Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Sécurité autour de la domotique (sujet général)
#11
Quote:Oui un VPN c'est une solution, mais ca reste tres contraignant a mettre en place pour des utilisateurs lambda...

Oui. Avec les NAS Synology ou autre, on peut monter un VPN en 5 click, mais il faut quand même s'y connaitre un minimum.. ou avoir un voisin sympa Tongue

Quote:Comment faire pour les applis mobiles calaos pour voir ses caméras?
Que veux-tu dire ? Les caméras sont visibles sur le LAN donc le Calaos serveur y accède bien. Les flux passent par le serveur il me semble, non ? Seul la centrale est visible depuis l'extérieur.

Ca tombien pour le https, il y a une faille sortie depuis peu sur la lib OpenSSL, mais bon, la c'est du niveau expert Angry

@Thibaut.
Même réponse que Raoul.
Les adresses Mac ne sont visibles que sur ton réseau "très proche", en clair dans ta maison. Dés que tu passes ton routeur ADSL, elles ne sont pas visibles.
Pour l'adresse IP. Quand tu te connectes en 3G ou en déplacement, ton IP visible sera différente, donc au final tu serais bloqué également.

Le DHCP est bien pratique au quotidien. Un éventuel pirate n'en a pas besoin. Tu serais donc le seul pénalisé.
Sur les bornes Wifi, tu peux éventuellement faire des couples IP/MAC pour limiter un peu.

La base reste toujours de ne pas ouvrir ce qui n'a pas besoin de l'être (pas de wago sur le réseau de la maison, ne pas ouvrir sa box pour l'accès à la caméra, etc). Et surtout de mettre des mots de passe très long.
Calaos v1.1.20 sur Advantech x86 | Calaos Home écran tactile RS232 | Wago 750-841 | DMX RGB LED
Calaos-OS v2.0 sur Advantech x86 | Clé USB
Squeezebox | Raspberry & Scripts maison
Reply
#12
Hello,

Je ne viens pas nécessairement apporter d'information complémentaire, j'abonde juste dans le sens de messages qu'on a déjà lus :
- le serveur Calaos est à sécuriser (HTTPS au lieu de HTTP, y compris sur l'API)
- les mots de passe par défaut sont à changer
- il faudrait implémenter une mise à jour (semi?)automatique de Calaos pour les prochaines versions
- le Wago ne devrait pas être accessible du réseau domestique (pour les Mele, Raspberry et autres, il faut trouver une solution pour avoir deux réseaux séparés)
Sébastien Maccagnoni-Munch - Maison en autorénovation, on ne garde que les murs
Automate Wago 750-849 (mais pas de KNX), centrale Beaglebone Black, Calaos 2.0, détecteurs de mouvement HC-SR501, éclairage LED, gradation DALI
Sonorisation Squeezebox avec Raspberry Pi (piCorePlayer), Kia Soul EV en charge toutes les nuits...
Reply
#13
J'avoue ne pas encore avoir utilisé le coté applicatif mais ce qui serait plus être "mieux" niveau sécurité (à moins que ça soit déjà en place) serait de maintenir une "liste de périphériques autorisés" à se connecter en dehors du réseau local ...

Par exemple lors de la tentative de connexion depuis un périphérique mobile en 3g, une demande d'autorisation est demandée et apparait sur l'écran tactile. Cette demande doit être "explicitement" autorisée par une personne physique au niveau de l’habitation.
Dès que cette autorisation est effective pour ce périphérique, alors sa connexion est possible et ne lui sera plus demandée ultérieurement.

Ce petit système permet de s'assurer que seuls les périphériques "autorisés" peuvent réellement s'interfacer avec l'applicatif et donc seuls ces périphériques peuvent être le point faible depuis l'extérieur. Le couple « login / pwd » est de suite moins important tout en augmentant le niveau de sécurité.
Reply
#14
Quote:- le serveur Calaos est à sécuriser (HTTPS au lieu de HTTP, y compris sur l'API)

L'accès Web de Calaos est déjà en HTTPS, y compris pour l'Api.php . De quoi parles-tu ? Huh

Quote:- les mots de passe par défaut sont à changer

Ca effectivement, c'est à faire Big Grin

Quote:- il faudrait implémenter une mise à jour (semi?)automatique de Calaos pour les prochaines versions

La v1 de Calaos avait déjà un système de mise à jour, et la v2 en aura un aussi, mais il n'est pas encore développé. Par contre, sur le coté "automatique" ou semi, c'est difficile. Disons que ça doit être un choix de l'utilisateur. Il ne faudrait pas qu'une mise à jour plante quelque chose que l'utilisateur à fait lui même (un capteur fait maison ou qlq chose comme ça). Bref, l'option peut exister mais avec choix de l'utilisateur Big Grin


Quote:- le Wago ne devrait pas être accessible du réseau domestique (pour les Mele, Raspberry et autres, il faut trouver une solution pour avoir deux réseaux séparés)

Une simple carte Ethernet en USB devrait suffire pour ça (10-15€ sur Amazon).
Calaos v1.1.20 sur Advantech x86 | Calaos Home écran tactile RS232 | Wago 750-841 | DMX RGB LED
Calaos-OS v2.0 sur Advantech x86 | Clé USB
Squeezebox | Raspberry & Scripts maison
Reply
#15
@maktibab: effectivement ça pourrait être faisable. C'est un peu ce que fait Facebook en autorisant les navigateurs Web via un code envoyé par SMS.

Ca pourrait aussi bien fonctionner pour l'application mobile que Web. On tient sur le serveur une liste des App/navigateurs autorisés. Si on a besoin de se connecter en Web depuis un PC autre, on reçoit un code via SMS ou mail, et ça autorise le navigateur Web. On peut imaginer faire des autorisations temporaires de 30mn, 60mn, etc..

Ca pourrait être un module de sécurité complémentaire au serveur Calaos. Un plug'in.
Bonne idée !
Calaos v1.1.20 sur Advantech x86 | Calaos Home écran tactile RS232 | Wago 750-841 | DMX RGB LED
Calaos-OS v2.0 sur Advantech x86 | Clé USB
Squeezebox | Raspberry & Scripts maison
Reply
#16
J'aurais peut-être encore 2 ou 3 idées sous le coude, mais pour ça faut que je jette un oeil à l'application (pas encore eu le temps de l'installer).

En tout cas une chose est sûr, le coté sécurité qui peut sembler "marginal" pour certain, n'est vraiment pas une chose à prendre à la légère ! Quand on voit les société de sécurité étudier de pret les box adsl parce qu'elles y trouvent des trojans... on est plus à l'abris de rien !
Reply


Forum Jump:


Users browsing this thread: 6 Guest(s)