).

Otázkou je, co si představujete pod pojmem "nelegální požadavek z venku". SDS nabízí určitou sadu funkcí, na které reaguje. Pokud někdo pošle např. SNMP GET, se správnými přístupovými údaji (název komunity), tak mu SDS odpoví tak jak SNMP protokol předepisuje.
Pokud někdo "cizí" pošle takový požadavek, tak mu zařízení SDS odpoví. Je toto ten "problém" který máte na mysli?

To že zařízení SDS samo o sobě (chtěl bych napsat "o své vůli" ale ...) nic nikam neposílá, lze snadno ověřit, připojte zařízení SDS do své sítě, a sledujte veškerý síťový provoz, který jde do a ze zařízení.

Do další verze firmware přidáme možnost změny názvu SNMP komunity, to by mělo vyřešit váš problém.

Pozn.
Přihlášení uživatelé jsou vypsáni na stránce "Log" ("Historie") ve webovém rozhraní, spolu s IP adresami. Pokud se vám do zařízení SDS někdo cizí přihlásil, jeho IP adresu tam uvidíte (zapisují se všechny IP uživatelů kteří se přihlásili do webového rozhraní).

Pozn.
Hodnota 102% nebo 104% byla přímo na webových stránkách meteostanice, pamatuju se že mě to tehdy zarazilo, a pak ještě někoho dalšího později...

Pochlubte se - popište jak využíváte své zařízení SDS zde ! Můžete si bezplatně přidat svou reklamu !