Reitittimen laitehallintaan modeemin toisesta portista?

[PW]

Jos kytken modeemin 1-portin reitittimen Wan porttiin ja liit�n
p�yt�koneen modeemin 2-portiin, niin kuinka p��sen reitittimen
laitehallintaan?
Jos p�yt�kone on reitittimess�, niin laitehallintaan p��see.

[Mikko Saukkoriipi]

Reitittimen asetuksista pit�nee m��ritell� ett� WAN-portin kautta saa
menn� laitehallintaan, jos se on ylip��t�ns� mahdollista. Kannattaa
tosin harkita kannattaako n�in tehd� tietoturvasyist�.

[Asko Ikävalko]

Miksi haluat noin rakentaa kaksi eri sis�verkkoa? Onko siell�
reitittimen per�ss� sellaisia tietokoneita, joihin ei muut sis�verkon
koneet saa p��st�?

Jos n�in on, niin jakaako modeemi julkisia vai privaattiosoitteita sen
per�ss� oleville koneille? Jos modeemi antaa privaattiosoitteen
reitittimen WAN-portille, niin siin� tapauksessa voit melko
turvallisesti k�yd� reitittimen hallinnassa laittamassa ruksin, ett�
sallii yhteydenotot my�s WAN-portin kautta. Kunhan sitten muistat tuon
ruksin olemassaolon, kun seuraavan kerran suunnittelet l�hiverkon
uusiksi ja kytketkin reitittimen suoraan julkiseen internetiin!

Useimmiten kyll� kaikki kotikoneet ja tulostimet saa n�hd� toisensa,
jolloin oikea kytkent�tapa olisi:

Internet
I
Modeemi
I
Reititin
I
(kytkin)
I
Tietokoneet

-Asko

[PW]

14.5.2013 18:21, Asko Ik�valko kirjoitti:
> PW wrote:
>> Jos kytken modeemin 1-portin reitittimen Wan porttiin ja liit�n
>> p�yt�koneen modeemin 2-portiin, niin kuinka p��sen reitittimen
>> laitehallintaan?
>> Jos p�yt�kone on reitittimess�, niin laitehallintaan p��see.
>
>
> Miksi haluat noin rakentaa kaksi eri sis�verkkoa? Onko siell�
> reitittimen per�ss� sellaisia tietokoneita, joihin ei muut sis�verkon
> koneet saa p��st�?

Modeemissa on 4 ethernetporttia ja WLAN (disabloituna).
Sen vieress� on reititin (4 LAN+WLAN), jota ajattelin k�ytt�� vain
WLAN-k�yt�ss�, ellei enemp�� verkkoa kaipaavia laitteita tule hankittua.

> Jos n�in on, niin jakaako modeemi julkisia vai privaattiosoitteita sen
> per�ss� oleville koneille?

Modeemi on reititt�v�n�, joten se jakaa muille koneille privaattiosoitteita.

> Jos modeemi antaa privaattiosoitteen
> reitittimen WAN-portille, niin siin� tapauksessa voit melko
> turvallisesti k�yd� reitittimen hallinnassa laittamassa ruksin, ett�
> sallii yhteydenotot my�s WAN-portin kautta. Kunhan sitten muistat tuon
> ruksin olemassaolon, kun seuraavan kerran suunnittelet l�hiverkon
> uusiksi ja kytketkin reitittimen suoraan julkiseen internetiin!

T�ytyyp� k�yd� katsomassa, voiko tuollaisen asetuksen tehd� NETGEAR
Router WNDR3700v3 reitittimess�.

> Useimmiten kyll� kaikki kotikoneet ja tulostimet saa n�hd� toisensa,
> jolloin oikea kytkent�tapa olisi:

Ajattelin tehd� sen n�in:

Internet
I
Modeemi + kytkin
I I
Reititin P�yt�kone+TV+Blu-ray
I
WLAN
I
L�pp�ri

[Ville Hietarinta]

On Tue, 14 May 2013 21:37:41 +0300, PW <_@_._> wrote:

>Modeemissa on 4 ethernetporttia ja WLAN (disabloituna).

