IoT en security

[Skank]

Gevoelig onderwerp

Vraagje: vooraleer ik verder ga met google home en stuff... en mn mini al verbind..
Maak ik nu best een apart vln enzo in mn ubiquiti setup?
Vpn?

Of kan ik dat daarna ook..

Ik zou in principe ver kunnen gaan met home assistant ook (maar eerst de basics doen) en zelfs mn alarm koppelen... (dat kan blijkbaar) alleen.. ik wil het straks niet supermakkelijk maken voor de krakers...

 

[demon]

Zorg gewoon dat alles enkel maar via het interne netwerk te bereiken is, en home assistant bijvoorbeeld lokaal/internet, met goed password en 2fauth

 

[jvanhambelgium]

Zolang je idd niet begint met alles open en bloot "vanop internet" bereikbaar te maken heb je ongeveer 99.999% minder kans op problemen.
VLAN's zijn hier geen zaligmakende oplossing, ze geven idd wat meer "opsplitsing" maar dat is maar een deeltje van het verhaal, een VLAN kan helpen indien je IoT device reeds besmet is om het beter te "containen". Zorg ook intern op al je andere toestellen voor een goede login, gebruik niet de standaard accounts (vb "admin") die de producten voorzien etc.

Vb Mijn NAS'sen hebben niet meer de "fabrieks" gebruiker "admin" en ook "Guest" gebruiker enz zijn disabled.

 

[Skank]

Zorg gewoon dat alles enkel maar via het interne netwerk te bereiken is, en home assistant bijvoorbeeld lokaal/internet, met goed password en 2fauth

ja hoe doe ik dat met ubiquiti?
Mn harmony hub kan ik bv vanoveral bedienen. hoe weet ik nu of da safe is?

 

[jvanhambelgium]

ja hoe doe ik dat met ubiquiti?
Mn harmony hub kan ik bv vanoveral bedienen. hoe weet ik nu of da safe is?

Als het een device/hub is zou een goed ontwerp zijn dat de hun zelf een versleutelde verbinding opzet naar servers bij Logitech. Dus in de richting BINNEN -> BUITEN. Geen enkel probleem.
Zo doet mijn VERA het ook. Die zetten een SSH verbinding op (= call-home) en het cloud-platform van VERA "relayed" als ik op m'n phone de mobile-app gebruik. Volledig veilig en ik merk geen latency eigenlijk.
Maar opgelet : het product heeft geen Internet nodig om te werken en is volledig autonoom in huis (in tegenstelling tot Samsung spullen vb die voor alles naar de cloud moeten)

Ik mag hopen dat de setup van de Harmony hetzelfde is ? Je moet dat eens opzoeken. Zaken als "Upnp" zijn niet zo veilig (=gebruikt om gaten in je firewall te prikken maar het probleem is dat UPNP geen concept van authenticatie kent waardoor een duivels/infected device eigenlijk je firewall kan openen zonder tussenkomst ;-)

 

[Skank]

sorry ik bedoelde hue hub
maar eigenlijk ja, harmony ook, denk ik
not sure
als ik tegen mn telefoon spreek ergens anders, dan kan ik tv aan en utizetten

 

[Skank]

@broodrooster: kan jij me helpen? om zeker te zijn dat alles afgeschermd is

 

[jvanhambelgium]

HUE zet vb een verbinding op met het HUE cloud platform.
Als ik even in m'n firewall kijk

Src. Address	intern-ip:36176
Dst. Address	34.90.173.53:443 (=Philips HUE cloud)
Reply Src. Address	34.90.173.53:443
Reply Dst. Address	extern-isp-ip:36176
Protocol	6 (tcp)
Connection Type
Connection Mark
Timeout	23:59:53
TCP State	established
Statistics
Orig./Repl. Rate	0 bps/0 bps
Orig./Repl. Bytes	330.5 KiB/278.5 KiB
Orig./Repl. Packets	7 053/5 860

 

[Skank]

Jan , sorry ze maar chinees voor mij

 

[jvanhambelgium]

Jan , sorry ze maar chinees voor mij

Awel je ziet gewoon een versleutelde TCP-sessie tussen de HUE HUB en het HUE Cloudplatform (=IP adres 34.x.y.z) op poort 443 (SSL/TLS)
Die staat bijna 24h "open" (van binnen naar Internet) en op die tijd is er 330kbytes naar HUE cloud gegaan en 278Kbytes ontvangen.
Dit is gewoon om een voorbeeld te geven hoe zo'n hubje/gateway dikwijls connectie opzet met het thuisfront.

 

[Skank]

ok

maar mn vraag blijft eigenlijk of ik iets moet wijzigen aan mn huidige out of the box ubiquiti setup

Inzake veiligheid, als ik hier alles opzet...

 

[krikri]

Je zal toch eerst wat moeten bijleren o.p.v netwerkinstellingen, zo moeilijk is dat nu ook weer niet andere opties zijn om er gewoon niet aan te beginnen , of om binnen een ecosysteem te blijven zodoende dat ge niet teveel moet ineen knutselen. Andere optie is om het gewoon te aanvaarden dat de Russen, Chinezen etc af en toe eens komen piepen of alles nog in orde is

 

[Chr1st0f]

Hier kan je al iets van leren:

 

[broodro0ster]

De Harmony hub zet ook een versleutelde connectie op de cloud en doet geen UPNP.
Een goed begin is UPNP afzetten op de firewall om het veiliger te maken. Mogelijks kunnen er daardoor oude apparaten niet goed meer werken, dus hou dat goed in de gaten. Indien je toch UPNP nodig hebt, dan kan je er voor kiezen om UPNP2 te gaan gebruiken, maar dit moet je manueel configureren in de config van de controller.

Alles op een aparte VLAN gaan steken kan veiliger zijn, maar dat kan ook voor problemen zorgen. Zeker als je niet vertrouwd met de materie bent.
Als je het wilt proberen, dan moet zeker de reflector configureren zodat de broadcasts werken tussen 2 subnets.
Hier is het stukje code daarvoor: https://community.ui.com/questions/...6#answer/6867498b-f9a0-490e-8ad8-319fb44e55c4