Forum

Forum

Loxone 10.5 Beta
 
Notifications
Clear all

Loxone 10.5 Beta

134 Posts
24 Users
4 Likes
19.4 K Views
(@sundevil)
Estimable Member
Joined: 6 years ago
Posts: 197
Topic starter  

@_petr_

 

Pokud mas iPhone tak je to jednoduche ale vypinat to musis manualne nebo si nastavis urcity nazev wifi a vypne se to automaticky.

 

Mimochodem vcera vysla dalsi beta


   
ReplyQuote
 L
(@l)
Famed Member Admin
Joined: 9 years ago
Posts: 3059
 

@_petr_ A na ten port-knocking mas nejakou app, jak na strane klienta, tak serveru? Teoreticky by to mohlo fungovat pekne, ale prakticky potrebujes podporu jak na routeru+firewallu, tak v app.

Jinak by to ale bylo dobre reseni, protoze by se to otevrelo vzdy jen pro danou IP a na omezenou dobu. Akorat v pripade MS1 to jeste neresi jen http pripojeni.

Jinak ja na androidu proste pustim/vypnu VPN rucne pomoci ikony, co sem si dal na hlavni obrazovku. Je sice potreba krok navic, ale uplny automaticky reseni sem nenasel.


   
ReplyQuote
Richard
(@richard)
Member
Joined: 6 years ago
Posts: 1181
 

neblika mi ted nekdo se svetly??? 🙂


   
ReplyQuote
(@_petr_)
Honorable Member
Joined: 6 years ago
Posts: 483
 

@sundevil

iPhone nemám a na androidu to mám na můj vkus na příliš mnoho kliknutí. Možná by to vyřešila výměna telefonu za novější.

Navíc si nejsem jistý, jestli by se dalo udělat, aby výchozí brána nebyla přes VPN, ale přes VPN šla jen komunilace do lokální sítě. Pak by nevadilo trvalé spojení VPN.


   
ReplyQuote
(@_petr_)
Honorable Member
Joined: 6 years ago
Posts: 483
 

@l Na Mikrotiku to udělat jde, ale zatím jsem to nezkusil. Jen jsem chtěl doplnit výčet možností. Kdysi jsem to potřeboval jako pojistku pro přístup k routeru, kdyby přestala fungovat VPN, kterou dělal server. Ale to bylo z notebooku. Našel jsem https://github.com/impalex/knockonports pro android, jak pro iPhone nevím.


   
ReplyQuote
Aleq
 Aleq
(@aleq)
Reputable Member
Joined: 7 years ago
Posts: 440
 

Jen přidám, že obecně se považuje Port-knocking za "security through obscurity", tj. jen takovej doplňek, kterej částečně chrání před port scannerama a podobně náhodnýma kolemjdoucíma. Chvilku jsem to taky provozoval, na linuxovým routeru byl nakonfigurovanej Shorewall s port knockingem a na Androidu jsem měl myslím https://play.google.com/store/apps/details?id=com.xargsgrep.portknocker&hl=cs kterej přes jedinej dotyk na widgetu / shortcutu (teď si přesně nepamatuju) spustil sekvenci na daných portech a pak rovnou pustil Loxone.

Pokud máte v Loxone něco, co by mohlo způsobit reálné škody, doporučil bych se zamyslet nad jejich zajištěním přímo tam - tj. aby se destruktivní akce nedala vůbec z UI provést (spuštění topení na plný výkon při současném vypnutí všech okruhů atd). U mě je to asi opakované proplachování sítka na vodovodním vstupu, což by způsobilo velkou spotřebu vody, tedy finanční ztrátu. Pokud tam něco potencionálně nebezpečného stále máte, pak bych osobně volil raději tu VPN / SSH tunel. Říkám si ale, jestli náhodou u většiny nehrozí tak maximálně ono blikání světlem a přenastavení topení. V tom případě bych si Port knocking dokázal představit. A až v případě krajně nepravděpodobného napadení odstřihnout vnější spojení, změnit hesla, apod.