>Sen vieressä on reititin (4 LAN+WLAN), jota ajattelin käyttää vain
>WLAN-käytössä, ellei enempää verkkoa kaipaavia laitteita tule hankittua.
>
>> Jos näin on, niin jakaako modeemi julkisia vai privaattiosoitteita sen
>> perässä oleville koneille?
>
>Modeemi on reitittävänä, joten se jakaa muille koneille privaattiosoitteita.

Mikset muuta joko modeemia tai reititintä siltaavaan tilaan?

[PW]

14.5.2013 22:50, Ville Hietarinta kirjoitti:
> On Tue, 14 May 2013 21:37:41 +0300, PW <_@_._> wrote:
>
>> Modeemissa on 4 ethernetporttia ja WLAN (disabloituna).

>> Sen vieress� on reititin (4 LAN+WLAN), jota ajattelin k�ytt�� vain
>> WLAN-k�yt�ss�, ellei enemp�� verkkoa kaipaavia laitteita tule hankittua.
>>
>>> Jos n�in on, niin jakaako modeemi julkisia vai privaattiosoitteita sen
>>> per�ss� oleville koneille?
>>

>> Modeemi on reititt�v�n�, joten se jakaa muille koneille privaattiosoitteita.
>
> Mikset muuta joko modeemia tai reititint� siltaavaan tilaan?
>
En halua luopua palomuurista ja NAT:sta.

[Ville Hietarinta]

Huomaa sana 'tai'. J�t� modeemi reititt�m��n ja muuta Netgeari
siltaavaksi. Tai toisinp�in.

[PW]

Jos muuan Reitittimen siltaavaksi, niin l�ytyisik� sen hallinta modeemin
toisen portin kautta?

[Raimo Saarela]

Ei. Silta on silta, ja sillassa ei ole mit��n mit� hallita!
Ei tarvitse hallita. Ei.

NAT tehd��n aina jossain muussa putkissa, kuin silta. Siksi, ett�
natin tekeminen vaatii TEHOJA.
Esim. mulla 100/100M kuitu, natti on koko jutun vaikein kohta, kun
markkinoilta ei l�ydy sopivia nat purkkeja. Siis harrastelijan
kukkarolle. Kipuraja jossain alle 500e.
Nyt mulla nat tekee Netgear 360e purkki, toimii aika hyvin, noin 20
koneella, rankassa surffailussa...hehehe

-RaS-

[Ville Hietarinta]

On Wed, 15 May 2013 07:56:42 +0300, PW <_@_._> wrote:

L�ytyisi.

T�m� varmaan edellytt�� ett� kytket Netgearin LAN-portin modeemiin ja
j�t�t sen wan-portin kokonaan k�ytt�m�tt�. Lis�ksi otat pois reitittimest�
dhcp-palvelun jos p��ll� ja joudut ehk� antamaan laitteelle kiinte�n
ip-osoitteen silt� sis�verkon IP-avaruudesta hallinnan helpottamiseksi.

T�m�n tempun j�lkeen se Netgear on k�yt�nn�ss� wlan-tukiasema jossa on
pienimuotoinen kytkin samassa.

[PW]

Totesin helpommaksi kytke� p�yt�koneen modeemin ethernet-porttiin.
Reitittimen ainoa k�ytt� on nyt WAN-portin kautta 5,0 GHZ:n WLAN.
Kyll�h�n modeemissakin olisi WLAN, mutta se on vain 2,4 GHz:n
taajuudella toimiva, eik� tarjoa 300 Mbit/s yhteytt� langattomasta
laitteesta tukiasemaan.

Reitittimen laitehallintaan on niin harvoin tarvetta p��st�, ett�
tarvittaessa voi p�yt�koneen ethernet-kaapelin siirt�� reitittimeen.

[Pertti Kosunen]

On 15.5.2013 7:56, PW wrote:
> Jos muuan Reitittimen siltaavaksi, niin l�ytyisik� sen hallinta modeemin
> toisen portin kautta?

Kannattaa laittaa modeemi sillaksi ja j�tt�� Netgear tekem��n raskaat ty�t.

