Guide til subnetting

[Teza]

 

 

Subnetting        (IP adresse, nettverks id, verts id, nettverksmaske og CIDR notasjon)

Primæroppgaven til en router er å koble forskjellige nettverk sammen.
Det er 3 primære grunner til at man ønsker å dele opp et nettverk i flere mindre nettverk; sikkerhet, organisering og ytelse.
Nettverk karakteriseres med en nettverks id, så forskjellige nettverk har forskjellige nettverks id.

Det er 6 steg å tenke på når man skal dele opp et nettverk til flere mindre nettverk:

Steg 1.    Identifiser nettverks klassen
Steg 2.    Identifiser nettverks id og verts id
Steg 3.    Angi standard nettverksmaske (subnet mask)
Steg 4.    Konverter nettverksmaske til binære tall
Steg 5.    Bruk formelen "2^n -2" for å matematisk beregne hvilke tall som må settes inn i stedet for standard nettverksmaske, for å kunne dele oppnettverket i mindre nettverk.
Steg 6.    Bestem den minst betydelige bit i nettverksmasken (den siste biten i netverks id som har verdien 1)

Hvor mange nettverk vil man ha?

Nettverk 1. Nettverksutstyr (Router, switcher, mm)
Nettverk 2. Overvåkningskameraer
Nettverk 3. Servere
Nettverk 4. Datamaskiner, skrivere, mm
Nettverk 5. Multimedia (tv/musikk)
Nettverk 6. IOT smarthus
Nettverk 7. Wi-Fi privat
Nettverk 8. Wi-Fi IOT
Nettverk 9. Wi-Fi gjest

Steg 1    (Identifiser nettverks klassen)
Standard nettverksadresse for et hjemmenettverk er 192.168.1.0
Dette er et klasse C nettverk.
 

IP-Adresse    (Internet Protocol Address)

En IP adresse en brukt til å lokalisere en enhet i et nettverk og den mest brukte standarden i dag er IP versjon 4.

IP adresser er delt inn i 5 klasser, A, B, C, D og E.

Klassene A, B og C er offentlige (internet) og private (LAN) IP adresser.
Klasse D er multicast adresser, brukt til å binde forskjellige grupper med brukere sammen samtidig, kan sammenlignes med konferansesamtaler med telefon.
Klasse E brukes av myndigheter og forskningsmiljøer.

En IP v4 adresse består av 32 bit delt opp i 4 grupper med 8 bits i hver gruppe (oktett), adskilt med ".": x.x.x.x
Med 8 bits (00000001) vil det si at den største desimaltall verdien i hver gruppe er 255.

Med IP v4 vil dette kunne gi 4.294.967.296 unike adresser, og med antall enheter som tilkobles internett i dag, er dette for lite adresser for å dekke det voksende behovet.
Av denne grunn kom IP v6, som kan gi hele 340.282.366.920.938.463.463.374.607.431.768.211.456 unike adresser.

En midlertidig løsning på dette problemet var å dele ip adressene inn i klasser samt dedikere noen ip adresser som private adresser og andre som offentlige adresser.
Hvilken klasse man befinner seg i avgjøres av den første oktetten i ip adressen.

Klasse A IP adresse:    1.x.x.x til 126.x.x.x

127.x.x.x blir ikke brukt, da det er en adresse som vil peke tilbake til deg selv.
Dersom man sender en ping til 127.0.0.1, sender man en ping til sitt eget nettverkskort, et fint verktøy for å sjekke at nettverkskortet sender og mottar.

Klasse B IP adresse:    128.x.x.x til 191.x.x.x
Klasse C IP adresse:    192.x.x.x til 223.x.x.x

Når man vet hvilken klasse ip adressen befinner seg i, kan man finne ut hvilken del av ip adressen som er nettverks id'en og hvilken del som er node/verts id'er.
I klasse A utgjør den første oktetten nettverks id'en, og de 3 siste oktettene verts id'er.
I klasse B utgjør de 2 første oktettene nettverks id'en, og de 2 siste oktettene verts id'er.
I klasse C utgjør de 3 første oktettene nettverks id'en, og den siste oktetten verts id'er.

