Controleur UNIFI : intérêt d'y ajouter un USG?

Salut à tous,

Ayant une maison avec sous-sol et étage, je suis en train de déployer une solution UNIFI avec plusieurs AP.

Ce matériel est un must, autant que le plugin de @nebz que je viens d’installer :slight_smile:
Juste un regret : pas de WPA3 dans cette gamme, et pas de date :angry:

Il y a deux trucs qui m’échappent côté sécurité, et j’aimerais vos avis d’experts :

  1. Le contrôleur UNIFI intègre pas mal de paramètres de sécurité (threat management et DPI). Plusieurs d’entre vous ont intégré en plus un module UniFi Security Gateway. (D’ailleurs le contrôle affiche quand il n’y en a pas).
    => Qu’est-ce que cela apporte de plus ?

  2. Y-a-t-il une fonctionnalité qui permette automatiquement :

  • de détecter une intrusion.
  • de bloquer le device au bout de n tentatives de connexion.
  • d’alerter (par e-mail).
    => C’est ce qui me parait le plus sûr, mais je ne suis pas expert…

Merci pour vos retours et suggestions.

1 « J'aime »

Hello,
Un petit up svp …

pour l’usg, perso, je l’ai pas je suis avec un pfsense. il a l’avantage d’être géré au meme endroit que tes antennes. a toi de voir

au niveau sécurité, tout dépend ce que tu cherches. si tu es a la campagne et que tu n’as pas grand chose a cacher, le risque est nul pour moi. je pense pas qu’il est possible dans l’environement unifi de faire cela facilement. p-e déporter cette fonction coté jeedom via le plugin.

je pense que c’est pas possible sur le plugin de filtrer sur les Device ID et de faire un refresh automatique des device présent. si cela est possible, tu pourrais faire un scenario qui scan et qui verifie tous les Device ID, s’il y en a un qui n’est pas officiel, le plugin pourrait désactiver ou bloquer le device « pirate »
il faudrait voir cela avec le developpeur du plugin, cela pourrait etre pas mal.

je vois deja ma fille qui est a la maison avec son petit copain, il veut se connecter sur le wifi avec son smartphones, il y arrive et paf bloqué car pas connu sur jeedom :slight_smile:

Bonjour à vous deux,

Alors il faut bien comprendre que le plugin ne se veut pas être un complément de fonctionnalités que le contrôleur ne gérerait pas… si vous désirez une fonctionnalité sur le contrôleur, il faut proposer sur le Features request de leur côté…

Le plug-in a comme utilité de lier votre wifi à votre domotique… pas sécuriser votre réseau… c’est le rôle du contrôleur.

Donc je suis pas contre ajouter des fonctionnalités qui peuvent s’avérer utiles dans un cadre domotique, mais je ne compte pas ajouter des fonctionnalités qui se substitueraient à ce que devrait/pourrait faire le controleur. Et pour moi, la sécurité des accès fait partie de cette deuxième catégorie.

Cependant s’ils incluent une telle fonctionnalité et mettent un place une alerte ou un déclencheur. Je me ferai un plaisir de l’implémenter s’il fait partie de leur API.

je comprends ton point de vue, si tu as un peu de temps, je trouve qu’il serait quand même intéressant de pouvoir scheduler un scan des devices wifi et voir s’il y en a de nouveaux et les filtrer sur leur Device ID plutot que leurs nom (facilement modifiable sur le smartphone). c’est clair de ce que l’on parle ici c’est un NAC (Network access control — Wikipédia) déporté sur jeedom qui finalement n’est pas la fonctionnalité première

S’il veut pouvoir faire tout ça (compter les clients et les mettre dans un tableau, scanner et puis comparer la nouvelle liste avec le tableau, faire la différence et puis comparer cette différence à une whitelist), pour moi il doit déjà passer par un bloc php dans un scénario… et s’il en est là, il peut déjà via la méthode static syncUnifi() de la class unifi, faire un scan. Donc je ne vois pas vraiment ce qu’il manque…

aussi simple que cela :

image

Et même s’il le désire : unifi::syncUnifi("clients");

Pour ne synchroniser que les clients.

Ça marche avec "wlans" ou "sites" ou "devices" aussi. Si l’argument n’est pas spécifié, ça fait sync tout

1 « J'aime »

je connaissait pas, j’en apprends tous les jours :wink:

1 « J'aime »

Ça marche avec tous les plugins pour info, si c’est une méthode static, class::methodeStatic() si c’est une méthode d’instance (pas static) il faut chercher l’instance avant puis $instance->methodeInstance()

1 « J'aime »

@Poluket

je suis avec un pfsense. il a l’avantage d’être géré au meme endroit que tes antennes. a toi de voir

Je ne vois pas bien ce que tu veux dire par « même endroit que tes antennes ».
Tu veux dire qu’on peut intégrer pfsense à l’interface du contrôleur Unifi, et que c’est vu comme un USG ?

au niveau sécurité, tout dépend ce que tu cherches. si tu es a la campagne et que tu n’as pas grand chose a cacher, le risque est nul pour moi. je pense pas qu’il est

Je suis effectivement à la campagne mais j’aimerais sécuriser quand même. Par principe et aussi parce que le sujet est passionnant…

possible dans l’environement unifi de faire cela facilement. p-e déporter cette fonction coté jeedom via le plugin. je pense que c’est pas possible sur le plugin de filtrer sur les Device ID et de faire un refresh automatique des device présent. si cela est possible, tu pourrais faire un scenario qui scan et qui verifie tous les Device ID, s’il y en a un qui n’est pas officiel, le plugin pourrait désactiver ou bloquer le device « pirate »
il faudrait voir cela avec le developpeur du plugin, cela pourrait etre pas mal.

En fait je ne pensais pas à un plugin Jeedom, mais plutôt à gérer cela côté contrôleur Unifi,

je vois deja ma fille qui est a la maison avec son petit copain, il veut se connecter sur le wifi avec son smartphones, il y arrive et paf bloqué car pas connu sur jeedom

C’est typiquement le genre de choses que je veux faire (encore une fois pas forcément via Jeedom). L’idée première est bien de surveiller / bloquer toute intrusion.

@nebz

Alors il faut bien comprendre que le plugin ne se veut pas être un complément de fonctionnalités que le contrôleur ne gérerait pas… si vous désirez une fonctionnalité sur le contrôleur, il faut proposer sur le Features request de leur côté…Le plug-in a comme utilité de lier votre wifi à votre domotique… pas sécuriser votre réseau… c’est le rôle du contrôleur.

Oui c’est bien comme cela que je vois les choses. Mes questions sur l’USG étaient orientées hors plugin, j’aurais du le préciser. (Je note en // le sujet features request => merci).

S’il veut pouvoir faire tout ça (compter les clients et les mettre dans un tableau, scanner et puis comparer la nouvelle liste avec le tableau, faire la différence et puis comparer cette différence à une whitelist), pour moi il doit déjà passer par un bloc php dans un scénario… et s’il en est là, il peut déjà via la méthode static syncUnifi() de la class unifi, faire un scan. Donc je ne vois pas vraiment ce qu’il manque…

Pour le coup, je suis encore trop loin du sujet, trop compliqué de faire ça tout seul :frowning:

Je continue d’explorer les possibilité du contrôleur « Unifi seul » vs « avec USG », mais je n’ai pas encore une vision super claire (à cause de toutes les fonctions sécurité disponibles dans le menu de base du contrôleur Unifi)…

Savez-vous si c’est possible à partir de ce dernier ?
Ou faut-il absolument un USG ou pfsense ou autre ?

@+

le premier point, je voulais dire que l’usg avait l’avantage d’être géré au niveau du controler.

pour PFsense, si tu es pas a l’aise avec le réseau, laisse tomber.

pour en revenir avec l’usg, tu as moyen de faire plein de choses pour plus sécurisé ton réseau. une des premières choses a faire, c’est de passer ton wifi en wap pro et plus perso. cela te permet d’activer l’authentification radius et donc d’identifier chaque personne qui se connecte sur ton wifi.

et puis dans les event, tu peux retrouver beaucoup de choses:

tu peux custommiser comme tu veux:

il est possible de recevoir des events sur ton GSM quand qqn se connecte.

j’en découvre toujours avec ce produit :slight_smile:

si tu as déja des antennes, je te conseillerais, pour le prix du usg de parit dessus, tu pourras de toute façon faire autant qu’un simple routeur d’entrée de game pour presque le même prix

@Poluket

le premier point, je voulais dire que l’usg avait l’avantage d’être géré au niveau du controler.

OK.

pour PFsense, si tu es pas a l’aise avec le réseau, laisse tomber.

Ah non !!! J’ai quelques notions quand même, et c’est l’occasion de progresser :face_with_monocle:
Je continue mes recherches, et je crois comprendre qu’il y a 3 possibilités :

USG
+Facile à prendre en main
+Intégré dans le menu du contrôleur Unifi
-DPI non utilisable au-dessus de 100 Mb/s
=> Je suis un peu au-dessus et la fibre 1Gbits arrive d’ici quelques mois.
=> Du coup, pas certain de retenir ce module

EdgeRouter
+Plusieurs types pour s’adapter au besoin de chacun
=> Je continue à creuser.
=> A comparer à PFsense.

PFsense
+Semble puissant et paramétrable à souhait
=> A comparer à EdgeRouter.

+10 pour Radius.
Cela fait un bout de temps que j’ai ça en tête.
Je suppose que c’est faisable avec PFsense et Edgerouter ?

Pour les events, j’ai a priori déjà tout ça dans le contrôleur de base.

@+

Tu as l’usg-pro-4 si tu as besoin de bande passante…

Peut être la dream machine pro (a vérifier pour la bande passante de celle-ci). A quelque jours près elle était en promo sur leur store eu… à 169€ de mémoire …

Tu as l’usg-pro-4 si tu as besoin de bande passante…

Je viens d’aller fouiner… En mode DPI actif :

  • USG : 85 Mb/s
  • USGPRO-4 : 250 Mb/s (=> 274€ chez Senetic)
  • Dream machine : 850 Mb/s
  • Dream machine PRO : 3500 Mb/s (=> 382€ chez Unifi)

Peut être la dream machine pro (a vérifier pour la bande passante de celle-ci). A quelque jours près elle était en promo sur leur store eu… à 169€ de mémoire …

Effectivement, j’ai raté leur super Deal à 202€ TTC, quel dommage !
La PRO est top => cpu Quad ARM Cortex-A57 Core at 1.7 GHz…

Question subsidiaire :

Mon routeur est une OTB de chez OVH (j’agrège des liens DSL et 4G). Je ne peux pas la mettre en mode bridge.

Si je route tout le trafic vers l’IP d’une UDM, tout sera bien fonctionnel ? Je veux disposer de toutes les fonctionnalités de mon UDM ou USG. J’ai cru lire que c’est le plus simple.

Moi je fais du bridge pour éviter le double nat…

Mais si tu n’as pas de choix, c’est en effet le seul moyen.

Note que l’udm fait aussi switch + contrôleur + NVR pour les caméras unifi.

Puisque c’est transparent, cela me va.

Je suis déjà équipé en Hikvision, les caméras Unifi 4K sont malheureusement hors de prix. Pour tout le reste, c’est top. (nb : sur un forum, on évoque un firmware un peu jeune, mais cela s’améliorera au fur et à mesure).

@+