Smart Thermostaat veilig opnemen in afgeschermd LAN gedeelte

Je WAN-poort gaat niks oplossen. Dit zorgt er alleen voor dat apparaten direct aan de Cisco de thermostaat (aangesloten op de Tomato) niet kunnen zien, maar andersom wel. Vergelijk het met de WAN/internet-poort op je Cisco: jij kunt het hele internet zien, maar het hele internet ziet alleen jouw Cisco, maar niks wat erachter zit.

Wellicht kun je in de Tomato instellen dat je theromstaat (op basis van MAC-adres) alleen verkeer naar de Cisco mag doen, en op de Cisco instellen dat dat MAC-adres alleen verkeer naar het internet mag doen. Geen idee of dat mogelijk is.

Een stabielere oplossing kun je bereiken met VLANs. Er vanuit gaande dat de Cisco dit niet ondersteund, mogen hier geen apparaten op aan worden gesloten. De Cisco zal in z'n eigen "internet" VLAN komen. Al jouw eigen apparaten in een VLAN, en de thermostaat in een VLAN. Vervolgens stel je de routing in tussen de VLANs (beide toegang tot internet VLAN, maar verder niks) en ben je klaar.

Gemakkelijkere oplossing is een extra router aan te schaffen. Deze sluit je via de WAN poort aan op één van de LAN-poorten van de Cisco, en achter dit apparaat hang je al jouw apparaten. De Tomato sluit je op dezelfde manier aan, en je theromstaat verbind je met de Tomato. Je creert hier een double-NAT mee. Effectief hetzelfde als de VLANs, maar minder netjes.

Ik ken Tomato niet, maar de oplossing lijkt me simpel (als het een beetje vergelijkbaar is qua features met OpenWRT). Zorg dat je Neatgear traffic van je thermostaat route ipv. bridged met de uplink, geef hem z'n eigen subnet en DHCP vanaf de Netgear en filter dan RFC1918 ranges in de firewall.

Geen extra hardware nodig, en ook geen VLANs (al snap ik dat de term snel wordt genoemd als er sprake is van meerdere LANs, maar mits deze elkaar niet doorkruisen heb je natuurlijk geen VLAN nodig).

Idealiter heb je natuurlijk 1 router (en dan moet je wel aan de VLANs), maar dit zou ook moeten werken.

[Voor 6% gewijzigd door Thralas op 26-12-2014 01:09]

Je Netgear WNR3500L ondersteund een guest network. Hang je Honeywell gateway hieraan en je bent klaar lijkt me.

Gaat beide niet werken. Je hebt dan alle apparaten zichtbaar voor de thermostaat, maar de andere apparaten kunnen de thermostaat niet zien. In beide oplossingen wordt vergeten dat de netgear onder de Cisco hangt.

Even een stapje terug. In je startpost geef je aan dat:

Ik krijg van de fabrikant (honeywell) een gateway kastje, waarbij doodleuk wordt verteld deze op je lan aan te sluiten zodat deze benaderbaar is vanaf het www.

Volgens mij klopt het tweede deel niet. Het kastje is niet van buitenaf benaderbaar, maar kan alleen zelf naar buiten toe. De verbinding wordt dus door het kastje geïnitieerd. Zolang je geen poorten geforward hebt is het in het geheel niet mogelijk om 'in te breken' in het kastje.

Als je het artikel verder leest zul je zien dat alles wat je nu probeert te doen helemaal niks gaat helpen tegen die specifieke hack. Het punt is dat de thermostaat verbinding legt met een externe server van Honneywell. Deze werkt als intermediair tussen de thermostaat en de apps die er via internet mee verbinden. Bij de situatie die in het artikel aangehaald wordt wordt helemaal de thermostaat niet gehacked, maar logt de kwaadwillende in op de server van Honneywell (doordat je bijvoorbeeld een zwak wachtwoord hebt gebruikt of door andere lekken). Vanuit die server kunnen ze vervolgens uitlezen of je wel of niet thuis bent.

[edit]
Ik heb het artikel even verder gelezen. Het artikel gaat, itt wat ik eerder beweerde, wel over het daadwerkelijk hacken van de thermostaat. Ik haalde denk ik enkele artikelen door de war. Wordt bij het installeren van de Honneywell ook gevraagd enkele poorten te forwarden?

[Voor 11% gewijzigd door Janoz op 26-12-2014 14:07]

NitSuA schreef op vrijdag 26 december 2014 @ 14:15:
Dat begrijp ik deels, de honeywell gateway stuurt data naar een server op internet, maar als ik de temp aanpas, moet er toch een signaal vanuit die server op de gateway terecht komen, zodat deze dat weer via RF door geeft aan de thermostaat? er is dan toch, zonder port forwarding, twee richting verkeer.

En in dat geval bestaat toch ook (wellicht theoretisch) de kans dat het kastje malafide requests verwerkt en data op mijn netwerk zet / benadert?

(ik begrijp wel wat je zegt, maar het voelt toch nog niet helemaal safe.. hehe, weet je het heel zeker?)

Ik heb nog even doorgelezen en Honeywell gebruikt inderdaad de tussenliggende serveroplossing. Het is dus niet zomaar mogelijk om van buitenaf op de gateway te komen.

Uiteraard is er tweerichtingsverkeer. Het gaat er echter om wie de verbinding opzet. Jij kunt ook met je browser vanachter een firewall een webpagina downloaden. Jij bent echter degene die de webpagina opvraagt en vervolgens gaat downloaden. Het is echter niet mogelijk dat een server zomaar een webpagina op je scherm zet zonder dat je uberhaupt daartoe opdracht gegeven hebt.

De gateway is waarschijnlijk gewoon aan het pollen of houd een verbinding open zodat hij kan weten of er een temperatuurswijziging doorgevoerd moet worden. Zeker voor een thermostaat lijkt het me niet zoveel uitmaken dat de temperatuur niet instantaan gewijzigd wordt, maar gewoon met halve seconde vertraging oid.

Beide gevallen heb je een veiligheidsrisico. Echter is het redelijk te verwaarlozen, het spul is behoorlijk dichtgetimmerd. Lekker aansluiten en geen zorgen over maken. Al zijn gescheiden netwerken ook wel leuk