1. נחמד מאד מבחינת הרעיון להלביש את זה על בקר ESP32בתגובה להודעה מספר 0
ערכתי לאחרונה בתאריך 04.12.23 בשעה 11:01 בברכה, sza
רק אציין ששירותי הDDNS האלו הם פרצת אבטחה בפני עצמם. (סריקה שלהם תתן לך בקלות רשימת IP של מכשירים שיכול להיות מעניין להתחבר אליהם. נבירה מעט עמוקה יותר תתן לך המון אנשים עם סיסמאות דיפולטיביות למכשירי IOT / פרצות zero day פתוחות כי למי יש זמן לעדכן קושחה במצלמה סינית או בכלל).
בנוסף, אם יש לך שרת חי כלשהו ברשת (והיום ללא מעט אנשים יש), אז להקים כזה פרטי משלך זו פעולה מאד פשוטה. יש גם docker images שכבר מוכנים בשביל זה ואפשר להרים ממש בכמה דקות. לקנפג בקר ESP32 שישלח HTTP REQUEST באינטרול מסויים כדי לעדכן את השרת בIP העדכני שלך זה פשוט מאד, ומקבלים אבטחה גבוהה בכמה רמות. (אבל עולה כמה שקלים)
צחי.
The Boss
04.12.2312:39
2. שירותי DDNS רק מתרגמים דומיין ל IPבתגובה להודעה מספר 1
אתה צריך שם ייחודי לדומיין שלך שלא יסרק בקלות.
@sza@
sza
04.12.2317:17
6. כן אבל הכתובת שהם נותנים לך היא תחת הדומיין שלהםבתגובה להודעה מספר 2
משמע, אם מישהו סורק את שם המתחם שלהם לסאבדומיינים הוא מקבל רשימה של IP, שככל הנראה 99% שלה שייך למכשירי IOT (כי למה לעשות DDNS).
@The Boss@
צחי.
The Boss
04.12.2317:40
8. הם נותנים לך בחירה מתוך מאות דומיינים. בכל מקרה אתה יוצר שם ייחודי.בתגובה להודעה מספר 6
זה לא מגן או חושף אותך. אתה עם אותה כתובת ועם אותם שירותים פעילים בצד שלך עם השירות של DDNS או בלעדיו.
@sza@
sza
04.12.2317:55
11. זה לא משנה, כל הדומיינים שייכים להם ומרכזים את אותה מטרה לשמה משתמשים בזהבתגובה להודעה מספר 8
צחי.
The Boss
04.12.2312:56
3. לא הבנתי בדיוק למה אתה מתכווןבתגובה להודעה מספר 1
"בנוסף, אם יש לך שרת חי כלשהו ברשת (והיום ללא מעט אנשים יש), אז להקים כזה פרטי משלך זו פעולה מאד פשוטה. יש גם docker images שכבר מוכנים בשביל זה ואפשר להרים ממש בכמה דקות. לקנפג בקר ESP32 שישלח HTTP REQUEST באינטרול מסויים כדי לעדכן את השרת בIP העדכני שלך זה פשוט מאד, ומקבלים אבטחה גבוהה בכמה רמות. (אבל עולה כמה שקלים)"
אם אתה מייצר עבורך תהליך שמסנכרן את ה IP, אתה נשאר עם אותה רמת אבטחה להתקנים/מכשירים שלך. רק השם של דומיין לא קיים.
@sza@
sza
04.12.2317:20
7. אתה עושה את אותה פעולה על דומיין משלךבתגובה להודעה מספר 3
הכוונה היא לייצר DDNS על גבי שרת משלך, אותו הדבר כמו שהם עושים. משמע, אתה לא בתחבורה ציבורית, אלא ברכב הפרטי שלך. הסיכוי שיגנבו לך את הארנק קטן יותר.
