Toon posts:

Smart Thermostaat veilig opnemen in afgeschermd LAN gedeelte

Pagina: 1
Acties:

  • NitSuA
  • Registratie: september 2002
  • Laatst online: 15-09 20:58
Ik ben zojuist de trotse bezitter geworden van een Smart Thermostaat (je weet wel, een thermostaat die met internet verbonden is om van afstand de verwrming aan of uit te zetten :-) ).

Ik krijg van de fabrikant (honeywell) een gateway kastje, waarbij doodleuk wordt verteld deze op je lan aan te sluiten zodat deze benaderbaar is vanaf het www.

Dit geeft mij geen pretig gevoel, want als kwaadwillenden dat kastje weten te hacken, zitten ze mooi op mijn interne netwerk. Dit verhaal bevestigde dat dit geen onreele gedachte is.

Nu wil ik dus die honeywell gateway opnemen in mijn lan, maar op zo'n manier dat deze nooit het netwerk kan bereiken.

Onderstaand heb ik even mijn home setup getekend:



Nu zat ik zelf te brainstormen over de volgende opties:
  1. Ik kan volgens mij in mijn tomato router een vlan opzetten, maar heeft dat zin als dat vlan onder mijn homenetwerk hangt?
  2. Ik kan mijn tomato router verbinden via de WAN poort naar mijn CISCO router, volgens mij heb ik dan een afgeschermd gedeelte. Maar 2 routers in het netwerk klinkt niet oke.
  3. Zien jullie andere oplossingen? Ik koop liever geen nieuwe hardware en zet de CISCO liever niet in bridge, want dan verlies ik mijn 5Ghz wifi. Ik kan nog overwegen om de CISCO wel in bridge te zetten, en er bijvoorbeeld een dual band wifi router achter zetten die vlans / gastnetwerk ondersteund..

  • Jorik90
  • Registratie: juni 2004
  • Laatst online: 20-09 16:23
Je WAN-poort gaat niks oplossen. Dit zorgt er alleen voor dat apparaten direct aan de Cisco de thermostaat (aangesloten op de Tomato) niet kunnen zien, maar andersom wel. Vergelijk het met de WAN/internet-poort op je Cisco: jij kunt het hele internet zien, maar het hele internet ziet alleen jouw Cisco, maar niks wat erachter zit.

Wellicht kun je in de Tomato instellen dat je theromstaat (op basis van MAC-adres) alleen verkeer naar de Cisco mag doen, en op de Cisco instellen dat dat MAC-adres alleen verkeer naar het internet mag doen. Geen idee of dat mogelijk is.

Een stabielere oplossing kun je bereiken met VLANs. Er vanuit gaande dat de Cisco dit niet ondersteund, mogen hier geen apparaten op aan worden gesloten. De Cisco zal in z'n eigen "internet" VLAN komen. Al jouw eigen apparaten in een VLAN, en de thermostaat in een VLAN. Vervolgens stel je de routing in tussen de VLANs (beide toegang tot internet VLAN, maar verder niks) en ben je klaar.

Gemakkelijkere oplossing is een extra router aan te schaffen. Deze sluit je via de WAN poort aan op één van de LAN-poorten van de Cisco, en achter dit apparaat hang je al jouw apparaten. De Tomato sluit je op dezelfde manier aan, en je theromstaat verbind je met de Tomato. Je creert hier een double-NAT mee. Effectief hetzelfde als de VLANs, maar minder netjes.

  • NitSuA
  • Registratie: september 2002
  • Laatst online: 15-09 20:58
Hi @Jorik90,

Dank voor je uitgebreide antwoord!

Even puntsgewijs:

- WAN poort: Jammer dat hier geen mogelijkheden zijn.
- MAC adres filtering: Ik weet ook niet of dit mogelijk is, ik heb gekeken in de tomato firmware, maar kom hier niet achter. Wellicht is er voor een dergelijke constructie een andere technische term..
- VLAN's en geen apparaten aansluiten op de CISCO: Dit is voor nu geen optie, omdat de netgear geen dual band wifi ondersteund, en hier in amsterdam 5ghz (vanuit de CISCO) echt vereist is ;-)
- Extra router aanschaffen en dubbele NAT instellen: Dit zou inderdaad goed kunnen, echter kies ik er dan liever voor om een nieuwe dual band access point aan te schaffen, en het geheel volgens onderstaand schema aan te sluiten. (met de UPC CISCO modem in bridge mode) Ik heb dan ook geen dubbele NAT.



