Cortar acesso à internet a equipamentos IOT


(Nuno Godinho) #1

Escrevi um bocado à pressa mas basicamente o conselho é: presta atenção à segurança e não compres dispositivos que dependam da net nem abras as portas da tua casa à Internet. Há uma crescente vaga de ataques que se aproveitam exactamente das vulnerabilidades deste tipo de aparelhos.


Ar Condicionado, Daikin? - Integração HA
(Nuno Neves) #2

Estás enganado quanto ao gateway xiaomi… O meu está sem acesso à Internet, aliás como todos os meus iot, e funciona impecavelmente bem! As características adicionais como a luz, o sensor de luminosidade e a coluna, são, para mim, muito úteis… Cometeste algum erro na configuração, para ele não funcionar…
Quanto à segurança a que te referes, não precisas de um PC dedicado a fazer de router… Quase todos os routers minimamente decentes, sem ser os do aperador, te permitem fazer o que estás a fazer… É parecido com o sistema que tenho e o meu é um router “normal”…
Tenho muitos interruptores Wi-Fi, tipo sonoff e Shelly e são segurissimos, não percebo porque é que dizes que não. Têm firmware tasmota instalado (opensource) e estão cortados da Internet…
À parte disso, é de louvar teres preocupação com a segurança! :wink:


(Nuno Godinho) #3

Olá @Maddoctor,

Fiquei muito contente com o que disseste. Devo ter feito algo errado, de facto. Que bom! Sendo assim vou explorar mais e tentar entender o que se passa de errado e provavelmente vou fazer-te mais perguntas. Mas como falamos de vários assuntos sobre os quais gostava de saber a tua opinião, vou separá-los:

Xiaomi Mi Gateway
Vou ter de testar novamente se a Gateway deixa de funcionar quando não está ligada à Internet e perceber o que fiz de errado. No entanto há uma coisa que me preocupa: para adicionar dispositivos Zigbee à Gateway tenho de fazer login na app Mi Home. E depois sou forçado a escolher um servidor remoto. Ora logo isso deixa claro que, mesmo que não deixe de funcionar sem Internet, algo na Mi Gateway depende de um servidor externo. Outra coisa que me deixa desconfortável é o facto de a lista de dispositivos que podemos usar dependem do servidor que escolhemos e só o servidor chinês permite adicionar todos os que tenho. Eles dizem que tem a ver com questões de leis e permissões, o que é muito estranho. Esta coisa de obrigar a login também quer dizer que, de um momento para o outro, um upgrade qualquer pode decidir mudar alguma no seu funcionamento. Tenho o mesmo problema com as Sonos que a dado momento passaram a obrigar a fazer login se quisermos adicionar colunas. Se quisermos manter o firmware actualizado ficamos à mercê das decisões comerciais dessas empresas.

Routers
Não duvido que um router “normal” faça tudo o que é necessário. Quando me referia aos normais referia-me de facto aos das operadoras. De qualquer forma, como o meu router está num bastidor e não ia ser AP, decidi seguir o conselho de um amigo entendido nestas matérias e optar por um router por software open source, o OPNSense. Acredito que outros façam o mesmo mas estou maravilhado com este e com a facilidade com que o consigo configurar e monitorizar. Eu precisava de VLANs, uma Firewall à séria, DNS à séria, etc, e este permite isso tudo. E ainda permite acrescentar plugins como uma bridge de mDNS, por exemplo. Mas quando fiz a comparação do OPNSense foi com os que tive antes que foram o da operadora e o da Xiaomi. E não duvido que outros existentes no mercado permitam fazer o essencial do que o meu permite, suficiente para proteger uma rede domótica caseira. Eu gosto desta via também porque vi neste processo de montar a minha rede domótica uma oportunidade para aprender um pouco mais sobre redes.

Sonoffs e Shellys e afins
São wifi. Como tal têm acesso à rede. A razão pela qual eu digo que não são seguros é porque na Internet NADA é seguríssimo. É uma ilusão presumir isso. Seres ou não hackado é só uma questão de alguém querer muito ou pouco fazê-lo. Uma coisa que hoje é considerada seguríssima amanhã pode estar sujeita a que se lhe descubra uma vulnerabilidade. Não por serem Tasmota mas pelo simples facto de estar ligado à red. Digo o mesmo da minha impressora Epson. Solução: limitar-lhes os acessos numa subnet, que é algo que segundo entendi também fazes. Por mim isso é suficiente e o facto de acederem ou não à Internet passa a ser menos importante se não conseguirem de maneira nenhuma aceder ao meu NAS e ao meu laptop porque a minha Firewall não deixa. Temos cada vez mais coisas wifi em casa e não é impossível que uma delas seja hackada. Não vou deixar de ter coisas wifi mas pretendo proteger o que tenho de importante delas. Se pesquisares vais ver que as Sonos são famosas portas de entrada dos hackers para a casa das pessoas. E são reputadas e supostamente seguras (aqui entre nós confio mais no Tasmota do que na Sonos, nem que seja por ser open source).

Sonoffs
Sim, funcionam bem sem acesso à net. Mas curiosamente descobri que estes estavam a tentar aceder à net. Depois de alguma investigação descobri porquê: tentavam aceder ao servidor NTP. Alterei-lhes o servidor NTP para ser o meu router, acrescentei uma regra na firewall para dar acesso à porta do NTP e pronto, assunto arrumado. O meu principal problema com os Sonoffs é que, quando comparados com uma tomada zigbee da Xiaomi (que é só emparelhar e já está, acabam por ser muito mais complicados de instalar e de usar pois obrigam a mudar o firmware e a mantê-lo actualizado. Tenho 4 Sonoffs. Um deles morreu subitamente e explicaram-me no Discord da Tasmota que é comum acontecer (por serem coisas chinesas) e que provavelmente não há nada a fazer. Vou substituir os que se forem estragando por tomadas Xiaomi. Notei que a última versão do HA acrescentou algo que supostamente simplifica a gestão dos dispositivos ESPHome mas ainda não instalei. Estou curioso para saber o que faz.

Segurança
Estou convencido de que, tal como nos anos 90 houve a onda dos vírus e na década passada houve a onda do spam do email, nos próximos anos vai haver a onda do hackar as cenas domóticas. E muita gente vai sofrer com isso. Como tal, quando comecei a meter coisas domótica cá em casa defini três regras:

  1. Nada físico pode ficar dependente do bom funcionamento dos aparelhos de domótica. Tudo tem o que é fundamental (tipo luzes por exemplo) terá de continuar a funcionar se o HA ou mesmo a rede caseira der o berro;
  2. Não haver dependências de servidores externos (para não acontecer como aconteceu agora no Natal com as Philips Hue em que os seus donos não as conseguiam usar porque os servidores estavam sobrecarregados, o que é surreal!). E por isso ter escolhido o HA;
  3. A segurança dos meus restantes servidores e computadores não poderia ser comprometida. Gostava de evitar acordar um dia e ter o NAS encriptado com um ransomware a pedir-me Monero porque alguém entrou no meu ar condicionado. Ainda há uns meses um casino foi roubado em milhões a partir do termostato de um aquário!

Estou a tentar seguir estas regras. Infelizmente não sei o suficiente sobre redes e segurança para conseguir segui-las à risca. Mas estou a tentar aprender para fazer o melhor que consigo. Toda a informação é bem-vinda! E agradeço o teu comentário sobre o Xiaomi pois simplifica-me a vida (ainda que tenha de ir compreender o que é que se passou da outra vez que aquilo deixou de funcionar).

Obrigado!

Abraço,
Nuno


(Tiago Marques) #4

@nununo,

Não percebo o teu comentário aos ‘sonoffs, shellys e afins’.
Se tens possibilidade de criar vlans, e ter uma rede isolada para IOT, qual é o problema de ter equipamentos wifi? Por essa teoria desligas tudo da internet… ou da corrente mesmo porque a impressora pode (já) ter um vírus que te vai aquecer o fusor até pegar fogo e não precisa de internet para isso.

Se a rede estiver bem segmentada e as vlans devidamente configuradas com isolamento de trafego e impedimento de acesso à rede ‘inside’ e à internet (se for o caso) não vejo nenhum drama em usar wifi.

É mais provável que o rasnswomware chegue à tua rede pelo teu telemovel do que por um shelly com tasmota. Wifi grátis em cafés e restaurantes (fora de casa basicamente) são óptimos para uma série de coisas…

Quem não quer viver desligado só tem uma hipótese, backups! Automáticos, regulares, para offiste e sem partilhas de rede! Dá trabalho, custa dinheiro, e volta e meia é preciso testar.

Concordo contigo… vais ser cada vez pior :no_mouth:


(Nuno Neves) #5

@nununo:

Xiaomi Mi Gateway:
Podes desligá-lo completamente da internet,cortando o acesso externo no router. Para emparelhar novos dispositivos não precisas da mi app para nada. Existe um serviço no próprio HA para que possas emparelhar novos dispositivos sem qualquer ligação externa…
O meu está assim há mais de 1 ano.

Routers
Qualquer router em que possas instalar dd-wrt, openwrt, lede, etc, serve para o que fazes com esse PC, com maior ou menor rapidez, mas se comprares um “bom”, não fica atrás do PC. Além disso há alguns que já fazem isso “de fábrica” como os Synology, Unifi, Cisco, Draytek, muitos ASUS, e a lista continua…

Sonoffs e Shellys e afins
Têm acesso à rede… E depois? Acesso à rede e acesso à internet são coisas muito diferentes… Podes (e deves) limitar o acesso como quiseres. Quanto ao servidor NTP, foi o que fiz e mesmo que não fizesses, é tão arriscado (na verdade é muito menos) como navegares na net no teu telemóvel. É um acesso de dentro para fora e não tens nenhuma porta aberta de entrada…
De qualquer forma, para mim, a primeira coisa que faço é flashar tasmota e isso já pode ser complicado para alguns… Aí tens alguma razão.

Segurança
1. Numa domótica bem feita, a casa tem de funcionar quando o sistema avaria… Sem dúvida.
2. Para isso mesmo é que usamos HA e não clouds.
3. Se tiveres os iot sem acesso externo, não vai ser por aí que entra o vírus. Quanto ao ransomware, não tem nada a ver com IOT, na realidade a grande falha costuma estar no sítio do costume - entre a cadeira e o teclado! :wink:


(Nuno Godinho) #6

Olá Tiago,

Mas nós estamos de acordo! Se fores reler o que eu escrevi foi isso que eu disse: não são seguros porque, como qualquer aparelho ligado à rede, podem ser atacados. Por isso é que os meto numa subrede e assim tenho a certeza de que não fazem mal a ninguém. Eu tenho imensos aparelhos wifi e sei que vou ter cada vez mais. Neste momento estou no processo de os tentar passar todos para a subrede iot. Uns são mais fáceis de isolar que outros. Mas com eles isolados também não vejo nenhum drama em usar wifi.

Também concordo contigo em como é mais provável um telemóvel infectar a minha LAN. Faço os possíveis por usar sempre uma VPN (NordVPN no meu caso) quando me ligo a um wifi público por isso mesmo. Mas é sempre uma possiblidade.

Finalmente, também concordo que backups offline são a melhor defesa contra um cenário catastrófico.

Pornto, estamos inteiramente de acordo :slight_smile:


(Nuno Godinho) #7

@Maddoctor,

Xiaomi Mi Gateway
vou explorar isso na Mi Gateway. É preciso limpar a Gateway e começar do nada adicionando todos novamente ou os que lá estão podem continuar e só preciso de adicionar os novos dessa forma?

Routers
Compreendo. Como já tinha dito eu nunca disse que só o OPNSense faz isto tudo. Aliás, os meus APs são Unifi e só depois de encomendar o minipc (Qotom) para correr o OPNSense descobri que a Unifi tinha um router “managed” que, como dizes, faz tudo o que eu preciso e ficava mais barato e tudo. Na altura já era tarde demais. Mas de qualquer forma o que já está já está e a verdade é que estou a gostar imenso deste.

Sonoffs e etc
A primeira coisa que fiz também foi meter o tasmota nos meus Sonoffs. Mas não sou muito de electrónicas e na altura ainda me deu trabalho. Os “smart sockets” Zigbee da Xiaomi Mi são bastante mais caros mas, são tão mais simples de usar (e espero que mais fiáveis porque um dos Sonoffs já deu o berro) que optei por não comprar mais Sonoffs e apostar no Zigbee.

Segurança
:slight_smile:

Obrigado pelas dica!

Abraço,
Nuno


(Nuno Neves) #8

Com as tomada xiaomi não consegues usar terra, não te esqueças, e, dependendo de como as “convertes”, ou essa conversão fica barata, com adaltadores xinesa e é um perigo ou cara com adaptadores de jeito e aí há que pensar se realmente compensa…
Tenho, à vontade, 20 interruptores e tomadas com tasmota e nenhum me falhou até agora… Poderás ter tido azar ou eu é que tenho sorte…
Também tenho coisas zigbee, MUITAS (pelo gw xiaomi e também pelo cc2531) , incluindo 2 tomadas xiaomi e 2 osram e, sinceramente, não vejo grande vantagem relativamente ao wifi para interruptores e tomadas… São apenas diferentes. Se é para sensores a pilhas, aí já é diferente…

A única razão pela qual estou a fazer este papel de “advogado do diabo” é para que o OP do tópico original e quem ler isto não fique apenas com 1 opinião… :wink:

Quanto ao gw xiaomi, o que já adicionaste pela mi app, mantém-se.


(Nuno Godinho) #9

Nuno, os dois aspectos que referes (a terra e a qualidade do conversor) são muito bons argumentos a favor dos Sonoff. És um bom advogado do diabo :slight_smile: Já me estás a fazer ver a coisa com outros olhos :eyeglasses:

Mas quais Sonoffs é que usas? Algum já com ficha ou tens de lhes ligar um fio com uma ficha como eu tive de fazer nos meus Sonoff Basics? Porque primeiro que conseguisse usar os meus Sonoffs tive 10x mais trabalho do que com os Smart Sockets zigbee da Mi.


(Nuno Neves) #10

Tens imensos Smart Sockets Wifi… Uns dão mais trabalho que outros… Dando “pouco” trabalho, tens os sonoff s20. Se quiseres ter mais trabalho, mas ficares com coisas mais “top”, tens de saber soldar… Aí aconselho-te as tomadas neo coolcam wifi (tens de saber soldar muito bem) ou as blitzwolf bw-shp6 (que têm power metering - também convém saberes soldar bem…). Mais fáceis um bocado tens as blitzwolf bw-shp2, essas também com power metering ou as alfawise pe1004t (as mais baratas, sem metering e dão mais trabalho a flashar, não que seja preciso seres um génio do ferro de soldar…).

É verdade que dão algum trabalho, mas ficas super bem servido!

Para as xiaomi podes sempre fazer o que eu fiz, mas dá bastante trabalho e continuas a não poder usar o terra nos aparelhos:
https://drive.google.com/file/d/1unaMn-vapt0PHXmwD4wn5PDzTKzfFhWc/view?usp=drivesdk


(system) fechado #11

Este tópico foi automaticamente fechado 90 dias após a última resposta. Novas respostas não são permitidas.