eivtress Skrevet 14. oktober 2018 Skrevet 14. oktober 2018 Jeg så nettopp Andreas Spiess sin nye video om ssl/tls på esp8266, og begynte straks å fundere over sikkerheten i mitt eget nettverk. Jeg har masser av esp-devicer som kommuniserer over http og mqtt med kun brukernavn og passord på mqtt-broker. Sånn jeg skjønner det er det åpenbart nødvendig med kryptering når disse devicene kommuniserer over internett. Men når trafikken aldri forlater mitt lokale nettverk, er ikke da kryptering av en verdi først hvis noen allerede har kommet seg inn på mitt wifi? Eller er det noe jeg overser? Siter
Evelen Skrevet 14. oktober 2018 Skrevet 14. oktober 2018 Hvis noen har hacket en device på innsiden av nettverket ditt vil de jo kunne fange det opp. Klart det er "best" å kryptere den, men helt realistisk tror jeg ikke jeg hadde giddet tatt meg bryet. Siter
ZoRaC Skrevet 14. oktober 2018 Skrevet 14. oktober 2018 Jeg kjører TLS-kryptering på MQTT-forbindelsene fra mine ESPer. Også HTTPS fra ESPene mot HomeSeer. Ikke spesielt vanskelig å sette opp. Kjører også alle IoT-enheter på eget wifi/VLAN, isolert fra det meste. 1 Siter
ZoRaC Skrevet 14. oktober 2018 Skrevet 14. oktober 2018 Forøvrig er manglende sikkerhet årsaken til at jeg ikke bruker Arduino-plugin til HomeSeer... Siter
eivtress Skrevet 14. oktober 2018 Forfatter Skrevet 14. oktober 2018 7 minutter siden, ZoRaC skrev: Jeg kjører TLS-kryptering på MQTT-forbindelsene fra mine ESPer. Også HTTPS fra ESPene mot HomeSeer. Ikke spesielt vanskelig å sette opp. Kjører også alle IoT-enheter på eget wifi/VLAN, isolert fra det meste. Men hvorfor syntes du det er nødvendig? Siter
ZoRaC Skrevet 14. oktober 2018 Skrevet 14. oktober 2018 39 minutter siden, eivtress skrev: Men hvorfor syntes du det er nødvendig? Det går knapt en uke uten at det avdekkes nye sikkerhetshull i en eller annen IoT-dings. Se Mirai botnettet f.eks. Siden det bare tar 15-30 min ekstra å legge inn kryptering, så gjør jeg heller det enn å ta sjansen på at det går bra. Det er som @Evelen sier, det er nok med en kompromittert enhet i nettverket ditt, så har du et stort problem om du ikke bruker kryptering/passord på LANet. Siter
geirra Skrevet 14. oktober 2018 Skrevet 14. oktober 2018 (endret) Avhenger jo hva du eksponerer på mqtt nettverket. Om noe først har breachet lanet ditt så har du større problem en om noen kan lese ut tempen på soverommet eller pushe bogus data dit. Ang https er jo dette i prinsippet bra, men kan ikke tenke meg at folk bruker offisielle cert eller har egen CA hjemme? I såfall vil dere jo ikke oppdaga en MITM uansett. Sikre ting som trenger det, typ dørlås, gulvvarme (kan gjøre skade) osv er det viktigste egentlig. Ang Mirai så har ikke dette sammenheng med kryptert eller ukryptert, de utnytter server svakheter. Er feilen tilstede på http så vil de også være det på https som eks. Endret 14. oktober 2018 av geirra Siter
ZoRaC Skrevet 15. oktober 2018 Skrevet 15. oktober 2018 6 timer siden, geirra skrev: Ang https er jo dette i prinsippet bra, men kan ikke tenke meg at folk bruker offisielle cert eller har egen CA hjemme? I såfall vil dere jo ikke oppdaga en MITM uansett. Jeg har egen CA hjemme, det er innebygget i ruteren. 6 timer siden, geirra skrev: Avhenger jo hva du eksponerer på mqtt nettverket. Om noe først har breachet lanet ditt så har du større problem en om noen kan lese ut tempen på soverommet eller pushe bogus data dit. Joda, men jeg koster på meg 15-30 minutter ekstra arbeid, for sikkerhets skyld. 6 timer siden, geirra skrev: Ang Mirai så har ikke dette sammenheng med kryptert eller ukryptert, de utnytter server svakheter. Er feilen tilstede på http så vil de også være det på https som eks. Nei, men om en enhet blir kompromittert så kan den brukes til å avlytte LAN-trafikken til andre enheter. Når mest mulig av LAN-trafikken da er kryptert, så får de ikke ut noe nyttige data. Siter
