Aller au contenu
TraxxMaxx

Accès à distance via Fibaro ou VPN

Recommended Posts

Bonjour à tous,

 

je me permet d’ouvrir ce sujet pour avoir vos avis. 

 

Pour votre accès à distance à votre box HC2, utilisez vous l’accès via Fibaro ID ou via votre VPN ?

 

Merci pour vos avis 

Partager ce message


Lien à poster
Partager sur d’autres sites

le VPN est toujour plus sécurisé. De plus tu ne dépends pas d'une indisponibilité (pour maintenance, par exple) des serveurs Fibaro

Partager ce message


Lien à poster
Partager sur d’autres sites
à l’instant, jojo a dit :

le VPN est toujour plus sécurisé. De plus tu ne dépends pas d'une indisponibilité (pour maintenance, par exple) des serveurs Fibaro

C’est ce que je me disais aussi. Je vais suivre ma première idée et opter pour le VPN :)

Partager ce message


Lien à poster
Partager sur d’autres sites

Perso ni l'un ni l'autre, une simple ouverture de port.

 

Trop contraignant le VPN, obligé de se connecter avant.... Je le réserve aux tâches d'administrations lourdes.

Mais en usage quotidien depuis le mobile, faut que ça soit instantanément disponible.

 

Mais dans l'absolu, il est certain qu'un VPN est plus sécurisé (enfin ça dépend comment il est configuré....)

Partager ce message


Lien à poster
Partager sur d’autres sites

en effet, il vaut mieux ne pas utiliser le VPN de type PPTP, c'est une cata au  niveau sécurité. Une ouverture de port en http (même sans S) est encore plus safe ...

Partager ce message


Lien à poster
Partager sur d’autres sites

Perso j’utilise du L2tp comme VPN sur un synology. 

 

Par contre ouverture de port en http ou https je trouve cela moins safe car si tu utilise un ddns ou que quelqu’un connaît ton IP publique pourrait arriver sur l’interface du HC2 sans trop de difficulté. Je ne sais pas si l’ouverture de port est plus safe que d’utiliser le Fibaro ID. 

 

C’est clair que ça m’embête de devoir toujours activer le VPN si je me trouve à l’extérieur de chez moi. 

Partager ce message


Lien à poster
Partager sur d’autres sites

Ouverture de port pour moi en direct, sans VPN ni rien de plus.

Partager ce message


Lien à poster
Partager sur d’autres sites

De tout façon la sécurité est toujours une histoire de compromis.

Le seul système sécurisé est déconnecté du réseau et enfermé dans une cage de Faraday + bunker (j'ai des clients chez qui c'est le cas....).

 

Il n'y a pas de meilleure solution, chacun fait comme bon lui semble.

L'important est d'être conscient des limites de chaque solution.

Je pense que @TraxxMaxx tu as justement soulevé les bonnes questions.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 11 minutes, Lazer a dit :

De tout façon la sécurité est toujours une histoire de compromis.

Le seul système sécurisé est déconnecté du réseau et enfermé dans une cage de Faraday + bunker (j'ai des clients chez qui c'est le cas....).

 

Il n'y a pas de meilleure solution, chacun fait comme bon lui semble.

L'important est d'être conscient des limites de chaque solution.

Je pense que @TraxxMaxx tu as justement soulevé les bonnes questions.

Entièrement d’accord avec toi il faut trouver le bon compromis :)

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai un peu creusé la question suite à un doute que j'avais depuis longtemps, quand on utilise l'application mobile sur smartphone :

 

  • Ouverture de port en direct sur le routeur :
    • Avantage : fonctionne toujours
    • Inconvénient : savoir ouvrir un port, expose un service supplémentaire sur le Net (même si on peut le "cacher" derrière un reverse proxy), communication non chiffrée (simple http, impossible à l'heure actuelle de forcer du https)
  • Fibaro ID
    • Avantage : simple à mettre en place, communication chiffrée (https)
    • Inconvénient : nécessite de passer par un tiers (le cloud Fibaro), service parfois indisponible

 

J'ai regardé ce qui se passe quand on se connecte via le cloud Fibaro depuis l'application mobile :

- visiblement c'est maintenant hébergé sur AWS (Amazon Web Service)

- les communications sont bien chiffrées en https

- les communications passent par https://greywizard.com/ qui semble être une société proposant de sécuriser les connexions (anti-DDOS, détection de piratage, etc)... leur site montre qu'ils sont fier d'avoir Fibaro (entre autre) parmi leurs clients !

 

 

Personnellement je ne connecte jamais mon smartphone aux Wi-Fi publiques (hôtels, trains, etc), donc ça ne me dérange pas énormément de me connecter en http simple chez moi, sans chiffrement.

En effet, le risque se situe toujours sur le réseau local Wi-Fi. Je rappelle que le mot de passe circule obligatoirement.... en plus de toutes les URL pour commander la HC2 via l'API.

Mon smartphone étant toujours en 3G/4G, je fais confiance à l'opérateur qui a autre chose à faire que de m'espionner. Et à part les services secrets, je pense que personne ne peut espionner ma connexion 4G.

 

Si par contre vous connectez vos smartphones sur des Wi-Fi publiques (incluant celui de votre entreprise), je vous suggère très fortement d'utiliser votre Fibaro ID qui permet de chiffrer les communications en https.

 

Dans l'idéal, il faudrait que Fibaro permette de joindre son HC2 en direct en https, mais pour cela il faudrait que la HC2 supporte nativement https, ce qui n'est pas le cas sans bidouille (root pour modif config Apache, ou ajout Reverse proxy).... autant dire que ce n'est pas prêt d'arriver :(

 

 

Reste la solution du VPN sécurisé afin de se connecter chez soi, puis d'utiliser l'application Fibaro pour se connecter "en local" avec du http non sécurisé.

Mais comme dit quelques messages plus haut, c'est très contraignant en utilisation quotidienne....

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 18 minutes, Lazer a dit :

J'ai un peu creusé la question suite à un doute que j'avais depuis longtemps :

 

  • Ouverture de port en direct sur le routeur :
    • Avantage : fonctionne toujours
    • Inconvénient : savoir ouvrir un port, expose un service supplémentaire sur le Net (même si on peut le "cacher" derrière un reverse proxy), communication non chiffrée (simple http, impossible à l'heure actuelle de forcer du https)
  • Fibaro ID
    • Avantage : simple à mettre en place, communication chiffrée (https)
    • Inconvénient : nécessite de passer par un tiers (le cloud Fibaro), service parfois indisponible

 

J'ai regardé ce qui se passe quand on se connecte via le cloud Fibaro depuis l'application mobile :

- visiblement c'est maintenant hébergé sur AWS (Amazon Web Service)

- les communications sont bien chiffrées en https

- les communications passent par https://greywizard.com/ qui semble être une société proposant de sécuriser les connexions (anti-DDOS, détection de piratage, etc)... leur site montre qu'ils sont fier d'avoir Fibaro (entre autre) parmi leurs clients !

 

 

Personnellement je ne connecte jamais mon smartphone aux Wi-Fi publiques (hôtels, trains, etc), donc ça ne me dérange pas énormément de me connecter en http simple chez moi, sans chiffrement.

En effet, le risque se situe toujours sur le réseau local Wi-Fi. Je rappelle que le mot de passe circule obligatoirement.... en plus de toutes les URL pour commander la HC2 via l'API.

Mon smartphone étant toujours en 3G/4G, je fais confiance à l'opérateur qui a autre chose à faire que de m'espionner. Et à part les services secrets, je pense que personne ne peut espionner ma connexion 4G.

 

Si par contre vous connectez vos smartphones sur des Wi-Fi publiques (incluant celui de votre entreprise), je vous suggère très fortement d'utiliser votre Fibaro ID qui permet de chiffrer les communications en https.

 

Dans l'idéal, il faudrait que Fibaro permette de joindre son HC2 en direct en https, mais pour cela il faudrait que la HC2 supporte nativement https, ce qui n'est pas le cas sans bidouille (root pour modif config Apache, ou ajout Reverse proxy).... autant dire que ce n'est pas prêt d'arriver :(

 

 

Reste la solution du VPN sécurisé afin de se connecter chez soi, puis d'utiliser l'application Fibaro pour se connecter "en local" avec du http non sécurisé.

Mais comme dit quelques messages plus haut, c'est très contraignant en utilisation quotidienne....

Je n’aurais pas fait mieux comme rapport :)

 

effectivement apres avoir pesé le pour et contre, personnelement j’ai opté pour le Fibaro ID en espérant que notre HC2 soit à l’avenir un peu plus sécurisé pour permettre une connexion direct via une ouverture de port ou autre. 

Partager ce message


Lien à poster
Partager sur d’autres sites

PS : évite de citer le message du dessus, ça n'apporte rien et au contraire, ça alourdit la lecture.

Partager ce message


Lien à poster
Partager sur d’autres sites

Perso ,depuis l'extérieur  quand impossible de se connecter par le Fibaro ID ( arrive assez souvent je trouve)

 

j 'utilise le VPN de la Freebox revolution  avec openvpn sur mon smartphone .... marche à tous les coups ...:60:

 

sécurisé/pas sécurisé ... ça reste un VPN ...

après on peut être parano sur tout notre environnement au quotidien

Partager ce message


Lien à poster
Partager sur d’autres sites

Mais il faut lancer le VPN...

Partager ce message


Lien à poster
Partager sur d’autres sites

oui @Nico  lancement très rapide

 

après si tu pars de la , il faut lancer aussi l'appli fibaro... ainsi de suite ...:P

Partager ce message


Lien à poster
Partager sur d’autres sites

Excusez-moi, je vais probablement dire quelque chose d'idiot :13:

 

Mais depuis que j'ai mis en place :

  • une ouverture de port sur mon routeur opérateur (pas le 443 ;)
  • avec un NATage (ip et port) sur mon Routeur Synology et
  • avec un NATage (ip et port) sur mon NAS Synology et
  • activé un reverse proxi (qui détermine automatiquement l'ip et le port de ma HC2) sur mon NAS Synology

 

j'arrive bien à me connecter avec une connexion HTTPS du type :

 

https://hc2.mondomaine.xxx:monport/fibaro/fr/home/index.html

 

Est-ce que vous sous-entendez que ma requête HTTPS se transforme en HTTP sans que je m'en rend compte et par conséquent ma connexion sur ma HC2 n'est pas sécurisée ?

 

Modifié par MAM78

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 11 heures, minos a dit :

Perso ,depuis l'extérieur  quand impossible de se connecter par le Fibaro ID ( arrive assez souvent je trouve)

Voilà, c'est pour cette raison là que je préfère accéder en direct à mon port ouvert plutôt que de passer par le Fibaro ID, qui est régulièrement indisponible, et toujours plus lent que l'accès direct.

Mais le Fibaro ID reste utile, quand on a une IP variable (inévitablement quand on fait du failover sur une connexion 4G de secours)

 

Il y a 8 heures, MAM78 a dit :

Est-ce que vous sous-entendez que ma requête HTTPS se transforme en HTTP sans que je m'en rend compte et par conséquent ma connexion sur ma HC2 n'est pas sécurisée ?

Mon message n'était peut être pas clair, cela concerne uniquement l'application mobile sur smartphone.... J'ai rajouté une indication en éditant mon post.

 

Bien sûr en accès Web, tu peux utiliser du https chiffré exclusivement via ton reverse proxy.

Partager ce message


Lien à poster
Partager sur d’autres sites

Minos non, pas tout à fait : Moi j'utilise pas mal les interactiv push, portier etc. Et donc si on sonne, en cliquant sur le push qu'on reçoit, l'appli se lance tout seul et j'ai le portier direct. Si je dois d'abord lancer le VPN, c'est même pas la peine...

Et d'ailleurs, si le VPN n'est pas lancé et que l'appli est paramétré pour passer en direct et pas par le Fibaro ID, les pushs arrivent ? (Si oui, c'est forcement par le Fibaro ID).

Partager ce message


Lien à poster
Partager sur d’autres sites

Les Push arrivent toujours via le cloud.

Mais pas par le Fibaro ID.

 

Mais par Google ou Apple, car les push fonctionne avec un service qui tourne en tâche de fond, même application fermée..... et en mode avion, les push restent sur les serveurs de Google et arrivent après coup lors du rétablissement de la connexion.

Partager ce message


Lien à poster
Partager sur d’autres sites

×