Hver hustand har 1 offentlig IP adresse, og internt i huset benyttes private IP adresser.
Bredbåndsrouteren i huset er mottakeren av den offentlige IP adressen, deler ut private IP adresser til alle tilkoblede enheter og oversetter mellom private og offentlige adresser ved hjelp av NAT.

Steg 2    (Identifiser nettverks id og verts id)
I et klasse C nettverk utgjør de 3 første oktettene nettverks id'en, og den siste oktetten verts id'er:
192.168.1.0

Steg 3    (Angi standard nettverksmaske (subnet mask))
For ip adressen 192.168.x.x vet vi at de 2 første oktettene ikke kan endres, samt at den 3 oktetten vil bli benyttet for å skille de forskjellige nettverkene.

Steg 4    (Konverter nettverksmaske til binære tall)
Ip adressen 192.168.x.x skrevet i det binære tallsystemet er:
11000000.10101000.x.x

Det binære tallsystemet

 

I det binære tallsystemet er det kun to tall: 0 og 1.

Som i det desimale tallsystemet (0-9), legges det til et nytt siffer til venstre (10), når man passerer det siste tallet (9) i tallsystemet.
Dvs at tallet 3 i desimale tallsystem vil bli 11 i det binære tallsystemet.
 

0000   0
0001   1
0010   2
0011   3
0100   4
0101   5
0110   6
0111   7
1000   8
1001   9

Da det binære tallet fort blir langt, er det en enkel måte å regne om tallet.
Vi går ut fra et binært tall på 8 bit, for hver possisjon mot venstre, vil verdien dobbles.




Ved å bruke denne tallrekken er det enkelt å regne mellom det binære- og desimaltall systemet.
0+0+32+16+8+4+0+0 =60

 

En nettverksmaske angir hvor mange sammenhengende bits som er satt til 1 for å angi nettverks id.
Ettersom den første og andre oktetten i ip adressen ikke kan endres, må alle bitene i den første og andre oktetten i nettverksmasken være satt til 1.
Dvs at nettverksmasken må være:
11111111.11111111.x.x, eller skrevet som desimaltall:
255.255.x.x

Steg 5    (Bruk formelen "2^n -2")
Ettersom vi ønsker 9 nettverk får vi formelen 2^n -2 >= 9

Følgende omregningstabell gjør beregningene enklere:

2^3 -2 = 6, dette er 3 nettverk mindre enn vi trenger.
2^4 -2 = 14, dette gir oss mulighet for totalt 14 nettverk, hvilket vil si at det er mulig å legge til 5 ekstra nettverk senere om vi måtte trenge det.

Nettverksmasken må bestå av sammenhengende 1 tall for å angi nettverks id'en.
I steg 4 fant vi ut at nettverksmasken måtte være 11111111.11111111.00000000.00000000 da de første 2 oktettene i ip adressen ikke kan endres.

Vi fant ut at vi måtte opp i 2^4, for å få nok nettverk, ^4 angir hvor mange ekstra bits i den 3 oktetten som må benyttes som nettverks id.
Det vil si at de 4 første bitsene i den 3 oktetten i nettverksmasken må settes til 1, som gir oss nettverksmasken:
11111111.11111111.11110000.00000000

Konverterer vi til desimaltall, vil den tilpassede nettverksmasken for vårt nettverk bli:
255.255.240.0

Steg 6    (Bestem den minst betydelige bit i nettverksmasken)
Vi fant nettverksmasken 11111111.11111111.11110000.00000000 i steg 5.

Den minst betydelige bit er den siste biten i nettverks id'en:

Verdien av den minst betydelige biten i nettverks id'en er 16.
Tallet 16 forteller oss vårt første subnet, og at et nytt subnet vil begynne hvert 16. tall.
 