Co nejhoršího se může stát v případě napadení Loxone? DISCLAIMER - sám provozuji SSH tunel (na 2 kliky, jeden spustí tunel, druhý následně spustí Loxone) a nemám zájem dávat Loxone "ven". Je to taková otevřená otázka do pléna.


   
ReplyQuote
 L
(@l)
Famed Member Admin
Joined: 9 years ago
Posts: 3059
 

@aleq osobne mi prijde uz jedno, jestli na 2 kliky tukani nebo vpn. je pravda, ze se musi zase vypnout, ale nejakou extra krec mi to nezpusobuje 😉

ohledne "co se muze stat". Imho dost. Otevrit branu, otevrit vchodove dvere. Imho dostatecny pruser. A "odstranit z UI" to moc nelze 😉


   
ReplyQuote
Aleq
 Aleq
(@aleq)
Reputable Member
Joined: 7 years ago
Posts: 440
 

Naprostý souhlas. Já jsem zvolil SSH kvůli tomu, že mám Linuxovej router a SSH tam prostě bylo. Jen jsem nainstaloval aplikaci na telefon. Vypínat se to ale taky musí... i když se to vlastně ukončí samo jakmile se připojím na WiFi (implicitní vlastnost JuiceSSH klienta).

S tou bránou nebo dveřmi máš naprostou pravdu. Tohle já v Loxone nemám, tak jsem na to nemyslel. Mám "jen" garážová vrata (odděleno od domu). A ještě mě napadlo velké riziko při integraci s Alarmem...


   
ReplyQuote
Froggg
(@froggg)
Trusted Member
Joined: 4 years ago
Posts: 54
 

Krom výše jmenovaného, možná jsem moc paranoidní, ale Loxone by se taky asi mohl stát bránou dál do domácí sítě, pokud není oddělený úplně fyzicky nebo nějakou vlanou.


   
ReplyQuote
 L
(@l)
Famed Member Admin
Joined: 9 years ago
Posts: 3059
 

@froggg presne tak, mohl. to sem zminoval uz driv a dneska uz na to nebyla sila 😉 defakto cokoli, co je nejak chytre a nema nad tim clovek plnou kontrolu by melo byt v ramci site izolovano.

A zrovna toto mi moc paranoidni neprijde ;-). Loxone je linuxovy system, kdokoli kdo se pres nej dostane do domaci site ma pak plny pristup ke vsemu ostatnimu v siti. Tam pak muze libovolne skodit, protoze ma casu dost 😉

 

To stejne tepelna cerpadla, chytre televize, proste cokoli. Maximalne se muze vest diskuze, jestli VLAN (toho sem zastancem ja) nebo IP masky a firewall pravidla, cehoz je zastancem cybermole 😉


   
ReplyQuote
Froggg
(@froggg)
Trusted Member
Joined: 4 years ago
Posts: 54
 

Jojo, možnosti tuším, jen vždycky zvažuji i pravděpodobnost a rizika, někdy je zbytečné, dělat drahá opatření, když je riziko i pravděpodobnost útoku limitně se blížící nule. Ale zrovna v tomto případě jsem rozhodně pro VPN. A rozhození zařízení v domácí síti do vlan je taky dobré řešení. 

Já bych se do přístupu přes cizí cloud určitě nehrnul. Ale včera jsem zrovna vymýšlel nějaké řízení zavlažování přes mobil. V souvislosti s tím mě napadlo, že bych mohl zkusit vymyslet povolení přihlášení do Loxone přes zaslání kódu SMS kamsi... třeba. Prostě nějaká alternativa doufaktorového ověření, které bude povolovat přístup ne k Loxone ale do sítě, kde je Loxone. Řešit by to šlo přes RPi. Je to trochu šílenost, spíš taková experimentální úloha, ale asi si jí dám na seznam pro dlouhé zimní večery. 🙂


