NEWS
Multi-Host als Sicherheitsfunktion zwischen LANs?
-
Hallo zusammen,
ich habe zuhause mehrere Netzwerke, durch eine Firewall und VLANs voneinander getrennt. Dabei hat das Smart-Home ein komplett eigenes Netz, wo auch der ioBroker drin verankert ist.
Nun gibt es aber viele nette Spielereien und Funktionen, für die der ioBroker auch in mein internes/privates Netz kommuniziert, oftmals über Port 22 (Linux-Control, Pi-Hole, Windows-Control, und gepl. weitere SSH-Verbindungen, um zB WLAN-APs während der Abwesenheit (teilweise) abzuschalten)
Meine Idee war jetzt, aus dem ioBroker ein Multi-Host System zu machen, wobei der Master dann im internen Netz steht mit allen Instanzen für Kommunikation im internen Netz und der Slave im SmartHome-Netz, mit allen Instanzen für ausschließlich diesen Netzbereich. Dann müsste ich über die Firewall kein SSH mehr zu diversen Geräten drüber lassen, sondern nur noch den ioBroker-internen Verkehr.
Ggf. würde ich das System dann auch noch um einen weiteren Slave per VPN-Verbindung erweitern, um die SmartHome-Komponenten von meinen Eltern mit im Auge zu haben.Kann zufällig jemand aus Stehgreif sagen, über welche Protokolle/Ports Master und Slave bei einer Multi-Host Konfig miteinander kommunizieren?
Und generell würde mich eure Meinung dazu interessieren.
Gruß
Marian -
@t-147 Das Problem habe ich auch im Hinterkopf auf der to-do Liste.
Derzeit läuft alles über nur ein Netzwerk.
Liegt eher daran, dass ich keine Access-Points habe, die VLANs und Multi SSID unterstützen. Auch das WLAN der Fritzbox deckt einen Teil des Hauses ab.Die potentiell "unsicheren Kantonisten" sind alles Wifi-Geräte, und da wäre es fundamental, dass sie isoliert werden.
Nach dem hier sind es nur 9001 und 9000, die man durchlassen muss ...
https://www.iobroker.net/docu/index-24.htm?page_id=3068&lang=de
-
@t-147 Ich habe es mal so gehabt, also Master in einem Netz und Slave in einem anderen, aus genau dem Grund, weil mein Smarthome-VLAN generell keinen Internetzugriff hat. Für iobroker habe ich dann aber eben Ausnahmen definieren müssen, damit der Master aus dem Smarthome-Netz ins Internet kommt. Der Slave war im normalen Netz. So ganz gefallen hat mir das aber nie. Doppelte Arbeit zum Administrieren und so.
Ich habe mittlerweile nur noch den Master und in Proxmox einfach mehrere virtuelle Netzwerkkarten dafür angelegt. So ist iobroker automatisch in allen nötigen Netzen und ich erspare mir hier Löcher in die Firewall zu reißen. Und ich habe alles, wirklich alles für iobroker, zentral in der einen VM.
Aber ja, generell würde Dein Vorhaben mit Master/Slave so auch funktionieren und den Aufwand in Richtung Firewall reduzieren.
Gruss, Jürgen
-
@martinp
Danke, laut der Anleitung sind die Ports ja sogar variabel und ich kann die legen, wie ich will. Wäre tatsächlich noch besser.@Wildbill
Das mit der doppelten Arbeit zum Administrieren kann ich jetzt nicht ganz nachvollziehen. Wäre doch in dem Fall nur ein (Linux-)Host mehr, der zB mit Updates versorgt werden müsste. Alles andere läuft doch eh über den Master.
Das komplette Netz vom Internet zu trennen wäre natürlich auch eine Möglichkeit, aber dann wirds auch wieder administrativ aufwändig, wenn man Updates fahren muss, zB für meine Shelly-Geräte, WLED und was nicht alles. -
@t-147 Naja, ein Linux-Gerät mehr ist eben ein Linux-Gerät mehr Arbeit.
Zum Thema Updates von Geräten: Ich sehe keinerlei Sinn darin, Geräte zu updaten, wenn mir das Update keinen Mehrwert bietet. Was bringt es Dir, Shelly, WLED und dergleichen ständig auf dem aktuellsten Stand zu haben? Ohne Zugriff aufs Internet wären ja selbst eventuelle Sicherheitslücken, die mit einem Update gestopft würden, nicht so kritisch, da das Geräte ehe nicht raus kommt.Im Gegensatz zu allen Rechnern, VMs, LXC und dergleichen wo ich "Never change a runnig system" für absoluten Oberquatsch halte, handhabe ich das bei isolierten Geräten durchaus so. Updates nur, wenn es mir einen Mehrwert bringt, also eine wirklich kritische Sicherheitslücke stopft, eine neue Funktion bietet, die ich will oder einen Fehler behebt, von dem ich betroffen bin. Ansonsten bringt mir ein Update da eh nix, vielleicht eher das Problem, ein Gerät beim Update doch abzuschiessen. Ich habe früher wirklich "zwanghaft" immer alles aktualisiert und schon so 4-5 Geräte entsorgen dürfen, die danach nur noch Briefbeschwerer waren, und sei es nur durch defekte Flash-Zellen, die auch nicht unendlich oft beschrieben werden können.
Gruss, Jürgen
-
@wildbill
Da hast du vollkommen Recht, man muss nicht mit aller Gewalt immer alle Updates fahren. Aber grade bei WLED und OpenDTU zB bringen die Updates oft interessante Funktionen oder Verbesserungen mit sich.Aber ich werd mal überlegen und diesen Ansatz als mögliche Alternative in Betracht ziehen. Dann müssten die Amazon-Geräte nen komplett eigenes Netz bekommen, aber der Gedanke kam mir eh schon das ein oder andere Mal.
-
@t-147 said in Multi-Host als Sicherheitsfunktion zwischen LANs?:
die Amazon-Geräte
Ob es sich wohl noch lohnt, da Gedanken zu investieren? Die Nachrichten, die es aus dem Amazon-Smart-Home Biotop so gibt, sind nicht sehr zukunftsweisend ....
Man ist anscheinend zumindest nicht mehr besonders daran interessiert, dass Dritthersteller "Skills" bereitstellen ...
https://www.heise.de/news/Skills-no-more-Amazon-stoppt-Anreize-fuer-Alexa-Apps-9681249.html
Scheint aber vorerst eher "freie Entwickler" zu treffen...
Wie es mit den Bedingungen von "big Players" aussieht, steht da nicht ...