Det vil si at våre 14 nettverk vil få følgende ip adresser:

Nettverk 01:   192.168.16.0 - 192.168.31.255
Nettverk 02:   192.168.32.0 - 192.168.47.255
Nettverk 03:   192.168.48.0 - 192.168.63.255
Nettverk 04:   192.168.64.0 - 192.168.79.255
Nettverk 05:   192.168.80.0 - 192.168.95.255
Nettverk 06:   192.168.96.0 - 192.168.111.255
Nettverk 07:   192.168.112.0 - 192.168.127.255
Nettverk 08:   192.168.128.0 - 192.168.143.255

Nettverk 09:   192.168.144.0 - 192.168.159.255
Nettverk 10:   192.168.160.0 - 192.168.175.255
Nettverk 11:   192.168.176.0 - 192.168.191.255
Nettverk 12:   192.168.192.0 - 192.168.207.255
Nettverk 13:   192.168.208.0 - 192.168.223.255
Nettverk 14:   192.168.224.0 - 192.168.239.255
 

Felles nettverksmaske for disse vil være 255.255.240.0

En CIDR notasjon (Classless Inter-Domain Routing) angir hvor mange bits i nettverksmasken som er satt til verdien 1.
I nettverksmasken 255.255.240.0 (11111111.11111111.11110000.00000000) er dette 8+8+4+0=20.
 

Så ip adressen 192.168.95.126 /20, angir at nettverksmasken er 255.255.240.0
(De 4 første bitene i den 3. oktetten blir konvertert til desimaltall: 128+64+32+16=240)



For å finne nettverks id'en til denne ip adressen setter vi opp ip adressen binært:
 

De første 4 bitene i den 3 oktetten er 0101, det vil si desimalverdien er 64+16=80.
Nettverks id'en til ip adressen 192.168.95.126 vil være 192.168.80.0 /20
 

Endret 4. november 2019 av Teza

[Teza]

[Reservert]

 

[ZoRaC]

De færreste trenger mer enn 253 enheter i hvert nett, så jeg synes det et mye mer praktisk (og enklere å huske) å bruke 192.168.x.1-192.168.x.254 (nettmaske 255.255.255.0).  Om man bruker flere VLAN så kan man da bruke tredje oktett som VLAN-nummer også. 

[NilsOF]

Det er også lurt å ha en plan på IP-adressene når man setter opp ett nettverk.

Dette er hva jeg har brukt på alt ifra hjemmenettverk til nett for større organisasjoner:

 

1-9 gateways og kontrollere. (Med 1 som default gateway)

10-20 switcher

30-40 servere

50-60 Aksesspunkter (WiFi)

70-80 Printere

 

100-199 dhcp scope (alt som ikke er fornuftig å ha på fast IP)

 

Hullene imellom er kjekke å finne senere ;-'

Justeres etter behov selvfølgelig, men det veldig greit at ikke alt et plassert hulter til bulter når man må ta det igjen senere.

 

 

 

[Teza]

1 time siden, NilsOF skrev:

Det er også lurt å ha en plan på IP-adressene når man setter opp ett nettverk.

Dette er hva jeg har brukt på alt ifra hjemmenettverk til nett for større organisasjoner:

 

 

Har begynt fra scratch (kunnskapsmessig & utstyr) og har satt opp følgende utstyr:
 

1 stk Ubiquiti USG-PRO-4 router

1 stk Ubiquiti UCK-G2-PLUS cloud-key
1 stk Ubiquiti US-24-250W switch
2 stk Ubiquiti US-8-60W switch
1 stk Ubiquiti UAP-AC-PRO akksesspunkt
1 stk Ubiquiti UVC-G3-BULLET kamera
1 stk Raspberry PI 3 model B+, med PoE

 

Med utgangspunkt i nettverksoppdelingen i post 1:

Hvis man ønsker å ha kameraovervåkning på et eget nettverk, hvor plasserer man da cloud- key, som lagrer videoen samt styrer nettverket?

