Forum

Forum

Loxone Gen1 bezpecn...
 
Notifications
Clear all

Loxone Gen1 bezpecnost HTTP vs. Gen2 a HTTPS  

Page 2 / 2
  RSS

Kynio
(@kynio)
Eminent Member
Joined: 1 year ago
Posts: 32
21/02/2020 9:28 pm  

Takže veřejná IP, port forwarding na routeru a skrytá wifi, není vlastně vůbec žádné zabezpečení, že? 


ReplyQuote
librucha
(@librucha)
Active Member
Joined: 3 months ago
Posts: 8
21/02/2020 9:37 pm  

@kynio

Pokud nepouzivas nezabepecene site, kde muze tvoji komunikaci s Loxonem nekdo ochuchavat (sniffing) tak ti tolik nebezpeci nehrozi.

Maximalne ti muze nekdo zneprijemnit pouzivani zahlcenim toho interface, ale pokud to neudela dostatecne chytre, tak si s tim poradi firewall providera. Blbe je ze ti nekdo muze zadavat schvalne spatne heslo a Loxone pak blokuje pristup (pravdepodobne na zaklade IP). Jestlli to zablokuje pristup z toho routeru, kde je nastaveny ten forward musim jeste vyzkouset.


ReplyQuote
Kynio
(@kynio)
Eminent Member
Joined: 1 year ago
Posts: 32
21/02/2020 9:42 pm  
  1. Prakticky vždy z venku přistupuji jen přes data z mobilu a app loxone. Pokud jsem někde na WiFi, vždy je zabezpečená - na free wifi v šalině nebo v KFC by mě to samozřejmě nenapadlo. Firewall na routeru také zapnutý. 

ReplyQuote
elpaso
(@elpaso)
Honorable Member
Joined: 3 years ago
Posts: 500
22/02/2020 7:36 am  

@librucha

me by zajimalo jak si predstavujes, ze si stim poradi FW na strane ISP, kterej do te komunikace na 99,9% nevstupuje


ReplyQuote
librucha
(@librucha)
Active Member
Joined: 3 months ago
Posts: 8
22/02/2020 9:02 am  

@elpaso

Pokud máš solidního ISP, tak tu komunikaci monitoruje a dokáže vyhodnotit DOS útok a danou IP zařízne. Pokud nemáš, tak si to nastavíš na tom svém prvním routeru. Asi neodhalíš DDOS, ale to by na tebe musel útočit někdo zdatný a tato pravděpodobnost je dost malá. 😉 


ReplyQuote
elpaso
(@elpaso)
Honorable Member
Joined: 3 years ago
Posts: 500
22/02/2020 4:02 pm  

@librucha

imho todle zadny ISP pro "koncaky" nedela... ja jedu vlastni IDP/IPS a kompletne otevreny honeypot... takze kdokoli kdo si u me bude chtit "hrat" tak si rozhodne zacne hrat s 22,80,443,445,3389 apod a muj "random" loxone port necha napokoji


ReplyQuote
librucha
(@librucha)
Active Member
Joined: 3 months ago
Posts: 8
22/02/2020 9:34 pm  

@elpaso

Pokud po tom Loxonu nepujde cilene... Oskenovat tu verejnou adresu nmapem neni nic tezkeho a Loxone se na tom HTTP portu priznava, ze tam bezi.

<!DOCTYPE html>
<html>
<head>
<!-- process:template:electron
<title>Loxone Smart Home</title>
/process -->

Zkus se najit tady.


ReplyQuote
elpaso
(@elpaso)
Honorable Member
Joined: 3 years ago
Posts: 500
22/02/2020 11:19 pm  

@librucha

tam koukam 2x do mesice 🙂

nicmene nejsem si jistej, ze nekdo scanuje TCP1-65k... imho todle scanujou lidi, co nenajdou otevrene standardni porty. takze zakladni je mit pro loxone port 62134 a 99% scaneru te uplne preskoci...


ReplyQuote
librucha
(@librucha)
Active Member
Joined: 3 months ago
Posts: 8
22/02/2020 11:21 pm  

@elpaso

Dobry hint, ale zatim radeji zustanu pod VPN, na telefonu ji mam zapnutou trvale, takze me to vlastne v nicem neomezuje.


ReplyQuote
msk
 msk
(@dusanmsk)
Noble Member Moderator
Joined: 4 years ago
Posts: 1128
24/02/2020 9:23 am  

Ja som asi z povolania paranoik, takze sa akurat dobre bavim :D. Ono skor nez pojde niekto cielene moj barak vykradnut je pravdepodobnejsi nejaky zdatny pubertak vedla z ulice, co som ho posledne za nieco spicoval, tak sa skusa pomstit :D. Ale ano, aj ta pravdepodobnost je relativne mala.

Honeypot je dobry hint, nechapem preco som ho dodnes neimplementoval.


ReplyQuote
librucha
(@librucha)
Active Member
Joined: 3 months ago
Posts: 8
27/02/2020 9:49 pm  

Tak jsem to nakonec vyresil tak, ze jsem stary miniserver prodal a koupil Gen2. Ted to jede pres SSL a mam aspon trochu klid. 😀 


ReplyQuote
Daver
(@daver)
Estimable Member
Joined: 2 years ago
Posts: 118
01/03/2020 1:39 pm  

Ještě je možnost virtuálního serveru na nějakém lepším routeru (případně na serveru v síti), který se bude prsit ven ssl a zezadu bude http na loxone. Ale osobně bych nechtěl aby mi loxone čuměl do netu jakkoliv, najde se tam chyba v implementaci a může to být i nebezpečné (nebo minimálně hodně drahé).  


ReplyQuote
librucha
(@librucha)
Active Member
Joined: 3 months ago
Posts: 8
01/03/2020 5:56 pm  

@daver

To zalezi co doma ne te siti mas. rekl bych ze nic tak cenneho. Ve firme je to asi neco jineho, ale muzes to drzet cele v jinem subnetu. Pak ti ta reverzni proxy gela gateway dovnitr a ven to mas pod kontrolou pres firewall.


ReplyQuote
Daver
(@daver)
Estimable Member
Joined: 2 years ago
Posts: 118
01/03/2020 7:57 pm  

Přesně, my živnostníci máme doma firmu a myslím si, že soukromý majetek je mnohem hodnotnější. Na druhou stranu já spíš myslel bezpečnost obyvatel. Osobně to mám napojené na VZT, světla, žaluzie. Světla a žaluzie jsou asi ok, krom infarktu v noci by nic hrozit nemělo, ale rozhodit ventilátory pro sání a odtah na VZT, vytvořit podtlak/přetlak - v lepším případě bude problém otevřít dveře v tom horším mi to roztrhá parotěs atd ... 

Jinak samozřejmě vlastní VLAN, ven povolit pouze na aktualizaci, pokud vůbec, dovnitř absolutně nic a zbytek za VPN a ještě přes firewall.  

This post was modified 3 months ago by Daver

ReplyQuote
Page 2 / 2
Share: