APRS - безопасность, права доступа

[UA3MQJ]

Как показывает практика, в современной сети APRS имеют место быть проблемы с обеспечением безопасности. Вот небольшой список выявленных мной проблем:

1 Проблема доступа к APRS серверам. Аккаунты для доступа к APRS серверам выдаются через форму на сайте. Зарегистрировать несуществующий позывной или позывной радиолюбителя, не занимающегося APRS не составляет проблемы. В это время в Эхолинк эта проблема решена сами знаете как.
Не понятно как APRSCE узнает мой пароль для доступа, если я его не вводил.
Таким образом, имеется возможность получить доступ на запись данных в глобальную систему APRS в интернете, не являясь радиолюбителем, не имея позывного или под чужим позывным. Я уже не говорю про то, что callass для доступа с серверам совершенно никак не связан с тем, какие пакеты и с каким позывным будет посылать эта станция в интернет (в связи с digi проблема неоднозначная).

2 Проблема доступа к радиоканалу. Известно, что радиотехника становится доступной и услышать теперь unlis можно не только на 430, но и даже на 145. Так же есть возможность встретить нелегальные станции и в радиосети APRS. Эту проблему точно не решить.

3 Проблема доступа к программным продуктам для работы сети APRS. Любой человек при желании может скачать себе APRS программу и начать с ней работать. На сколько мне известно, только UI-View просит при первом запуске ввести имя, позывной и пароль. Но есть кряк, который позволит это обойти и работать хотябы в радиоэфире, используя UI-View.

4 Проблема гейтования. При работе мостом между интернетом и радиоканалом, станция выполняющая эти действия может передать не радиолюбительский позывной. В интернет APRS сети достаточно много позывных станций, которые транслировать в радиоэфир не нужно. В последнее время столкнулись с обратной проблемой: в радиоэфире на любительских частотах появляются станции, которые не являются любительскими, а поэтому их нельзя передавать в интернет APRS сеть.

Как правило, в сетях, за информацию, переданную через гейт отвечает его хозяин. Во первых потому, что его техника; во-вторых: в эфир вещает его аппаратура. Поэтому, как и в других сетях, хозяин может назначать свои правила для работы системы.

В данной теме предлагаю высказать Ваши идеи и мысли о том, как ограничить доступ к разным частям системы APRS.

Добавлено через 14 минут
Думаю, что проблема доступа через радиоканал является самой интересной, т.к. мы можем на нее повлиять, в то время, как устройство интернет сети нам практически неподвластно.

Предлагаю подумать, дать примеры и обсудить решения - как отличить радиолюбителя от "чужого"? Решения должны быть действенны не смотря на то, что "враг" может читать эту тему.

Для затравки:
- Пакет, передаваемый от мобильной или базовой станции гейту, содержит в себе достаточно много информации: позывной APRS, позывной самой станции, путь, текст маяка. Внутри этих полей могут быть предусмотрены какие-то секреты, типа особого APRS позывного или особого пути или особый SSID или особое слово в сообщении. Только при выполнении этого условия гейт передаст пакет. Узнать эту особенность - это только вопрос времени. К тому же, можно быть радиолюбителем и не знать про нее.

- Вести списки доступа по позывным, которые имеют право доступа к гейту. Однако никто не защитит от использовании чужого позывного.

- Использовать субтон. Это баян.

- Использовать фильтры по расположению станции в пространстве, но можно оказаться в не обслуживаемой зоне.

- Использовать особый запрос - ответ для станции и гейта. Но для этого нужно разрабатывать новое программное обеспечение. При этом теряется связь с честными р/л на стандартном ПО.

- О! Вещать в маяке ключ телеграфом на скорости 150 знаков

- регистрировать пользователей гейта, регулярно менять ключ и рассылать его своим пользователям по электронной почте.

[UA3MQJ]

T2RUSSIA

[UA1CEC]

Интересно...
Что-то давно я не заглядывал на http://russia.aprs2.net:14501
Много таких видно?

[RZ3DHN]

T2RUSSIA

GAGARIN был реальный объект в виде памятника. Обозначал его я к 12 апреля Дню космонавтики.

Праздник прошёл, объект убрал. Тоже пища для размышлений с таким вот случаем.

[RD3AVS]

GAGARIN был реальный объект в виде памятника

Что это твой объект - было видно из пакетов. А вот остальные да и таких все больше появляется! Я встречал Istok и Xoxol!

[RK1AT]

Все эти псевдопозывные попали в сеть через шлюз UB3AAZ-3 по радиоканалу через Device: Yaesu: VX-8 (ht)

Вот их путь:
XEP-1>5U4U12 via WIDE1-1,WIDE2-1,qAS,UB3AAZ-3 (good patch)
xxxx-1>5U4U12 via WIDE1-1,WIDE2-1,qAS,UB3AAZ-3

LOH-1>5U4U12 via UB3AAZ-3*,WIDE2-1,qAS,RN3DDW-10
LUZER-1>5U4U12 via WIDE1-1,WIDE2-1,qAS,UB3AAZ-3 VX-8

Вопрос, для чего UB3AAZ выступать дигипитером для этого ?

Прокомментирую скриншот стартопика. Посколько сервер T2R находится в Москве, поэтому и были показаны все московские станции, вблизи текущей позиции для T2RUSSIA.
Таим образом, весь этот бардак попадает через радиканал по Москве и московские шлюзы в сеть. Организаторам шлюзов необходимо настроить фильтра на исключения этих "позывных" из списка дигипитирования.

