История болезни
MMM
дневник заведен 22-01-2003
постоянные читатели [199]
закладки:
цитатник:
дневник:
хочухи:
местожительство:
Москва, Россия, Санкт-Петербург
интересы [21]
море, деньги, секс, Питер, горы, хакер, ценные бумаги, шиповник, активный отдых, рыба, шипение
антиресы [10]
ложь, снобизм, недосказанность, некомпетентность, бесперспективняк
29-06-2022 18:04 Ониомания

Ониомания что-то разыгралась (жаба совсем не душит).
Продолжаю закупки всякого овна для своего безумного дома:
  • Еще один тапок (камера TP-Link Tapo C100). Тестовые испытания первой прошли превосходно: и сама по себе камера отличная, и интегрируется в Home Assistant идеально.
  • Приблуда - счетчик для счетчиков (лол), которая считает импульсы со счетчиков воды, умеет их передавать в системы интеграции умного дома (в том числе в Home Assistant), автономно конвертировать в кубометры и передавать напрямую в системы учета большинства управляющих компаний. Ну, так просто, поиграться. И чтобы не ползать по сантехническим люкам раз в месяц за показаниями счетчиков. Две штуки (ибо в квартире два стояка).
  • Релюхи zigbee без нуля - идеальный вариант для того, чтобы сделать все выключатели в квартире "умными". Во первых, потому что включаются просто в разрыв (без нулевого провода, которого в подрозетниках выключателей как правило нет); во-вторых, потому что zigbee - работают локально, без привязки к облакам и интернету.
  • Пара копеечных ночников Xiaomi Mijia Night Light 2 детям. Потому что им ночники по приколу (монстров по ночам отгонять), а еще потому что опять же с моим безумным домом интегрировать можно (прокидываются с них в Home Assistant легко состояние, настройка и датчик движения). По функционалу это то же самое, что пилилось самостоятельно восемь лет назад (а сейчас успешно трудился в квартире), но в отличие от тех самоделок не умеет плавно зажигаться и так же плавно угасать. Но зато умеет интегрироваться по WiFi.
Кроме того потихоньку перетягиваю интеграции с тестового/игрушечного ядра на целевое. Очень не торопясь, потому как главное, что надо сделать (и требует предельной концентрации и времени) - это обеспечение безопасности доступа к мозгам моего безумного дома извне. Все инструменты есть, пошаговые мануалы нагуглены, надо только сесть и настроить. А пока мой безумный дом торчит наружу голой жопой - обычная basic-авторизация по http, что не есть правильно с точки зрения феншуя кибербезопасности.
Комментарии:
Hi!HoMo
обычная basic-авторизация по http, что не есть правильно с точки зрения феншуя кибербезопасности.

ты небось думаешь, что поставишь двуфакторку и заживешь? спешу тебя разочаровать. брутфорсят как правило от безысходности. а так ломают експлойтами. вывод - ничего наружу. только через тунель в дом. чем он лучше? как правило их латают гораздо резвее и при регулярном обновлении нарваться на взлом тяжелее. все это, не боле чем имхо. и да забыл сказать главное ко всему прикрутить логирование с алармированием, без него вообще все сцыкотно.
Money Market Maker
ZaRRaZZa, да не, мне https (ssl/tls на сертификатах) должно быть более чем достаточно. Наверное. Но это не точно. У меня годами висит открытым 80-й порт на примитивную html-заглушку и никто не ломится (ну, роутер рубит самых тупых роботов, конечно).
Туннель домой я когда-то копал. И даже поднимал на старинном роутере Asus RT16 (не помню уже как точно эта популярная модель называлась). Но с тех пор много воды утекло, надо современный вариант с поднятием на роутере искать (Mikrotik, наверное, OpenVPN какой-нибудь ставить надо). Но это скучно и не интересно, а потому руки не доходят.
Логи и алармы - это все потом, когда будет понятно, за чем именно следить, но согласен - лишним не будет.
Ты, это, далеко не уходи, возвращайся когда у меня руки до безопасности дойдут, подскажешь чо может
Hi!HoMo
MMM гм. вот смотри логика у меня такая. чем сложнее система, тем чаще она будет ломаться. перефразируем к текущей ситуации, чем больше служб будет торчать от тебя наружу, тем больше вероятность того что одна из них у тебя будет с уязвимостью. если следовать этой логике то нужно минимизировать количество таких служб. это одно.
теперь поясню другое. если тебя будут ломать то поломают обязательно. если не сломают технически, то просто дадут по башке в подъезде и добудут доступ куда надо. такой случай мы не рассматриваем, т.к. мы люди маленькие и чего нас трогать.
я про другое. про использование уязвимостей в массовых продуктах. когда просто тупо прочесывают весь инет без разбора как бреднем и взламывают десятки тысяч устройств. вот тут чем меньше у тебя наружу тем лучше.
это с одной стороны.
а вот с другой стороны, часто у нас даже холодильник или утюг подключен к инету. но никто не задумывается, что именно все это и торчит наружу и точно так же уязвимо как и просто локальная служба. да и у меня тоже куча всего, но я выделил отдельную сеть под все это. и отгородился от этой сети точно так же как и от инета. можно конечно этого не делать если нет никаких важных данных, как то не хранится на пк ключи к инет банкам, а носится токен и без него ничего не работает, т.д. и т.п. так вот если терять нечего, то можно и не заморачиваться. но если есть, то тут каждый сам себе решает что да как.
Закрыть