Gå til innhold
  • Bli medlem
Støtt hjemmeautomasjon.no!

Er kryptering nødvendig i et privat nettverk?


eivtress

Anbefalte innlegg

Jeg så nettopp Andreas Spiess sin nye video om ssl/tls på esp8266, og begynte straks å fundere over sikkerheten i mitt eget nettverk. Jeg har masser av esp-devicer som kommuniserer over http og mqtt med kun brukernavn og passord på mqtt-broker.

Sånn jeg skjønner det er det åpenbart nødvendig med kryptering når disse devicene kommuniserer over internett. Men når trafikken aldri forlater mitt lokale nettverk, er ikke da kryptering av en verdi først hvis noen allerede har kommet seg inn på mitt wifi? Eller er det noe jeg overser?

Lenke til kommentar
Del på andre sider

7 minutter siden, ZoRaC skrev:

Jeg kjører TLS-kryptering på MQTT-forbindelsene fra mine ESPer. Også HTTPS fra ESPene mot HomeSeer. Ikke spesielt vanskelig å sette opp. 

 

Kjører også alle IoT-enheter på eget wifi/VLAN, isolert fra det meste. :) 

 

Men hvorfor syntes du det er nødvendig?

Lenke til kommentar
Del på andre sider

39 minutter siden, eivtress skrev:

Men hvorfor syntes du det er nødvendig?

 

Det går knapt en uke uten at det avdekkes nye sikkerhetshull i en eller annen IoT-dings. Se Mirai botnettet f.eks. Siden det bare tar 15-30 min ekstra å legge inn kryptering, så gjør jeg heller det enn å ta sjansen på at det går bra. Det er som @Evelen sier, det er nok med en kompromittert enhet i nettverket ditt, så har du et stort problem om du ikke bruker kryptering/passord på LANet. 

Lenke til kommentar
Del på andre sider

Avhenger jo hva du eksponerer på mqtt nettverket. 

Om noe først har breachet lanet ditt så har du større problem en om noen kan lese ut tempen på soverommet eller pushe bogus data dit.

 

Ang https er jo dette i prinsippet bra, men kan ikke tenke meg at folk bruker offisielle cert eller har egen CA hjemme? I såfall vil dere jo ikke oppdaga en MITM uansett. 

Sikre ting som trenger det, typ dørlås, gulvvarme (kan gjøre skade) osv er det viktigste egentlig.

Ang Mirai så har ikke dette sammenheng med kryptert eller ukryptert, de utnytter server svakheter. Er feilen tilstede på http så vil de også være det på https som eks.

Endret av geirra
Lenke til kommentar
Del på andre sider

6 timer siden, geirra skrev:

Ang https er jo dette i prinsippet bra, men kan ikke tenke meg at folk bruker offisielle cert eller har egen CA hjemme? I såfall vil dere jo ikke oppdaga en MITM uansett. 

 

Jeg har egen CA hjemme, det er innebygget i ruteren. :) 

 

6 timer siden, geirra skrev:

Avhenger jo hva du eksponerer på mqtt nettverket. 

Om noe først har breachet lanet ditt så har du større problem en om noen kan lese ut tempen på soverommet eller pushe bogus data dit.

 

Joda, men jeg koster på meg 15-30 minutter ekstra arbeid, for sikkerhets skyld. :) 

 

6 timer siden, geirra skrev:

Ang Mirai så har ikke dette sammenheng med kryptert eller ukryptert, de utnytter server svakheter. Er feilen tilstede på http så vil de også være det på https som eks.

 

Nei, men om en enhet blir kompromittert så kan den brukes til å avlytte LAN-trafikken til andre enheter. Når mest mulig av LAN-trafikken da er kryptert, så får de ikke ut noe nyttige data. 

Lenke til kommentar
Del på andre sider

11 timer siden, geirra skrev:

Avhenger jo hva du eksponerer på mqtt nettverket. 

Om noe først har breachet lanet ditt så har du større problem en om noen kan lese ut tempen på soverommet eller pushe bogus data dit.