[RZ3DHN]

Все эти псевдопозывные попали в сеть через шлюз UB3AAZ-3 по радиоканалу через радиостанцию VX-8

Вот их путь:
XEP-1>5U4U12 via WIDE1-1,WIDE2-1,qAS,UB3AAZ-3 (good patch)
xxxx-1>5U4U12 via WIDE1-1,WIDE2-1,qAS,UB3AAZ-3

LOH-1>5U4U12 via UB3AAZ-3*,WIDE2-1,qAS,RN3DDW-10
LUZER-1>5U4U12 via WIDE1-1,WIDE2-1,qAS,UB3AAZ-3 VX-8

Вопрос, для чего UB3AAZ выступать дигипитером для этого ?

Прокомментирую скриншот стартопика. Посколько сервер T2R находится в Москве, поэтому и были показаны все московские станции, вблизи текущей позиции для T2RUSSIA.
Таим образом, весь этот бардак попадает через радиканал по Москве и московские шлюзы в сеть. Организаторам шлюзов необходимо настроить фильтра на исключения этих "позывных" из списка дигипитирования.

Дело не в исключении(это сразу сделали), а в доступе только своим. Подскажите как в UI-View сделать этот доступ только своим и я сделаю тут же.

[RK1AT]

Андрей, пока только исключением Exclude в UI всех возможных вариантов пакостей, там места много в листе, можно добавлять.

[RN3DDW]

Exclude list по моему еще и маска работает H* i* ну и так далее

[RZ3DHN]

Exclude list по моему еще и маска работает H* i* ну и так далее

Exlude/Include list- это чтоб глазки не мозолило, когда вы смотрите на карту в UI. На пропуск пакетов и диджирепитинга функция абсолютно не влияет.

Жёстко пропись в двух конфиг файлах. Один для не пересылки в инет, другой чтоб не повторять в эфир дебильный позывной.
И представим ситуацию когда надо круглосуточно втыкать в карту и смотреть выдумки "композиторов". Но пакет то вы точно пропустите, а уж потом его можно ограничить при условии доступа к гейту в любой точке мира. Это тупиковый путь.

[RD3AVS]

Вопрос, для чего UB3AAZ выступать дигипитером для этого ?

Судя по обсуждению на форуме avtokanal.com/forum/11-552-1 данный товарищ активный пользователь автоканала и начал там продвигать APRS.
И так понимаю, ни один я его пытался найти на просторах Инета и эфира. На мои запросы он просто не отвечает. Хотя в четверг обсуждались в автоканале мои пакеты из Звенигорода.

[RA1AMW]

Юрий RK1AT попросил меня прокомментировать этот случай.
Мое мнение, надо из недостатка сделать выгоду.
т.е. попытаться провести разъяснение и приемущество легального использьвания системы АPRS. По крайней мере возник интерес к системе(а это не так уж и плохо) и появление нелегалов это неизбежный процесс. Тут уж ни куда от этого не деться. Другое дело интересующиеся адекватные нелегалы с которыми можно иметь отношение, и другое дело не адекватные. Тут ужо ничего не попишешь, за исключение того, что их прописать в Ecxlud list.
Но еще раз повторяю, лучше постараться найти с ними контакт.
Не все и не Все так уж плохи как нам кажеться.

Добавлено через 38 минут
К проблема по ширше, а к людам помягше!

[RX1AL]

Народ, проблема известна давно и не стоит изобретать колесо. Первое, существуют рабочие группы,
которые уже в этом направлении работают:
1. http://groups.yahoo.com/group/aprsisce/message/152
2. http://www.tapr.org/pipermail/aprssi...st/034110.html
Принцип заключается в том, что генерится уникальный APRS-IS passcode, который позволяет сделать
следующее. Ниже цитата из первоисточника:
"If you don't have a valid password that matches your callsign (-SSID doesn't matter), then you'll see data
from the -IS, but won't be able to send anything TO the -IS." На GitHub лежит исходный код для такого
приложения по управлению запросами для passcode:
3. https://github.com/ge0rg/aprs-passcode-web - написан на Python. Но написать на чем-то другом тоже
можно, если надо.
В серверную часть APRS-IS уже встроена система для аутентификации (authentication). Надо просто написать
Питу и узнать подробности и текущее состояние. Насколько известно, Мартти OH2RDK тоже делал нечто подобное:
http://wiki.ham.fi/Aprx.en

Стоит начать с них, как авторов софта и реализации функциональности.

[UA3MQJ]

Мое мнение, надо из недостатка сделать выгоду.
т.е. попытаться провести разъяснение и приемущество легального использьвания системы АPRS.

Правильно. Я уже попытался завести разговор в той теме.

Тут встает очень сложный для меня вопрос: стоит ли давать позывные автомобилистам, которые будут использовать любительское радио ТОЛЬКО как замену каналу gprs и платным системам контроля положения авто. С другой стороны, позывные получают практически все желающие, кто сумел накопить на портативку.

[RA1AMW]

Уверяю Вас что массового притока мнимых радиолюбителей-автолюбителей не будет. Сомнительная выгода-халява.
Практика позаывает что остаються только настоящие энтузиасты.