Apple HomePod Mini und WLAN SSID VLAN und Subnet

  • Hallo,


    ich bin absolut neu in dem Thema HomeKit und habe folgendes Setup. Ich nutze einen HomePod mini als Steuerzentrale eingebunden sind dann ein EVE Plug und ein EVE Wasserhahn. Ich kann die Geräte über das Handy steuern. Ich habe auch bereits eine Automation für den Plug hinterlegt.

    Soweit so gut. Aus Sicherheitsbedenken ist der HomePod, aus meiner Sicht, eine Katastrophe. Da ich ihn anscheinend im gleichen WLAN betreiben muss, wie z. B. mein Handy. Ich nutze ein professionelle WLAN-Lösung von aruba und wollte eine eigene SSID für den HomePod nutzen.

    Das funktioniert auch, dass ich den HomePod in diese spezielle SSID einbuche. Nur wenn ich dann das Handy wieder in eine andere SSID integriere und dann z. B. manuell den Wasserhahn schalten will. Kommt jedes mal die Meldung "Dein HomePod ist in einem anderen WLAN...".


    Meine Frage ist deshalb: Ist es möglich den HomePod in einem anderen WLAN zu betreiben, als das Handy ohne dass regelmäßig diese Fehlermeldung hochpoppt?


    Bin für jeden Tipp dankbar.


    ciao

    ryder_hook

    • Hilfreich

    Kannst ja das hier mal probieren: https://apple.stackexchange.com/a/416596 bzw. hier mal schauen https://medium.com/@gepeto42/u…-and-subnets-aa5ae1024939


    Ansonsten hilft nur WLAN am iPhone zu deaktivieren und dann über den Fernzugriff deine Geräte zu steuern.

  • Hi Patrick_,


    Danke, das hat geholfen, besonders die zweite URL. Meine APs unterstützen mDNS broadcast. Ich habe diese nun zwischen den SSIDs erlaubt. Nun funktioniert das Ganze.

  • walta, na der HomePod ist durch die Sprachsteuerung und durch Thread mit mehr Schnittstellen als z.B. ein iPhone ausgestattet. Wie sicher Thread tatsächlich ist, wurde, nach meinem Kenntnisstand, noch nicht vernünftig untersucht. Theoretisch ist ein Angriff von außerhalb des Hauses möglich ohne es sofort zu bemerken.

    Von daher ist die Möglichkeit den HomePod in ein separates Netz zu tun eine Art Prophylaxe. Durch das eigene Netz sind für den HomePod die Zugriffe auf andere interne Systeme nicht möglich. Er kann nur dorthin, wo er auch hin soll.

    Ich hoffe, dass beantwortet deine Frage.


    ciao

    ryder_hook

  • Warum ist es eine Sicherheits-Katastrophe wenn du die gleiche SSID verwendest? Was sind denn deine Sicherheitsbedenken bzgl. Homepod?

    Ich bin sicher, ryder_hook ist ein alter Paranoiker, ansonsten würde er seine Netze nicht so betreiben. Fakt ist aber, dass es nun mal so gemacht wird, wenn man es richtig machen will, und dass Paranoia zwar lästig ist, aber eben auch wichtig.


    Ich würde es genauso machen, aber ich schätze meine Bedrohungslage wahrscheinlich anders ein als ryder_hook . Daher betreibe ich hier einen Mischmasch aus irgendwie zusammengestöpselten Netzen auf Basis von Billig-Hardware.


    Ich habe mir die Fragen gestellt:

    • Was kann schlimmstenfalls passieren? Da gibt's zwei Möglichkeiten: vernichtet jemand meine Daten und Backups (was ich bemerken würde) oder jemand nistet sich ein und attackiert von hier aus andere (was ich wahrscheinlich nicht bemerken würde). Beides in höchstem Maße unschön.
    • Wie kann ich das verhindern? Tja. Zumindest kann ich dafür sorgen, dass niemand meinen Router überwinden kann. Alles, was ich dazu tun muss ist, den Router nicht weiter zu konfigurieren, denn der lehnt eh jeden eingehenden Traffic per default ab (wie bei allen von uns). Danach gibt's dann nur noch eins: beten, dass die Routersoftware ein tolles Stück Software ist und immer schön die Updates einspielen, falls es überhaupt welche gibt.

      Danach wird's dann schwierig. Ich habe hier einen Haufen Geräte, die alle Verbindung zum Internet aufnehmen und von denen ich im Zweifel nicht genau weiß, was die da treiben. Womit wir zum nächsten Punkt kommen:
    • Wie aufwändig soll es werden? Ich kann meine Netze trennen. Ein Netz ist für meine Gäste da, eins für mich und eins für meinen Smarthome-Krempel. Das verlangt schon mal ein gutes Verständnis für Netze und dem Routing zwischen ihnen. Das ist eigentlich nicht so schwierig, aber es bedingt sofort Wissen, wenn es eben nicht funktioniert. Und du brauchst Router-Software, die das auch vernünftig unterstützt. MDNS ist da ein gutes Beispiel, das kann nicht jeder Router.

      Viel wesentlicher ist aber die Überwachung der Netze und der Übergänge zwischen ihnen. Wenn du beispielsweise "unfreundliche Gäste" auf der Hue-Bridge hast, dann musst du die a) bemerken, b) analysieren, was die da treiben und c) checken, ob sie auch deine anderen Netze attackieren. Und an der Stelle wird es aufwändig: jetzt brauchst du Automatismen, die deine Netze überwachen und du brauchst Software, die deine Automatismen überwacht, damit du sicher sein kannst, dass die auch wirklich laufen.

      Nicht unwichtig ist auch die Analyse, was deine billigen Chinakracher den ganzen Tag so treiben. Ok, die bewässern deinen Garten und beleuchten den Keller, aber ist das auch wirklich alles? Öffnen die vielleicht einen verschlüsselte Verbindung ins chinesische Hochland und etablieren damit eine getunnelte Eingangspforte? Ganz schwierig zu finden, vor allem nachts um drei, wenn du pennst.

    Für mich kam dabei die Antwort heraus: müsste man alles machen, hab ich aber keine Lust drauf. Noch nicht. Kommt vielleicht noch. Aber nicht heute.


    Und: ich werde ganz sicher nicht schlauer sein als meine Angreifer. Die haben im Zweifel Dinge drauf, die ich für reine Magie halte. Ich hatte in den letzten 30 Jahren dreimal Besuch auf den Systemen meiner Arbeitgeber, und zweimal haben die mir die "Gäste" gewaltig in den Hintern getreten, weil ich geglaubt habe, ich könnte da auch nur irgendwie mithalten.


    Und ganz zum Schluss: ich wohne in einer Großstadt im Erdgeschoss. Gleich hinter dem Fenster befindet sich der Bürgersteig. Wenn meine Fenster gekippt sind, reicht ein einfaches "Hey Siri, stelle die Heizung auf 30º" und Siri, die blöde Nuss, macht das dann. Kann jeder, der da draußen vorbeiläuft, einfach so machen. Ich habe keine Möglichkeit, das irgendwie zu verhindern außer, an das Fenster ein Schild zu kleben, auf dem steht: "Bitte hier nicht 'Hey Siri, stelle die Heizung auf 30º' sagen".

  • OK - hab ich vermutet. Der Homepod alleine ist an sich keine Sicherheits Katastrophe - vielmehr das Gesamtsystem.

    Letztenlich ist es eine abwägung zwischen Komfor und Sicherheit.


    walta

  • Klar, muss jeder für sich selbst wissen. Bei mir ist es tatsächlich so, dass ich teilweise von zu Hause arbeite und dann Kunden-Equipment im Home-Netzwerk verwende (um den Fragen vorzubeugen, ja das ist den Kunden bekannt und abgesprochen). Auch für diese Geräte nehme ich ein extra Netz.

    Und ja, es ist richtig, man muss sich mit Routing, VLANs und Netze auskennen, sonst ist das nicht machbar.

    Aufwendig finde ich es nicht. Also das Einrichten schon, der Betrieb dann nicht. Es hilft schon sehr, wenn man eine "ECHTE" Firewall verwendet und nicht so was wie die Fritzbox oder noch schlechteres.

    Meine Firewall hat z.B. eine Malware Detection und erkennt Malware-Verhalten und sperrt dies.

    Klar, sowas gibt es nicht umsonst. Aber viel Aufwand ist es nicht.

    Im übrigen wird jeder überrascht sein, wie oft sich z. B. Bot activity auf einem Tablet "einnistet" obwohl nichts super verdächtiges besurft wurde. Meine Malware engine schlägt durchschnittlich alle 2 Wochen einmal Alarm.