Hallo liebe Community,
seit einem Jahr betreibe ich erfolgreich einen U6-LR und Unify Controller auf Raspberry Pi (Linux).
Durch den Tausch der Ölheizung in eine Sole-Wärmepumpe und Installation einer Solaranlage müssen einige Geräte ins Heim-Netzwerk integriert werden.
Vor dem Hintergrund der Hackerangriffe z.B. auf die Steuerung der Windräder von EON und der wachsenden Bedrohung durch Cyberattacken würde ich die Wärmepumpe, den Solar-Wechselrichter und was sonst noch dazugekommen ist gerne adäquat vor solchen Gefahren schützen.
Da ich von Freunden viel positives über Unifi erfahren habe und mit dem U6-LR sehr zufrieden bin, würde ich gerne falls sinnvoll für die Erweiterung auf Unifi-Geräte zurückgreifen.
Einer der Knackpunkte ist, dass ich über einen Raspberry Pi (im folgenden RPi1) aus verschiedenen Quellen (primitive Funksensoren über USB Python Skript, andere Raspberrys, MQTT usw.) Daten sammle, in einer Datenbank speichere und über Grafana visualisiere.
Auf RPi1 läuft auch der Unifi Controller.
Außerdem ist (und soll weiterhin) der Grafana Server über den Port 3000 aus dem Internet über DynDNS erreichbar sein.
Meine erste Frage deshalb etwas off-topic zu dem Raspberry: seht ihr da schon ein kritisches Sicherheitsrisiko oder ist das soweit ok?
Hier der Fragebogen:
Momentanes Setup:
Provider: Vodafone, 100 MBit/s, dyn. IPv4+IPv6
Router: Vodafone Station (ab jetzt V. Station, im Erdgeschoss, DynDNS aktiviert)
Verbundene Geräte:
LAN:
(V.Station) <--1x Cat.7 LAN in 1. Stock--> unmanaged TP-Link Switch <--LAN--> Drucker, PCs, Ubiquiti U6-LR
(V.Station) <--1x LAN Patch-Kabel in Keller (provisorisch)--> unmanaged Switch (provisorisch) <--LAN--> Solar Wechselrichter
(V.Station) <--LAN--> RPi1 mit: Grafana Server, InfluxDB, Unifi Controller, OpenVPN Server (Grafana ist über Port 3000 ins Internet exposed, um Messdaten auch von außerhalb sehen zu können)
WLAN:
(V.Station) <--WLAN--> Smartphones, Wallbox, Tasmota IoT Nr.1, RPi Nr.2
(U6-LR) <--WLAN--> Smartphones, PCs, Tasmota IoT Nr.2, RPi Nr.3
geplante Erweiterung:
im Keller:
statt 1x Patch-Kabel max. 2x Cat.7 LAN von der V.Station aus möglich
statt 1x provisorischem Switch: 1x Switch (managed oder unmanaged, je nachdem was benötigt wird)
neben dem Wechselrichter einige weitere sicherheitskritische Netzwerkgeräte (z.B. Wärmepumpe)
der U6-LR kann statt im 1.Stock auch an den Switch im Keller angeschlossen werden, mit direktem LAN-Kabel vom Keller in den 1. Stock
1x Unifi AP (z.B. U6-Lite)
evtl 1x weiterer Unifi AP, falls die Vodafone Station nicht mehr als Wifi-AP genutzt werden kann/sollte
RPi soll vom EG in Keller verschoben werden und zusätzlich zu Unifi Controller, OpenVPN usw. noch als Nextcloud/NAS genutzt werden
im EG:
evtl. Unifi USG falls benötigt
im 1.Stock:
unmanaged Switch zur Not tauschen gegen managed switch (sollte aber falls möglich vermieden werden)
Gästenetz: nicht zwingend erforderlich aber wünschenswert.
Telefon: momentan analog an V.Station, Gigaset S810A (mit AB)
DynDNS: weiterhin eingeplant, aber nicht zwingend erforderlich
Security:
Netztrennung:
ich bin mir nicht sicher, wie stark man Wechselrichter, Wärmepumpe und Wallbox gegen Bedrohungen aus dem Internet absichern sollte.
von unserer Seite ist zunächst nicht geplant, Wechselrichter und Wärmepumpe anzusteuern - es sollen nur Daten ausgelesen und in der InfluxDB abgespeichert werden.
falls sinnvoll natürlich Trennung durch VLAN
evtl. Gäste-VLAN
der RPI1 sollte Daten von diesen Geräten zu Temperatur, Leistung usw. sammeln können (z.B. Wallbox sendet Daten per WLAN über MQTT)
der Wechselrichter kommuniziert direkt mit der Website des Herstellers, wie hier die Datensammlung für die InfluxDB funktionieren soll ist noch nicht geklärt
die Kommunikationsprotokolle von Wärmepumpe etc. für die Datensammlung sind auch noch nicht zu 100% geklärt, sollten aber auch Daten an RPI1 senden bzw. RPi1 sollte sich die Daten ziehen können. Ob und inwieweit die Wärmepumpe auch über LAN gesteuert werden kann konnte ich noch nicht abschließend klären.
Skalierbarkeit: sollte erweiterbar sein, aber noch nichts geplant
Skill Selbsteinschätzung: zwischen Anfänger und gefährliches Halbwissen (oberflächliches Fachwissen) im Netzwerk-Bereich. kann aber mit Linux CLI umgehen.
Vielen Dank schonmal für eure Hilfe.
Was ist denn eure Empfehlung:
Ist eine Trennung der Wechselrichter, Wärmepumpe usw. durch VLAN sinnvoll?
Wird der USG benötigt oder ist stattdessen z.B. die Dream Machine sinnvoller? (wobei die Controller Software momentan problemlos auf RPI1 läuft)
Oder habt ihr noch einen ganz anderen Vorschlag?
Stellt RPi1 ein Sicherheitsrisiko dar?
Über Links, um mich ein bisschen in die Themen einzulesen wäre ich dankbar.
Google habe ich schon bedient und würde mich freuen, wenn ihr mir einen Tipp habt nach was ich speziell suchen sollte um nicht weiter im Dunkeln zu tappen.
Viele Grüße,
j0q
