Vlákno názorů k článku IPv6 umožní používat IoT bez závislosti na službě třetí strany od L. - > V dnešním světě IoT přibývá různých zařízení,...

> V dnešním světě IoT přibývá různých zařízení, která se mají
> propojovat mezi sebou, ale současný internet to neumožňuje.
> (...)
> Internet chytrých věcí by měl využívat princip end-to-end,
> který je základem internetové sítě. Můžete se přímo připojit
> z mobilu k chytré krabičce a ovládat ji přímo. Protože k tomu
> je internet určený. Obvykle to ale vyžaduje nějakou konfiguraci,
> takže je to odsouzeno ke komerčnímu neúspěchu.

Jenže i na IPv6 bude pravděpodobně po cestě nějaký firewall, takže ani s ním to nebude plug-and-play.

Přesně tak. Uživatel bude muset zjistit IP adresu toho zařízení, otevřít přístup ve firewallu, a pak při připojování zadávat ten šílený řetězec IPv6 (vlastní doménu skoro nikdo nemá). Nebo zařízení bude používat centrální server, což bude fungovat out-of-the-box.

A umíte si představit, že výše uvedený postup dělá třeba vaše matka, aby zprovoznila nějakou "chytrou" zásuvku?

Poznam aj lahsie cesty.

Cez UPnP sa da nastavit firewall alebo broadcastovat klientom, kde je to zariadenie v sieti na prve nastavenie. Vo Windows to maju integrovane v GUI a system zariadenie najde ako sietove zariadenie - staci dvojklik a ste na jeho webe.

V dnesnej dobe sa to riesi vacsinou aplikaciou na smartfon, ktora najde to svoje zariadenie a potom si zapamata jeho IP. Tu by to automaticky fungovalo aj z inej siete.

Pri firewalle je samozrejme treba urcit, kto ho spravuje. Ked lubovolne aplikacie, tak netreba potvrdenie. Technicky je lahke vypytat si vo Web UI potvrdenie na to, co chcela aplikacia spristupnit cez UPnP.

UPnP ma kazdy, kdo to mysli s bezpecnosti vazne bud omezeny, nebo uplne vypmuty.

Tak moment, chcete jednoduchost, nebo bezpečnost? Obvykle nemůžete mít oboje.

A umíte si představit, že výše uvedený postup dělá třeba vaše matka, aby zprovoznila nějakou "chytrou" zásuvku?

Ano, u své mamky si to představit dovedu. Je jí sice 66 let a nejvyšší vzdělání má střední školu, ale nemá problém se učit a když něco neví, tak se zeptat.

Jakákoliv technologie se stává nebezpečnou, když člověk neví co dělá a je líný se naučit ji používat a znát alespoň v obrysech její výhody a úskalí.

Pokud někdo není schopen/ochoten naučit se, co je to "adresa", nechť chytré zásuvky nepoužívá. IPv6 pro potřeby uživatele není o nic složitější záležitost, než telefonní čísla nebo poštovní adresy... Dělat "chytré technologie" pro blbé uživatele je největší chyba současné společnosti.

16. 6. 2020, 10:11 editováno autorem komentáře

Vidím to úplně stejně, hlavně pod tu poslední větu bych se podepsal. Teda tím nechci říct, že by každý musel být odborníkem na všechno, to nejde, ale aspoň nějakou míru znalosti o tom, co dělám/s čím pracuju je potřeba mít.

Bohužel mi ale přijde, že pro lidi (rozuměj BFU) je důležité, aby všechno bylo co nejpohodlnější, aby to "myslelo" za ně a aby všechno bylo nejlíp hned. Že tím přichází o soukromí nebo tam mají bezpečnostní díru jako vrata, to nikoho moc nevzrušuje.

Jste v zajetí současných síťových stereotypů. Co kdyby to fungovalo tak, že si zákazník donese domů zařízení, do telefonu nacpe dodanou aplikaci, oboje se při prvním zapnutí napojí na server a vyřeší si nastavení? Od té doby se zařízení spojují napřímo BEZ serveru. TEPRVE AŽ nezafunguje automatické nastavení (server nejede, nebo rovnou výrobce zkape), bude holt uživatel muset zvednout p*del a nastavit to ručně, ale nebude muset zařízení VYHODIT! Co je na tom tak nepochopitelného?

No nevím, znáte nějaké zařízení, aspoň jedno, které by takhle fungovalo?

Já se zatím setkal jen se 2 možnostmi:
1) zařízení se stabilně připojuje někam do cloudu a odesílá tam cokoliv chce na nějakých vysokých portech nebo naopak na :80 či jiných běžně otevřených portech, předpokládá se, že kdo neumí nastavovat jednotlivá zařízení, neuměl ani nastavit firewall na routeru
2) zařízení používá nějakou řídící krabičku v LAN, samotné dílčí zařízení pak broadcastuje do LAN nebo používá nějakou metodu aktivního párování na HW, čili třeba posílání identifikace po stisknutí tlačítka. Krabička samotná se pak buď ovládá zase z cloudu nebo "je určena pro profesionály", takže používá webové rozhraní na lokální IP.