Het kost me wel een slordige 290 euro voor de Ubiquity AC, maar volgens mij heb ik dan wel een goede semi professionele setup in huis die weer een aantal jaartjes mee kan. Bijkomend voordeel is dat er in mijn huis ook een eenmanszaak gevestigd zit en ik mede daarom graag goede hardware wil hebben.

Denk je dat mijn netgear deze opzet trekt (480mhz cpu) en dat dit een goede opzet is? Graag wil ik full speed naar mijn NAS kunnen ;-)

Alvast dank voor je feedback!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 08:31
Ik ken Tomato niet, maar de oplossing lijkt me simpel (als het een beetje vergelijkbaar is qua features met OpenWRT). Zorg dat je Neatgear traffic van je thermostaat route ipv. bridged met de uplink, geef hem z'n eigen subnet en DHCP vanaf de Netgear en filter dan RFC1918 ranges in de firewall.

Geen extra hardware nodig, en ook geen VLANs (al snap ik dat de term snel wordt genoemd als er sprake is van meerdere LANs, maar mits deze elkaar niet doorkruisen heb je natuurlijk geen VLAN nodig).

Idealiter heb je natuurlijk 1 router (en dan moet je wel aan de VLANs), maar dit zou ook moeten werken.

[Voor 6% gewijzigd door Thralas op 26-12-2014 01:09]


  • NitSuA
  • Registratie: september 2002
  • Laatst online: 15-09 20:58
Hi Thralas, dank voor je antwoord, ik ga hier graag mee aan de slag en wil hier het fijne van uitzoeken ;-) maar kun je me iets verder op weg helpen?

Wat ik nu begrijp is het volgende.

Ik ga uit van de opzet in mijn eerste post, zonder aanschaf van extra hardware en activeer DHCP op de tomato. Vervolgens geef een statisch ip aan de thermostaat in de tomato router met bijvoorbeeld het subnetmask 255.255.255.255, en configureer in de firewall op mijn CISCO dat dit subnet afgeschermd is van de rest van het netwerk?

Heb ik dan twee dhcp routers in mijn netwerk? En hebben al mijn apparaten die aangesloten zijn op de tomato dan het afwijkende subnet? want ik wil wel graag mijn printer vanuit "mijn andere" netwerk kunnen benaderen.

haha, nee, ik denk niet dat ik je helemaal begrijp ;-)

[Voor 36% gewijzigd door NitSuA op 26-12-2014 10:46]


  • Mozzy
  • Registratie: juni 2002
  • Niet online
Je Netgear WNR3500L ondersteund een guest network. Hang je Honeywell gateway hieraan en je bent klaar lijkt me.

  • Jorik90
  • Registratie: juni 2004
  • Laatst online: 20-09 16:23
Gaat beide niet werken. Je hebt dan alle apparaten zichtbaar voor de thermostaat, maar de andere apparaten kunnen de thermostaat niet zien. In beide oplossingen wordt vergeten dat de netgear onder de Cisco hangt.

  • NitSuA
  • Registratie: september 2002
  • Laatst online: 15-09 20:58
Hi Jorik90, dank, dus zeg je hiermee dat mijn tweede plaatje de meest eenvoudige is? Mocht dat zo zijn, denk je dan dat mijn netgear dit trekt?

en moet ik nog steeds een tweede subnet gebruiken bij de verschillende vlans?

  • Janoz
  • Registratie: oktober 2000
  • Laatst online: 14:09

Janoz

Moderator Devschuur®

!litemod

Even een stapje terug. In je startpost geef je aan dat:
Ik krijg van de fabrikant (honeywell) een gateway kastje, waarbij doodleuk wordt verteld deze op je lan aan te sluiten zodat deze benaderbaar is vanaf het www.
Volgens mij klopt het tweede deel niet. Het kastje is niet van buitenaf benaderbaar, maar kan alleen zelf naar buiten toe. De verbinding wordt dus door het kastje geïnitieerd. Zolang je geen poorten geforward hebt is het in het geheel niet mogelijk om 'in te breken' in het kastje.