   
ReplyQuote
Froggg
(@froggg)
Trusted Member
Joined: 4 years ago
Posts: 54
 

A co se týká automatického spouštění VPN na telefonu, už jsem o tom psal v dřívějším příspěvku, ale teď jsem náhodou narazil na aplikaci pro Android MacroDroid, kterou jsem se pro ten účel rozhodl vyzkoušet a funguje spolehlivě. Nastavil jsem si spouštěcí akci, že při spuštění aplikace Loxone se mi má spustit VPN klient. A funguje to spolehlivě. Stejně tak lze nastavit vypnutí VPN klienta při vypnutí Loxone aplikace. Kdo má tedy VPN klienta nakonfigurovaného na automatické přihlášení do VPN ihned po spuštění klienta, ten už nemusí nic řešit, já to tak nemám z bezpečnostních důvodů, takže já se musím do té VPN ještě přihlásit. Ale pořád je to jeden klik. MacroDroid toho ale jinak samozřejmě umí mnohem víc, včetně podmínek. Podmínka se hodí pro rozpoznání domácí sítě, protože je nesmysl spouštět VPN, když jsem zrovna doma a aktuálně jsem připojený na stejné síti, na které je i Miniserver.


   
ReplyQuote
(@_petr_)
Honorable Member
Joined: 6 years ago
Posts: 483
 

Když už se tu rozebírají názory na zabezpečení komunikace s MS, tak taky přidám něco k zamyšlení. VPN je podobné bezpečnostní riziko jako jiné otevření portu. Hlavně tedy záleží proti čemu se chce člověk bránít. Jestli proti snahám různých robotů, proti někomu, kdo se rozhodl, že se mi chce dostat do baráku nebo jen nějak škodit, případně dokázat, že systém umí hacknout, nebo proti náhodným odposlechům komunikace, odchycení hesel a jejich zneužití.

Když si pak mám vybrat mezi jednoduchostí používání a bezpečností, tak např u MS1 použít reverzní proxy v DMZ a HTTPS mi přijde komfortní pro uživatele a přijatelně zabezpečené.Teprve pokud bych nedokázal zprovoznit HTTPS, tak bych použil pro šifrování komunikace VPN.

Mnou zmíněné klepání na porty se mi pak jeví jako zajímavá překážka pro roboty (to se týká i VPN), ale za cenu snížení komfortu uživatele.


   
ReplyQuote
 L
(@l)
Famed Member Admin
Joined: 9 years ago
Posts: 3059
 

@froggg Ten macrodroid zni dobre, to vyzkousim. diky

@_petr_ z ceho vychazis, ze VPN je stejne riziko, jako otevreni portu? Jakoze vsechny firmy/korporace/bezpecnosti firmy, co pouzivaji VPN tak, tak jednaji spatne?

Tohle srovnani mi prijde opravdu hodne zavadejici a zajimalo by mne, z ceho tak usuzujes. VPN ma spravu uzivatelu, moznost ruznych bezpecnostnich autentizaci, protokol je velmi dobre overen.

Oproti tomu otevreny port, kdy i napriklad pres https dokazes porad utocit na MS samotny.


   
ReplyQuote
(@_petr_)
Honorable Member
Joined: 6 years ago
Posts: 483
 

@l Myslel jsem to tak, že každý přístup z internetu je riziko a i VPN je otevření portu k nějaké službě. Ta služba je software a ten může obsahovat chybu, kterou lze zneužít a do zařízení se dostat. Nejdůležitější tedy je, jak výrobce reaguje v okamžiku, kdy se taková chyba zjistí. VPN zvládá kdejaké zařízení a mnohokrát bez jakýchkoliv aktualizací. Například PPTP se dnes nepovažuje za bezpečný protokol pro VPN, i když se jistě i dnes na mnoha místech používá. Pokud mi poběží VPN na routeru, tak mi může někdo útočit přímo na něj a když bude chyba v implementaci VPN, tak napadení routeru může být v důsledku horší. Třeba proto, že mi může ovlivnit DNS ...

Tím jen odpovídám na otázku, nikde jsem netvrdil, že VPN je špatné řešení.


   
ReplyQuote
Page 7 / 9
Share: