<div dir="ltr">Ciao Lucio<br>Grazie dei tuoi consigli<br>Di seguito trovi le mie risposte<br>Ti aggiungo qualche altro dettaglio<br><br>Noi per il momento usiamo questo sistema IOT basato su Docker per semplicità di configurazione ma ho dei dubbi sulla sicurezza del sistema:<br><a href="https://sensorsiot.github.io/IOTstack/">https://sensorsiot.github.io/IOTstack/</a><br>Il sistema gira o su un RapsberryPi 3 o 4 (meglio con SSD) o su un X86 (io uso Debian)<br><br>La VPN (Wireguard) deve essere installata su questo server oppure sul Router con firmware open source?<br><br>Si potrebbe approfondire questo argomento sulla cybersecurity in un "virtual-incontro" Slip  <br><br>Gio<br><br><br>Il 04/05/21 16:59, carlo b via SLiP ha scritto:<br>> Noi del gruppo arduino utilizziamo telegram per i nostri progetti verso <br>> internet. <br><br>Qui ho bisogno di qualche dettaglio in più per capire. Come si realizza<br>la comunicazione remota fra l'hardware e l'utente? Io mi immagino, ma<br>magari mi sbaglio, che l'hardware di turno abbia un software in<br>esecuzione che parla periodicamente (per esempio ogni tot secondi) ad un<br>bot di Telegram, giusto?<br>GB=> Nell'Arduino (un ESP nel dettaglio, cioè un microcontrollore con il Wifi integrato) è eseguito il codice che fa funzione il Bot Telegram<br>Quel codice usa le API dei Bot Telegram<br><br><br>Immagino poi che questo bot di Telegram sia l'interfaccia con cui<br>l'utente visualizza lo stato dei sensori ed invia comandi attraverso<br>pulsanti o caselle di testo, giusto?<br>GB=> Si esatto<br><br>Ed immagino infine che tale bot di Telegram richieda un'autenticazione<br>tipo utente/password o sia in qualche altro modo strettamente legato<br>all'utente, in modo che solo il proprietario dell'hardware possa vedere<br>ed interagire da remoto, giusto?<br>GB=> E' possibile implementare queste sicurezze all'interno del codice<br>Non si usa utente e password ma si identifica il ID dell'utente<br><br>Se fin qui è tutto giusto e se la strada di Telegram (versione<br>ufficiale) è quella che continuerete a seguire, temo che ci sia poco che<br>si possa fare per migliorare la sicurezza, in quanto il server ufficiale<br>di Telegram non è software libero e non è possibile installarsi un<br>proprio server ufficiale di Telegram (in gergo, Telegram non è un<br>sistema federato).<br><br>Detto questo, a seconda dei casi, potrebbe non essere neppure così<br>necessario aumentare la sicurezza della soluzione.<br>GB=> Esatto, Telegram va bene, sia in termini di semplicità che sicurezza<br>E' però limitato nell'interfaccia utente, essendo fatto per una chat e non per una Dashboard<br><br><br>> Lettura sensori e controlli vari.<br>> Tutto questo funziona bene ma siamo limitati all'uso di pulsanti per i <br>> comandi e per immissione dati necessita<br>> utilizzare la riga immissione testo, poco pratica.<br><br>Che tipo di interfaccia ti piacerebbe avere in alternativa<br>all'immissione del testo per inviare dati?<br>GB=> Si pensava ad un interfaccia grafica tipo quelle delle App dei vari dispositivi IOT commerciali. Pensi siano sviluppate come Web APP che si appoggiano sul server del produttore<br><br>> Pensavamo di <br>> acquistare uno spazio in rete ma non abbiamo<br>> abbastanza conoscenze per quanto riguarda la sicurezza.<br><br>Qualsiasi VPS è sufficientemente sicuro per questo tipo di utlizzo,<br>nella misura in cui non ci si metta a controllare da remoto<br>l'attivazione dell'antifurto di casa o cose del genere.<br><br>La parte eventualmente poco sicura non è tanto il server che si va ad<br>acquistare, quanto le applicazioni che poi ci si installano.<br>GB=> Il nostro timore è che la configurazione errata delle varie applicazioni IOT (MQTT Broker, Node Red, Influxdb, Grafana, etc...) porti all'akeraggio della VPS con tutti i problemi che ne conseguono <br><br>Il 02/05/21 19:14, giorgio boiero via SLiP ha scritto:<br> > Per il momento abbiamo attivato alcuni server nelle nostre reti locali<br> > Ci piacerebbe approfondire con chi è più esperto di noi di cybersecurity<br> > (Davide, Lucio, Alessandro, Luca) se e come fosse possibile poter<br> > accedere in sicurezza a questi server e servizi dall'esterno della<br> > propria rete domestica<br> > Come configurare il port forwarding dei nostri router, installare un VPN<br> > ed utilizzarla (tipo lo script di Lucio per Wireguard)<br><br>Sì, in questo caso (cioè senza usare Telegram ufficiale) una VPN con<br>Wireguard è sicuramente una soluzione che offre tutta la sicurezza di<br>cui avete bisogno, almeno dal punto di vista della connettività.<br><br>Certo che se poi si installa Wireguard sul cellulare, ma si lascia il<br>cellulare sbloccato ed incustodito sul tavolino del bar, non c'è VPN che<br>tenga. Come sempre il fattore umano è l'anello più debole della catena.<br><br>GB=> Se capisco bene la soluzione migliore è installare la VPN (Wireguard) in modo che da remoto ci si collega direttamente al server domestico evitando di esporre le applicazioni IOT direttamente a Internet<br><br> > etc.. o se<br> > sarebbe meglio far girare il server e i containers in un VPS remota,<br><br>Dal punto di vista della sicurezza assolutamente no: un VPS, una volta<br>che ci installi istanze docker con tutta quella roba che hai citato, è<br>sicuro quanto una prostituta a spasso nel Bronx.<br><br>La soluzione più sicura è avere un server in rete locale (cioè a casa)<br>ed accedervi via VPN, senza aprire alcuna porta sul router, tranne<br>quella per far funzionare la VPN (di default la 12345/udp nello script<br>che ho fatto). A questo va aggiunto un servizio di DNS dinamico, in modo<br>che il riavvio del router e relativo cambio di indirizzo IP pubblico non<br>creino problemi. <br>GB=> OK come sopra<br><br>Essendo la sicurezza l'argomento di questo thread,<br>direi che anche il router sarebbe da tenere aggiornato e suggerisco di<br>avere un router su cui si possa installare un firmware libero, in modo<br>da essere più tranquillo della disponibilità di tempestivi aggiornamenti<br>di sicurezza (io per esempio uso un Asus RT-AC51U).<br>GB=> Usi openwrt sul Asus?<br>Marche di router che consigli a parte Asus? <br>Molti usano Fritzbox, ma non so se si può cambiare il firmware con uno libero<br><br><br></div>