Bonjour,
J’ai un NAS Synology avec des caméras et donc « Surveillance station », ainsi qu’une box Smart jeedom avec le plugin Surveillance Station.
Je n’ai pas ouvert mon NAS à l’extérieur mais j’ai un accès DNS à ma box Jeedom depuis l’extérieur.
Je voudrais savoir s’il y a un risque d’intrusion dans mon NAS par ma box Jeedom via le plugin Surveillance Station. Si oui, avez vous des solutions à proposer ?
Merci.
Bonjour,
Il y a toujours un risque, le risque zéro n’existe pas.
À savoir s’il est importent ou pas dans votre cas personne ne peut répondre puisqu’on ne sait rien de votre installation ni même des maintenances que vous faite (ou pas).
Un audit sécurité ça peut prendre des jours et coûter très chers.
Juste quelques exemples de questions à se poser:
Est-ce que les mises à jours sont appliquées ? Toutes: nas, jeedom, plug-in, Linux, routeur, box internet…
À quelle fréquence ?
Quel os pour jeedom justement ?
L’accès externe, en quoi consite-t-il ? Le dns jeedom ?
L’utilisateur utilisé sous jeedom, est-il admin ? Est-ce qu’un 2fa est utilisé ?
Les accès api sont-ils limité au strict nécessaire ? Quels sont ils ?
Quelles sont les intégrations avec des systèmes externes ? (Google home, Alexa, autre service cloud…)
L’intrusion peut aussi venir via votre ordi ou autres devices sur le réseau: à analyser aussi.
Concernant le plug-in surveillance station j’ignore quel accès il demande de configurer vers le nas mais s’il a un accès ssh en root alors c’est un boulevard qui est potentiellement ouvert…
Bref bien trop de point à aborder je pense mais il faut mettre tout cela en balance avec la probabilité que quelq’un veuille pénétrer votre système.
S’il ne fallait retenir que 3 concepts (dans le désordre), je dirais:
- appliquer des standards, ne pas jouer l’apprenti sorcier, ne pas « cacher » quelque chose en pensant que ça protège.
- réduire la surface d’attaque: limiter les droits et les accès au strict nécessaire et limiter les outils utilisé à ce qui est nécessaire (pas la peine de garder une intégration avec ifttt (qui connaît une clé api) si on ne l’utilise pas par exemple.
- toujours installer les mises à jours régulièrement, partout et pas que le syno ou jeedom.
3 « J'aime »
Merci Mips pour ce précieux ChekList.
J’ai mis un peu de temps à répondre pour donner le résultat de mes nouveaux essais.
Voici mon bilan sous forme de réponses à tes questions :
Est-ce que les mises à jours sont appliquées ? Toutes: nas, jeedom, plug-in, Linux, routeur, box internet… À quelle fréquence ?
Toutes les mises à jour sont faites régulièrement sur mes appareils, je reçois des push et je m’y connecte régulièrement.
Quel os pour jeedom justement ?
Core Jeedom Version : 4.1.19 sur Système smart .
L’accès externe, en quoi consite-t-il ? Le dns jeedom ?
Oui, le DNS Jeedom
L’utilisateur utilisé sous jeedom, est-il admin ?
Oui, je me croyais en sécurité grâce au DNS et à l’HTTPS pour me connecter à distance, mais je crois qu’il vaudrait mieux que je crée un profil limité pour ça ?
Est-ce qu’un 2fa est utilisé ?
Non, si je mets la 2fa est-il risqué de garder la cession ouverte sur mon device d’accès, pour éviter les corvées de double identification à chaque fois ?
Les accès api sont-ils limité au strict nécessaire ? Quels sont ils ?
Il y avait Géoloc que je vais remplacer par le Home mode du Synology.
Il reste les api de Deconz, Doobird, Surveillance Station, Virtuel, et Z+Wave.
Z+Wave est le seul en « localhost », les autres api sont sur « activé ».
Je crois comprendre que le plus sécurisé est IP Blanche, puis Localhost, puis activé, je vais voir si ça marche en remplaçant activé par Localhost ou par IP blanche.
Quelles sont les intégrations avec des systèmes externes ? (Google home, Alexa, autre service cloud…)
J’ai Siri avec l’Ipad utilisé comme concentrateur HomeKit et qui fait le lien avec Jeedom par le plugin Homebridge. Je pense qu’Apple est un système assez sécurisé.
Concernant le plug-in surveillance station j’ignore quel accès il demande de configurer vers le nas mais s’il a un accès ssh en root alors c’est un boulevard qui est potentiellement ouvert…
En effet, je vais faire le ménage.
Comme le NAS peut envoyer des mails pour chaque situation, je propose de supprimer cette connexion et de se limiter à récupérer ces info (Comme le Home mode) en passant par le plugin mail listener de Jeedom. Ce plugin à l’air de bien fonctionner. De plus on peut se contenter de recevoir les info essentielles par mail (mini-vidéo, photos), et garder le reste bien au chaud.
Mon NAS déclenche le Home mode quand DSCam installé sur mon téléphone lui dit que je suis dans un rayon de 100 m de chez moi (par Géofence).
Pour cette communication j’ai créé un profil utilisateur limité dans Surveillance Station (profil spécifique qui n’a que le privilège Home mode).
Là où je sèche, c’est que DScam ne dit jamais à Surveillance Station quand je sort de chez moi parce qu’il faudrait que je sois à plus de 100 m, alors qu’à plus de 30m il ne capte plus mon réseau WiFi pour communiquer avec le NAS.
Ou alors il faut que j’ouvre un port pour que DSCam donne cette info Géofence à mon NAS en 4G? 