eivtress Skrevet 15. oktober 2018 Forfatter Skrevet 15. oktober 2018 11 timer siden, geirra skrev: Avhenger jo hva du eksponerer på mqtt nettverket. Om noe først har breachet lanet ditt så har du større problem en om noen kan lese ut tempen på soverommet eller pushe bogus data dit. Var dette jeg også tenkte. Jeg sender stort sett ett-tall og nuller og temperaturer, så hvorfor skal dette krypteres. Jeg er helt klart med på @ZoRaC sin better safe than sorry holdning, men jeg har drevet med data såpass at jeg vet at ingenting "bare" tar 20 min. Jeg hadde nok sittet en hel kveld og bannet å ikke fått til noen ting og gått å lagt meg med dårlig humør. Men over til devicer som er eksponert. Av det jeg kommer på har jeg en del sonos-enheter som er på nett. Si at det oppdages et hull i deres sikkerhet og noen får tilgang til min høyttaler. Kan den kun brukes i et Ddos-angrep eller er man da på innsiden av mitt wifi og kan gjøre mayhem i homeseer? Siter
Neophyte Skrevet 15. oktober 2018 Skrevet 15. oktober 2018 Har noen tatt kontroll over en Sonos-enhet så kan den brukes til å angripe alt annet du har på nettet hjemme. Men hvis man ikke krypterer trafikken er det hvertfall greit å ikke gjennbruke passord som også brukes andre steder. 1 Siter
geirra Skrevet 15. oktober 2018 Skrevet 15. oktober 2018 (endret) 9 timer siden, ZoRaC skrev: Jeg har egen CA hjemme, det er innebygget i ruteren. Joda, men jeg koster på meg 15-30 minutter ekstra arbeid, for sikkerhets skyld. Nei, men om en enhet blir kompromittert så kan den brukes til å avlytte LAN-trafikken til andre enheter. Når mest mulig av LAN-trafikken da er kryptert, så får de ikke ut noe nyttige data. Høres veldig ut som pfsense, er vel en av få med innebygd CA. Om en person breacher routeren din, så kan de utstede MITM certs for banken din, facebook, mail whatnot uten at du vil nødvendigvis merke det. Siden du har jo trusta root cert til routeren din, og alt den sier er godfisk ? Satt litt på spissen kan du si at du har innført en ny stor risikofaktor i nettverket ditt. en ROOT instans burde og er i seriøse sammenhenger alltid en offline instans. ---- Tviler sterkt at det noen her inne som er i søkelyset til noen APT miljøer (https://en.wikipedia.org/wiki/Advanced_persistent_threat), så en reel trussel er type Mirai nettverk og lignende. Her skjer alt automagisk hvor de leverer payloaden sin og ser seg ferdig (det er her de tjener penger, adinjection og minere). (Med visse unntak). - Så det er sagt, jeg er kjempe posetiv til alt som bedrer sikkerheten. Kommentaren ovenfor er mest teoretisk for debatten sin skyld. En må alltid vurdere hva en skal sikre. Endret 15. oktober 2018 av geirra Siter
ZoRaC Skrevet 15. oktober 2018 Skrevet 15. oktober 2018 5 timer siden, geirra skrev: Høres veldig ut som pfsense, er vel en av få med innebygd CA. Om en person breacher routeren din, så kan de utstede MITM certs for banken din, facebook, mail whatnot uten at du vil nødvendigvis merke det. Siden du har jo trusta root cert til routeren din, og alt den sier er godfisk ? Satt litt på spissen kan du si at du har innført en ny stor risikofaktor i nettverket ditt. en ROOT instans burde og er i seriøse sammenhenger alltid en offline instans. Har selvsagt tenkt på det. https://www.marcanoonline.com/post/2016/09/restrict-certificate-authority-to-a-domain/ Så min CA får ikke utstede sertifikater for andre domener enn mitt. (Eller, enhetene min stoler ikke på andre i hvert fall). 5 timer siden, geirra skrev: Så det er sagt, jeg er kjempe posetiv til alt som bedrer sikkerheten. Kommentaren ovenfor er mest teoretisk for debatten sin skyld. En må alltid vurdere hva en skal sikre. Jeg synes IT-sikkerhet er et interessant fagfelt og selv om ikke alt jeg gjør nødvendigvis er særlig nødvendig fordi risikoen uansett er så lav, så lærer jeg mye av det og synes det er spennende å holde på med. Siter
Anbefalte innlegg
Bli med i samtalen
Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.