Ahoj,
pro zpřístupnění služby, která běží v domácí síti, mám nastavený port forwarding. Vše funguje dlohodobě bez problémů, ale teď mi doma mobilní aplikace hlásila, že “bylo zadáno špatné heslo” a došlo mi, že to na otevřeném portu zkoušel “někdo zvenku”.
Existuje nějaká bezpečnější alternativa port forwardingu?
Šlo by třeba (bez port forwardingu) spustit VPN server a mobilní zařízení by se připojovala jako klienti? Bude to dostatečně jednoduché, aby to fungovalo i na mobilu manželky?
Umí Turris fungovat jako autentikační proxy, která by nezvané návštěvníky odmítla, aniž by to zatěžovalo samotnou službu uvnitř sítě?
Existují nějaké další síťařské triky jak zabezpečit soukromou službu uvnitř privátní sítě, ale zároveň umožnit přístup k ní zvenku (z mobilů, tj. IP adresa je nejistá)?
Jedná se o službu, na kterou přistupuješ z venku a máš fixní IP od providera ?
Já bych nastavil jako nejjednodušší podmínku externí MAC adresu vašich zařízení. Ale pozor novější verze Androidu MAC adresu mobilů nahodile mění jako bezpečnostní prvek, proto by jsi musel nastavit u svých zařízení fixní MAC jako MAC zařízení … tak to alespoň funguje na Wi-Fi. U mobilního připojení si nejsem jistý.
ano, toto by malo byt bezpecnejsie. A konfiguracia VPN je jednorazova (teda… neviem presne kolko standardne plati VPN certifikat u openvpn, jednorazova za uvedeny cas - rok?)
MAC adresu nevidno za najblizsim routerom. t.j. na routeri vidno najskor len MAC adresu zariadenia providera.
(odhliadnuc od toho ze MAC adresa sa da zmenit)
Ať se jedná o jakoukoliv službu nebo VPN která nemá být otevřena do celého světa, je dobré limitovat přístup a nechat ho povoleny jen na IP bloky tveho mobilního operátora. Pro tmobil viz Nastaveni firewallu pro pristup pouze ze site Tmobile CZ
Tím se počet útoků že světa sníží k nule.
Pripadne jeste existuje port knocking. Prakticky jsem to nikdy nenastavoval, ale jde o to, ze router odmita spojeni, dokud na nej nezatukas definovanou sekvenci pokusu o pripojeni na nejake jine porty. Teoreticky by to melo byt bezpecne, pokud je sekvence dostatecne dlouha a nahodna. Jak je to prakticky, to nevim… A taky nevim, jestli existuje nejaky port knocking klient pro mobily. VPN muze byt malicko komplikovanejsi na spravu, ale bezpecnost je tam celkem dobre prozkoumana (a s vyuzitim reforis pluginu pro openvpn by to nemelo byt uplne slozite).
Díky za všechny komentáře - zdá se, že se budu muset zkusit s nastavením VPN nějak poprat. Samotné sestavení VPN by asi mělo být v pohodě, jenom jsem zvědavý na uživatelskou přívětivost na mobilních zařízeních - ideální by bylo, kdyby mobil pro určitou cílovou adresu sám sestavil VPN spojení, ale to už je téma do jiné diskuze.
Aplikace na mobil jsou vetsinou jednoduche, nakonfigurujes klienta, a uzivatel pak jen jednou klepne, zobrazi se mu klicek, pro odpojeni klepne dvakrat…
