Absicherung IoT, trotzdem Zugriff über HomeAssistant

Es gibt 11 Antworten in diesem Thema, welches 3.289 mal aufgerufen wurde. Der letzte Beitrag () ist von Rockhound53.

    Hallo zusammen,


    ich habe mein IoT-Netzwerk, in welchem unter anderem die Nest Geräte sind, wie folgt isoliert:



    Jetzt habe ich das Problem, dass wenn z.B. die TTS ansagen oder der Camera-Stream über HomeAssistant wiedergegeben werden soll, ich eine Fehlermeldung bekommen, dass die Cast-Geräte nicht auf HomeAssistant zugreifen kann, da dies in meinem "normalen" Netwerk ist.


    Gibt es eine Möglichkeit die Cast-Geräte die Ansagen/Videos abspielen zu lassen, ohne wieder Tür und Tor zu öffnen?


    Besten Dank vorab!

    Mit den Regel erlaubst Du ja nur bestehende oder "related" Verbindungen, ich denke aber, dass es sich auch um neue Verbindungen handeln wird. Statt dem IoT Netzwerk grundsätzlich Zugriff auf die anderen LANs zu geben, könntest Du eine Allow-Regel für das IoT Netzwerk auf die IP des Home Assistant Hosts geben und diese den bestehenden Regeln vorlagern.

    Zitat von maxim.webster

    Mit den Regel erlaubst Du ja nur bestehende oder "related" Verbindungen, ich denke aber, dass es sich auch um neue Verbindungen handeln wird. Statt dem IoT Netzwerk grundsätzlich Zugriff auf die anderen LANs zu geben, könntest Du eine Allow-Regel für das IoT Netzwerk auf die IP des Home Assistant Hosts geben und diese den bestehenden Regeln vorlagern.

    Ja das hatte ich auch schon gedacht, aber der HomeAssistant steuert ja alles daheim, wenn ich das IoT Netwerk jetzt einen Zugriff auf den HA-Rechner gebe, dann könnte ja wieder jemand über das IoT Netz auf den HA-Rechner. Aber anders wird es dann wohl nicht gehen!?

    Wieso hängst du den HA Server nicht ins IoT VLAN? So hab ichs bei mir gelöst, ist doch viel angenehmer.

    Gruß

    defcon

    Nenn' doch mal die Angriffsvektoren? Ich hab kein IoT Netzwerk, benutze HA Container auf einem Host, der in meinem LAN steht. Zugriff von außerhalb (via Port-Forward oder die Nabu Casa Cloud) ist nicht. Meine "IoT" Geräte sind


    • Homematic BidCos (via Homegear), rein lokal
    • Zigbee (via Zigbee2MQTT), rein lokal
    • "smarte" Lautsprecher von Sonos und Yamaha
    • "smarte" Fernseher von Samsung
    • ein BMW mit Connected Drive über die entsprechende Integration


    Jetzt müsste ja ein Angreifer die Server-Dienste von BMW, Sonos oder Yamaha "hacken", über diesen Weg Software auf die Speaker bzw, mein Auto bringen, welches dann als "Hub" den Angriff auf Home Assistant und damit letztendlich auf den Docker Host und somit ins LAN erlaubt.


    Nicht ausgeschlossen, aber wahrscheinlich?

    Bei mir läuft das alles nur lokal, ich benutze für Zugriff von extern dann VPN

    Gruß

    defcon

    Vielleicht muss man hier erst einmal die Nomenklatur festlegen.


    IoT: Internet of Things = Smarthome Geräte (meist), welche ins Internet dürfen und sollen

    NoT: Networkj of Things = Geräte, welche nur innerhalb des Netzwerkes kommunizieren sollen, aber NIE mit dem Internet


    Warum mach man nun für IoT ein eigenes VLAN. Man möchte Geräte, welche angreifbar sind, weil sie evtl. Schwachstellen in der Firmware haben, schlecht upgedated werden von seinem Netzwerk isolieren. Also, falls ein Gerät gekapert wurde (wie auch immer), ist der Schaden auf die Smarthome Abteilung begrenzt und der Angreifer hat keinen Zugriff auf den PC oder Dateiserver.


    Folglich gehört all das, inkl des Smarthome Servers, allen Gateways in das IoT Netzwerk rein.

    Für das Kamera Netzwerk macht man das üblicherweise auch, die Kameras dürfen nur mit dem Server kommunizieren, nicht mit dem Netzwerk. Nur der Server ist von innerhalb des Netzwerkes erreichbar, in dem Fall der Kameras wäre der komplette Verkehr ins Internet noch gesperrt.


    Beim IoT kann man nun beide Wege gehen, Geräte die nur mit den Gateways oder Smarthome Servern reden dürfen (Shelly, Sonoff, etc.), die Server wiederum, welche aus dem Netzwerk erreichbar sind, aber nicht selbstständig ins Netzwerk dürfen. Man kann die Geräte nun noch im INTERNET IN für den Zugriff von aussen schützen, aber trotzdem erlauben dass die Geräte Firmware updates aus dem Internet laden dürfen. Einzelne IP´s kann man nun auch komplett frei geben um alles zu erlauben. Hierzu zählen insbesondere Streaming Geräte wie Alexa, Siri und Co, diese Funktionieren meist nicht ohne das man denen Vollzugriff gewährt.


