Tu as une action à faire à chaque lancement de l’application HA ? Ou à chaque démarrage du téléphone ? Car comme dit @Giga77 , il faut pas qu’il y ai d’action à faire sur le téléphone sinon ma femme ne l’utilisera jamais.
Salut
Le souci c’est pas techniquement le nombre de ports ouverts, mais le service qui tourne derrière.
80, 443 et 8123 ouverts c’est quasi le même risque que juste 8123, et non 3x plus.
Après, je ne sais pas s’il est facile de comparer les appétences des méchants vilains hacker du dark web, mais j’imagine que l’intérêt de ‹ passer › un firewall est plus motivant que de piloter la lumière de Mme Michu. Il suffit d’1 seul service compromis pour que le risque potentiel se transforme en désastre.
Et dans n’importe quel cas, l’installation d’un système d’accès demande à ce qu’il soit suivi et mis à jour. Un VPN mal configuré c’est pas mieux qu’un proxy bien fichu (l’inverse est vrai aussi) Avec les solutions intégrées à la box, tu n’a potentiellement même pas la main dessus… Et il y a des tas d’exemple de mise à jour constructeur qui trainent malgré les failles 0Days. C’est moins souple qu’un solution ‹ manuelle › par exemple
2 « J'aime »
Non, le vpn est automatiquement actif chez moi 24/365 à l’allumage du smartphone.
Le reste est transparent.
Par exemple Lors de l’installation de l’application de HA, tu va sur le store Android, tu l’installe, et tu lui met l’adresse IP 192.168. de ton HA et ça roule.
Si tu veux accéder à ton nas, tu ouvres bien un autre port. Si tu veux accéder à d’autres services aussi. Tu multiplies les risques failles.
Moi j’en ai ai qu’un d’ouvert et j’ai accès à tous les services. Sans me prendre la tête avec cloudflare, ou les certificats etc etc…
Ce que le méchant hacker cherche, c’est pas de piloter la lumière, mais un botnet ou du minage.
Et puis entre un ddns+ certificat++++ je pense que le « débutant » aura plus de problème a sécuriser ça que un simple vpn comme wireguard.
Je rappelle que mon propos s’adresse à quelqu’un qui n’est pas habitué à ça. Toi tu connais, et dans un 2e temps rien ne l’empêche d’approfondir ce que vous proposez s’il s’en sent capable
Je sais bien comment ça fonctionne.
Mais c’est quand même pas si simple. Juste un exemple :
-
Tu routes tout le trafic chez toi, avec une fibre ou un bon débit ça doit aller, avec une vieille ligne adsl en compagne, c’est pas la même expérience. Par ailleurs pour des services qui sont déjà accessibles sans passer par chez toi (gmail etc) est-ce bien utile ?
-
Le jour ou ton FAI est en panne, ton waze (qui passe par le VPN) est KO… Donc arrêt à la prochaine air d’autoroute.
-
Tu perds ton téléphone, avec le VPN en auto. Tu as laissé les clés et les mots de passes accessible d’une façon ou d’une autre…(on va gentillement laisser croire que cracker un iphone ou un android c’est compliqué hein)
Mais dans la doute, il faut se dépêcher d’aller tout changer la config de ton VPN coté serveur pour bloquer les accès potentiels… Avec impact sur toute la famille et pas forcement les moyens de faire ça dans la minute quand tu n’es pas chez toi …
C’est facilement jouable ça pour Mme Michu ? Je ne pense pas.
C’est en fonction du besoin de chacun mais aussi des compétences. Plus tu sécurises, plus ça demande de savoir faire.
-
mon goulot d’étranglement c’est pas ma connexion ADSL/fibre mais la 4g. Et je vais sans problème sur youtube. Donc oui ça tourne bien. Et dans le tuto il y a même une manipulation pour choisir ce qui passe par le vpn ou pas.
-
non car le vpn est facilement désactivable sur le téléphone pour être en 100% internet.
-
c’est pas différent d’avoir un vpn que d’enregistrer l’ensemble des mot de passe dans ton téléphone dont le code pin est 0000 ou 1234…
Le vpn te donne accès au lan, mais ça va n’empêche pas d’avoir des mot de passe fort et ne pas les enregistrer dans ton navigateur.
Et le mec qui te vol ton smartphone, aura plutôt intérêt à faire un hard reset rapidement pour pas se faire géolocaliser chez lui. A moins d’avoir un mode de vie particulier qui peut intéresser la NSA ou le Mossad, le gars s’en fout nde t’es données. Il veut avat tout revendre ton appareil rapidement
Ou bien s’il te vol tes affaires dont les clé de la voiture, le premier truc qu’il fait c’est d’aller chez toi en s’aidant du gps de ta voiture « maison ».
Donc oui, wireguard est plus facile a mettre en place et à maintenir que des solutions lourdes qui nécessitent un certain bagage. Y a qu’à voir le nombre de problème ici de gens qui bloquent sur ddns, lets encrypt , ngnix …
Le débat est lancé, moi j’apprends pleins je choses 
Toi c’est la 4G peut-être mais c’est pas le cas de tous. Quant à faire la manip de savoir qui passe ou pas par le VPN, on est déjà un cran au dessus de la simple ‹ config de base ›
C’est pareil, toi tu sais faire (avec ton bagage technique justement) mais les autres ?
Encore un fois, je ne parle pas forcément de toi. On est bien d’accord qu’une porte blindée avec une cloture en fils de fer, ça offre une sécurisation proche de 0.
Mais dans ce cas, tu as le mot de passe enregistré sur le VPN. Backup de l’application (config comprise, restauration sur un autre téléphone), ça prends moins de 30secondes
A ce compte, là il se fout de la domotique exposée aussi… Et la géolocalisation par les forces de l’ordre, c’est anecdotique pour un vol de téléphone. D’autant plus que tant que tu ne mets pas une carte sim ‹ à toi › dedans, il n’y a pas vraiment moyen de faire la différence entre ‹ ton › usage et celui de ‹ ton voleur ›
De ce coté, j’ai pas de « maison » configuré dans le gps… Mais c’est aussi un possibilité
Mouais, je ne sais pas quel poids donner à cet argument, c’est sans doute vrai mais on trouve encore plus d’utilisateurs qui s’emmêlent les pinceaux avec la syntaxe yaml. Pourtant c’est d’une technicité aussi importante ???
Le débat n’en est pas un. Il y a des solutions mises en place par des utilisateurs. Et quoiqu’on en pense, la meilleure pour tous n’existe pas. L’important c’est de choisir SA solution (parmi les propositions) et de se l’approprier
1 « J'aime »
Justement, la solution que je cherche est la suivante : avoir une connexion sécurisée, qui me permet de pointer plusieurs serveurs via internet, tout en gardant l’application HA qui fonctionne en local et via internet. Le mieux serait d’avoir :
- une adresse https://homesassistant.xxx.ddns.net/ qui pointe vers mon HA
- une adresse https://octoprint.xxx.ddns.net/ qui dirige vers mon octoprint
- éventuellement une 3ème pour le Synology, mais pas vraiment important car j’ai déjà un liens qui pointe sur le Synology de façon sécurisé.
À l’heure actuelle, j’ai une adresse http://xxx.ddns.net:8123 vers mon ha, et http://xxx.ddns.net:1988 vers mon octoprint (que j’ai configuré comme cela). Mais je ne suis pas sûr que cela soit « sécurisé »…
Moi j’arrête là. C’est pas la première fois qu’il y a ce débat. Certains trouvent plus facile de mettre ddns et la panoplie de ssl/ngnix grand bien leur fasse.
Teste et fait toi ton avis.
1 « J'aime »
En HTTP seulement, c’est certain que c’est ce n’est pas sécurisé.
Faire le distinguo avec des ports différents est aussi une solution, mais ça implique d’avoir des certificats un peu partout sur les points de terminaison. Du coup regrouper le routage et les certificats sur le proxy, ça évite de faire les manip 3x
Via le proxy inversé du Synology ?
Oui par exemple. Même si j’aime pas l’idée de mettre le matériel le plus critique (les datas perso) en 1er plan (reverse proxy).
Oui c’est une excellente remarque ! Tu as un lien avec un tuto qui pourrait me guider avec une solution alternative ? Qui parle de regroupement de certificat + routage + HTTPS ?
Merci en tout cas !
Ceux déjà cités par @Giga77 par exemple, ou celui de @Oles67 avec le VPN.
Les solutions sont limitées en quantités, mais les critères qui te permettent de choisir te sont propres malheureusement
2 « J'aime »
Ma toute petite pièrre à l’édifice wireguard:
Wireguard peut être installé en VM ou en docker et donc être mutualisé pour pleins de services.
@+ Guy
2 « J'aime »