Ville tro denne måtte stå på samme nettverk som kameraene, men vil det påvirke styringen av nettverket?

Kan denne plasseres i nettverket sammen med nettverks utstyret, eller vil det skape problemer med å finne kameraene og lagring av video?


-----

 

Har brukt mye tid på å sette meg inn i subnetting for å forstå sammenhengen, før jeg setter opp hele nettverket på nytt.
Erfaringen min er at det er få som klarer å lære det bort på en enkel måte og det virker som at det er mange som har problemer med å forstå det.

Vet ikke om denne guiden er forståelig, men jeg håper den kan være til hjelp.

[Teza]

4 timer siden, ZoRaC skrev:

De færreste trenger mer enn 253 enheter i hvert nett, så jeg synes det et mye mer praktisk (og enklere å huske) å bruke 192.168.x.1-192.168.x.254 (nettmaske 255.255.255.0).  Om man bruker flere VLAN så kan man da bruke tredje oktett som VLAN-nummer også. 

Det er slik jeg har gjort det til nå, samt fordelt IP adressene slik NilsOF har beskrevet det.

 

Dog har jeg aldri forstått hva en nettverksmaske er eller hva den egentlig gjør.

Derfor har jeg prøvd å sette meg inn i dette, hvilket resulterte i denne guiden.

Tanken er å ha en bedre forståelse av hvordan nettverket fungerer

[ZoRaC]

3 minutter siden, Teza skrev:

Dog har jeg aldri forstått hva en nettverksmaske er eller hva den egentlig gjør.

Derfor har jeg prøvd å sette meg inn i dette, hvilket resulterte i denne guiden.

Tanken er å ha en bedre forståelse av hvordan nettverket fungerer

Selv om jeg er dataingeniør og jobber litt med nettverk, samt kjører flere nett hjemme, så husker jeg svært lite av subnett-teorien fra skolen og jeg aner heller ikke hvordan man regner ut sånt. ? var greit med litt repetisjon i denne posten, men i hverdagen har jeg ikke hatt bruk for den kunnskapen.  jeg skjønner sammenhengen i praksis og det er mulig jeg gjør det fordi jeg en gang i tiden lærte teorien...

[NilsOF]

Bit-maskering er litt vanskelig å forklare og mine evner som lærer er begrenset.

 

I bunn og grunn er det lokale nettverket det som ikke dekkes av nettverksmaska, mens resten av verden befinner seg bak gatewayen.

Altså med en nettverksmaske på 255.255.255.0 og med lokal gateway på 10.10.10.1 så er nettverksadressa 10.10.10.0/24.

Om man ser det fra det lokale nettet så er plasseringen av andre nettverk likegyldig.

Det som er sikkert er at det er bak gatewayen.

 

Jeg vil anbefale å leke litt med ipcalc.

Har du linux så installer den. En nettversjon fant jeg hær: http://jodies.de/ipcalc?host=192.168.0.1&mask1=24&mask2=

 

Skal man dele opp i flere nettverk så ville jeg laget ett nettverk for infrastrukturen. Dvs, alt som styrer wifi og switcher puttes i ett eget nett ( i praksis ett eget vlan).

Man kan sikkert debattere om kamera og overvåkning hører hjemme i ett infrastrukturnett eller ikke.

Hjemmeautomasjon likeså.

Noen praktiske hensyn må man ta også.

Ikke alt kan splittes opp over en router. Mye bruker broadcasts og det er ikke alltid like enkelt å proxyere ( nytt ord ).

I bunn og grunn vil ikke (og skal ikke)  broadcasts traversere over en router.

 

Servere hører hjemme i det samme nettverket som dataene dataene som serveres brukes (grov tommelfingerregel)

 

Men uten en brannmur med fornuftig regelsett er flere nettverk bare en unødig komplikasjon.

Ett regelsett som tillater all trafikk til alle steder er ikke fornuftig. 

 

Jeg har ikke noen erfaring med Ubiquiti sitt kamera-opplegg.

Hva som kreves mellom cloudkey og kamera nettverksmessig vet jeg ikke.

Men cloudkeyen må sitte i det samme nettverket (broadcast-sone) som aksesspunktene.

Jeg vil tro at Ubiquiti sine kamera fungerer på en tilsvarende Unifi -måte..

 

 

 

 

 

[Teza]

Så hvis jeg forstår deg riktig.

 

Alt Ubiquiti utstyret mitt bør plasseres i et vlan, og det bør brukes mac filter (om mulig) for å "unngå" at en person kobler fra et utvending kamera og kobler en pc til nettverket (helt teoretisk sett). Dette da alt dette utstyret kommuniserer med hverandre, samt begrense netttilgangen til dette utstyret mest mulig.

 

Utstyr som tv, forsterker, blue-ray, ps3, gramofon bør plasseres i et nettverk (trenger ikke tilgang til server eller andre datamaskiner).

 

Datamaskiner, printere og andre enheter som brukes sammen plasseres i et nettverk.

 

Har også en maskin som jeg har tenkt på sikt skal kjøre flere virituelle servere som homeseer, nextcloud, webserver, epost og dns (pi-hole).

Tenkte jeg skulle ha denne på et eget vlan, selv om jeg hadde tenkt å lagre alle filene mine i nextcloud.

Antar dette vil kunne gi bedre sikkerhet enn om den plasseres sammen med andre maskiner?

Eller burde den plasseres sammen med andre datamaskiner?

 

Gardena smarthub (vanning/robotklipper), usikker på hvor denne bør plasseres, kanskje sammen med tv?

Må lære meg å sette opp brannmuren, men det jeg ønsker er å låse ned hele nettverket og så kun slippe gjennom det som er helt nødvendig til de forskjellige vlan.

[Norseman]

9 hours ago, Teza said:

(...)Har også en maskin som jeg har tenkt på sikt skal kjøre flere virituelle servere som homeseer, nextcloud, webserver, epost og dns (pi-hole).

Tenkte jeg skulle ha denne på et eget vlan, selv om jeg hadde tenkt å lagre alle filene mine i nextcloud.

Antar dette vil kunne gi bedre sikkerhet enn om den plasseres sammen med andre maskiner?(...)

 

 

Du bør sette opp en trunk(tagged port) til den virtuelle serveren, slik at du kan velge hvilke(t) vlan dine virtuelle maskiner skal stå i. Da vil serveren tagge trafikken med riktig VLAN, og svitsjen(e) sende trafikken deretter.

[ATWindsor]

Hva er egentlig de sikkerhetsmessige og ytelsesmessige argumentene for å dele det opp slik?

[Teza]

I et hjemmenettverk kan man vel se bort fra ytelse vil jeg tro.

 

Sikkerheten er grunnen til at jeg har begynt med dette.

Jeg irriterer meg nok mer enn de fleste, når det kommer til personvern og innsamling av persondata.

 

Problemet i mine øyne er at alle vil levere IOT, men det er få om noen som prioriterer personvernet.

Data er pr. i dag den mest verdifulle resursen og alle vil ha sin del av kaka. Dette gjelder også kriminelle.

Dvs stor innsamlig av persondata og liten sikkerhet mot hacking.

 

Jeg ønsker å begrense tilgangen til mine data, og gjøre det vanskelig nok å få tak i dem at det ikke er verdt det.

Ønsker også kontroll med hvilke data de forskjellige enhetene får lov til å sende.

 

Så tv'en min skal ikke få tilgang til min pc og blir forsterkeren hacket så skal de ikke ha tilgang til filserveren.

 

-----

 

De fleste tar seg ikke bryet med å tenke gjennom mulige konsekvenser dersom informasjon kommer i feil hender.

 

F.eks. Alfabet har i lang til ønsket å bygge en database over folks helse, og nå har de kjøpt fitbit.