 

Var dette jeg også tenkte. Jeg sender stort sett ett-tall og nuller og temperaturer, så hvorfor skal dette krypteres.

Jeg er helt klart med på @ZoRaC  sin better safe than sorry holdning, men jeg har drevet med data såpass at jeg vet at ingenting "bare" tar 20 min.

Jeg hadde nok sittet en hel kveld og bannet å ikke fått til noen ting og gått å lagt meg med dårlig humør.

 

Men over til devicer som er eksponert. Av det jeg kommer på har jeg en del sonos-enheter som er på nett. Si at det oppdages et hull i deres sikkerhet og noen får tilgang til min høyttaler. Kan den kun brukes i et Ddos-angrep eller er man da på innsiden av mitt wifi og kan gjøre mayhem i homeseer?

Lenke til kommentar
Del på andre sider

9 timer siden, ZoRaC skrev:

 

Jeg har egen CA hjemme, det er innebygget i ruteren. :) 

 

 

Joda, men jeg koster på meg 15-30 minutter ekstra arbeid, for sikkerhets skyld. :) 

 

 

Nei, men om en enhet blir kompromittert så kan den brukes til å avlytte LAN-trafikken til andre enheter. Når mest mulig av LAN-trafikken da er kryptert, så får de ikke ut noe nyttige data. 

 

Høres veldig ut som pfsense, er vel en av få med innebygd CA.


Om en person breacher routeren din, så kan de utstede MITM certs for banken din, facebook, mail whatnot uten at du vil nødvendigvis merke det.
Siden du har jo trusta root cert til routeren din, og alt den sier er godfisk ?

Satt litt på spissen kan du si at du har innført en ny stor risikofaktor i nettverket ditt.
en ROOT instans burde og er i seriøse sammenhenger alltid en offline instans.

 

----


Tviler sterkt at det noen her inne som er i søkelyset til noen APT miljøer :)  (https://en.wikipedia.org/wiki/Advanced_persistent_threat), så en reel trussel er type Mirai nettverk og lignende. Her skjer alt automagisk  hvor de leverer payloaden sin og ser seg ferdig (det er her de tjener penger, adinjection og minere). 

 

(Med visse unntak).

 

-

 

Så det er sagt, jeg er kjempe posetiv til alt som bedrer sikkerheten. Kommentaren ovenfor er mest teoretisk for debatten sin skyld.

En må alltid vurdere hva en skal sikre.

Endret av geirra
Lenke til kommentar
Del på andre sider

5 timer siden, geirra skrev:

Høres veldig ut som pfsense, er vel en av få med innebygd CA.


Om en person breacher routeren din, så kan de utstede MITM certs for banken din, facebook, mail whatnot uten at du vil nødvendigvis merke det.
Siden du har jo trusta root cert til routeren din, og alt den sier er godfisk ?

Satt litt på spissen kan du si at du har innført en ny stor risikofaktor i nettverket ditt.
en ROOT instans burde og er i seriøse sammenhenger alltid en offline instans.

 

Har selvsagt tenkt på det. ;) 

https://www.marcanoonline.com/post/2016/09/restrict-certificate-authority-to-a-domain/

 

Så min CA får ikke utstede sertifikater for andre domener enn mitt. :) (Eller, enhetene min stoler ikke på andre i hvert fall). 

 

5 timer siden, geirra skrev:

 det er sagt, jeg er kjempe posetiv til alt som bedrer sikkerheten. Kommentaren ovenfor er mest teoretisk for debatten sin skyld.

En må alltid vurdere hva en skal sikre.

 

Jeg synes IT-sikkerhet er et interessant fagfelt og selv om ikke alt jeg gjør nødvendigvis er særlig nødvendig fordi risikoen uansett er så lav, så lærer jeg mye av det og synes det er spennende å holde på med. :) 

Lenke til kommentar
Del på andre sider

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

×
×
  • Opprett ny...

Viktig informasjon

Vi har plassert informasjonskapsler/cookies på din enhet for å gjøre denne siden bedre. Du kan justere dine innstillinger for informasjonskapsler, ellers vil vi anta at dette er ok for deg.