Varianta 1) je velice oblíbená výrobci, protože jim přináší krom samotných zajímavých dat naprostou kontrolu nad tím, kdy donutí uživatele koupit si nové zařízení. Stačí po uplynutí záruky přestat to zařízení v cloudu podporovat. Varianta 2) je přijatelně levné řešení, které se tváří "profesionálně". Zařízení řízená nějakou aplikací v mobilu jsou vždycky připojená na cloud, protože je tím zajištěný krom telemetrie problém s nastavením a jednotný přístup odkudkoliv.

To ale neznamená, že takto fungující zařízení musíte kupovat.

Variantu 1) jsme dělali taky, ale proto, že jediná jistota byla, že pojede IPv4. Co jsme dělali IoT bazmeky, tak nebyl s mirror serverem problím strhat 10Gbps linku a cena za servery a jejich provoz na pět let byla asi 1/3 ceny výrobku.

S tímhle, pokud by byla možnost jet jenom na IPv6, by se výrobek stal (cenově) hodně konkurence schopný. Jenomže to by museli ISPíci taky začít to IPv6 podporovat...

Momentálně největší problém s IoT a IPv6 je fakt, že se z LTE člověk nepřipojí, kdyby se na ptáka stavěl. Aspoň ne u nás. Kdyby tak aspoň to 5G udělali na IPV6, jinak je to na dalších 15 let beznadějný...

Pri sucasnej kvalite firmware vo vacsine IoT zariadeni, by si len blazon trufol nieco take spristupnit napriamo z vonku.
Pokial toto spravis, tak v podstate ziaden firewall ani nepotrebujes ;-)

Jenže i na IPv6 bude pravděpodobně po cestě nějaký firewall
Proč? Co ten firewall bude dělat?

https://cs.wikipedia.org/wiki/Firewall

Takže je to zbytečné a žádný firewall tam potřeba není. Děkuji za odpověď.

Tak mě napadá, že vy jste poskytoval bezpečnostní konzultace nemocnici v Benešově? ;-)

16. 6. 2020, 12:26 editováno autorem komentáře

Ten firewall bude jako kde? Uvnitř jednosegmentové sítě s čínskou krabičkou (případ garáže) asi ne. U uživatelů, kteří upřednostňují pohodlí před bezpečností, může být firewall vypnutý (jejich věc). A u těch, kteří chtějí bezpečnost, jej holt budou muset nastavit, ale to je jaksi podstata sítí, o tom nemá smysl polemizovat.

@L: Nevím, v čem je problém. IoT většinou stejně jede jenom na MQTT, ZMQ a pár daších standardech, nechat přslušný porty otevřený není problém a když na ně někdo poleze na jiným zařízení, tak to prostě dropne. Pokud to zařízení podporuje, autorizuje se nějakým klíčem (ECDSA apod.). Není to o nic nebezpečnější, než nechat povolenou 22ku. Hotovo.

A pokud jde o spárování, tak třeba Bluetooth má unikátní ID, něco jako MAC adresu. I když dělám vývoj a něco s BT tam bylo a dokonce občas BT i používám, nedal bych ruku do ohně za to, kolik to ID má bitů. Prostě jsem ho nikdy ručně neopisoval a jenom jednou v životě jsem v nějaké zprávě deklaroval pro tohle číslo pole. Myslíš, že pokud se chc, tak se zadávání adresy nevyřeší?

A víš, že používám Syncthing po IPv6 bez toho, že bych konfiguroval cokoliv na firewallu, nebo nastavoval adresy? A funguje to dokonce i mezi mobilama (SLAAC + Private Extension). A synchronizovalo se to i předminulý víkend, když jsem si hrál se sítí a nechal omylem pět dní zakázaný DHCPv4 v LANce a nemělo to IPv4 přes WiFi (LTE doma vypínám). Prostě si přes server vymění adresy a jede se napřímo... A server si můžu spustit i doma v LAN.

Bluetooth má standardní MAC adresu (v tuto chvíli 48 bitů/6 byte), ale jestli mluvíte o UUID služby v rámci Service Discovery Protokolu, to má historicky 16/32 bitů, ale dnes se používá prakticky výlučně 128 bit UUID, na která jsou tato mapována (vložením do prvních 32 bitů hodnoty XXXXYYYY-0000-1000-8000-00805F9B34FB, kde 00000000-0000-1000-8000-00805F9B34FB je Bluetooth Base UUID).