1Up
Ensign
- Registriert
- Sep. 2005
- Beiträge
- 215
Hallo liebes Forum!
Ich zerbreche mir gerade den Kopf, wie ich in unserem zukünftigen Haus das Netzwerk aufbaue. Natürlich habe ich das Forum durchsucht und keinen solchen Fall entdeckt. Letzten Endes geht es nur um einen konkreten Punkt.
Fangen wir aber vorne an...
... die Hardware ist noch nicht besorgt, es wird mit hoher Wahrscheinlichkeit der Hersteller Unify sein. VLANs sollen das Netzwerk und seine Geräte unterteilen. Momentan gibt es folgende:
VLAN1 - Management
Euch sind sicherlich die Fragezeichen aufgefallen.
Kurze Erläuterung. Ich habe die WebApp zur Anzeige und Steuerung mit Angular geschrieben. Diese soll ausschließlich von Geräten aus VLAN2 erreichbar sein. Die WebApp selbst "subscribed" und "published" sich auf Topics. Das heißt also, dass jeder Client, der diese App nutzt, Nachrichten verschickt oder abhört. Diese Lösung ist noch nicht fest.
Jetzt ist es jedoch möglich, dass man doch mal Freunde in das Heimnetz holt, damit sie ihre Fotos auf den TV schicken können. Ich möchte nicht, dass sie heimlich MQTT Nachrichten verfolgen können ( nein, ich bin nicht paranoid =] ).
Die Frage:
Wie verhindere ich das?
Mir sind folgende Möglichkeiten aufgefallen:
1. VLAN2 und VLAN3 dürfen untereinander kommunizieren. Der Broker akzeptiert nur bestimmte IPs aus dem Netz. Vielleicht kann man das auch über Unify regeln?
2. Es gibt eine DMZ. Nennen wir sie VLAN2.5. Sie darf mit VLAN2 und VLAN3 kommunizieren. Es gibt in VLAN2.5 einen Webservice. Die Clients der App kommunizieren mit dem Service, der Befehler weiterleitet. In diesem Fall, könnte jeder mit POSTMAN auf den Service zugreifen. Das Problem wäre nur verschoben. Sicherlich könnte ich die App auch mit Username und Password absichern.
3. Ihr seid gefragt.
Vielleicht sehe ich den Wald vor lauter Bäumen nicht. Könnt ihr mir helfen, den Blickwinkel zu erweitern?
Natürlich kann man MQTT auch über SSL verschlüsseln oder mit Username und Password.. eine Trennung auf Netzwerkebene wäre mir jedoch lieber.
Danke!
Ich zerbreche mir gerade den Kopf, wie ich in unserem zukünftigen Haus das Netzwerk aufbaue. Natürlich habe ich das Forum durchsucht und keinen solchen Fall entdeckt. Letzten Endes geht es nur um einen konkreten Punkt.
Fangen wir aber vorne an...
... die Hardware ist noch nicht besorgt, es wird mit hoher Wahrscheinlichkeit der Hersteller Unify sein. VLANs sollen das Netzwerk und seine Geräte unterteilen. Momentan gibt es folgende:
VLAN1 - Management
- Router, APs, ...
- TV, mobile Geräte, Desktop, ...
- node-RED, MQTT Broker (?), WebApp(?), evtl. später hinzukommende MQTT-Clients
- Gästegeräte
Euch sind sicherlich die Fragezeichen aufgefallen.
Kurze Erläuterung. Ich habe die WebApp zur Anzeige und Steuerung mit Angular geschrieben. Diese soll ausschließlich von Geräten aus VLAN2 erreichbar sein. Die WebApp selbst "subscribed" und "published" sich auf Topics. Das heißt also, dass jeder Client, der diese App nutzt, Nachrichten verschickt oder abhört. Diese Lösung ist noch nicht fest.
Jetzt ist es jedoch möglich, dass man doch mal Freunde in das Heimnetz holt, damit sie ihre Fotos auf den TV schicken können. Ich möchte nicht, dass sie heimlich MQTT Nachrichten verfolgen können ( nein, ich bin nicht paranoid =] ).
Die Frage:
Wie verhindere ich das?
Mir sind folgende Möglichkeiten aufgefallen:
1. VLAN2 und VLAN3 dürfen untereinander kommunizieren. Der Broker akzeptiert nur bestimmte IPs aus dem Netz. Vielleicht kann man das auch über Unify regeln?
2. Es gibt eine DMZ. Nennen wir sie VLAN2.5. Sie darf mit VLAN2 und VLAN3 kommunizieren. Es gibt in VLAN2.5 einen Webservice. Die Clients der App kommunizieren mit dem Service, der Befehler weiterleitet. In diesem Fall, könnte jeder mit POSTMAN auf den Service zugreifen. Das Problem wäre nur verschoben. Sicherlich könnte ich die App auch mit Username und Password absichern.
3. Ihr seid gefragt.
Vielleicht sehe ich den Wald vor lauter Bäumen nicht. Könnt ihr mir helfen, den Blickwinkel zu erweitern?
Natürlich kann man MQTT auch über SSL verschlüsseln oder mit Username und Password.. eine Trennung auf Netzwerkebene wäre mir jedoch lieber.
Danke!