Dette er data som Alfabet vil tjene penger på å selge, så f.eks. hva skjer når forsikringsselskaper ser at du har en høy risiko for hjerteinfarkt?

Høyere priser på forsikring? Redusert utbetaling på forsikringer? Nekte deg å tegne enkelte forsikringer? Ekskludere dekning på reiseforsikring dersom årsaken er hjerteinfarkt?

 

Mengden med data som er samlet inn pr. person er allerede skremmende stor, det er på høy tid at mannen i gata tar grep for å begrense denne innsamlingen.

[Teza]

2 timer siden, Norseman skrev:

 

Du bør sette opp en trunk(tagged port) til den virtuelle serveren, slik at du kan velge hvilke(t) vlan dine virtuelle maskiner skal stå i. Da vil serveren tagge trafikken med riktig VLAN, og svitsjen(e) sende trafikken deretter.

 

Stilig, da har jeg mer jeg kan søke opp informasjon om 

[Floyd]

Jeg bruker stort sett 10er nettverket med 10.0.0.0/24 (lettere å huske og skrive). Jeg bruker alltid 10.0.0.1 som gateway

Om jeg trenger et ekstra lan, så legger jeg til 10.0.1.0/24, 10.0.2.0/24 osv.

Subnet mask 255.255.255.0 kan brukes på alle nett, men tredje oktett kan jo justeres om du vil begrense nettet.

 

For meg virker det overkill å ha 9 nettverk. 3-4 er nok bra for å kunne skille ut enkelte segmenter.

 

[NilsOF]

Ytelsesmessig er det ingenting å hente på å dele opp i flere nettverk i et hjemmenettverk.

Router/brannmur vil stort sett være flaskehalsen, men selv en billig linuxdrevet Intel NUC med 8 GB RAM vil klare å huske nettverkssesjonene og spa over trafikken for et par hundre klientmaskiner uten altfor mye merkbart ytelsestap.

 

Sikkerheten vil øke alt etter regelsettet i brannmuren.

Å holde bestemors virusPC (eller juniors piratkopierte spill fra tvilsome kilder) unna managements-interfacene er en god ting. 

Man vet aldri hva som er installert på PCer og telefoner.

 

Viritualiserings-løsninger har stort sett ett managements-interface som med fordel kan puttes i managementsnettet.

 

Så, hvilke nettverk trenger man egentlig i ett oppdelt system.

Min påstand er:

- managementsnettverk. 

- klientnettverk

 

Ett automasjonsnett kan være aktuelt. Men man må da huske på at for å sette opp dingser med autodiskovery så må man ha ett apparat (pc ellerer telefon) i det nettet. Kan løses med egen SSID.

Altså dingsen som skal sette opp automasjonsdingsen må være i samme broadcastsone.

Kanskje lurt å putte alt som ikke skal betjenes daglig fra klientmaskiner(telefoner/nettbrett) hær.

 

Backup-nettverk ? Eget topic, men tenk Fort Knox, her er gullet oppevart.

 

Det store spørsmålet er hvordan administrere. Å kun tillate ssh/rdp inn i managementnettet hjelper mye, samt også også låse til godkjente IPer i klientnettet.

 

@Teza jeg tenker mye som deg. 

Jeg har min egen variant av pihole på en NUC som er en router/brannmur/DNS(filter)/dhcp

En raberrypi vil jeg tro blir litt lett i ræva da båndbredde på I/O er begrenset.

 

Ett godt råd er å begynne med en brannmur der alt er forbudt. Åpne etterbehov.

Å gå andre veien fra alt åpent er en ganske frustrerende øvelse.

 

 

 

 

[Floyd]

15 minutter siden, Teza skrev:

I et hjemmenettverk kan man vel se bort fra ytelse vil jeg tro.

 

Sikkerheten er grunnen til at jeg har begynt med dette.

Jeg irriterer meg nok mer enn de fleste, når det kommer til personvern og innsamling av persondata.