הסיכוי שמישהו יסרוק את הדומיין שלך כדי לחפש IP של מכשיר IOT קטן יותר.. אם הייתי רוצה להקים רשת בוטנט על גבי מכשירי IOT, הייתי מתחיל מלסרוק דומיינים של שירותי DDNS ולהוציא רשימות של כתובות IP/(סאבדומיינים). אחרי זה קטלוג של סוג החומרה מאחורי כל IP (סאבדומיין שאני מתשאל). אחרי זה הייתי מפעיל פעולות מסויימות לפי סוג החומרה והאקספלויטים שידועים אצלה.
בחיים לא הייתי מתחיל לסרוק סתם דומיינים שרירותיים שקיימים ברשת בשביל זה. משמע על דומיין משלך אתה מוגן הרבה יותר.
צחי.
The Boss
04.12.2317:42
9. אין בעיה ליצור דבר כזה למרות שאתה לא מקבל שום ערך.בתגובה להודעה מספר 7
זה לא קשור לאבטחת מידע.
אתה יכול באופן אופן לומר שיסרקו טווח כתובות IP קבועות. סביר להניח שיש להם שירות IoT או מצלמות.
@sza@
sza
04.12.2317:54
10. בוודאי שיש לזה קשר לאבטחת מידעבתגובה להודעה מספר 9
לא ברובד האפליקטיבי, אבל הרבה יותר בטוח להיות על דומיין משלך. סריקת כתובות ip במטרה לחפש רכיבי iot יעילה בהרבה פחות. בכל מקרה, נראה שברמה הטכנית הבנת את כוונתי, אתה לא חייב לקבל אותה צחי.
The Boss
04.12.2318:28
12. מכתבבתגובה להודעה מספר 10
אם אתה על דומיין משלך, אתה מטרה ספציפית ומדויקת. שוב הדומיין פה רק לטובת שיוך לכתובת ה IP החיצונית לכתובת שמית.
בהחלט לא מסכים איתה, אין שום היבט לאבטחת מידע לא ברוד האפליקטיבי ותשתיתי. עובדה שזה שירות הם מציעים קיים מעל 20 שנה, אם הוא היה פוגע באבטחת מידע מזמן השירות הזה היה נסגר.
@sza@
sza
04.12.2321:54
16. אני יודע איך דומיין עובד. - שאלהבתגובה להודעה מספר 12
האם ראית מקום רציני שמשתמש בשירות כזה? לדוגמה, משרד עו"ד / רו"ח, בגודל בינוני, שמקבע את הIP שלו ע"י שירות DYNDNS? לא. אנשים כאלו תמיד יעדיפו לשלם כמה שקלים לספק כדי לקבל IP קבוע.
זה לא עניין תשתיתי ולא אפליקטיבי, זה אפילו לא נושא טכני. זה פשוט עניין שלא להכנס לביצה שמזמינה צרות... נכון, השירותים הללו קיימים המון זמן, וגם רשתות הbotnet צוברות המון משתמשים רדומים. וגם האקרים פורצים למצלמות ולרכיבים אחרים חדשות לבקרים.
בכל מקרה, הכל טוב, אתה מוזמן להשתמש בשירותם אם אתה צריך, אני את מצלמות הבית שלי לא אחבר דרך שירות שכזה. בטח לא כשאני יכול להרים שירות פרטי משלי בכמה דקות ולקבל DDNS שעובד באותה צורה על דומיין פרטי שלי..
בהצלחה רבה!
צחי.
The Boss
04.12.2322:07
17. עסקים יעדיפו לשלם כמה שקלים כי זאת הוצאה מוכרת. לקוחות פרטיים ממש לא.בתגובה להודעה מספר 16
"שמקבע את הIP שלו ע"י שירות DYNDNS" זה לא מקבע, זה מסנכרן מול דומיין.
נהפכו IP קבוע אתה מטרה קלה. IP לא משנה. יכול להיות מותקף תמיד כל עוד אתה אונליין. pool הכתובת הקבועות של הספקיות הוא לא סודי.
בכל מקרה המטרה של האשכול הייתה שמי שצריך את זה יכול להשתמש בזה בעלות אפסית.
@sza@
sza
05.12.2300:32
20. הכל טובבתגובה להודעה מספר 17
בהצלחה רבה
צחי.
sza
04.12.2322:11
18. דוגמה זריזהבתגובה להודעה מספר 16
הנה רשימת סאבדומיינים מהירה ששלפתי מסריקה של no-ip.com
אם אעבור על כל הדומיינים שלהם אני מניח שאקבל רשימה מכובדת של מכשירי IOT מחוברים. כל זה ב2 דק'. תעבוד עם דומיין פרטי והסיכוי להגיע אליך קטן משמעותית...
צחי.
The Boss
05.12.2306:46
21. עם דוגמא לא מוכיחים...בתגובה להודעה מספר 18
אני לא רוצה לפרסם pool של כתובת IP קבועות. גם שם מאחורי כל כתובת יש שרת WEB, מצלמה וכו'.
פה אין מה לחפש, כל ה pool כתובות מיועד לזה.
@sza@
חוצה גם באדום
04.12.2315:25
4. יהיה חבל שלא לקנות באותה הזדמנות בקר ESP32 עם מודול Lora ולהתחבר למערכת גשם כבדבתגובה להודעה מספר 0
לזמני חירום או סתם לפרויקטים מגניבים נוספים. ל-IOT זה אידאלי. הטווח של כל לורה לבד זה קילומטרים רבים, 10-20 קילומטר אפשר לקבל ככה בכיף והרבה יותר בתנאים אופטימליים (השיא שננמדד היה איזה 200 ומשהו אם זוכר נכון).
יש פה מישהו שמתעסק עם זה?
אפשר להשיג בסביבות 60 שח באליאקספרס. עד עכשיו היה טריקי להכניס את זה לארץ מבחינת שימוש בתדרים אבל לאחרונה זה קיבל אישור ממשרד התקשורת אז בהחלט נראה לי שאקנה גם .
The Boss
04.12.2315:46
5. תלוי בצורך של הפרוייטקבתגובה להודעה מספר 4
תלוי בתקן ובתדר של ה LoRa. בכל מקרה מדובר על קצב איטי מאוד. בערך 50 kbit/s במקרה הטוב
@חוצה גם באדום@
חוצה גם באדום
04.12.2322:46
19. ידוע שזה איטיבתגובה להודעה מספר 5
אבל זה סבבה לגמרי להודעות טקסט ולשליטה מרחוק במכשירי IOT. זה לא נועד למהירות אבל הטווח הפנטסטי (יחסית לגודל ולמחיר של המודול) נותן המון אפשרויות. שמעתי על מישהו שהתחבר לטרמינל SSH במחשב מרוחק בעיר אחרת וגלש באינטרנט בדפדפן מבוסס טקסט, שכל זה על גבי לורה בלבד.
לא יודע מה כוונתך תלוי בתקן או בתדר. התדר לא ממש משפיע על הטווח. ויש רק תדר בודד שמותר בארץ לזה.
ZiggyMan
04.12.2319:31
13. אם אני קונה חומרה מסויימת למטרה זו, הייתי מצפה לפתרון שלא כולל שרתי DDNSבתגובה להודעה מספר 0
שכאילו חינמיים, אבל מפילים עליך הגבלות שונות ומשונות. אני משלם לNOIP כסף רק כי נמאס לי מההצקות של המסלול החינמי. ועד כמה שזכור לי גם לא נתן לי להתחבר עם מכשירים מסויימים.
-------------------------------------------
L'enfer, c'est les autres
The Boss
04.12.2319:51
14. מכתבבתגובה להודעה מספר 13
זה קוד פתוח. אתה יכול לממש בקלות יחסית כל ספק אחר שלא קיים בספריה הזאת. יכול להיות שיש ספריות נוספות אחרות. אתה יכול להשתמש ב duckdns שהוא חינמי ללא בקשה לחידוש הדומיין כל 30 ימים. לגבי התחברות עם מכשירים מסוימים, אתה מתכוון שלא הייתה לך אפשרות להגדיר סנכרון?
בכל אופן כבר שידרתי את הפרויקט שלי שכולל התממשקות לבוט טלגרם ייעודי שיצרתי ושולח לי את הכתובת ה IP הישנה + העדכנית + פקודות לבדוק אם ה ESP אונליין + לבקש IP מיידי.
@ZiggyMan@
ZiggyMan
04.12.2320:10
15. כן, משהו בסגנון בוט טלגרם זה פתרון טובבתגובה להודעה מספר 14
אם לא צריכים גישה מכל דפדפן בכל אופן.
-------------------------------------------
L'enfer, c'est les autres
The Slayer
05.12.2320:48
24. אפשר להתקין tailscale בחינם נותן לך VPN בלי DNS ובלי לפתוח פורטיםבתגובה להודעה מספר 13
@ZiggyMan@
The Boss
05.12.2320:52
25. איפה תתקין שיש לך מצלמות DVR? IOT?בתגובה להודעה מספר 24
זה יכול להיות בלי קשר פתרון ל VPN חינמי עד 3 משתמשים.
@The Slayer@
The Slayer
05.12.2321:14
26. לא הבנתי היכן הבעייהבתגובה להודעה מספר 25
פשוט מתקינים בבקר וזה מאפשר לך גישה לרשת פנימית
לגבי עניין המשתמשים לי מספיק יוזר אחד וממנו אני יכול להתחבר למה שאני צריך בנוסף אתה יכול לחשוף IP-ים ספציפים גם אם עליהם לא מותקן הtailscale
The Boss
05.12.2321:18
27. לא נראה המוצר הזה מתאים לבקר. הוא לא מריץ לינוקס.בתגובה להודעה מספר 26
נגיד ויש לך בקר אחר שתומך. איך תיגש לאותה רשת וירטואלית שזה מייצר ממקום אחר? גם שם צריך להתקין תוכנה.
@The Slayer@
The Slayer
05.12.2321:52
28. אני לא יודע כלכך איך הבקר הזה עובד ומה כן ניתן להתקין עליובתגובה להודעה מספר 27
נראה לי חבל לקנות בקר בשביל DNS בלבד אלא לנצל את המכשיר לעוד כמה דברים
לגבי הרשת יש פתרונות פשוטים יכול לקרוא כאן אני בכל אופן לא ניסיתי כי אין לי כרגע צורך בזה
29. אז אני אומר בוודאות שהוא לא תומך (הוא לא מיועד לזה בכלל). זה בקר זול מאוד.בתגובה להודעה מספר 28
@The Slayer@
Oxygen87
05.12.2314:25
22. תודה רבה! יש לי לוח כזה שיושב מימים שרציתי לעשות ניסויים, רעיון מעולה.בתגובה להודעה מספר 0
The Boss
05.12.2314:41
23. תעדכן אם אתה מסתדר או צריך עזרהבתגובה להודעה מספר 22
@Oxygen87@
ilane
07.12.2320:55
30. לפרוייקט בסגנון הזה הייתי משתמש בפאי זירו וcloudflare tunnelבתגובה להודעה מספר 0
לקנות היום דומיין משלך עולה פחות מ10$ לשנה פאי זירו מאפשר התקנת לינוקס בצורה מלאה ואז לא צריך לקמפל מראש עידכון dns, יצירת סרטיפיקט וכו׳ באמצעות api זה מאוד פשוט בפיית׳ון או bash
cloudflare tunnel מאפשר לך להוסיף שכבת הגנה למשל כניסה באצעות יוזר/סיסמא ולדעתי גם MFA.
ואם לא tunnel אז tailscale/zeroteir כמו שכבר הציעו.
כל האפשרויות האלה לא מצריכות פתיחת פורטים בפיירוואל ויעבדו גם מאחורי nat/gnat
The Boss
08.12.2309:57
31. לפאי זירו אין קישוריות לאינטרנטבתגובה להודעה מספר 30
צריך pi zero w שעולה פי 10 מ ESP32 אם תמצא במלאי (ואם כבר אז עדיף לרכוש את pi zero 2w) על דומיין משלך אתה צריך לשלם כסף + על השירות שמולו תעבוד על מנת לסנכרן אותו. מדובר על פתרונות שונים. סנכרון של דומיין מול VPN.
@ilane@
ilane
09.12.2321:37
32. מכתבבתגובה להודעה מספר 31
דומיין משלך אומר שאתה יכול להשתמש באינסוף סאבדומיינים.
השימוש בcloudflare שמאפשר לך לנהל דומיין הוא בחינם בין אם רכשת את הדומיין מהם או מגורם אחר - עד לאחרונה עבדתי עם דומיין שרכשתי מגורם אחר ובחידוש האחרון העברתי אליהם כי העלות היתה נמוכה יותר(פחות מ10$ לשנה).
וכן, שימוש הפאי הרבה יותר גמיש ויכול לעשות הרבה יותר מסינכרון דומיין, ובסופו של דבר גם להגיע לפיתרון שהוא הרבה יותר מאובטח בעלות דומה.
pi zero 2w שיכול לטפל בעשרות מצלמות היא כ70 שקלים.
"דומיין משלך אומר שאתה יכול להשתמש באינסוף סאבדומיינים." אני יודע, אך למה זה רלוונטי? צריך כתובת אחת, אין בזה שימוש.
"השימוש בcloudflare שמאפשר לך לנהל דומיין הוא בחינם בין אם רכשת את הדומיין מהם או מגורם אחר - עד לאחרונה עבדתי עם דומיין שרכשתי מגורם אחר ובחידוש האחרון העברתי אליהם כי העלות היתה נמוכה יותר(פחות מ10$ לשנה)." זה אכן מאפשר לנהל את הדומיין אך עדכון רשומת DNS A Recored לא מתעדכנת באופן מיידי. זה תהליך שיכול לקחת עד 72 שעות.
"וכן, שימוש הפאי הרבה יותר גמיש ויכול לעשות הרבה יותר מסינכרון דומיין" לא חותכים נייר עם מסור. מחשבי ה rpi הם הרבה מעל ומעבר למה שצריך מבחינת משאבים לפעולה בסיסית כזאת.
"ובסופו של דבר גם להגיע לפיתרון שהוא הרבה יותר מאובטח בעלות דומה." איך הגעת לזה שהפתרון הרבה יותר מאוטבח מבלי לדבר בכלל על איזה מערכת הפעלה הוא מריץ ואיזה הקשחות ותחזוקה זה דורש. בדיוק ההפך, אתה מייצר הזדמנות ויעד לתקיפה של מחשב חלש עם משאבים מוגבלים.
"pi zero 2w שיכול לטפל בעשרות מצלמות היא כ70 שקלים." מה קשור כמות המצלמות בכלל? נקודת ההנחה שכתובת IP אחת היא עבור כל ה DVR / מערכת המצלמות שברשותך. גם ה ESP32 יכול "לטפל" במאות מצלמות (אין חשיבות למספר בכלל). 70 ש"ח עולה הבקר ללא כבל, מארז, שנאי, כרטיס זיכרון, מתאם כבל למסך, עכבר, מקלדת. זה המינימום שתוכל להתחיל לעבוד איתו.
@ilane@
ilane
10.12.2312:14
34. מכתבבתגובה להודעה מספר 33
לכל סרוויס שיש לי בבית יש סאבדומיין משלו, גם אם היו רק מצלמות אבטחה עדיף דומיין משלך, הסבירו לך כבר למעלה.
עדכון DNS בcloudflare נכנס לפועל בצורה מיידית, עובד איתם כבר שנים.
כשמראש אתה לא חושף את השירותים שלך לאינטרנט הפיתרון יותר מאובטח כשהדומיין שלך בכלל לא מכוון לאייפי שלך זה פיתרון יותר מאובטח(waf) כשאתה יכול לקבוע MFA לפני הכניסה לציוד שלך זה פיתרון יותר מאובטח כשאתה יכול להגביל את כתובות האייפי שיכנסו לשירות שלך(למשל רק מישראל) זה פיתרון יותר מאובטח כל זה אתה יכול לקבל בשימוש בcloudflare ללא תשלום(למשתמש בייתי).
למה צריך שנאי, מתאם מסך, מקלדת, עכבר? חשמל מusb, החיבור והתפעול מרחוק בssh.
אשכול 26918
בתגובה להודעה מספר 0