D-GK Posté(e) le 26 octobre 2015 Signaler Partager Posté(e) le 26 octobre 2015 Bonjour à tous, J'installe petit à petit mon HC2 et je me pose une question de fond sur l'utilisation de la HC2 depuis l'extérieur. Quels sont les risques en terme de sécurité d'ouvrir la box au travers de Fibaro ? Et si oui, est-ce qu'il y a des solutions pour sécuriser tout ça (exemple fonctionnalités limitées lors d'un accès à distance) J'ai vu dans un autre sujet la problématique des caméras ouvertes à l'extérieur et les failles que cela peut représenter, mais ajouté à ça l'ouverture des volets roulants et votre assureur va bien rigoler en cas de soucis ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dgille Posté(e) le 26 octobre 2015 Signaler Partager Posté(e) le 26 octobre 2015 Bonjour, en ouvrant des ports sur ta box internet pour permettre l'accès direct à al HC2 , même en utilisant un port non standard, tu t'exposes aux scans permanents venant de toute la planète. L'application web fibaro s'appuie sur un linux + apache, donc les failles de sécurité de ces composants logiciels peuvent potentiellement permettre à un pirate de prendre la main sur ton réseau interne. L'accès à distance via Fibaro, bien que plus lent, réduit considérable le risque d'une attaque de ce type (sauf si les serveurs de Fibaro sont eux mêmes piratés). Une solution alternative serait de positionner une machine linux sur ton réseau interne, ouverte sur internet, mais avec un reverse proxy de type squid ou nginx et des mesures de sécurité complémentaires (mot de passe, filtrage par geo/ip), etc... Lien vers le commentaire Partager sur d’autres sites More sharing options...
D-GK Posté(e) le 26 octobre 2015 Auteur Signaler Partager Posté(e) le 26 octobre 2015 Merci Dgille pour la réponse rapide. N'ayant pas d'expérience suffisante sur l'administration de ce type de serveur, je ne suis pas sà»r que ça serait plus sécurisé que la plateforme Fibaro. J'étudiais en revanche la possibilité d'utiliser des solutions du type Zscaler (https://www.zscaler.com/ ) si elles existent pour les particuliers, cette démarche me semble intéressante si les coà»ts sont à la hauteur. C'est pour moi un futur enjeux important de la domotique car elle sera de plus en plus ouverte vers l'extérieur, et si cela est mal géré, le grand public va avoir des surprises. Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 26 octobre 2015 Signaler Partager Posté(e) le 26 octobre 2015 et la solution du VPN ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dgille Posté(e) le 26 octobre 2015 Signaler Partager Posté(e) le 26 octobre 2015 Oui, si la box le supporte, comme free. Il faudrait trouver un client openvpn sur ios et android ou monter un vpn ipsec. La solution reverse proxy me parait plus simple au final. Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 26 octobre 2015 Signaler Partager Posté(e) le 26 octobre 2015 je n'y connait rien dans tout ça, sauf que j'ai configuré mon router pour qu'il soit VPN (et si mon routeur ne le permettait pas, il y a un package Synology pour ServeurVPN). Sur mon androà¯d, c'est standard le client VPN. Maintenant si le reverse proxy est plus simple et tout aussi secure, je ne demande qu'a apprendre. Comment le configure-t-on ? et comment l'utilise-t-on ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dgille Posté(e) le 26 octobre 2015 Signaler Partager Posté(e) le 26 octobre 2015 Oui, le pack synologie est une bonne solution. Si on n a pas de synology, on peut effectivement monter un serveur openvpn. Je n utilise pas android, mais sur ios, les clients openvpn ne fonctionne pas toujours bien. Pour nginx, un bon lien : http://www.cyberciti.biz/tips/linux-unix-bsd-nginx-webserver-security.html L idée est d installer le module geoip , ce qui permet de limiter l usage a la france par exemple. En mode reverse proxy, on peut limiter l appel de la hc2 via un lien fqdn dyndns, ce qui limite l acces via l adresse ip. Ensuite, le nginx peut se charger de l https et fera du cache, ce qui doit booster l affichage de l interface. Par contre, les clients mobiles ne fonctionneront pas forcement dans ce mode. Il y des tonnes de tutos sur le net sur ces sujets. Tu peux démarrer par une conf simple en reverse proxy,puis durcir la solution avec les filtrages ci dessus. 