Er nok også i denne kategorien

 

15 minutter siden, Teza skrev:

Jeg ønsker å begrense tilgangen til mine data, og gjøre det vanskelig nok å få tak i dem at det ikke er verdt det.

Ønsker også kontroll med hvilke data de forskjellige enhetene får lov til å sende.

 

Så tv'en min skal ikke få tilgang til min pc og blir forsterkeren hacket så skal de ikke ha tilgang til filserveren.

Her sliter jeg. Sonos må ha tilgang til musikkbiloteket, samt TV/gaming box må ha tilgang til Plex

Begge disse ligger på filserver.

Noen smart løsning på dette?

[Teza]

6 minutter siden, NilsOF skrev:

Ett godt råd er å begynne med en brannmur der alt er forbudt. Åpne etterbehov.

Å gå andre veien fra alt åpent er en ganske frustrerende øvelse.

 

Problemene mine er hovedsaklig:

 

- Vet ikke hvor jeg skal begynne eller hva jeg trenger.

- Har ikke kunnskapen.

 

Bruker derfor alt for mye tid på å finne ut hvilke løsninger som finnes og hva som vil passe til meg.

Kunnskap kan jeg tilegne meg, men da må jeg vite hva jeg trenger å lære.

 

Hele infrastrukturen min er nå byttet ut, nå prøver jeg å finne den beste måten å sette opp nettverket.

Antar det neste vil være å lære å sette opp brannmur.

 

Føler det er et hav av informasjon, men vet ikke hvordan jeg bør filtrere det.

Så i dag hopper jeg over alt, fremfor å kunne konsentrere meg om en liten del.

[Floyd]

Vær klar over at om du setter opp en hardware brannmur, som f.eks ubiquiti sine, så er der begrensinger i båndbredden om du setter på maks beskyttelse.

Da får du muligens ikke brukt internett linja du betaler for. Usg-pro-4 har vel begrensning på 250Mbit med DPI aktivert

[ATWindsor]

50 minutes ago, Teza said:

I et hjemmenettverk kan man vel se bort fra ytelse vil jeg tro.

 

Sikkerheten er grunnen til at jeg har begynt med dette.

Jeg irriterer meg nok mer enn de fleste, når det kommer til personvern og innsamling av persondata.

 

Problemet i mine øyne er at alle vil levere IOT, men det er få om noen som prioriterer personvernet.

Data er pr. i dag den mest verdifulle resursen og alle vil ha sin del av kaka. Dette gjelder også kriminelle.

Dvs stor innsamlig av persondata og liten sikkerhet mot hacking.

 

Jeg ønsker å begrense tilgangen til mine data, og gjøre det vanskelig nok å få tak i dem at det ikke er verdt det.

Ønsker også kontroll med hvilke data de forskjellige enhetene får lov til å sende.

 

Så tv'en min skal ikke få tilgang til min pc og blir forsterkeren hacket så skal de ikke ha tilgang til filserveren.

 

-----

 

De fleste tar seg ikke bryet med å tenke gjennom mulige konsekvenser dersom informasjon kommer i feil hender.

 

F.eks. Alfabet har i lang til ønsket å bygge en database over folks helse, og nå har de kjøpt fitbit.

Dette er data som Alfabet vil tjene penger på å selge, så f.eks. hva skjer når forsikringsselskaper ser at du har en høy risiko for hjerteinfarkt?

Høyere priser på forsikring? Redusert utbetaling på forsikringer? Nekte deg å tegne enkelte forsikringer? Ekskludere dekning på reiseforsikring dersom årsaken er hjerteinfarkt?

 

Mengden med data som er samlet inn pr. person er allerede skremmende stor, det er på høy tid at mannen i gata tar grep for å begrense denne innsamlingen.

 

 

Sikkerhetstankegangen er forsåvidt god den, men er subnetting den rette måten å gjøre et på? Er det ikke bedre å bruke VLAN?

