Forum

Forum

Loxone Gen1 bezpecn...
 
Notifications
Clear all

Loxone Gen1 bezpecnost HTTP vs. Gen2 a HTTPS

29 Posts
11 Users
0 Likes
4,448 Views
(@kynio)
Estimable Member
Joined: 5 years ago
Posts: 106
 

Takže veřejná IP, port forwarding na routeru a skrytá wifi, není vlastně vůbec žádné zabezpečení, že? 


   
ReplyQuote
(@librucha)
Active Member
Joined: 4 years ago
Posts: 8
 

@kynio

Pokud nepouzivas nezabepecene site, kde muze tvoji komunikaci s Loxonem nekdo ochuchavat (sniffing) tak ti tolik nebezpeci nehrozi.

Maximalne ti muze nekdo zneprijemnit pouzivani zahlcenim toho interface, ale pokud to neudela dostatecne chytre, tak si s tim poradi firewall providera. Blbe je ze ti nekdo muze zadavat schvalne spatne heslo a Loxone pak blokuje pristup (pravdepodobne na zaklade IP). Jestlli to zablokuje pristup z toho routeru, kde je nastaveny ten forward musim jeste vyzkouset.


   
ReplyQuote
(@kynio)
Estimable Member
Joined: 5 years ago
Posts: 106
 
  1. Prakticky vždy z venku přistupuji jen přes data z mobilu a app loxone. Pokud jsem někde na WiFi, vždy je zabezpečená - na free wifi v šalině nebo v KFC by mě to samozřejmě nenapadlo. Firewall na routeru také zapnutý. 

   
ReplyQuote
elpaso
(@elpaso)
Prominent Member
Joined: 7 years ago
Posts: 826
 

@librucha

me by zajimalo jak si predstavujes, ze si stim poradi FW na strane ISP, kterej do te komunikace na 99,9% nevstupuje


   
ReplyQuote
(@librucha)
Active Member
Joined: 4 years ago
Posts: 8
 

@elpaso

Pokud máš solidního ISP, tak tu komunikaci monitoruje a dokáže vyhodnotit DOS útok a danou IP zařízne. Pokud nemáš, tak si to nastavíš na tom svém prvním routeru. Asi neodhalíš DDOS, ale to by na tebe musel útočit někdo zdatný a tato pravděpodobnost je dost malá. 😉 


   
ReplyQuote
elpaso
(@elpaso)
Prominent Member
Joined: 7 years ago
Posts: 826
 

@librucha

imho todle zadny ISP pro "koncaky" nedela... ja jedu vlastni IDP/IPS a kompletne otevreny honeypot... takze kdokoli kdo si u me bude chtit "hrat" tak si rozhodne zacne hrat s 22,80,443,445,3389 apod a muj "random" loxone port necha napokoji


   
ReplyQuote
(@librucha)
Active Member
Joined: 4 years ago
Posts: 8
 

@elpaso

Pokud po tom Loxonu nepujde cilene... Oskenovat tu verejnou adresu nmapem neni nic tezkeho a Loxone se na tom HTTP portu priznava, ze tam bezi.

<!DOCTYPE html>
<html>
<head>
<!-- process:template:electron
<title>Loxone Smart Home</title>
/process -->

Zkus se najit tady.


   
ReplyQuote
elpaso
(@elpaso)
Prominent Member
Joined: 7 years ago
Posts: 826
 

@librucha

tam koukam 2x do mesice 🙂

nicmene nejsem si jistej, ze nekdo scanuje TCP1-65k... imho todle scanujou lidi, co nenajdou otevrene standardni porty. takze zakladni je mit pro loxone port 62134 a 99% scaneru te uplne preskoci...


   
ReplyQuote
(@librucha)
Active Member
Joined: 4 years ago
Posts: 8
 

@elpaso

Dobry hint, ale zatim radeji zustanu pod VPN, na telefonu ji mam zapnutou trvale, takze me to vlastne v nicem neomezuje.


   
ReplyQuote
msk
 msk
(@dusanmsk)
Member
Joined: 7 years ago
Posts: 1870
 

Ja som asi z povolania paranoik, takze sa akurat dobre bavim :D. Ono skor nez pojde niekto cielene moj barak vykradnut je pravdepodobnejsi nejaky zdatny pubertak vedla z ulice, co som ho posledne za nieco spicoval, tak sa skusa pomstit :D. Ale ano, aj ta pravdepodobnost je relativne mala.

Honeypot je dobry hint, nechapem preco som ho dodnes neimplementoval.


   
ReplyQuote
(@librucha)
Active Member
Joined: 4 years ago
Posts: 8
 

Tak jsem to nakonec vyresil tak, ze jsem stary miniserver prodal a koupil Gen2. Ted to jede pres SSL a mam aspon trochu klid. 😀 


   
ReplyQuote
Daver
(@daver)
Estimable Member
Joined: 5 years ago
Posts: 179
 

Ještě je možnost virtuálního serveru na nějakém lepším routeru (případně na serveru v síti), který se bude prsit ven ssl a zezadu bude http na loxone. Ale osobně bych nechtěl aby mi loxone čuměl do netu jakkoliv, najde se tam chyba v implementaci a může to být i nebezpečné (nebo minimálně hodně drahé).  


   
ReplyQuote
(@librucha)
Active Member
Joined: 4 years ago
Posts: 8
 

@daver

To zalezi co doma ne te siti mas. rekl bych ze nic tak cenneho. Ve firme je to asi neco jineho, ale muzes to drzet cele v jinem subnetu. Pak ti ta reverzni proxy gela gateway dovnitr a ven to mas pod kontrolou pres firewall.


   
ReplyQuote
Daver
(@daver)
Estimable Member
Joined: 5 years ago
Posts: 179
 

Přesně, my živnostníci máme doma firmu a myslím si, že soukromý majetek je mnohem hodnotnější. Na druhou stranu já spíš myslel bezpečnost obyvatel. Osobně to mám napojené na VZT, světla, žaluzie. Světla a žaluzie jsou asi ok, krom infarktu v noci by nic hrozit nemělo, ale rozhodit ventilátory pro sání a odtah na VZT, vytvořit podtlak/přetlak - v lepším případě bude problém otevřít dveře v tom horším mi to roztrhá parotěs atd ... 

Jinak samozřejmě vlastní VLAN, ven povolit pouze na aktualizaci, pokud vůbec, dovnitř absolutně nic a zbytek za VPN a ještě přes firewall.  


   
ReplyQuote
Page 2 / 2
Share: