home network security

DDD888

我许多年前写的golang的开关车库门的网站一直在用着在raspberry pi 3b linux，我对使用rust language写代码很有兴趣，所以想着重新写个代码，我想把代码相对写的安全点，主要是用手机上的浏览器登录我写的网站，然后开关车库门，我知道mac地址客户端可以改变啦，我在想如果客户通过wifi access point登录我写的网站，在我的asus merlin router那有个arp -a可以看到所有ip对应的mac 地址，这是否比我raspberry pi 3b linux本地运行arp -a更加安全点？

该网站只在家里局域网里使用，我屏蔽了外网的访问，我不需要通过internet来控制车库门， 我使用self signed https certificate,通过https访问网站

bingocn

路由器上可以只允许mac 白名单连接wifi，定期改wifi密码。
路由器上dhcp的设置里面，把手机的IP设置为固定的。
pi上面的防火墙设置只允许该手机IP访问80端口。除了80和ssh，其他端口都关了。

DDD888

bingocn 发表于 2024-2-19 13:06
路由器上可以只允许mac 白名单连接wifi，定期改wifi密码。
路由器上dhcp的设置里面，把手机的IP设置为固定 ...

路由器上可以只允许mac 白名单连接wifi，这要求太高了，我家和人合租，我没办法控制租客的手机的mac 地址，不好意思，我收入低，所以只能和人合租房子啦

girl66

整个局域网, 和外网彻底物理隔断, 那时候你用明文密码都不要紧

DDD888

girl66 发表于 2024-2-19 13:11
整个局域网, 和外网彻底物理隔断, 那时候你用明文密码都不要紧

不现实啦，大家都要上网的

bingocn

DDD888 发表于 2024-2-19 13:10
路由器上可以只允许mac 白名单连接wifi，这要求太高了，我家和人合租，我没办法控制租客的手机的mac 地 ...

那就除了这个，用我说的其他措施，基本上也够了。

DDD888

bingocn 发表于 2024-2-19 13:06
路由器上可以只允许mac 白名单连接wifi，定期改wifi密码。
路由器上dhcp的设置里面，把手机的IP设置为固定 ...

关于这两句话
——————————————————————————
路由器上dhcp的设置里面，把手机的IP设置为固定的。
pi上面的防火墙设置只允许该手机IP访问80端口。除了80和ssh，其他端口都关了。

————————————————————————————

android手机可以自己设置任意内网ip地址

punky

家里上个 Ubiquiti的 Dream Machine SE, 谁用谁知道，家用级别终极解决方案。

DDD888

punky 发表于 2024-2-19 14:16
家里上个 Ubiquiti的 Dream Machine SE, 谁用谁知道，家用级别终极解决方案。

https://www.pbtech.co.nz/product ... hine-Special-Editio

你让我花1136新西兰元买设备？

bingocn

DDD888 发表于 2024-2-19 14:13
关于这两句话
——————————————————————————
路由器上dhcp的设置里面，把手机的 ...

你都和租客共用网络了，也就是说物理网络基本上无安全可言。
那就在你pi的http server上做设置，双向认证，给你的客户端手机上传证书，只允许该证书的客户端来请求。
或者就别用http server，开关门这么简单的需求，自定义一个协议来实现好了。

perfectstock

DDD888 发表于 2024-2-19 13:10
路由器上可以只允许mac 白名单连接wifi，这要求太高了，我家和人合租，我没办法控制租客的手机的mac 地 ...

一般路由器都可以专门有给guest的ssid吧，他们的子网掩码我看也是不同的

kane321

所以 你的需求到底是啥， 本身就是 局域网了， 你意思是 防止 租客 上你的内部网站？
那你给租客一个单独的guest wifi不就行了

gifox

正如上面说的，不用搞的很复杂

最危险的事情不过是租客可以打开你的车库。毕竟那不是金库

DDD888

gifox 发表于 2024-2-19 15:57
正如上面说的，不用搞的很复杂

最危险的事情不过是租客可以打开你的车库。毕竟那不是金库 ...

借个话头讨论技术啦，万一以后要保卫金库呢

killkat

DDD888 发表于 2024-2-19 16:17
借个话头讨论技术啦，万一以后要保卫金库呢

如果你是安保卫金库设想，当对方有了 physical access, 你的一切设置都是白搭啊

DDD888

killkat 发表于 2024-2-19 16:26
如果你是安保卫金库设想，当对方有了 physical access, 你的一切设置都是白搭啊
...

我昨天在youtube上看到豪华的汽车非常容易的被偷走，我就想如果我是汽车生产厂家的程序员该如何写这程序呢？是不是如你所说，车就该被偷走呢？

killkat

DDD888 发表于 2024-2-19 18:13
我昨天在youtube上看到豪华的汽车非常容易的被偷走，我就想如果我是汽车生产厂家的程序员该如何写这程序 ...

您这么说就有些抬杠了，当然我也有这个嫌疑

很多时候是可以做个 thought exercise, 但总归是 problem -> solution

不知道您看的偷车的是哪种方式，如果是所谓的 relay attack 至少也存在 7-8年了。我不是业内人士，只是一知半解，似乎目前还没有有效的阻止措施。最佳办法就是弄个 faraday bag, 到家了把钥匙放里面。是否不去试图解决这个问题，当然不是。但是在没有从根本上解决这个问题之前，是否有简单有效的 work around? 比如说给钥匙配置一个 faraday pouch ... 也许这是一个商机？？？呵呵

DDD888

killkat 发表于 2024-2-19 19:27
您这么说就有些抬杠了，当然我也有这个嫌疑  

很多时候是可以做个 thought exercise, 但总归是 prob ...

当然有的啦，就是装把车头锁，我家的车我就天天晚上用车头锁锁了，主要是遥控器和钥匙被小偷在新西兰奥克兰北岸游泳池浴室抢了，警察早就抓了小偷，但不了了之，你知道的，新西兰对小偷的待遇是多好啊

另外，我花钱做车库的锁，当然不是希望弄个摆设，例如弄根线在门上挂上，说是防止非法进入的解决方案啦，你说对吧？花了钱，总要做的好点，当然啦，任何解决方案都是会被破解的，主要还是个代价的问题，我只要做个木桶里不是那最短的木块就可以了，毕竟水是从最低的那块木块流走的，对车库而言，还有玻璃，小偷可以轻而易举的将玻璃砸碎而登堂入室进行偷窃，所需要的只不过是个石块而已，而不是破解我精心用rust language写的程序运行在raspberry pi上

DDD888

DDD888 发表于 2024-2-20 06:36
当然有的啦，就是装把车头锁，我家的车我就天天晚上用车头锁锁了，主要是遥控器和钥匙被小偷在新西兰奥克 ...

我想浏览器是不可靠的，有太多手段来阅读数据和跟踪javascript,我现在的设计是客户端运行android,用kotlin来写界面，读取android id 和 wifi card mac address，然后用rust language来写库和加密，解密和服务器的通讯，不使用浏览器，应该可以在客户端减少被分析跟踪，通讯是用传统的wifi https,上面传输和服务器的加密数据，这样即使https被破解，仍旧有加密数据保护

wdq2347

小偷偷车不会hack你家的路由器，直接撬开你的车库不是更轻松？
关于路由器设置，Merlin可以划VLAN给合租的人。
UDM SE确实是个好东西，可以给你国内的朋友当VPN服务器一键翻墙。

DDD888

wdq2347 发表于 2024-2-28 10:27
小偷偷车不会hack你家的路由器，直接撬开你的车库不是更轻松？
关于路由器设置，Merlin可以划VLAN给合租的 ...

所以说水是从水桶的最低的那木板处流走啦