Comme annoncé, ce forum est passé en lecture seule au 1er janvier 2020. Désormais nous vous invitons à vous rendre sur notre nouvelle page communauté :
Image

A très bientôt !

Equipements domotique - DMZ - Flux

Pour parler de tout, et surtout de rien !
Avatar de l’utilisateur
bartounet
Actif
Messages : 2541
Inscription : 14 juil. 2016, 10:09

Equipements domotique - DMZ - Flux

Message par bartounet » 08 sept. 2018, 01:14

Bonjour.
Petit à petit je consolide mon réseau
J'ai pas mal galéré pour créer DMZ Publique et DMZ Privée mais c'est fait.

Le tout à base de PFSENSE / NETGEAR FS 108 / SW UNIFI S8 / UNIFI AC PRO

J'essaie d'architecturer comme ceci:

Image

Le but est de mettre les équipements de confiance en LAN classique et les equipements domotiques en dmz privée

Avez vous été jusque là ?
Comment avez vous fait le choix de quel équipement mettre en DMZ et lesquels laisser en LAN ?

Il faut peser le pour et le contre et ne pas basculer dans l'usine à gaz impossible à maintenir
Les équipements en DMZ sont censés avoir le moins d'accès possibles, mais doivent tout de même fonctionner...

Avez vous construit des matrices de flux afin d'ouvrir coté firewall le strict minimum ?
Sinon avez vous analyser chaques échanges ?

Je donne un exemple simple.
Les Yeelight ..
C'est pas si simple d'ouvrir les accès necessaires sans bloquer les fonctionnalités... ( Jeedom, Appli Mobile, Mise à jour Firmware.)

La discutions est ouverte pour connaitre vos méthodes.
Jeedom à jour Debian 9
VM VMWARE ESXi 6.7 ( SSD)
Stick ZWave / FIBARO / Ikea Light / Yeelight / Google Home
Wifi Unifi / PFSENSE / Reverse Proxy DMZ SSL

Passionné de bidouillage informatique en tout genre
Mon blog : http://blog.info16.fr

mecano91
Actif
Messages : 953
Inscription : 30 sept. 2014, 20:41
Localisation : Paris, France

Re: Equipements domotique - DMZ - Flux

Message par mecano91 » 08 sept. 2018, 02:08

Dmz privée / publique
Quant ont met en dmz un équipement toutes les communications externes sur des ports sont redirigés vers lui donc on ne met généralement qu'un seul comme un routeur , un nas ou un serveur

Envoyé de mon ASUS_Z016D en utilisant Tapatalk


Avatar de l’utilisateur
poluket
Helper
Messages : 1908
Inscription : 19 août 2017, 17:02
Localisation : Chastre - Belgique
Contact :

Re: Equipements domotique - DMZ - Flux

Message par poluket » 08 sept. 2018, 08:22

Il faut pas confondre dmz des Fw/routeur bas de game de dmz entreprise. Dmz des routeurs redirigent tous les ports sur une machine. Dmz entreprise, c'est une zone séparée du reste ou sont placé les machines qui sont en 1ere ligne. En cas d'attaque, seul ces machines sont accessibles.
Helper Officiel Jeedom

Installation KNX + Sonos + Xiaomi Yeelight + Jeedom sur VM Proxmox + wifi unifi avec contrôleur + NAS DS1513+ + UPS + PFsense FW

Avatar de l’utilisateur
poluket
Helper
Messages : 1908
Inscription : 19 août 2017, 17:02
Localisation : Chastre - Belgique
Contact :

Re: Equipements domotique - DMZ - Flux

Message par poluket » 08 sept. 2018, 08:24

Pour mon infra, j'ai juste 2 réseaux séparés. J'essaye de sécuriser au mieux sans avoir une une usine a gaz super compliquée a gérer
Helper Officiel Jeedom

Installation KNX + Sonos + Xiaomi Yeelight + Jeedom sur VM Proxmox + wifi unifi avec contrôleur + NAS DS1513+ + UPS + PFsense FW

mecano91
Actif
Messages : 953
Inscription : 30 sept. 2014, 20:41
Localisation : Paris, France

Re: Equipements domotique - DMZ - Flux

Message par mecano91 » 08 sept. 2018, 09:06

poluket a écrit :Il faut pas confondre dmz des Fw/routeur bas de game de dmz entreprise. Dmz des routeurs redirigent tous les ports sur une machine. Dmz entreprise, c'est une zone séparée du reste ou sont placé les machines qui sont en 1ere ligne. En cas d'attaque, seul ces machines sont accessibles.
Je n'avais jamais entendu cette définition mais on en apprend tout les jours
Par contre cette définition ne correspond toujours pas à la situation exposée puisque c'est sensé être une zone où l'on place les seuls appareils accessibles par Internet , il ne peut donc pas y avoir de zone priver / publique qui se est plutôt de l'isolation de réseau (je c'est pas si c'est le bon terme ) par des techno comme des vlan ou autres

Envoyé de mon ASUS_Z016D en utilisant Tapatalk


Avatar de l’utilisateur
bartounet
Actif
Messages : 2541
Inscription : 14 juil. 2016, 10:09

Re: Equipements domotique - DMZ - Flux

Message par bartounet » 08 sept. 2018, 09:44

Heu si
C'est Mon métier
Une dmz est une zone séparée du réseau local
Ou des restriction d'accès vont être mis en place

En général dans les réseaux étendus tu as grosso modo 3 type de dmz

Dmz publique : c'est là où tu vas mettre tes appareils qui sont directement accessible depuis internet exemple un site web, un reverse proxy, un relais de messagerie

Dmz privée
C'est là où tu vas mettre plutôt tes équipement qui nécessite d'accéder souvent Internet mais qui doivent aussi être accessible depuis le réseau interne exemple un proxy

Dmz internes
Ce sont des équipements qui sont plutôt côté réseau interne mais qui ne sont pas de confiance et qui n'ont pas forcément besoin d'accéder à Internet exemple justement les équipement domotique il nécessite tout de même isolation ouverture de flux assez fine


Donc dans un réseau etendus une DMZ c'est le plus souvent basé sur des vlan qui remonte sur un firewall
Les règles doivent être assez fines sur le firewall pour ne laisser passer que ce qui est nécessaire
Le Vlan est une sécurité supplémentaire de niveau 2 qui te permet d'isoler complètement logiquement tes équipements

Donc si tu vois bien mon schéma aujourd'hui j'ai un reverse proxy en DMZ public sur une pâtte bien Dédiée du firewall
Cela va permettre de faire tous les accès depuis internet sur ma domotique et autres

Je n'ai pas de DMZ privée

Par contre j'ai créé une DMZ interne qui va héberger tous les équipement domotique cela se fait a coup de firewall de routage et de VLAN tagging

On ne parle plus la de la box à papa qui ne sait pas gérer les vlan et les DMZ
en effet sur les routeurs premier prix la DMZ n'est qu'un réseau qui n'a accès à rien mais c'est loin de ce que sait faire une Dmz et un vrai routeur firewall

Désolé ça peut paraître un peu compliqué pour les novices j'en conviens mais c'est pour moi une étape indispensable et ce le sera encore plus avec tous les objets connectés que nous avons dans nos maison
Jeedom à jour Debian 9
VM VMWARE ESXi 6.7 ( SSD)
Stick ZWave / FIBARO / Ikea Light / Yeelight / Google Home
Wifi Unifi / PFSENSE / Reverse Proxy DMZ SSL

Passionné de bidouillage informatique en tout genre
Mon blog : http://blog.info16.fr

mecano91
Actif
Messages : 953
Inscription : 30 sept. 2014, 20:41
Localisation : Paris, France

Re: Equipements domotique - DMZ - Flux

Message par mecano91 » 08 sept. 2018, 10:13

Je ne suis certe pas du métier mais pas novice non plus , travaillant dans la maintenance industrielle il a bien fallu que j'acquière les bases de gestion de réseau informatique et industriels (bus )
Ne serais que pour déterminer si c'est l'équipement qui a un pb ou sa connexion surtout que maintenant du téléphone (voip) au machines ( télégestion , comptage ,etc ) tout est en réseau
Mais je n'avais jamais entendu parler de dmz pour cette utilisation mais plutôt des solutions que j'ais évoqué , mais par contre dans la définition il n'est pas fait mention de privée/publique etc d'où mon étonnement
Par contre il a comme même des routeurs switch "grand publique" qui permettent des fonctions avancées de gestion de réseau quelques marques appartenant a des plus grandes comme cisco certes pas les premiers prix et pas avec les mêmes puissances capacités
La ou je suis entièrement d'accord c'est contrôle des communications des objets connecter !
Mais pour beaucoup ont ne peut pas les isoler complètement étant donné que pour des raisons de gain financier par le biais d'abonnement par exemple mais aussi pour réduire les prix de vente en limitant "la puissance " ,ils sont actuellement en grande majorité 100% cloud

Envoyé de mon ASUS_Z016D en utilisant Tapatalk


Avatar de l’utilisateur
poluket
Helper
Messages : 1908
Inscription : 19 août 2017, 17:02
Localisation : Chastre - Belgique
Contact :

Re: Equipements domotique - DMZ - Flux

Message par poluket » 08 sept. 2018, 10:17

+1 pour @bartounet
je suis aussi dans la securité réseau, je gere des proxys, fw, reverse proxy, wifi, dns and co. dans mon entreprise on a des centaindes de Vlan et je parle pas du reste. maintenant, a la maison, il ne faut pas aller vers la paranoia.
je sépare le réseau des visiteurs de mon reseau perso contenant ma domotique . c'est deja pas mal et assez waf compliant :)

pour le reverse proxy, j'ai utilisé celui founi par pfsense (squid). accessible seulement en direct depuis le réseau de mon boulot. sinon, obligé de passer par le VPN de pfsense (openvpn)
Helper Officiel Jeedom

Installation KNX + Sonos + Xiaomi Yeelight + Jeedom sur VM Proxmox + wifi unifi avec contrôleur + NAS DS1513+ + UPS + PFsense FW

Avatar de l’utilisateur
bartounet
Actif
Messages : 2541
Inscription : 14 juil. 2016, 10:09

Re: Equipements domotique - DMZ - Flux

Message par bartounet » 08 sept. 2018, 10:45

j'ai fait un vrai reverse proxy apache avec un RPI
Sur une patte dédiée du pfsense.
Jeedom à jour Debian 9
VM VMWARE ESXi 6.7 ( SSD)
Stick ZWave / FIBARO / Ikea Light / Yeelight / Google Home
Wifi Unifi / PFSENSE / Reverse Proxy DMZ SSL

Passionné de bidouillage informatique en tout genre
Mon blog : http://blog.info16.fr

Avatar de l’utilisateur
poluket
Helper
Messages : 1908
Inscription : 19 août 2017, 17:02
Localisation : Chastre - Belgique
Contact :

Re: Equipements domotique - DMZ - Flux

Message par poluket » 08 sept. 2018, 10:58

bartounet a écrit :
08 sept. 2018, 10:45
j'ai fait un vrai reverse proxy apache avec un RPI
Sur une patte dédiée du pfsense.
j'ai vu ton schema. :)

maintenant, on n'est pas des cibles non plus. notre acces internet en est un parmis des millions. Si un pirate n'a pas acces rapidement via ces bots a une faille sur notre infra, il passera son chemin et trouvera sans problème un réseau non securisé chez quelqu'un d'autre.

notre seul chance de passé inapersu, c'est de simplement d'être un peu plus securisé que les autres et noyé dans la masse.
Parce que si un pirate en a contre toi, avec un peu de temps, il arrivera a rentrer sans problème.

meme au boulot, ils arrivent a renter (pour des tests) malgrés des appliances a plus de 100 000€.
Helper Officiel Jeedom

Installation KNX + Sonos + Xiaomi Yeelight + Jeedom sur VM Proxmox + wifi unifi avec contrôleur + NAS DS1513+ + UPS + PFsense FW

Avatar de l’utilisateur
bartounet
Actif
Messages : 2541
Inscription : 14 juil. 2016, 10:09

Re: Equipements domotique - DMZ - Flux

Message par bartounet » 08 sept. 2018, 13:17

Oui c'est sur que nous serons moins ciblé mais ce n'est pas une raison ☺

Au dela des acces depuis l'extérieur je suis aussi vigilant a ce qui sort du réseau

Les équipements iot peuvent fournir des données a l'exterieur

Pour moi une dmz protege dans les 2 sens

J'ai l'impression d'être un extraterrestre ...☺
Je suis le seul a vouloir isoler mes équipements iot ?
Jeedom à jour Debian 9
VM VMWARE ESXi 6.7 ( SSD)
Stick ZWave / FIBARO / Ikea Light / Yeelight / Google Home
Wifi Unifi / PFSENSE / Reverse Proxy DMZ SSL

Passionné de bidouillage informatique en tout genre
Mon blog : http://blog.info16.fr

mecano91
Actif
Messages : 953
Inscription : 30 sept. 2014, 20:41
Localisation : Paris, France

Re: Equipements domotique - DMZ - Flux

Message par mecano91 » 08 sept. 2018, 15:41

Non y a même des box qui ont été développé dans cette optique comme celle de fing ou de bitdefender , mais par contre les isoler peut s'avérer complexe aussi bien d'Internet => 100% cloud que d'un réseau local => appli de gestion qui ne fonctionne plus n'accede pas au médias stockés etc

Envoyé de mon ASUS_Z016D en utilisant Tapatalk


Avatar de l’utilisateur
poluket
Helper
Messages : 1908
Inscription : 19 août 2017, 17:02
Localisation : Chastre - Belgique
Contact :

Re: Equipements domotique - DMZ - Flux

Message par poluket » 08 sept. 2018, 16:27

bartounet a écrit :
08 sept. 2018, 13:17
Oui c'est sur que nous serons moins ciblé mais ce n'est pas une raison ☺

Au dela des acces depuis l'extérieur je suis aussi vigilant a ce qui sort du réseau

Les équipements iot peuvent fournir des données a l'exterieur

Pour moi une dmz protege dans les 2 sens

J'ai l'impression d'être un extraterrestre ...☺
Je suis le seul a vouloir isoler mes équipements iot ?
en fait, quand j'ai un composant et que je veux pas qu'il sorte sur le net, il suffit de ne pas lui mettre de gateway. et on est tranquille.
Dans mon infra, je n'ai pas beaucoup de composant qui donnent des infos vers l'extérieur.
Les marques que je prends sont assez pro que pour etre sur.

je me rapelle une trace que j'avais lancé et j'avais vu lors d'un test d'une xiaomi gw quelle n'arretait pas toutes les minutes de scanner le réseau local pour savoir si de nouveaux composants étaient présents... apres qu'est ce qu'elle fait de l'info ....
Helper Officiel Jeedom

Installation KNX + Sonos + Xiaomi Yeelight + Jeedom sur VM Proxmox + wifi unifi avec contrôleur + NAS DS1513+ + UPS + PFsense FW

Avatar de l’utilisateur
bartounet
Actif
Messages : 2541
Inscription : 14 juil. 2016, 10:09

Re: Equipements domotique - DMZ - Flux

Message par bartounet » 09 sept. 2018, 19:26

J'ai fait un petit article de la mise en œuvre de mon Wifi en DMZ.
Pour ceux que çà intéresse.

http://blog.info16.fr/index.php?article ... ot-en-wifi
Jeedom à jour Debian 9
VM VMWARE ESXi 6.7 ( SSD)
Stick ZWave / FIBARO / Ikea Light / Yeelight / Google Home
Wifi Unifi / PFSENSE / Reverse Proxy DMZ SSL

Passionné de bidouillage informatique en tout genre
Mon blog : http://blog.info16.fr

Avatar de l’utilisateur
tomdom
Actif
Messages : 925
Inscription : 14 nov. 2016, 05:46

Re: Equipements domotique - DMZ - Flux

Message par tomdom » 10 sept. 2018, 07:28

Bonjour,
bartounet a écrit :
08 sept. 2018, 13:17
J'ai l'impression d'être un extraterrestre ...☺
Je suis le seul a vouloir isoler mes équipements iot ?
Non tu n'es pas le seul ;)

J'ai aussi un réseau dédié domotique (derrière un routeur basé sur openwrt) où seuls Jeedom et mon enceinte Amazon Echo peuvent sortir. Pour les autres équipements (caméra, xiaomi, etc ...), j'ouvre uniquement de temps en temps pour les màj de firmware.
Il y a 10 catégories de personnes, celles qui connaissent le binaire et les autres
.

Avatar de l’utilisateur
bartounet
Actif
Messages : 2541
Inscription : 14 juil. 2016, 10:09

Re: Equipements domotique - DMZ - Flux

Message par bartounet » 10 sept. 2018, 08:43

OK merci
Et les communications entre les equipments et les applications mobiles ?
Tu les gère comment ?

J'ai pas encore tout testé
Jeedom à jour Debian 9
VM VMWARE ESXi 6.7 ( SSD)
Stick ZWave / FIBARO / Ikea Light / Yeelight / Google Home
Wifi Unifi / PFSENSE / Reverse Proxy DMZ SSL

Passionné de bidouillage informatique en tout genre
Mon blog : http://blog.info16.fr

Avatar de l’utilisateur
tomdom
Actif
Messages : 925
Inscription : 14 nov. 2016, 05:46

Re: Equipements domotique - DMZ - Flux

Message par tomdom » 10 sept. 2018, 09:46

Bonjour,
bartounet a écrit :
10 sept. 2018, 08:43
Et les communications entre les equipments et les applications mobiles ?
En utilisation courante, tout passe par Jeedom.
Pour les configurations spécifiques à l'installation (ex : xiaomi), je me connecte au Wifi dédié domotique.
Il y a 10 catégories de personnes, celles qui connaissent le binaire et les autres
.

Avatar de l’utilisateur
bartounet
Actif
Messages : 2541
Inscription : 14 juil. 2016, 10:09

Re: Equipements domotique - DMZ - Flux

Message par bartounet » 10 sept. 2018, 10:02

Et le pilotage des Ampoules via les application mobile ?
Pas de soucis ?
Jeedom à jour Debian 9
VM VMWARE ESXi 6.7 ( SSD)
Stick ZWave / FIBARO / Ikea Light / Yeelight / Google Home
Wifi Unifi / PFSENSE / Reverse Proxy DMZ SSL

Passionné de bidouillage informatique en tout genre
Mon blog : http://blog.info16.fr

Avatar de l’utilisateur
tomdom
Actif
Messages : 925
Inscription : 14 nov. 2016, 05:46

Re: Equipements domotique - DMZ - Flux

Message par tomdom » 10 sept. 2018, 10:49

bartounet a écrit :
10 sept. 2018, 10:02
Et le pilotage des Ampoules via les application mobile ?
Je les pilotes via Jeedom.

Maintenant via l'application mobile pas de problème tant que je me connecte sur le Wifi dédié domotique (Ampoule Wifi Lifx, pas testé pour la Yeelight).
Il y a 10 catégories de personnes, celles qui connaissent le binaire et les autres
.

Avatar de l’utilisateur
bartounet
Actif
Messages : 2541
Inscription : 14 juil. 2016, 10:09

Re: Equipements domotique - DMZ - Flux

Message par bartounet » 10 sept. 2018, 21:19

Bah par exemple les Yeelight ne fonctionne pas via l'application mobile si on les coupe d'internet.

L'exemple par la preuve ....
Lorsque j'éteins l'ampoule Yeelight depuis l'application Yeelight

Code : Tout sélectionner

21:17:15.567666 IP Yeelight-Bureau.localdomain.54321 > ec2-35-167-218-97.us-west-2.compute.amazonaws.com.8053: UDP, length 64
21:17:15.568116 IP Yeelight-Bureau.localdomain.54321 > ec2-35-167-218-97.us-west-2.compute.amazonaws.com.8053: UDP, length 96
21:17:15.744091 IP ec2-35-167-218-97.us-west-2.compute.amazonaws.com.8053 > Yeelight-Bureau.localdomain.54321: UDP, length 64
21:17:17.235290 IP ec2-35-167-218-97.us-west-2.compute.amazonaws.com.8053 > Yeelight-Bureau.localdomain.54321: UDP, length 96
21:17:17.238320 IP Yeelight-Bureau.localdomain.54321 > ec2-35-167-218-97.us-west-2.compute.amazonaws.com.8053: UDP, length 64
21:17:17.239301 IP Yeelight-Bureau.localdomain.54321 > ec2-35-167-218-97.us-west-2.compute.amazonaws.com.8053: UDP, length 96
21:17:17.414405 IP ec2-35-167-218-97.us-west-2.compute.amazonaws.com.8053 > Yeelight-Bureau.localdomain.54321: UDP, length 64
On voit qu'a chaque appui elle cause avec Amazon...

Si tu coupes internet l'ampoule n'est plus visible depuis l'application

Je trouve ca balot... car Jeedom peut très bien la piloter via l'API...
Sans accès internet Jeedom controle très bien l'ampoule...

Pourquoi l'application n'utilise pas la même gestion que Jeedom.. via l'interne
Jeedom à jour Debian 9
VM VMWARE ESXi 6.7 ( SSD)
Stick ZWave / FIBARO / Ikea Light / Yeelight / Google Home
Wifi Unifi / PFSENSE / Reverse Proxy DMZ SSL

Passionné de bidouillage informatique en tout genre
Mon blog : http://blog.info16.fr

Répondre

Revenir vers « Discussions Générales »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités