<div dir="auto">Grazie</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il mer 5 mag 2021, 11:08 Lucio Crusca via SLiP <<a href="mailto:slip@liszt.softwareliberopinerolo.org">slip@liszt.softwareliberopinerolo.org</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Il 04/05/21 16:59, carlo b via SLiP ha scritto:<br>
> Noi del gruppo arduino utilizziamo telegram per i nostri progetti verso <br>
> internet. <br>
<br>
Qui ho bisogno di qualche dettaglio in più per capire. Come si realizza <br>
la comunicazione remota fra l'hardware e l'utente? Io mi immagino, ma <br>
magari mi sbaglio, che l'hardware di turno abbia un software in <br>
esecuzione che parla periodicamente (per esempio ogni tot secondi) ad un <br>
bot di Telegram, giusto?<br>
<br>
Immagino poi che questo bot di Telegram sia l'interfaccia con cui <br>
l'utente visualizza lo stato dei sensori ed invia comandi attraverso <br>
pulsanti o caselle di testo, giusto?<br>
<br>
Ed immagino infine che tale bot di Telegram richieda un'autenticazione <br>
tipo utente/password o sia in qualche altro modo strettamente legato <br>
all'utente, in modo che solo il proprietario dell'hardware possa vedere <br>
ed interagire da remoto, giusto?<br>
<br>
Se fin qui è tutto giusto e se la strada di Telegram (versione <br>
ufficiale) è quella che continuerete a seguire, temo che ci sia poco che <br>
si possa fare per migliorare la sicurezza, in quanto il server ufficiale <br>
di Telegram non è software libero e non è possibile installarsi un <br>
proprio server ufficiale di Telegram (in gergo, Telegram non è un <br>
sistema federato).<br>
<br>
Detto questo, a seconda dei casi, potrebbe non essere neppure così <br>
necessario aumentare la sicurezza della soluzione.<br>
<br>
> Lettura sensori e controlli vari.<br>
> Tutto questo funziona bene ma siamo limitati all'uso di pulsanti per i <br>
> comandi e per immissione dati necessita<br>
> utilizzare la riga immissione testo, poco pratica.<br>
<br>
Che tipo di interfaccia ti piacerebbe avere in alternativa <br>
all'immissione del testo per inviare dati?<br>
<br>
> Pensavamo di <br>
> acquistare uno spazio in rete ma non abbiamo<br>
> abbastanza conoscenze per quanto riguarda la sicurezza.<br>
<br>
Qualsiasi VPS è sufficientemente sicuro per questo tipo di utlizzo, <br>
nella misura in cui non ci si metta a controllare da remoto <br>
l'attivazione dell'antifurto di casa o cose del genere.<br>
<br>
La parte eventualmente poco sicura non è tanto il server che si va ad <br>
acquistare, quanto le applicazioni che poi ci si installano.<br>
<br>
<br>
<br>
Il 02/05/21 19:14, giorgio boiero via SLiP ha scritto:<br>
> Per il momento abbiamo attivato alcuni server nelle nostre reti locali<br>
> Ci piacerebbe approfondire con chi è più esperto di noi di cybersecurity<br>
> (Davide, Lucio, Alessandro, Luca) se e come fosse possibile poter<br>
> accedere in sicurezza a questi server e servizi dall'esterno della<br>
> propria rete domestica<br>
> Come configurare il port forwarding dei nostri router, installare un VPN<br>
> ed utilizzarla (tipo lo script di Lucio per Wireguard)<br>
<br>
Sì, in questo caso (cioè senza usare Telegram ufficiale) una VPN con <br>
Wireguard è sicuramente una soluzione che offre tutta la sicurezza di <br>
cui avete bisogno, almeno dal punto di vista della connettività.<br>
<br>
Certo che se poi si installa Wireguard sul cellulare, ma si lascia il <br>
cellulare sbloccato ed incustodito sul tavolino del bar, non c'è VPN che <br>
tenga. Come sempre il fattore umano è l'anello più debole della catena.<br>
<br>
<br>
<br>
> etc.. o se<br>
> sarebbe meglio far girare il server e i containers in un VPS remota,<br>
<br>
Dal punto di vista della sicurezza assolutamente no: un VPS, una volta <br>
che ci installi istanze docker con tutta quella roba che hai citato, è <br>
sicuro quanto una prostituta a spasso nel Bronx.<br>
<br>
La soluzione più sicura è avere un server in rete locale (cioè a casa) <br>
ed accedervi via VPN, senza aprire alcuna porta sul router, tranne <br>
quella per far funzionare la VPN (di default la 12345/udp nello script <br>
che ho fatto). A questo va aggiunto un servizio di DNS dinamico, in modo <br>
che il riavvio del router e relativo cambio di indirizzo IP pubblico non <br>
creino problemi. Essendo la sicurezza l'argomento di questo thread, <br>
direi che anche il router sarebbe da tenere aggiornato e suggerisco di <br>
avere un router su cui si possa installare un firmware libero, in modo <br>
da essere più tranquillo della disponibilità di tempestivi aggiornamenti <br>
di sicurezza (io per esempio uso un Asus RT-AC51U).<br>
-- <br>
SLiP mailing list<br>
<a href="mailto:SLiP@liszt.softwareliberopinerolo.org" target="_blank" rel="noreferrer">SLiP@liszt.softwareliberopinerolo.org</a><br>
<a href="https://liszt.softwareliberopinerolo.org/listinfo/slip" rel="noreferrer noreferrer" target="_blank">https://liszt.softwareliberopinerolo.org/listinfo/slip</a><br>
</blockquote></div>