Forum
Takže veřejná IP, port forwarding na routeru a skrytá wifi, není vlastně vůbec žádné zabezpečení, že?
Pokud nepouzivas nezabepecene site, kde muze tvoji komunikaci s Loxonem nekdo ochuchavat (sniffing) tak ti tolik nebezpeci nehrozi.
Maximalne ti muze nekdo zneprijemnit pouzivani zahlcenim toho interface, ale pokud to neudela dostatecne chytre, tak si s tim poradi firewall providera. Blbe je ze ti nekdo muze zadavat schvalne spatne heslo a Loxone pak blokuje pristup (pravdepodobne na zaklade IP). Jestlli to zablokuje pristup z toho routeru, kde je nastaveny ten forward musim jeste vyzkouset.
- Prakticky vždy z venku přistupuji jen přes data z mobilu a app loxone. Pokud jsem někde na WiFi, vždy je zabezpečená - na free wifi v šalině nebo v KFC by mě to samozřejmě nenapadlo. Firewall na routeru také zapnutý.
me by zajimalo jak si predstavujes, ze si stim poradi FW na strane ISP, kterej do te komunikace na 99,9% nevstupuje
Pokud máš solidního ISP, tak tu komunikaci monitoruje a dokáže vyhodnotit DOS útok a danou IP zařízne. Pokud nemáš, tak si to nastavíš na tom svém prvním routeru. Asi neodhalíš DDOS, ale to by na tebe musel útočit někdo zdatný a tato pravděpodobnost je dost malá. 😉
imho todle zadny ISP pro "koncaky" nedela... ja jedu vlastni IDP/IPS a kompletne otevreny honeypot... takze kdokoli kdo si u me bude chtit "hrat" tak si rozhodne zacne hrat s 22,80,443,445,3389 apod a muj "random" loxone port necha napokoji
tam koukam 2x do mesice 🙂
nicmene nejsem si jistej, ze nekdo scanuje TCP1-65k... imho todle scanujou lidi, co nenajdou otevrene standardni porty. takze zakladni je mit pro loxone port 62134 a 99% scaneru te uplne preskoci...
Dobry hint, ale zatim radeji zustanu pod VPN, na telefonu ji mam zapnutou trvale, takze me to vlastne v nicem neomezuje.
Ja som asi z povolania paranoik, takze sa akurat dobre bavim :D. Ono skor nez pojde niekto cielene moj barak vykradnut je pravdepodobnejsi nejaky zdatny pubertak vedla z ulice, co som ho posledne za nieco spicoval, tak sa skusa pomstit :D. Ale ano, aj ta pravdepodobnost je relativne mala.
Honeypot je dobry hint, nechapem preco som ho dodnes neimplementoval.
Tak jsem to nakonec vyresil tak, ze jsem stary miniserver prodal a koupil Gen2. Ted to jede pres SSL a mam aspon trochu klid. 😀
Ještě je možnost virtuálního serveru na nějakém lepším routeru (případně na serveru v síti), který se bude prsit ven ssl a zezadu bude http na loxone. Ale osobně bych nechtěl aby mi loxone čuměl do netu jakkoliv, najde se tam chyba v implementaci a může to být i nebezpečné (nebo minimálně hodně drahé).
To zalezi co doma ne te siti mas. rekl bych ze nic tak cenneho. Ve firme je to asi neco jineho, ale muzes to drzet cele v jinem subnetu. Pak ti ta reverzni proxy gela gateway dovnitr a ven to mas pod kontrolou pres firewall.
Přesně, my živnostníci máme doma firmu a myslím si, že soukromý majetek je mnohem hodnotnější. Na druhou stranu já spíš myslel bezpečnost obyvatel. Osobně to mám napojené na VZT, světla, žaluzie. Světla a žaluzie jsou asi ok, krom infarktu v noci by nic hrozit nemělo, ale rozhodit ventilátory pro sání a odtah na VZT, vytvořit podtlak/přetlak - v lepším případě bude problém otevřít dveře v tom horším mi to roztrhá parotěs atd ...
Jinak samozřejmě vlastní VLAN, ven povolit pouze na aktualizaci, pokud vůbec, dovnitř absolutně nic a zbytek za VPN a ještě přes firewall.