1 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 26 octobre 2015 Signaler Partager Posté(e) le 26 octobre 2015 J'ai fait un tuto pour un reverse proxy avec Haproxy sous DSM (Synology).... quelque part sur le forum. C'est clairement la solution la plus simple. Par contre il faut disposer d'un nom de domaine, et d'une IP fixe (si l'IP n'est pas fixe, il y a des solutions de type Dynamic DNS, y'a des tutos pour ça si on prend son domaine chez OVH). Le VPN, c'est bien beau, mais ça oblige à monter le tunnel à chaque fois qu'on veut se connecter à la HC2, c'est pas franchement WAF. Perso les VPN, c'est pour l'accès à mon coeur de réseau, donc tous les équipements, et faire de l'administration à distance. Donc utilisation très ponctuelle, depuis un PC. Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 26 octobre 2015 Signaler Partager Posté(e) le 26 octobre 2015 trouvé; Merci http://www.domotique-fibaro.fr/index.php/topic/1148-reverse-proxy-sur-nas-synology-avec-haproxy/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
D-GK Posté(e) le 26 octobre 2015 Auteur Signaler Partager Posté(e) le 26 octobre 2015 Je suis content de voir que ma question intéresse d'autres personnes Je vais creuser les reverse proxy de mon côté, cela dit avez vous regardé les solutions "SAAS" qui proposerait ce genre de service ? Je me disais que pour le non technicien ça pourrait être un gage de sécurité dans le cas d'un partenaire fiable. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 26 octobre 2015 Signaler Partager Posté(e) le 26 octobre 2015 saas = cloud et je ne conçois pas de faire reposer la sécurité de ma domotique, de mon informatique, et de ma maison sur une solution de type cloud, que tu ne maitrise pas du tout. Toute mon installation est autonome.... il n'y a que les station météo Netatmo qui soit dans le cloud chez moi, et ça m'embête bien (je me console en me disant que ce n'est pas un service critique dont je pourrais facilement me passer au besoin). Lien vers le commentaire Partager sur d’autres sites More sharing options...
D-GK Posté(e) le 26 octobre 2015 Auteur Signaler Partager Posté(e) le 26 octobre 2015 Effectivement SAAS = Cloud, mais il y a des sociétés type Zscaler que j'ai cité qui propose ce nouveau type de service de sécurité et si ils ne sont pas bons, il ne vont pas vivre longtemps. Et à vrai dire, tous les gens qui utilisent le portail de Fibaro (je pense une grosse majorité), sont déjà dans ce mode Cloud. La différence qui me semblait intéressante dans ce modèle était que l'on confiait cette gestion de la sécurité à des spécialistes et non pas à un éditeur de domotique. Cela dit, je comprends tout à fait que ta solution soit la plus fiable, mais dans la mesure ou peu de gens sont capables de maintenir ce genre de solution (beaucoup l'installeront grâce à des tutos mais quid des mises à jour... => ce qui est mon cas), il me semble intéressant de chercher des solutions alternatives. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 26 octobre 2015 Signaler Partager Posté(e) le 26 octobre 2015 J'ai pas regardé en détail, mais ça a l'air de solutions hyper pro. En sécurité, y'a rien de grand public à l'heure actuelle, à part les anti virus et firewall qu'on installe sous Windows. Autant je suis à 100% concerné par la sécurité, autant je pense que tu es un peu idéaliste.... faut bien voir que 99% du public se moque complètement de la sécurité.... sinon ils n'achèteraient pas des tonnes d'objets connectés sans savoir ce qu'ils font, et ils ne stockeraient pas leurs photos osées sur icloud, Donc même si une solution de sécurité grand public en mode SaaS existait, je pense que peu de clients seraient intéressés. En fait, tu es une exception car tu te préoccupes de la sécurité, mais tu n'as pas les compétences pour en faire (ceci dit, qui les a vraiment, même quand on pense les avoir, on se rend vite compte qu'on est rapidement dépassé.... en matière de sécurité, rien n'est inviolable) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dgille Posté(e) le 27 octobre 2015 Signaler Partager Posté(e) le 27 octobre 2015 Bonjour, oui, d'autant qu'au final, cela ressemble à la solution fibaro. je suis plus que d'accord sur les dangers du cloud...... @Lazer, Super le tuto (on en découvre tous les jours sur ce forum), mais tout le monde n'a pas un nas synology ( à vous lire, je pensais que c'était fourni avec la HC2 ). La solution serait, avec du temps, que l'on se prépare une virtual Appliance ( un OVF, ou une image Raspberry) avec un truc presque prêt à l'usage, et maintenu par la communauté Fibarophile. Lien vers le commentaire Partager sur d’autres sites More sharing options...
D-GK Posté(e) le 27 octobre 2015 Auteur Signaler Partager Posté(e) le 27 octobre 2015 Merci pour vos avis de spécialistes, ça me permet de voir les risques potentiels des solutions. En revanche, pour les néophytes comme moi, je ne vois pas de solution miracle pour l'instant Mais je ne perds pas espoir Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 27 octobre 2015 Signaler Partager Posté(e) le 27 octobre 2015 @Lazer, Super le tuto (on en découvre tous les jours sur ce forum), mais tout le monde n'a pas un nas synology ( à vous lire, je pensais que c'était fourni avec la HC2 ). La solution serait, avec du temps, que l'on se prépare une virtual Appliance ( un OVF, ou une image Raspberry) avec un truc presque prêt à l'usage, et maintenu par la communauté Fibarophile. En effet, tout le monde n'a pas de Syno, mais ça reste le NAS le plus populaire. Ceci dit, depuis j'ai abandonné le Reverse proxy sur le Syno, et j'ai reconfiguré HAproxy à la main dans une VM Linux Debian complètement isolée qui ne fait que ça, pour plus de sécurité. Ca pourrait tourner sur un Raspberry PI, il y a des tutos sur le net pour ça (avec Haproxy, ou ngynx) Une virtual appliance, c'est trop de travail de préparation, et surtout ça ne pourrait pas être sécurisé..... car en matière de sécurité, il faut faire les mises à jour tous les jours ou presque.... donc une image préparée une fois, et mise à disposition serait rapidement obsolète. Bref.... la sécurité c'est de loin le pire (ou le meilleur selon le point de vue) domaine de l'informatique.... c'est minimum 2h de veille techno tous les matins. Je m'étais fortement intéressé à ce sujet quand j'étais étudiant, mais j'ai préférer laisser tomber. Aujourd'hui c'est l'affaire de spécialistes qui vendent des prestations de pen-test (tests d'intrusion dans un système informatique.... d'après des collègues, quasiment aucun SI ne résiste) Lien vers le commentaire Partager sur d’autres sites More sharing options...
D-GK Posté(e) le 28 octobre 2015 Auteur Signaler Partager Posté(e) le 28 octobre 2015 Tu rejoins mon avis Lazer, c'est un sujet sans fin d'ou l'ensemble des questions que je me posais. L'approche Cloud sur un prestataire dédié à la sécurité me semblait un compromis dans la mesure où son rôle est de faire cette veille et cette maintenance au quotidien. Le cloud a effectivement des inconvénients mais il permettait dans ce cas d'avoir certains avantages. PS : Je crois que l'on vient de rendre parano la moitié des lecteurs de ce topic Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dgille Posté(e) le 28 octobre 2015 Signaler Partager Posté(e) le 28 octobre 2015 Juste pour fournir un dernier élément sur les virtuals appliances, il y a des vms prêtes à l'emploi chez bitnami et turnkey linux avec un nginx préinstallé. De plus, il y a un mécanisme de mise à jour automatique des composants linux, donc coté sécurité, c'est déjà une bonne base. Ajoute à cela un peut de filtrage par nom de domaine et geo ip et tu as quelque chose de pas mal coté sécuirté et que tu maitrises. En résumé, pour l'utilisateur sans compétence linux, l'accès à distance via Fibaro est un bon compromis. Si vous voulez de la performance (à distance) et maitriser la solution, vous savez ce qu'il vous reste à faire. @D-GK, pour rester dans le volet paranoia, y a t il plus de risque lors d'une intrusion physique (=voleur), ou lors d'une intrusion virtuelle (=piratage)... A méditer Lien vers le commentaire Partager sur d’autres sites More sharing options...
D-GK Posté(e) le 28 octobre 2015 Auteur Signaler Partager Posté(e) le 28 octobre 2015 Dgille, effectivement, mais combien de personnes ici se sont équipées d'alarmes/caméras pour tenter de prévenir cette intrusion "physique"? Je trouverais dommage de blinder la sécurité physique et laisser une brèche qui permettrait d'ouvrir la porte du garage grâce à la domotique ? Je reste persuadé que les cambrioleurs de demain vont s'adapter (on le voit déjà sur les voitures "connectées"), donc autant essayer de prévenir le risque un minimum. Merci en tout cas pour cet échange ! 1 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 28 octobre 2015 Signaler Partager Posté(e) le 28 octobre 2015 D-GK, Dgille : passer par un prestataire de sécurité ou une appliance près à l'emploi est une possibilité.... après chacun jugera si cela est suffisamment sécurisé ou pas, en fonction de son besoin, ses compétences, son budget, etc. Dans les environnements nécessitant la plus haute sécurité, ils emploient le moins possible d'outils du commerce, et développent autant que possible leurs propres solutions (c'est le cas dans la défense/sécurité, avec des industriels tels que Thalès, Safran, etc).... et quand ils utilisent un outil commercial, ils prennent soin de l'auditer en interne en long en large et en travers.... c'est extrême mais ça montre que la sécurité peut aller très loin. Evidemment pour un usage personnel c'est surdimensionné. Toujours dans le même domaine industriel, la sécurité repose autant que possible que le contrôle des accès physiques.... et ne connecte pas les réseaux à Internet (selon le principe bien connu qu'un système débranché est plus sécurisé qu'un système connecté). Ce qui est certain, c'est que d'ici quelques années on aura des beaux scandales de piratage massifs de données (on a déjà entrevu une partie avec les scandales Apple iCloud, Sony Picture, et quelques numéros de cartes volés à droite et à gauche (je dis "quelques" car la majeure partie des numéros de CB volés se font en magasin physiques, et pas sur Internet...). Ajoutons à cela le contrôle des objets connectés portés sur soi (les wearables), et des objets domestiques (la domotique), et ça va donner un mix explosif !! Je suis tout à fait d'accord, le cambrioleur de demain utilisera les outils numériques pour pénétrer dans les maisons, comme pour les voitures à l'heure actuelle. Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 28 octobre 2015 Signaler Partager Posté(e) le 28 octobre 2015 pour la sécurité physique de ta maison, ton assureur exige que la porte d'entrée soie fermée à clé le soir. Pour la sécurité informatique, il suffit alors de mettre un clé sur ton routeur ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 28 octobre 2015 Signaler Partager Posté(e) le 28 octobre 2015 Je conforme, mon coffret réseau et la façade de mon proliant sont fermés àclés (attends moi je te suis ) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dgille Posté(e) le 28 octobre 2015 Signaler Partager Posté(e) le 28 octobre 2015 Quand j écrivais a méditer, je ne pensais pas que cela irait si loin .... Lien vers le commentaire Partager sur d’autres sites More sharing options...
D-GK Posté(e) le 29 octobre 2015 Auteur Signaler Partager Posté(e) le 29 octobre 2015 Pour la sécurité informatique, il suffit alors de mettre un clé sur ton routeur ... De mon côté, j'ai mis un motion sensor à côté du routeur afin d'être prévenu en cas d'intrusion réseau 2 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés