Hvordan har dere sikret deres hjemmeautomasjonssystem?

[Teknor]

For å få inspirasjon til "tilstrekkelig" sikring av hjemmeatomasjonssystemet så beskriv gjerne hvordan dere har tenkt og løst dette. Sikkerhet treffer mange dimensjoner, men jeg tenker i utgangspunkt på tilgjengelighet eksternt, sikkerhetskopiering og "god nok" oppetid.

 

For å begynne selv:

 - Oppsett: HomeAssistant OS på en RPI4 med ekstern SSD. Zigbee og RF.

 - Ekstern tilgang: DuckDNS integrasjonen i HA med port forwarding. 

 - Backup: HA standard backup med integrasjonen som automatisk laster opp backup-filen til Google Disk

 - Restore: Ikke testet, og spent på om det fungerer (!), spesielt med tanke på "hybrid" oppsettet med SD-kort og ekstern SSD disk...

 - UPS: Ingen

 

[psv021]

Homeseer + Deconz + Philips Hue + InfluxDB + Grafana på Windows på to lokasjoner (hus og hytte). Tilgjengelighet eksternt er en liten nøtt. Jeg har valgt å bruke nginx som revers-proxy, med whitelisting på IP (kun tilgjengelig fra "mine" IP-adresser - så jeg må VPN'e hjem). Da har jeg ekstern tilgang til Grafana og HS. HS har jeg også ekstern tilgang til via MyHS. Det innebærer likevel at jeg har en port åpen mot verden. På den ene lokasjonen har jeg whitelisting av IP direkte i router, mens på den andre er det nginx som stopper. Ellers bruker jeg TeamViewer ganske aktivt for tilgang til begge serverne, det fungerer veldig bra.

 

Backup: Standard HS backup til OneDrive.

 

Oppetid: Jeg har valgt å la Windows styre sine egne oppdateringer, dermed må jeg håndtere restarter i ny og ne. Starter alt i riktig rekkefølge med Startup Delayer for Windows. Begge PC'ene er satt opp til å boote etter strømbrudd. Så langt har det gått relativt greit. Har ikke UPS.

 

Kjente svake punkter hos meg:

- Backup (og restore) av z-wave. Har med skrekk lest en del andre tråder der folk har seriøse problemer med dette.

- HS kan visstnok være litt sårbar for brutale nedstenginger (som f.eks. når Windows rebooter), men foreløpig har det gått greit. (Håper jeg ikke jinxer det nå.)

- Litt usikker på om det ER et svakt punkt, men det føles som et svakt punkt at trafikk på port X går helt inn til min Windows-maskin før den sjekkes av nginx som aksepterer eller avviser trafikk avhengig av IP den kommer fra. Nå har jeg riktignok også noen andre mekanismer for å blokkere, men skulle gjerne ha stoppet det før det kommer så langt. Har vurdert å sette nginx på en RPi og la ekstern trafikk treffe den først. Men om det betyr noe er jeg usikker på.

[PCI]

HomeSeer4 som kjører på en Asus mini pc med Ubuntu - linux som operativsystem. Har tilgang gjennom ssh og x2go eller webmin som fjernstyring av serveren. Alt av oppdateringer skjer manuelt da jeg vil ha kontroll av hva som oppdateres. Har erfart at Deconz kan endre på port til 80 etter oppdatering av programmet. Kjipt når HomeSeer kjører på samme port, blir vanskelig å få kontakt på webinterfacet.

 

Har skilt ut hjemmenettverket, IoT-enheter og HomeSeer4 server på egne subnet gjennom vlan. Kjører openvpn på pfsense ruteren, så ingen åpne porter fra internettet mot servere eller nettverkskameraer (viktig å sperre porter i brannmuren for inngående og utgående trafikk, og deaktivere UPnP funksjonen i ruteren for at ikke IoT enheter skal kunne ringe "hjem", kun nødvendige utgående porter er åpne). MyHS er deaktivert da funksjonen ikke brukes.

 

Daglig backup av HomeSeer mappa til en egen hdd som igjen har ukentlig backup til en filserver gjennom rsync. I tillegg er det ukentlig backup av filserveren til JottaCloud. Når det gjelder z-wave UZB donglen, så tas det manuell backup minimum to ganger pr år eller etter store endring av Z-wave nettverket med  Z-Stick Gen5 Backup Software. Gjør så en test at det går an å restore på en UZB dongle nr to som fungerer som en backup dongle. Det samme gjelder zigbee nettverket gjennom deconz.

 

Alle servere, aksesspunkt, switcher og nettverkskameraer får strøm gjennom UPS'er så dem kan kjøre en time eller to ved strømutfall. Det er viktigste for meg ved bruk av UPS er å ha oppetid på internettet for å kunne varsle ved strømbrudd og ha kontrollert nedstengning av serverne. Internettet og overvåkningskameraene er det siste som kobles ned.

 

[Moskus]

HS3 på Windows. Oppetid "så lenge jeg vil". 

Kjører HS3 på en VM i ESXI. Daglige backups av HS3. Ukentlige backups av VM på en ekstern HD, og ellers lastet opp til Jotta. ESXi-maskin har USP og alt som skal til. Bruker Z-NET så har backup av Z-wave-nettverket.

 

SSL-sertifikater og gode passord.

 

Har tidligere lekt en del med systemet, så har fått testet restore på alle måter. Ikke gøy, men det virker. 🙂

I de senere år har jeg skaffet meg et tilleggssystem (som nå kjører HS4) til å leke med. 😉 

[slippern]

Kjører Home-Assistant i VMWare.

HA kjøres på et eget VLAN og sone i brannmuren, slik at all trafikk fra/til HA må traversere brannmuren.

Eget nettverk-interface mot klient VLAN kun for multicast trafikk.

Brannmuren er en NGFW med de funksjonene det gir.

Ekstern tilgang skjer via en Nginx-proxy med Lets encrypt sertifikat og MFA pålogging.

 

IoT-enheter kjøres på eget VLAN med klient isolering, disse får ikke lov å nå internett, med mindre de må nå egne skytjenester som er hvitelistet i brannmuren.

HA får også kun snakke ut på internett mot FQDN, URL og applikasjoner som er hvitelistet.

 

Backup kjøres hver natt i HA, og kopieres til ekstern disk.

I tillegg tas backup av hele VM-et, restore er testet opptil flere ganger 🙂

 

Endret 31. januar 2023 av slippern

[Teknor]

Tips til en anbefalt løsning som som et minimum av sikkerhet gjennom ekstern tilgang på en HA løsning som i dag benytter DuckDNS og enkel port-forwarding? Ser i loggen at det er noen få innloggingsforsøk som feiler hver natt.

Endret 15. februar 2023 av Teknor

[ArnsteinL]

Et absolutt minimum må jo være å bruke en sær, ukurant høy port og Multi-factor Authentication ville jeg tenkt da. Nabu casa sin løsning er jo ikke fryktelig dyr heller da

 

[RVM]

Støtter forslaget om å bruke Nabu Casa, det bidrar også til utviklingen av HA.

 

Disse innloggingsforsøkene som feiler, er det tilfeldigvis 127.0.0.1 eller intern IP (192.168.x.x e.l.)?

[slippern]

ArnsteinL skrev (4 timer siden):

Et absolutt minimum må jo være å bruke en sær, ukurant høy port og Multi-factor Authentication ville jeg tenkt da. Nabu casa sin løsning er jo ikke fryktelig dyr heller da

 

Og "gjemme" seg bak en sær, ukurant høy port gir absolutt null sikkerhet, "security by obscurity" gir kun falsk trygghet.

Tjenester som Shodan.io avslører jo slikt ganske greit.
Facet Analysis (shodan.io)

[SveinHa]

Kjører NodeRed på Linux på ESXI med full backup av hele maskinen til NAS hver natt i tillegg til både sporadisk og daglig backup av NodeRed. NASen backes til en annen NAS i et annet bygg hver natt.

 

Tilgang utenfra med OpenVPN og kun 1 port åpnet for VPN.

 

Ping fra WAN ignoreres.

 

Div sikkerhetsmekanismer aktivert i ruter.

[Kim123]

 Sånn er mitt oppsett:

1. Hardware: intel NUC June Canyon (Intel Celeron) kjørende med Ubuntu server 
2. Software: Ca 20 containere med blant annet
   1. Home assistant
   2. zigbee2mqtt
   3. zwavejs2mqtt
   4. mqtt broker
3. Backup: Configurasjons/automasjons-filer tas hver natt. En gang i måneden full backup av /home/ mappen til en ekstern NAS. 
4. Restore: Ikke testet, men er på planen å få kopiert hele SSD'en over til ny SSD som kan ligge klar i tilfelle feil. 
5. UPS: UPS holder NUC (server), router, rflink(for brannvarsling) og fiberbokser med strøm i ca. 30-40 minutter 
6. Stabilitet: Restartet 3 ganger etter kjøp, oppetid på nærmere 400 dager før første reboot (grunnet sikkerhetsoppdateringer)
7. Nettverk: iot devicer kjører på eget isolert vlan hvor de har tilgang til nettet, men brannmursregel sier at det kan kommuniseres fra hjemmenett til iot nett, men ikke motsatt. 
8. Remote: nginx reverse-proxy med SSL fra letsencrypt. En åpen 443 port mot home assistant, komplekse passord + google 2 faktor. 

 

[fred]

Hardware:

• Dedikert pc bygd i 4u kabinett som kjører ubuntu Server
• Zigbee stick SONOFF Zigbee 3.0 USB Dongle Plus ZBDongle-P

Software:

• Docker med 18 containere. I forhold til hjemmeautomasjon kjører jeg
  - Homeassistant
  - Mariadb
  - Influxdb
  - Node red
  - Grafana

Backup... her er jeg alt for dårlig...!

• Github backup av alt av composefiler og config.
• manuell backup av databaser til nas, dette burde være automatisert men jeg er lat

Restore:

• Har ikke måtte teste det på ekte, men satte opp en virituell maskin og klarte å replikere hele dockerstacken, har også et shellscript som setter opp servere for meg, så teoretisk sett bør jeg klare å ha et tilsvaredne system oppe i løpet av et par timer på ny hardware men jeg kommer nok til å miste en del data ettersom jeg er for dårlig til å backe opp databaser.

UPS:

• Den står ved siden av serveren............ Jeg mangler bare en kabel........

Remote:

• 1 port open fra Wan til Wireguard med sertifikater til alle pcer og mobiler jeg har, så er egentlig alltid på mitt eget lan uansett hvor jeg er koblet til.

 

 

 

 

[RVM]

1 hour ago, fred said:

Hardware:

• Dedikert pc bygd i 4u kabinett som kjører ubuntu Server
• Zigbee stick SONOFF Zigbee 3.0 USB Dongle Plus ZBDongle-P

Software:

• Docker med 18 containere. I forhold til hjemmeautomasjon kjører jeg
  - Homeassistant
  - Mariadb
  - Influxdb
  - Node red
  - Grafana

Backup... her er jeg alt for dårlig...!

• Github backup av alt av composefiler og config.
• manuell backup av databaser til nas, dette burde være automatisert men jeg er lat

 

 

Høres ut som vi har omtrent samme oppsett. Jeg kunne også vært bedre på backup, men har valgt en lettvint løsning med å ha en cronjob som zipper opp hele /home/ (dvs. alt av filer til docker containere) i Ubuntu Server ved midnatt og syncer til NAS med rullende backup for siste 14 dager. Ikke så sofistikert kanskje, men det funker.

[Kim123]

Jeg har og samme løsning. Veldig enkelt og noen linjer i en bash fil. Gjør det så enkelt som å bruke en ftp server 

[NilsOF]

Hm, ja, vel, hva skal jeg si, .. 🙂

 

Første bud: Oppdater det som kan oppdateres. Ofte!
Andre bud: isoler backup. Offline så langt som mulig.

Tredje bud: isoler søppel. Dvs. det som er tvilsomt og ikke kan oppgraderes. Feks. Kina-kameraer.