Forum
@jirin: díky za info ohledně verze
co se týče toho setupu - separátní VLAN a virual AP pro Xiami, to by peo mě neměl být problém nakonfigurovat; síťovno doma stavím na mikrotiku, takže nastavit lze cokoliv, teď jde o to akorát identifikovat, co má a co nemá procházet, nějak těm číňanům nevěřím 🙂 a chci mít nad nimi kontrolu a za další víš jak to je: kabel je kabel 😀 akorát v případě napojení Xiaom ise tomu bezdrátu nevyhneme;
síťovou topologii ještě promyslím 🙂
no, ještě počkám, kam se s bádáním dostaneš a co přinese tvoje nová verze a já si v mezičase dodělám barák, pak zbude čas na "blbinky"
Rule 1 - allow source=ip_arduina destination_ip=ip_loxonu protocol=UDP destination_port=port_z_configu
Rule 2 - deny any any any
a je to hotove 🙂
to vypuzívá jen jeden port? no tak pak je to easy 🙂 přiznám se že komunikaci jsem ještě nestudoval 😉 díky
@mira, taky jsem zastáncem moudra "kabel je kabel". Jinak ano používá to jeden port a pokud bys chtěl něco posílat i do Xiaomi GW tak druhý.
Kdyby tak šla GW hacknout aby měla ethernet 🙂
Vidím to naprosto stejně – kabel je kabel. Fakt zde nechám volnou ruku a řekněte si, jestli chcete variantu pro Mega či RaspBerry Pi projekt. Nemám problém nachystat jedno nebo druhé, zbytečné je ale asi chystat obojí.
Mira> Jak píše elpaso, je to fakt jen jeden UDP port, vše ostatní můžeš zatrhnout. Jinak v Mikrotiku si udělej VLANy, pro každou VLAN si udělej svoje SSID a pak už je to jen o nastavení routování a firewallu.
za me rozhodne RPI... to ma fakt doma kazdej aspon 2x 🙂
@Mira - az si budes hrat s FW tak nezpapomen, ze kdyz zatrhnes veskerou komunikaci ven prijdes o moznost pridavani novych zarizeni, protoze ti nepojede MiHome cloud... takze si to vzdy musis povolit kdyz budes chtit pracovat primo s Mi... tzn druhe pravidlo hodit docasne na "allow"
@jirin.sv zjistil jsem, že Wemos vysílá síť ESP_F1BBE5, dalo by se toho zbavit?
To se nikdo nebojíte toho Xiaomi, že ho integrujete do domácí sítě? Já se bojím i Loxone a tak ho mám v samostatném VLANu. Z korejské Smart TV jsem po přečtení podmínek udělal hloupé zobrazovadlo vlastního linuxového HTPC ... Dost mě překvapuje, že o bezpečnosti se tady (až na jirin.sv zmínce o VLANech) téměř nepíše. Přitom ta by měla být až na 1. místě. Každé proprietární zařízení v síti navíc je zároveň riziko navíc.
Proč bych se ho měl bát? "Hračky" mají svou VLANu a zákaz komunikace do Internetu.
@Pavel - jojo, hnus fialovej 🙂 nastesti je to v neroutovatelne VLANe, takze je to takovej malej honeypot... 🙂
AD SECURITY - hodim sem muj high level koncept, treba se nekdo necha inspirovat 😛
mam prakticky kazdeho vyrobce v oddelene VLAN a WLAN. celou sit mam za lvl7 sophos firewallem a vse je ven vypublikovano skrz WAF, vse jede na HTTPS vcetne vsech HTTP webserveru, na kterych mi WAFko dela SSL bridge jak pro vnitrni tak pro vnejsi komunikaci. Zarizeni jako xiaomy/wemos atd maj povoleny pouze komunikaci na single UDP portu. komunikaci do netu povoluju jen kdyz pridavam zarizeni. Uplne stejne je na tom sonoff...
na sophos lvl7 firewally mam kompletne blokovany subnety do zemi jako China, Russia apod... povoluju jen Ckove site nebo single hosty pro urcite spesl potreby
kamery do loxonu mam implentovany taktez pres WAF (interni i externi) s pre-auth proti radiusu, kde az nasledne je povolena komunikace na kameru jako takovou
vlastne jedine co nemam hotovo je publikace LoxonApp skrz HTTPS, protoze to ty lamky uplne v defaulu nepodporujou a nechce se mi hrat s Fiddlerem abych odladil WAFko (nerikam, ze to casem neudelam) ;( tak to mam aspon hozene na port >60000 aby to nespadlo do default scanneru... VPNku jsem zkousel, ale sere me pripojovani, zere to baterku, proste ne...
tak jako tak - zrovna jsem objednal Amazon Echo Dot i Google Home Mini a spojim to pres Voxoir a bude... a tim vlastne poslou celou security dopryc... v loxonu mam extra limitovaneho uzivatele na par svetel ktery budu slouzit pro integraci s Amazon/Google
@Pavel - předpokládám, že Xiaomi pomocí paketů komunikuje s Loxonem. Tzn. že ho máš buď ve stejném segmentu VLAn s Loxonem, nebo je v jiném segmentu a máš firewallem povoleny konkrétní porty mezi těmi VLANy. Furt je to komunikace něčeho neznámého, uzavřeného a čínského s něčím, co je sice taky uzavřené, ale alespoň od evropské firmy a hlavně tomu věříš z pohledu řízení domu. Čím víc neprůhledných a uzavřených věcí zaintegruješ dohromady, tím více zvyšuješ riziko. Je jasné, že se někdy proprietárnímu řešení nevyhneš, ale když je možné se mu vyhnout, tak to preferuji.
O otevřenosti Wemosu samozřejmě nepochybuju. Vzhledem k tomu, že komunikace probíhá Wemos - Loxone na jediném otevřeném portu pro konkrétní adresy mezi VLANy, uznávám, je to OK.
Jen se bojím toho, že 95% lidí to neoddělí VLANy i když to tady jirin.sv zmiňuje. Dneska si lidi jsou schopni dát do sítě cokoliv. Sice to je jejich problém, ale čím víc se na to bude upozorňovat, tím je větší šance, že si to zabezpečí víc z nich.
@jirin.sv zjistil jsem, že Wemos vysílá síť ESP_F1BBE5, dalo by se toho zbavit?
Je to opravdu ten Wemos? Vím, že takto vysílají třeba relátka od Sonoffu, u Wemosu jsem to ještě neviděl. Pokud tam máš nahraný kód té Xiaomi Gateway, tak by to naopak mělo být v režimu station, nikoliv access point.
ano je to tak, muj wemos je na tom stejne... broadcastuje tam svoji wifi a IP je z rozsahu 192.168.1.0/24