[PW]

Silt�h�n tuo n�ytt��!
En edes keksinyt, miten Netgearin saisi sillaksi.
J�tin Netgearin v�lill� kokonaan pois kuviosta, mutta l�pp�rille sain
WLAN:lla vain 72 Mbit/s yhteyden tukiasemalta (nopeusero oli
huomattava). P�yt�koneen n�k�j��n t�ytyy olla samassa verkossa l�pp�rin
kanssa, tai tiedonsiirto niiden v�lill� ei onnistu.

T�ytyy katsoa, miten Cisco 3825:n saa sillaksi. Se ei varmaan haittaa
TV:t� eik� Blu-ray soitinta, ett� ne saavat julkisen IP-osoitteen (eli
ovat kytketyt modeemiin).

[PW]

15.5.2013 13:48, PW kirjoitti:

> T�ytyy katsoa, miten Cisco 3825:n saa sillaksi. Se ei varmaan haittaa
> TV:t� eik� Blu-ray soitinta, ett� ne saavat julkisen IP-osoitteen (eli
> ovat kytketyt modeemiin).

Siltaava tila l�ytyi modeemista. Lis�sin A/V-vahvistimen modeemin
porttiin, joten kaikki modeemin portit ovat k�yt�ss� :-)

[Mika Ristolainen]

Jatketaan kysymys listaa.

Jos ymm�rsin oikein modemi on wlan-purkin wan portissa? Jos n�in, niin
miksi ei lan portissa?

--

-MR- /vastatessasi mailiin poista ".poista" ja "invalid." osoitteesta.

[PW]

Ymm�rt��kseni WAN-porti on juuri sit� varten, ett� siihen kytket��n
reitittimeen tuleva ethernetkaapeli, jolloin kaikki 4 kpl LAN-porttia
j��v�t laitteiden k�ytt�� varten.

[Mika Ristolainen]

En kovini tarkaan painanut mieleen, mutta etk� k�ytt�nyt tuota wlan
purkkia vai AP:na, et muitan sen ominaisuuksia ja siin� ei ollut mit��n
muuta kiinni? Ja modemi toimi reitittimen� & nattina koti verkolle?

Ja nyt kytket sen modemin tekem�n koti verkon wlan-purkin wan-porttiin.
Jos n�in, niin pit�� konffata sallituksi wan portin kautta hallinta.


Tai kytke� kotiverkko suoraan sen wlan:n "lan" puolelle. N�in sen itse
tekisin - tai oikeastaan olen tehnytkin.

[PW]

Aikaisemmin modeemissa oli vain 1 LAN-portti, joten k�ytin sen kanssa
reititint� jakamaan yhteyden muille laitteille.

Vaihdoin modeemin sellaiseksi, jossa on 4 Ethernet porttia ja WLAN.

Nyt olen p��tynyt siihen, ett� k�yt�n modeemia siltaavana ja kytken
siihen reitittimen ja 3 kpl TV-laitetta.
Reitittimell� jaan yhteyden p�yt�koneelle ja l�pp�rille.

[Mika Ristolainen]

Eli teit Askon ajatuksen mukaisen kytkenn�n (oli j��nyt lukematta
itselt� ko. juttu) ja se toimii kuten haluat?

[PW]

N�in tein. Toimii toivomallani tavalla!
Toki olisai ollut mukavaa, jos olisi voinut k�ytt�� pelkk�� modeemia
LAN- ja WLAN-yhteyksiin, mutta modeemin WLAN on toivottoman hidas.

[Sami Setälä]

> T�ytyy katsoa, miten Cisco 3825:n saa sillaksi. Se ei varmaan haittaa
> TV:t� eik� Blu-ray soitinta, ett� ne saavat julkisen IP-osoitteen (eli
> ovat kytketyt modeemiin).

Tietoturvav�kih�n on nimenomaisesti varoitellut, ett� televisiot ja muut
�lylaitteet ovat se hakkereiden seuraava kohde. Muistaakseni on jo
paljastunut tapauksia, joissa televisiota tai digiboksia on k�ytetty hyv�ksi
palvelunestohy�kk�yksess�. Itse en laittaisi noita laitteita suoraan
operaattorin verkkoon ilman nat:ia tai palomuuria.

-Sami-

[PW]

TV on pari vuotta vanha Panasonic, joka ei koskaan ole ollut
kunnollinen, joten sill� ei niin ole v�li�.
Blu-ray soitin on n. vuoden vanha Sony, joten vanha sekin ja sen
k�ytt�tarve on eritt�in v�h�inen.
TV-valmistajat tekev�t jokainen laitteita omilla k�ytt�j�rjestelmill��n,
joten riski toimivan viruksen tarttumiseen lienee eritt�in
ep�todenn�k�inen. Sitten vasta, jos TV valmistajat alkavat laittamaan
koneisiinsa kunnollisia selaimia, joissa on t�ysi Flash Player tuki,
niin turvallisuusasia saattaa muuttua.

Mit�h�n se TV pystyisi palveluestohy�kk�yksess� jatkamaan hy�kk�yst�,
kun sen selain on torso ja erin�iset nettipalvelut on toteutettu
applicationeilla?

[PW]

18.5.2013 10:50, PW kirjoitti:

> Mit�h�n se TV pystyisi palveluestohy�kk�yksess� jatkamaan hy�kk�yst�,
> kun sen selain on torso ja erin�iset nettipalvelut on toteutettu
> applicationeilla?
>

Lis�ksi Tv on eritt�in harvoin TV-k�yt�ss� - vain monitorina!

[Sami Setälä]

> TV-valmistajat tekev�t jokainen laitteita omilla k�ytt�j�rjestelmill��n,
> joten riski toimivan viruksen tarttumiseen lienee eritt�in
> ep�todenn�k�inen. Sitten vasta, jos TV valmistajat alkavat laittamaan
> koneisiinsa kunnollisia selaimia, joissa on t�ysi Flash Player tuki, niin
> turvallisuusasia saattaa muuttua.
>
> Mit�h�n se TV pystyisi palveluestohy�kk�yksess� jatkamaan hy�kk�yst�, kun
> sen selain on torso ja erin�iset nettipalvelut on toteutettu
> applicationeilla?

N�m� olettamuksesi ovat monilta osin v��ri�. Kuvanparannuspiirej� yms
valmistajakohtaista "patentoitua" tekniikkaa lukuunottamatta taustalla voi
monesti olla joku yleisesti tunnettu k�ytt�j�rjestelm� sopivasti
r��t�l�ityn�, esimerkiksi vaikka joku linux arm-prosessorille tms
sovitettuna. Laitteeseen hy�kk��miseksi riitt��, ett� se on julkisessa
verkossa tavoitettavissa, eli selaimella tai flashilla ei v�ltt�m�tt� ole
mit��n tekemist� asian kanssa.

Mit� hy�kk�yksen "jatkamiseen" tulee, niin yht� lailla siell� televisiossa
on niit� "taustaprosesseja", jotka reagoivat kaukos��timen painalluksiin,
poimivat l�hetyksest� ohjelmaoppaan ja teksti-tv:n sis�ll�t jne... Aivan
hyvin sinne voidaan ujuttaa joku "ylim��r�inen" prosessi k�yntiin tekem��n
haluttuja asioita.

Asian tiimoilta on julkaistu viranomaisvaroituskin jo vuonna 2011.

http://www.cert.fi/tietoturvanyt/2011/12/ttn201112121551.html

Ainakin Samsungin televisioihin ja Blu-ray-soittimiin on tunnettuja
hy�kk�yksi�kin:

http://threatpost.com/en_us/blogs/samsung-smart-tv-bug-allows-remote-access-root-privileges-121212

-Sami-

[PW]

20.5.2013 18:54, Sami Setälä kirjoitti:
>> TV-valmistajat tekevät jokainen laitteita omilla
>> käyttöjärjestelmillään, joten riski toimivan viruksen tarttumiseen
>> lienee erittäin epätodennäköinen. Sitten vasta, jos TV valmistajat
>> alkavat laittamaan koneisiinsa kunnollisia selaimia, joissa on täysi

>> Flash Player tuki, niin turvallisuusasia saattaa muuttua.
>>

>> Mitähän se TV pystyisi palveluestohyökkäyksessä jatkamaan hyökkäystä,
>> kun sen selain on torso ja erinäiset nettipalvelut on toteutettu
>> applicationeilla?
>
> Nämä olettamuksesi ovat monilta osin vääriä. Kuvanparannuspiirejä yms

> valmistajakohtaista "patentoitua" tekniikkaa lukuunottamatta taustalla

> voi monesti olla joku yleisesti tunnettu käyttöjärjestelmä sopivasti
> räätälöitynä, esimerkiksi vaikka joku linux arm-prosessorille tms
> sovitettuna. Laitteeseen hyökkäämiseksi riittää, että se on julkisessa
> verkossa tavoitettavissa, eli selaimella tai flashilla ei välttämättä
> ole mitään tekemistä asian kanssa.
>
> Mitä hyökkäyksen "jatkamiseen" tulee, niin yhtä lailla siellä
> televisiossa on niitä "taustaprosesseja", jotka reagoivat kaukosäätimen
> painalluksiin, poimivat lähetyksestä ohjelmaoppaan ja teksti-tv:n
> sisällöt jne... Aivan hyvin sinne voidaan ujuttaa joku "ylimääräinen"
> prosessi käyntiin tekemään haluttuja asioita.

>
> Asian tiimoilta on julkaistu viranomaisvaroituskin jo vuonna 2011.
>
> http://www.cert.fi/tietoturvanyt/2011/12/ttn201112121551.html

"Jo parin vuoden ajan on tunnettu haittaohjelmia, jotka tarttuvat verkon
aktiivilaitteisiin kuten ADSL-modeemeihin, kotireitittimiin ja
WLAN-tukiasemiin. Nyt epäilyttävää liikennettä on tavattu myös ainakin
Dreambox-merkkisistä digivirittimistä."

Onneksi ei ole unelmaboxia :-)

> Ainakin Samsungin televisioihin ja Blu-ray-soittimiin on tunnettuja

> hyökkäyksiäkin:
>
> http://threatpost.com/en_us/blogs/samsung-smart-tv-bug-allows-remote-access-root-privileges-121212

Eikä Samsungin älylaatikoita :-(

Onhan tuossa tietenkin omat vaarasa, mutta kuinkahan todellisia ne on
näillä Linux-pojaisilla laitteilla?

[PW]

20.5.2013 19:47, PW kirjoitti:

> Onhan tuossa tietenkin omat vaarasa, mutta kuinkahan todellisia ne on
> näillä Linux-pojaisilla laitteilla?
>

Olisi mukava tietää vaaran suuruus.
TV:tä en TV:nä juuri käytä, vaan monitorina.
Tosin LAN-valo palaa reitittimessä, kun TV:tä monitorina käytän.

[Juhani Varemo]

> "Jo parin vuoden ajan on tunnettu haittaohjelmia, jotka tarttuvat verkon
> aktiivilaitteisiin kuten ADSL-modeemeihin, kotireitittimiin ja
> WLAN-tukiasemiin. Nyt epäilyttävää liikennettä on tavattu myös ainakin
> Dreambox-merkkisistä digivirittimistä."

> Onneksi ei ole unelmaboxia :-)

Miksi ihmeessä tuollaiset laitteet pitäisi jättää ulkoverkosta päin
avoimesti saataville? Niiden suunnittelussa ei välttämättä ole otettu kovin
vakavaksi painopistealueeksi niiden hyökkäyskestävyyttä verkosta käsin.
Minusta tietoturva pitäisi hoidella jo siellä sisä- ja ulkoverkon rajalla.

Jos vaikka Dreamboxia haluaa päästä komentelemaan myös netin yli, niin avaa
sitten vaikka VPN- tai SSH-yhteyden sitä varten.

Mulla on Dreambox, kyllä siinä kykenevä Linux-käyttis on, ja sillä osaava
tekijä tekee mitä vaan haluaa jos pääkäyttäjäksi sinne pääsee.
Aikoinaan niissä oli ihan telnet-yhteys valmiiksi tarjolla, itse vaihdoin
sen tilalle ssh:n. En tiedä mikä niissä nykyään on kaupasta tullessaan
oletuksena.

En kuitenkaan ole jättänyt sitä maailmalta päin saataville :-)

> Onhan tuossa tietenkin omat vaarasa, mutta kuinkahan todellisia ne on
> näillä Linux-pojaisilla laitteilla?

Hyvin todellisia ellei laitteen käyttäjällä ole minkäänlaista tajua siitä
mitä tekee, ja jos härvelin asetukset syystä tai toisesta ovat vähän liian
lepsut.

Yksi hauska mahdollisuus on myös houkutella käyttäjä päivittämään
laitteeseen sopivasti viritetty firmis...


<juhani>

[PW]

>> Onhan tuossa tietenkin omat vaarasa, mutta kuinkahan todellisia ne on
>> näillä Linux-pojaisilla laitteilla?
>
> Hyvin todellisia ellei laitteen käyttäjällä ole minkäänlaista tajua siitä
> mitä tekee, ja jos härvelin asetukset syystä tai toisesta ovat vähän liian
> lepsut.

Tarvitseeko TV:n käytössä olla mitään tajua siitä, miten TV:tä katsoo
tai käyttää sen aplikaatioita?

> Yksi hauska mahdollisuus on myös houkutella käyttäjä päivittämään
> laitteeseen sopivasti viritetty firmis...

Ainakin minun telkkarissani pitää päivitys aktivoida itse - koskaan ei
kerrota, että uusi päivitys olisi tarjolla.

[Juhani Varemo]

PW wrote:


> Tarvitseeko TV:n käytössä olla mitään tajua siitä, miten TV:tä katsoo
> tai käyttää sen aplikaatioita?

Toivottavasti ei... se menisi jo liian hankalaksi.
Mutta kyllähän esim tv:n selaimella kannattaa käyttää vähintään samanlaista
harkintaa kuin muillakin laitteilla surffatessa.
Vero.fi lienee todennäköisesti turvallinen, taas freeporn.xxx-sivusto
kiinassa ei välttämättä.
Sitä voi hetken miettiä minkälaiseen verkkoon sen liittää. Eli ei nyt
mielellään suoraan esim ADSL-purkin sillattuun, julkisen IP:n antavaan
porttiin.

Jos käytettävissä on kunnollinen palomuuri, niin siitä kannattaa avata vain
sellaiset palvelut joita se telkkari oikeasti tarvitsee. Tähän tarvitaan
sitten jo hiukan verkko-osaamista ja ehkä kokeiluakin. Tuskin sen taritsee
päästä vaikka lähettämään sähköpostia ulos tms.

Toivottavasti vaikkapa tv:n käyttis olisi tehty enemmän jonkin Live-
käyttöjärjestelmän tapaiseksi, tai kioski-modeen. Tällöin käynnistys
tapahtuisi aina 'puhtaalta pöydältä' eikä sitä pääse pysyvästi mikään
muuntelemaan, pientä yksinkertaista asetusten tallentamiseen käytettyä
aluetta lukuunottamatta. Jos käyttiksessä tai sovelluksissa on reikiä -
vaikka puskurin ylivuotohaavoittuvuuksia - niin tämä asetusten tallennuskin
on jo yksi riskitekijä :-(

Jos applikaatioita ja pluginejä voi asennella käyttäjän toimesta, pitäisi
niillä olla toimiva alkuperän ja muuttumattomuuden varmennus. Ei-tiedossa
olevilta rei'iltä ei tuokaan suojaa, mutta estää sentään tahallisesti
manipuloidun softan asennuksen, huolimatta siitä että käyttäjä haluaisikin
ehdottomasti asentaa sen 'Pamela Andersson naked live channel now'-lisäosan.

>> Yksi hauska mahdollisuus on myös houkutella käyttäjä päivittämään
>> laitteeseen sopivasti viritetty firmis...

> Ainakin minun telkkarissani pitää päivitys aktivoida itse - koskaan ei
> kerrota, että uusi päivitys olisi tarjolla.

Se onkin jo käyttäjän osaamista jos tämän tietää :-)
Moni menee jo lankaan kun törmää nettisivulle joka on ovelasti kloonattu
näköiskopio jostain oikeasta sivusta ja siinä kerrotaan miten tarjolla oleva
päivitys on tärkeä turvallisuuden kannalta. Siinä on sitten linkki jossa
lukee hämäävästi
www.sony.com/europe/support/downloads/fwupdates/your_tv_model/xjg665As.zip
ja vielä hyvät ohjeet miten päivitys tehdään.
Linkkihän päätyy luonnollisesti suorinta kiertotietä taiwanilaiselle
piraattiserverille...


<juhani>

[PW]

21.5.2013 7:54, Juhani Varemo kirjoitti:
> PW wrote:
>
>
>> Tarvitseeko TV:n käytössä olla mitään tajua siitä, miten TV:tä katsoo
>> tai käyttää sen aplikaatioita?
>
> Toivottavasti ei... se menisi jo liian hankalaksi.
> Mutta kyllähän esim tv:n selaimella kannattaa käyttää vähintään samanlaista
> harkintaa kuin muillakin laitteilla surffatessa.

TV:n selain on sen verran hankala käyttää, että käyttämättä jää.

> Jos applikaatioita ja pluginejä voi asennella käyttäjän toimesta,

Eipä voi itse asennella.

>> Ainakin minun telkkarissani pitää päivitys aktivoida itse - koskaan ei
>> kerrota, että uusi päivitys olisi tarjolla.
>
> Se onkin jo käyttäjän osaamista jos tämän tietää :-)

Ihan asetuksista valitaan verkkoyhteydet ja sieltä katsotaan, olisiko
päivityksiä tarjolla.

Taitaapa tämä telkkari olla turvallinen älytelkkari. Uudet mallit
saattavat olla toista maata :-)

[PW]

21.5.2013 8:55, PW kirjoitti:
> 21.5.2013 7:54, Juhani Varemo kirjoitti:
>> PW wrote:
>>
>>
>>> Tarvitseeko TV:n käytössä olla mitään tajua siitä, miten TV:tä katsoo
>>> tai käyttää sen aplikaatioita?
>>
>> Toivottavasti ei... se menisi jo liian hankalaksi.
>> Mutta kyllähän esim tv:n selaimella kannattaa käyttää vähintään
>> samanlaista
>> harkintaa kuin muillakin laitteilla surffatessa.
>
> TV:n selain on sen verran hankala käyttää, että käyttämättä jää.

Muisti petti - TV:ssä ei ole selainta. Selainkommentti kohdistui Sony:n
Blu-ray soittimeen.

>> Jos applikaatioita ja pluginejä voi asennella käyttäjän toimesta,
>
> Eipä voi itse asennella.

Ne tulevat vain ohjelmistopäivityksen yhteydessä.

Tuskin Panasonic enää tähän TV:n ohjelmistopäivityksiä julkaisee.
Sama juttu todennäköisesti Sony:n Blu-ray soittimenkin kanssa.

[Seppo Loisa]

Juhani Varemo <juh...@kuivanto.pois.fi.invalid> kirjoitti:

>> "Jo parin vuoden ajan on tunnettu haittaohjelmia, jotka tarttuvat verkon
>> aktiivilaitteisiin kuten ADSL-modeemeihin, kotireitittimiin ja
>> WLAN-tukiasemiin.
>

>Miksi ihmeess� tuollaiset laitteet pit�isi j�tt�� ulkoverkosta p�in
>avoimesti saataville?

Siksi ett� se WAN-puoli voi yht� hyvin olla sis�verkkoa ja LAN-puoli
ulkoverkkoa.

Esim. vaikkapa kirjaston langaton asiakasverkko. Ei sit� saa p��st�
LAN-puolelta konffaamaan.

[Juhani Varemo]

Seppo Loisa wrote:

>>Miksi ihmeessä tuollaiset laitteet pitäisi jättää ulkoverkosta päin
>>avoimesti saataville?

> Siksi että se WAN-puoli voi yhtä hyvin olla sisäverkkoa ja LAN-puoli
> ulkoverkkoa.

> Esim. vaikkapa kirjaston langaton asiakasverkko. Ei sitä saa päästä
> LAN-puolelta konffaamaan.



WLAN-purkkien hallinnan niiden oman WLANin kautta taitaa sentään usein saada
disabloitua vaikka se muuten olisikin LAN-puolelta sallittua. Tai sitten
rajattua hallinnan sallituksi esim WLANin jakamien osoitteiden ulkopuolella
olevalle osoitteelle. Tai jotain. Mutta muiden paikallisen verkon laitteiden
turvaa se ei tietenkään lisää.


No, ymmärrän jutun. Tuollainen julkinen systeemi pitää rakennella vähän
toisin ajatuksin, rahaa ja rautaakin voidaan käyttää eikä verkon logiikka
kummallakaan puolella ole enää sama kuin kotikäyttäjällä. Voidaan käyttää
tarkkaan säädettäviä palomuureja, pakettifilttereitä, osoitemuunnoksia, eri
aliverkkoja, VLANeja, IPseciä...

Mä ajattelin nyt vain tavallisen kotikäyttäjän (onkohan sellaisia enää?)
verkkoa jossa on lähinnä ADSL- tms purkki+WLAN, kytkin ja läjä sisäverkon
laitteita. Hallintariskien ajatellaan tulevan enimmäkseen ulkopuolelta.
Toisaalta juuri WLAN-systeemit sotkevat tämän ajatusmaailman jo kotonakin -
WLANin kautta kaikki sopivalla fyysisellä etäisyydellä olevat voivat päästä
verkkoon yrittämään. Ja toiset pitävät WLANiaan avoimena (tai kevyesti
suojattuna) kotonakin, joko tarkoituksella tai vahingossa.

Monimutkaisempia systeemejä rakentavat yleensä tietävät mitä ovat tekemässä,
ja hallinnan autentikointikin sisältää jotakin muuta kuin admin/admin -
oletustunnarit.

On turhaa vaihtaa etuoven lukkoa järeämpään jos takaovi on koko ajan
avoinna.

Jaahas, mulla on täällä omassa lähiverkossa parasta aikaa aktiivinen DoS-
hyökkäys menossa. ProCurven naruissa roikkuu 5 kissanpoikaa :-|
Laitteiden fyysinen suojauskin pitäisi ottaa huomioon...


<juhani>

[Asko Ikävalko]

PW wrote:
> Taitaapa tämä telkkari olla turvallinen älytelkkari.

Kuuluisat viimeiset sanat! :)

Itse en kyllä laittaisi mitään laitetta suoraan julkiselle
IP-osoitteelle, ellei kyseessä sitten ole sellainen serveri johon
välttämättä pitää netistä päästä suoraan (eikä NAT-forwardointikaan
jostain syystä kelpaa ratkaisuksi). Mutta tuollaista serveriä pitää
sitten osata valvoa ja ylläpitää erittäin tarkkaan, että tietää kuka
siellä milloinkin puuhailee.

Vielä ei ole eläissäni tarvinnut tuollaista serveriä pystyttää ja NAT:n
takana olevistakin servereistä taitaa olla kokemusta ainoastaan yhden
SSH-palvelimen verran.

-Asko

[PW]

20.5.2013 22:00, Juhani Varemo kirjoitti:

> Miksi ihmeessä tuollaiset laitteet pitäisi jättää ulkoverkosta päin
> avoimesti saataville?

Eräästä syystä palautin modeemin reitittäväksi, joten nyt kaikki
laitteet ovat NAT:n takana - osa jopa tulaNAT:n takana.

Saanko madeemin kytkimen ja reitittimeen kytkimen laitteet samaan
verkkoon, jos kytken modeemin ethernet-kaapelin reitittimen LAN-porttiin
(WAN-portin asemasta)?
Toimiiko tuolloin reitittimen WLAN?

Jos tuo toimii, pöytäkoneen ei tarvitsisi olla tuplaNAT:n takana.