[NilsOF]

Jeg har ingen ferdig uttenkt løsning på multimediaprodukter som er kapable til å spionere.. ..men:

Jeg har tenkt på muligheten med to interfacer (vlan) i bridge slik at man kan putte på brannmurregler imellom dingser på samme broadcastsone. Det vil hjelpe litt.

En annen ting man trenger er ett DNS-filter. Det vil avhjelpe litt. Jeg kjenner ingen løsninger utover pihole. Behovet er definitivt tilstede for noe kraftigere.

Det må da nevnes at Google (alphabet) har laget seg muligheten til å omgå DNS ved å kjøre navneoppslag over https..

 

Inntil videre kommer ikke noen talestyrte dingser inn i dette huset. Om det blir aktuelt så blir mikrofonen klippet ut.

 

Jeg kjenner godt til frustrasjonen med å skaffe seg nok dybdekunnskap.

Man må bare å begynne ett sted og nøste derfra.

Jeg begynte med dette ved årtusenskiftet og nøster fortsatt.

Fant rimelig fort ut at ingen ferdige løsninger passet for meg, så jeg begynte med linux og satte opp fra bunnen av.

Har brukt mye fwbuilder for brannmurregeler, men dette er ikke vedlikeholdt lengre.

Jeg ønsker meg noe tilsvarende som fwbuilder for nftables. Med båndbreddestyring og brannmurregler i samme pakke så hadde virkelig svingt på seg.

 

 

[NilsOF]

Akkurat nå, ATWindsor skrev:

 

 

Sikkerhetstankegangen er forsåvidt god den, men er subnetting den rette måten å gjøre et på? Er det ikke bedre å bruke VLAN?

Vi tar en ole brum og sier ja takk, begge deler. De går hånd i hånd.

[NilsOF]

25 minutter siden, Floyd skrev:

Vær klar over at om du setter opp en hardware brannmur, som f.eks ubiquiti sine, så er der begrensinger i båndbredden om du setter på maks beskyttelse.

Da får du muligens ikke brukt internett linja du betaler for. Usg-pro-4 har vel begrensning på 250Mbit med DPI aktivert

Godt poeng. Jeg har Ubiquiti unifi wifi og switch.

Routeren/brannmuren fant jeg for lett.

 

Edit: ved ettertanke så er jeg ikke sikker på at jeg ville valgt Ubiquiti på switch i dag..

Er noe som byr meg imot med webinterface på slikt.

Det er heller ikke så mange vlan å holde rede på heller.

Endret 5. november 2019 av NilsOF

[Floyd]

50 minutter siden, NilsOF skrev:

Jeg har min egen variant av pihole på en NUC som er en router/brannmur/DNS(filter)/dhcp

En raberrypi vil jeg tro blir litt lett i ræva da båndbredde på I/O er begrenset.

 

Kjører du denne mellom ISP og første switch via 2 integrerte NIC

Jeg har en Ubiquiti Edgerouter 5-Port PoE som jeg tenkte å bruke som router/Dhcp i mitt nye nett. Sikkert ikke verdens beste brannmur, men virker som en bra router.

Mulig jeg må revurdere.

[ATWindsor]

28 minutes ago, NilsOF said:

Vi tar en ole brum og sier ja takk, begge deler. De går hånd i hånd.

Mulig jeg er litt treg, men hva er den ekstra nytten med å subnette om man har et ok VLAN-setup?

[NilsOF]

Alle nettverk finnes i switchen som eget vlan. Også internetsiden av routeren. 

 

Hva man velger av router/brannmur må nesten bestemmes fra eget hode.

Ubiquiti sin er sikkert ikke noe dårligere en resten av røkla, heller tvert imot.

Kikket litt på Wyatta før Ubiquiti kjøpte de. Såvidt jeg har fått med meg er det Wyatta-greier for routing som ligger i bunnen.

Jeg fant ut at det var mye kompleksitet for å skjule komplekisteten i linux-kjerna.

Og routingen i linux er ikke veldig komplisert å sette opp.