Nestabilní web server

KamilV
Příspěvky: 479
Registrován: 03 dub 2018, 15:27
Reputation: 0
Bydliště: Olomouc

Re: Nestabilní web server

Příspěvek od KamilV » 02 pro 2020, 21:34

guinness píše:
02 pro 2020, 21:22
Potřebuju rozlišit mezi výpadkem linky a firewallu.
Pokud lehne FW (proč by to dělal), tak se nedopingáš ani na Arduino za ním.
guinness píše:
02 pro 2020, 21:22
Proto to chci dát vedle firewallu.
Co myslíš tím "vedle firewallu"? Máš router, na něm FW a NAT 80 na Arduino?
guinness píše:
02 pro 2020, 21:22
Na router nepingnu, je providera.
Je celkem jedno čí je. Ten router má na sebe zakázaný ping? To už snad dnes nikdo rozumný nedělá, mělo to smysl, když HW nebyl odolný proti ping-of-death.

Uživatelský avatar
pavel1tu
Příspěvky: 2054
Registrován: 26 říj 2017, 08:28
Reputation: 0
Bydliště: Trutnov
Kontaktovat uživatele:

Re: Nestabilní web server

Příspěvek od pavel1tu » 02 pro 2020, 22:02

Tak to chápu. Ale za ty peníze co jsi koupil ArduinoUNO a LAN modul koupíš nějaké levné jednodeskové PC.
Na něj dáš linux a pomocí PING a nebo TRACERT přímo na něm můžeš detekovat výpadek linky/routeru. A logovat to.
Nebo pinkat na něj ... z venčí. Ale jak je psáno výše - tím nic nezjistíš.

- pořídil bych si svůj router - pokud to poskytovatel povoluje (Mikrotik je dobrá volba, ale je celkem obtížné jej nastavit pokud nerozumíš sítím) - mám doma vše na Mikrotik (Router, switche, AP)
- PING z WAN mám také zakázaný - ten snad dnes nikdo nepovoluje

To máš protože jsou problémy s poskytovatelem, nebo z jiného důvodu ?
UNO, NANO, Mikro, PRO mini, DUE, ESP32S2, RPi PICO
Pavel1TU
"Správně napsaný kod lze číst jako knihu"

guinness
Příspěvky: 19
Registrován: 01 pro 2020, 21:08
Reputation: 0

Re: Nestabilní web server

Příspěvek od guinness » 02 pro 2020, 22:23

pavel1tu píše:
02 pro 2020, 22:02
Tak to chápu. Ale za ty peníze co jsi koupil ArduinoUNO a LAN modul koupíš nějaké levné jednodeskové PC.
Na něj dáš linux a pomocí PING a nebo TRACERT přímo na něm můžeš detekovat výpadek linky/routeru. A logovat to.
Nebo pinkat na něj ... z venčí. Ale jak je psáno výše - tím nic nezjistíš.

- pořídil bych si svůj router - pokud to poskytovatel povoluje (Mikrotik je dobrá volba, ale je celkem obtížné jej nastavit pokud nerozumíš sítím) - mám doma vše na Mikrotik (Router, switche, AP)
- PING z WAN mám také zakázaný - ten snad dnes nikdo nepovoluje

To máš protože jsou problémy s poskytovatelem, nebo z jiného důvodu ?
Promiňte Pavle a Kamile, moc si cením Vaší pomoci, ale tyto věci zde zveřejňovat nechci. Jde mi o to rozchodit ten zas... web. I když to nevyjde, nechám si arduino na hraní a o to víc ocením Vaši pomoc. Zatím to nevzdávám, takže budu rád za Vaše rady.
Moc dík předem. Zkusil jsem ho přemístit a příští týden vyzkouším stabilitu aspoň pingu, až budu mít svou IP

KamilV
Příspěvky: 479
Registrován: 03 dub 2018, 15:27
Reputation: 0
Bydliště: Olomouc

Re: Nestabilní web server

Příspěvek od KamilV » 02 pro 2020, 22:26

pavel1tu píše:
02 pro 2020, 22:02
- PING z WAN mám také zakázaný - ten snad dnes nikdo nepovoluje
Proč by ne? Pro pocit pseudobezpečí? Myslíš, že je bezpečnější zakázat z venku ping a otevřít na FW 80? A co člověk zakázaným pingem získá? Že se o jeho routeru neví? Ani když mu někdo oskenuje porty (což se stane do pár minut)? Ani když si někdo sniffne jeho veřejku z HTTP komunikace?

Uživatelský avatar
pavel1tu
Příspěvky: 2054
Registrován: 26 říj 2017, 08:28
Reputation: 0
Bydliště: Trutnov
Kontaktovat uživatele:

Re: Nestabilní web server

Příspěvek od pavel1tu » 03 pro 2020, 10:52

KamilV píše:
02 pro 2020, 22:26
Proč by ne? Pro pocit pseudobezpečí? Myslíš, že je bezpečnější zakázat z venku ping a otevřít na FW 80? A co člověk zakázaným pingem získá? Že se o jeho routeru neví? Ani když mu někdo oskenuje porty (což se stane do pár minut)? Ani když si někdo sniffne jeho veřejku z HTTP komunikace?
Protože se to nedělá - pokud se to nepotřebuje.
A pohybuji že někdo otevírá porty 80 na WAN. K tomu snad není důvod ....
UNO, NANO, Mikro, PRO mini, DUE, ESP32S2, RPi PICO
Pavel1TU
"Správně napsaný kod lze číst jako knihu"

KamilV
Příspěvky: 479
Registrován: 03 dub 2018, 15:27
Reputation: 0
Bydliště: Olomouc

Re: Nestabilní web server

Příspěvek od KamilV » 03 pro 2020, 11:09

Přiznám se, že jsem očekával nějaký reálný důvod, ne "protože se to nedělá". Obdobně já mohu tvrdit, že se to dělá...
A pokud si tazatel za routerem spustí Arduino s webserverem, aby se na něj zvenku připojil, tak si tam samozřejmě tu 80 otevřít musí.

Uživatelský avatar
gilhad
Příspěvky: 778
Registrován: 07 bře 2018, 11:22
Reputation: 0

Re: Nestabilní web server

Příspěvek od gilhad » 03 pro 2020, 14:09

KamilV píše:
02 pro 2020, 22:26
Proč by ne? Pro pocit pseudobezpečí? Myslíš, že je bezpečnější zakázat z venku ping a otevřít na FW 80? A co člověk zakázaným pingem získá? Že se o jeho routeru neví? Ani když mu někdo oskenuje porty (což se stane do pár minut)? Ani když si někdo sniffne jeho veřejku z HTTP komunikace?
Spis jde o obecny bezpecnostni princip, kdy "je zakazano vse, az na vyjmenovane vyjimky" se uprednostnuje pred "je povoleno vse, az na vyjmenovane vyjimky", protoze to dava vyrazne mensi povrch k napadeni, je snazsi udrzovat aktualni mensi pocet balicku nez vetsi a pokud k napadeni dojde, lze snaze dohledat, kudy byl utok veden.

Konkretne - pokud ja nepotrebuju ping z venku, tak FW tyto packety rovnou zahodi. Napriklad znamy "ping of death" byl opraven az za delsi dobu po uvedeni vadneho produktu na trh. S restriktivnim FW by zarizeni uvnitr byla chranena od zapojeni az do doby updatu na opravenou verzi. Ted tento utok neuspeje, ale nemohu principialne zarucit, ze nekdo nekdy nenalezne nejaky jiny trik zalozeny na stejnem protokolu. (A kdyz jsme u toho, tak klidne i na jinem - ja mam taky na FW povoleno dovnitr jen to, co vyslovne chci, aby bylo zvenku pristupne a co neni vyslovne povoleno je proste zakazane.)

Takze je spis otazka, co clovek ZISKA s povolenym pingem z venku.

KamilV
Příspěvky: 479
Registrován: 03 dub 2018, 15:27
Reputation: 0
Bydliště: Olomouc

Re: Nestabilní web server

Příspěvek od KamilV » 03 pro 2020, 14:27

Ano, na FW se běžně zakáže vše a povolí jen to, co je potřeba.
Ale ping se opravdu běžně nezakazuje. Co se jeho povolením získá? Přesně to, pro co byl ping vytvořen - diagnostika.
Představa, že někdo hackne zařízení díky povolenému pingu je trochu paranoidní, jak už jsem psal, zakázaný ping možná odradí pár puberťáků ze ZŠ, ale existuje mnoho dalších způsobů, jak si veřejku "proklepnout" i bez pingu, takže ten přínos v jeho blokaci nevidím.

Mimochodem, teď jsem si zkusil z venku pingnout svůj VDSL modem doma. Je v konfiguraci od Tmobile. Ping na něj běží. Kolik domácností bude mít modem ve výchozí konfiguraci? Troufám si říct, že většina. Tudíž se nebojím tvrdit, že většinou se ping neblokuje.

Před mnoha lety, než jsme začali provozovat vlastní produkční servery, jsme jeden server outsourcovali v datacentru, kde měli ping zakázaný. A zákazníci nás od takového poskytovatele vykousali. Ping není zlo a často je potřebný.

A ať se držíme tématu, tak zde, místo toho, aby tazatel použil bezpečný ping, vytváří web server a ještě pro něj na FW musí otevřít port. Míru bezpečnosti ať si tedy každý porovná sám.

KamilV
Příspěvky: 479
Registrován: 03 dub 2018, 15:27
Reputation: 0
Bydliště: Olomouc

Re: Nestabilní web server

Příspěvek od KamilV » 03 pro 2020, 14:30

gilhad píše:
03 pro 2020, 14:09
...ale nemohu principialne zarucit, ze nekdo nekdy nenalezne nejaky jiny trik zalozeny na stejnem protokolu...
S tímto přístupem nejsi schopen provozovat na síti vůbec nic, protože někdo někdy může najít trik v jakémkoliv protokolu...

Uživatelský avatar
pavel1tu
Příspěvky: 2054
Registrován: 26 říj 2017, 08:28
Reputation: 0
Bydliště: Trutnov
Kontaktovat uživatele:

Re: Nestabilní web server

Příspěvek od pavel1tu » 03 pro 2020, 14:37

Žádný port si na routeru neotevře, tedy dost hodně nechápu tvé vyjadřování.
Pokud otevřu port, rozumí se tím přístup na ono zařízení. A spravovat router z WAN po WWW přístupu - to se asi nedělá.
Trochu jiná věc je, že přístupy na tento port proroutuji "forwardnu" do nějaké VLAN sítě uvnitř (nebo na zařízení, záleží co router umí), ale tím je pořád router v bezpečí a netýká se ho to. A pokud správně nastavíš FW, tak se ani nikdo cizí/útočník nedostane nejen do vnitřní sítě kam nechci, ale v žádném případě ani do routeru.

A jak se píše výše - léta letoucí je standart - vše zakázat a povolit jen co potřebuji. A zda to zařízení žije nebo nežije, na to rozhodně nepotřebuji PING ;)

Ale nechme toho, toto je forum o Arduinech a ne o routerech.
UNO, NANO, Mikro, PRO mini, DUE, ESP32S2, RPi PICO
Pavel1TU
"Správně napsaný kod lze číst jako knihu"

Odpovědět

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti