• Hallo Bezoeker, Het is ons opgevallen dat je nog geen bericht gemaakt hebt! Waarom neem je niet even de tijd om jezelf voor te stellen en nieuwe vrienden te maken.

IoT en security

Skank

Well-Known Member
19 feb 2013
18.707
418
98
Earth
Gevoelig onderwerp :p

Vraagje: vooraleer ik verder ga met google home en stuff... en mn mini al verbind..
Maak ik nu best een apart vln enzo in mn ubiquiti setup?
Vpn?

Of kan ik dat daarna ook..

Ik zou in principe ver kunnen gaan met home assistant ook (maar eerst de basics doen) en zelfs mn alarm koppelen... (dat kan blijkbaar) alleen.. ik wil het straks niet supermakkelijk maken voor de krakers...
 

demon

Administrator
Medewerker
19 feb 2013
1.955
95
79
Zorg gewoon dat alles enkel maar via het interne netwerk te bereiken is, en home assistant bijvoorbeeld lokaal/internet, met goed password en 2fauth
 

jvanhambelgium

Well-Known Member
25 feb 2013
2.673
207
73
Zolang je idd niet begint met alles open en bloot "vanop internet" bereikbaar te maken heb je ongeveer 99.999% minder kans op problemen.
VLAN's zijn hier geen zaligmakende oplossing, ze geven idd wat meer "opsplitsing" maar dat is maar een deeltje van het verhaal, een VLAN kan helpen indien je IoT device reeds besmet is om het beter te "containen". Zorg ook intern op al je andere toestellen voor een goede login, gebruik niet de standaard accounts (vb "admin") die de producten voorzien etc.

Vb Mijn NAS'sen hebben niet meer de "fabrieks" gebruiker "admin" en ook "Guest" gebruiker enz zijn disabled.
 

Skank

Well-Known Member
19 feb 2013
18.707
418
98
Earth
Zorg gewoon dat alles enkel maar via het interne netwerk te bereiken is, en home assistant bijvoorbeeld lokaal/internet, met goed password en 2fauth

ja hoe doe ik dat met ubiquiti?
Mn harmony hub kan ik bv vanoveral bedienen. hoe weet ik nu of da safe is?
 

jvanhambelgium

Well-Known Member
25 feb 2013
2.673
207
73
ja hoe doe ik dat met ubiquiti?
Mn harmony hub kan ik bv vanoveral bedienen. hoe weet ik nu of da safe is?
Als het een device/hub is zou een goed ontwerp zijn dat de hun zelf een versleutelde verbinding opzet naar servers bij Logitech. Dus in de richting BINNEN -> BUITEN. Geen enkel probleem.
Zo doet mijn VERA het ook. Die zetten een SSH verbinding op (= call-home) en het cloud-platform van VERA "relayed" als ik op m'n phone de mobile-app gebruik. Volledig veilig en ik merk geen latency eigenlijk.
Maar opgelet : het product heeft geen Internet nodig om te werken en is volledig autonoom in huis (in tegenstelling tot Samsung spullen vb die voor alles naar de cloud moeten)

Ik mag hopen dat de setup van de Harmony hetzelfde is ? Je moet dat eens opzoeken. Zaken als "Upnp" zijn niet zo veilig (=gebruikt om gaten in je firewall te prikken maar het probleem is dat UPNP geen concept van authenticatie kent waardoor een duivels/infected device eigenlijk je firewall kan openen zonder tussenkomst ;-)
 

Skank

Well-Known Member
19 feb 2013
18.707
418
98
Earth
sorry ik bedoelde hue hub
maar eigenlijk ja, harmony ook, denk ik
not sure
als ik tegen mn telefoon spreek ergens anders, dan kan ik tv aan en utizetten
 

Skank

Well-Known Member
19 feb 2013
18.707
418
98
Earth
@broodrooster: kan jij me helpen? om zeker te zijn dat alles afgeschermd is :p
 

jvanhambelgium

Well-Known Member
25 feb 2013
2.673
207
73
HUE zet vb een verbinding op met het HUE cloud platform.
Als ik even in m'n firewall kijk

Src. Address intern-ip:36176
Dst. Address 34.90.173.53:443 (=Philips HUE cloud)
Reply Src. Address 34.90.173.53:443
Reply Dst. Address extern-isp-ip:36176
Protocol 6 (tcp)
Connection Type
Connection Mark
Timeout 23:59:53
TCP State established
Statistics
Orig./Repl. Rate 0 bps/0 bps
Orig./Repl. Bytes 330.5 KiB/278.5 KiB
Orig./Repl. Packets 7 053/5 860
 

jvanhambelgium

Well-Known Member
25 feb 2013
2.673
207
73
Jan , sorry ze maar chinees voor mij :p
Awel je ziet gewoon een versleutelde TCP-sessie tussen de HUE HUB en het HUE Cloudplatform (=IP adres 34.x.y.z) op poort 443 (SSL/TLS)
Die staat bijna 24h "open" (van binnen naar Internet) en op die tijd is er 330kbytes naar HUE cloud gegaan en 278Kbytes ontvangen.
Dit is gewoon om een voorbeeld te geven hoe zo'n hubje/gateway dikwijls connectie opzet met het thuisfront.
 

Skank

Well-Known Member
19 feb 2013
18.707
418
98
Earth
ok :)

maar mn vraag blijft eigenlijk of ik iets moet wijzigen aan mn huidige out of the box ubiquiti setup

Inzake veiligheid, als ik hier alles opzet...
 

krikri

Well-Known Member
3 mei 2015
1.509
156
66
Je zal toch eerst wat moeten bijleren o.p.v netwerkinstellingen, zo moeilijk is dat nu ook weer niet :) andere opties zijn om er gewoon niet aan te beginnen , of om binnen een ecosysteem te blijven zodoende dat ge niet teveel moet ineen knutselen. Andere optie is om het gewoon te aanvaarden dat de Russen, Chinezen etc af en toe eens komen piepen of alles nog in orde is 😁
 
  • Vind ik leuk
Reactions: broodro0ster

broodro0ster

Administrator
Home-Theater Goud
24 apr 2014
4.101
320
113
De Harmony hub zet ook een versleutelde connectie op de cloud en doet geen UPNP.
Een goed begin is UPNP afzetten op de firewall om het veiliger te maken. Mogelijks kunnen er daardoor oude apparaten niet goed meer werken, dus hou dat goed in de gaten. Indien je toch UPNP nodig hebt, dan kan je er voor kiezen om UPNP2 te gaan gebruiken, maar dit moet je manueel configureren in de config van de controller.

Alles op een aparte VLAN gaan steken kan veiliger zijn, maar dat kan ook voor problemen zorgen. Zeker als je niet vertrouwd met de materie bent.
Als je het wilt proberen, dan moet zeker de reflector configureren zodat de broadcasts werken tussen 2 subnets.
Hier is het stukje code daarvoor: https://community.ui.com/questions/...6#answer/6867498b-f9a0-490e-8ad8-319fb44e55c4