    Die Ausnahmen musst du aber über einzelne IP (oder besser IP Gruppen) auf bestimmten oder allen Ports erlauben, das hängt von deinem Setup ab.


    Wie du siehst ist das Thema sehr komplex und kann nicht allgemein gelöst werden, eine Liste mit Geräte, IP und Diensten (ports) welches jedes Gerät benötigt ist hier immer eine große Hilfe um Dir selber einen Überblick zu geben

    Gefällt mir 1

    Hallo zusammen,


    ich wollte das ganze eigentlich nicht so groß aufblähen und hatte bisher halt nur drei Vlans:


    1. Default (Produktiv Netzwerk), darin Festrechner (Surface), NAS (Qnap), Handy von mir und Frauchen, Alle Unifi sachen (Kamera, UDR, AP, Switch), HomeAssistant PC, Homematic CCU3.
    2. IoT, darin Fernseher, Nest Hub, Nest mini, Gardena Smart Gateway, Roborock Staubsauger Roboter, Xiaomi Air Purifier, W-Lan lampen, Wallbox
    3. Gast-Netzwerk

    Ich dachte, dass alles, was abgesichert sein sollte, in das Default-LAN soll, da diese Geräte ja nur intern Kommunizieren (außer PC und Handys). Der ganze Cloud-Kram hat dann sein eigenes Netzwerk und kommt nicht in das Default rein. google Cast klappt dann zumindest vom Handy über die eingangs erwähnte Firewall Regel, aber Home Assistant scheint dann den Cast geräten nur zu sagen, von Wo aus die Streamen sollen und dann kommen die halt nichts ins default-Netz.


    Wenn ich jetzt den HomeAssistant in das IoT Netz packe, müsste ja die CCU3 auch da rein. Da ich auch smarte Türschlösser habe, wollte ich halt den Zugriff von außen auf diese beiden so gering wie möglich halten.



    Mal so nebenbei:


    ich habe mir noch eine UDM Pro und ein UNVR bestellt, da meine UDR mit der G4 Pro überfordert ist und mir die Geschwindigkeit (bei der Bedienung der Network App) in der UDR zu zäh läuft. ich würde dann alles von Grund auf neu Einrichten, da ich auch das Gefühl habe, das bei einspielen des Backups von meiner UDM-Base auf die UDR einiges im Hintergrund "hängengeblieben" ist, was ich jetzt über die neue Oberfläche nicht mehr geändert bekomme. Sollte ich dann, wenn die die UDM-Pro einrichte, alle Unifi geräte von der UDR "vergessen" lassen und auf Werkseinstellungen setzen?


    Macht es Sinn, für die UNVR und die Cams dann ein eigenes V-Lan zu machen? Wenn ja, muss das dann zugriff auf die UDM-Pro haben, oder haben die Unifi geräte sowieso immer untereinander zugriff? HomeAssistant müsste ja dann auch zugriff haben, da die Cams darüber streamen sollen.


    Wie gesagt war es bisher relativ einfach, da, bis auf die Cloud-Geräte alle im selben V-Lan war...


    Sorry für die ganzen Fragen.

    Hallo zusmman,


    ich bin es noch einmal.


    Ich würde, der Einfachheit halber, jetzt doch die CCU3 und den HomeAssistant Server in das IoT Netz schieben, die Clients (Surface, Handys von mir und Frau) in ein eigenes Netzt und dann im "default" Netz nur noch die Unifi Geräte haben wollen:


    • Default: 192.168.1.0/24 = Unifi Geräte (inkl. Kameras)
    • Clients: 10.0.10.0/24 = PC und Handys
    • IoT: 10.0.20.0/24 = Nests, Fernseher, Tablett (für Home Assistant), HA-Server, HomeMatic ccu3, etc.
    • VPN: 10.0.30.0/24 = wenn ich mich über VPN einwähle
    • Gast-Netz: 10.0.50.0/24 = wie der Name schon sagt.

    per Wlan würde ich dann ein Netzt für die Clients, eins für IoT und das Gastnetz machen.


    Jetzt die Frage, Packe ich mein NAS in das Netztwerk der Clients, in das default oder IoT Netzwerk? Es ist eigentlich nur ein Datengrab, was macht da mehr Sinn?


    Ich habe bisher die Firewall nach der Anleitung im Wiki konfiguriert. Wie stelle ich am besten sicher, dass ich mit meinen PC und Handy in das Default Netz komme umd auf die Unifi geräte zuzugreifen? Soll ich den Geräten feste IPs geben und diesen dann den Zugriff geben? Frauchen braucht ja dort keine Zugriff und könnte ja so nichts kaputt machen, Müsste aber wohl über Protect auf die Kameras kommen...


    Wäre super wenn Ihr mir hier helfen könntet.


    Viele Grüße