Als je het artikel verder leest zul je zien dat alles wat je nu probeert te doen helemaal niks gaat helpen tegen die specifieke hack. Het punt is dat de thermostaat verbinding legt met een externe server van Honneywell. Deze werkt als intermediair tussen de thermostaat en de apps die er via internet mee verbinden. Bij de situatie die in het artikel aangehaald wordt wordt helemaal de thermostaat niet gehacked, maar logt de kwaadwillende in op de server van Honneywell (doordat je bijvoorbeeld een zwak wachtwoord hebt gebruikt of door andere lekken). Vanuit die server kunnen ze vervolgens uitlezen of je wel of niet thuis bent.

[edit]
Ik heb het artikel even verder gelezen. Het artikel gaat, itt wat ik eerder beweerde, wel over het daadwerkelijk hacken van de thermostaat. Ik haalde denk ik enkele artikelen door de war. Wordt bij het installeren van de Honneywell ook gevraagd enkele poorten te forwarden?

[Voor 11% gewijzigd door Janoz op 26-12-2014 14:07]

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'


  • NitSuA
  • Registratie: september 2002
  • Laatst online: 15-09 20:58
Dat begrijp ik deels, de honeywell gateway stuurt data naar een server op internet, maar als ik de temp aanpas, moet er toch een signaal vanuit die server op de gateway terecht komen, zodat deze dat weer via RF door geeft aan de thermostaat? er is dan toch, zonder port forwarding, twee richting verkeer.

En in dat geval bestaat toch ook (wellicht theoretisch) de kans dat het kastje malafide requests verwerkt en data op mijn netwerk zet / benadert?

(ik begrijp wel wat je zegt, maar het voelt toch nog niet helemaal safe.. hehe, weet je het heel zeker?)

  • Janoz
  • Registratie: oktober 2000
  • Laatst online: 14:09

Janoz

Moderator Devschuur®

!litemod

NitSuA schreef op vrijdag 26 december 2014 @ 14:15:
Dat begrijp ik deels, de honeywell gateway stuurt data naar een server op internet, maar als ik de temp aanpas, moet er toch een signaal vanuit die server op de gateway terecht komen, zodat deze dat weer via RF door geeft aan de thermostaat? er is dan toch, zonder port forwarding, twee richting verkeer.

En in dat geval bestaat toch ook (wellicht theoretisch) de kans dat het kastje malafide requests verwerkt en data op mijn netwerk zet / benadert?

(ik begrijp wel wat je zegt, maar het voelt toch nog niet helemaal safe.. hehe, weet je het heel zeker?)
Ik heb nog even doorgelezen en Honeywell gebruikt inderdaad de tussenliggende serveroplossing. Het is dus niet zomaar mogelijk om van buitenaf op de gateway te komen.

Uiteraard is er tweerichtingsverkeer. Het gaat er echter om wie de verbinding opzet. Jij kunt ook met je browser vanachter een firewall een webpagina downloaden. Jij bent echter degene die de webpagina opvraagt en vervolgens gaat downloaden. Het is echter niet mogelijk dat een server zomaar een webpagina op je scherm zet zonder dat je uberhaupt daartoe opdracht gegeven hebt.

De gateway is waarschijnlijk gewoon aan het pollen of houd een verbinding open zodat hij kan weten of er een temperatuurswijziging doorgevoerd moet worden. Zeker voor een thermostaat lijkt het me niet zoveel uitmaken dat de temperatuur niet instantaan gewijzigd wordt, maar gewoon met halve seconde vertraging oid.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'


  • NitSuA
  • Registratie: september 2002
  • Laatst online: 15-09 20:58
ok, duidelijk, dank je wel!

Dan kan ik met een gerust hart mijn opstelling zo houden.

Many thnx!!!

edit:
volgens mij dien je bij de nest wel port forwarding in te stellen, dus volgens mij zou je daarbij theoretisch wel een security thread kunnen hebben..

[Voor 44% gewijzigd door NitSuA op 26-12-2014 16:28]


  • Jorik90
  • Registratie: juni 2004
  • Laatst online: 20-09 16:23
Beide gevallen heb je een veiligheidsrisico. Echter is het redelijk te verwaarlozen, het spul is behoorlijk dichtgetimmerd. Lekker aansluiten en geen zorgen over maken. Al zijn gescheiden netwerken ook wel leuk ;)
Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee