Ubiquiti-hack was volgens klokkenluider veel ernstiger dan bedrijf meldde

De inbraak bij servers van de fabrikant van netwerkapparatuur Ubiquiti was volgens een bron van KrebsOnSecurity veel ernstiger dan het bedrijf deed voorkomen. De criminelen hadden volgens hem beheerdersrechten op de servers bij AWS.

Ubiquiti meldde in januari 'een mogelijke hack bij een externe cloudprovider' en adviseerde klanten uit voorzorg hun wachtwoord te wijzigen, maar volgens een beveiligingsdeskundige die betrokken was bij het onderzoek naar de hack, weerspiegelde deze mededeling niet de ernst van de zaak. Hij meldt dit anoniem aan KrebsOnSecurity en heeft dit in een brief gerapporteerd aan de Europese privacytoezichthouder European Data Protection Supervisor.

De klokkenluider noemt de hack 'catastrofaal' en volgens hem verzweeg Ubiquiti bewust de impact: "De kraak was gigantisch, klantendata was in gevaar en er was risico op toegang tot apparaten van klanten bij bedrijven en huishoudens." Volgens de man hadden de criminelen via backdoors lees- en schrijftoegang tot de Ubiquiti-servers bij Amazon Web Services.

Daardoor konden ze bij de geheime data voor single sign-on cookies en sleutels, inloggegevens van een it-medewerker en uiteindelijk bij Ubiquiti AWS-accounts, applicatielogs, broncode, databases en gebruikerscredentials. De toegang maakte dat de criminelen volgens de beveiligingsonderzoeker grote hoeveelheden apparaten met cloudtoegang wereldwijd konden authenticeren.

De kraak werd in december vorig jaar al opgemerkt na de ontdekking van door de criminelen opgezette Linux-vm's en de installatie van een backdoor. De criminelen lieten vervolgens weten 50 bitcoin, op dit moment omgerekend bijna tweeënhalf miljoen euro, te eisen en in ruil daarvoor hun inbraak geheim te houden en details over een tweede backdoor te verstrekken. Ubiquiti ging daar niet op in. Beveiligingsonderzoekers ontdekten die tweede backdoor vervolgens zelf.

Volgens de klokkenluider had Ubiquiti uit voorzorg alle wachtwoorden van klanten moeten resetten, ook omdat de impact onduidelijk was wegens gebrekkig loggen wie toegang had tot de databases. KrebsOnSecurity raadt gebruikers aan dat alsnog te doen. Ook stelt de beveiligingsonderzoeker dat het een goed idee is om profielen te verwijderen, de firmware te updaten en nieuwe profielen te maken met nieuwe credentials.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 31-03-2021 10:47173

31-03-2021 • 10:47

173 Linkedin

Lees meer

Voormalig Ubiquiti-werknemer die data stal en bedrijf afperste krijgt 6 jaar cel Nieuws van 11 mei 2023
Ubiquiti-afperser en 'klokkenluider' bekent schuld Nieuws van 3 februari 2023
Medewerker lijkt Ubiquiti te hebben gehackt en afgeperst Nieuws van 2 december 2021
ROC Mondriaan meldt grote hack, studenten kunnen niet bij bestanden Nieuws van 23 augustus 2021
Fall Guys-ontwikkelaar zet game-code per ongeluk online in update Nieuws van 15 mei 2021
Criminelen stalen inloggegevens van ontwikkelaars via devtool Bash Uploader Nieuws van 19 april 2021
Ubiquiti waarschuwt gebruikers voor mogelijke hack bij externe cloudprovider Nieuws van 11 januari 2021
Meer producten en artikelen
Netwerk en systeembeheer Ubiquiti

Reacties (173)

-Moderatie-faq
173
169
63
9
1
100
Wijzig sortering
Bose321
31 maart 2021 10:55
Lekker dan, ik heb zelf (nog) geen Ubiquiti hardware, maar ben/was hier wel naar aan het kijken voor mijn nieuwe woning. Maar als je dan dit leest dan word je gelijk minder enthousiast. Zeker omdat steeds vaker de trend is om zo veel mogelijk 'in de cloud' te gooien en aanpasbaar te maken... Hopelijk zien steeds meer mensen in dat dit echt nieta altijd the way to go is.

Enig idee of het gewoon nog helemaal uit de cloud en lokaal te beheren is deze hardware? Anders moet ik helaas toch verder kijken.
n9iels
@Bose32131 maart 2021 11:07
Beheren vanuit de cloud is absoluut geen vereiste bij Ubiquiti apparatuur. Voor het instellen van de meeste apparatuur heb je de UnifiController software nodig. Deze kun je installeren en draaien op een PC binnen je lokale netwerk. Na het installeren kun je die software weer afsluiten en hoef je deze pas weer op te starten als je wijzigingen wilt doorvoeren.

Het beheren vanuit de cloud is meer een enterprise feature. Waarvoor het overigens best handig kan zijn als je bijv. 3 kantoren hebt waar deze spullen hangen. Op afstand kunnen inloggen en wijzigingen doorvoeren is dan zeker nuttig.
GekkePrutser
@n9iels31 maart 2021 12:04
Met de controller in docker (of lokaal geinstalleerd) heb je het niet nodig, maar veel nieuwere spullen van Unifi werken daar niet meer mee. Zoals Unifi Protect (de camera's), de toegangsspullen en de IP telefoons. Dat kan alleen nog maar met de nieuwe controller in hardware die je via de cloud aan moet melden.

En ook de spullen met ingebouwde controller zoals de Unifi Dream Machine, Dream Machine Pro en zelfs de Cloud Key G2 die op UnifiOS draait, moet je registreren in de cloud. Je kan dat alsnog wel uitzetten, maar hij blijft een verbinding houden volgens de comments op Krebs on Security:
This is also true of the CloudKey Gen2+. After the update, there is no way to setup the device without logging into a Unifi account. Your only option is to use the cloud account, then add a local admin, then disable remote access. This removes the device from the Unifi cloud service. But even then, this leaves you with the Unifi “Owner” account permanently entrenched on the device, and that account can be used to log into the controller by authenticating against the Unifi account used to setup the device, and there is no way to disable it.
Ik heb dit niet kunnen checken omdat ik gelukkig geen apparaat heb met UnifiOS ingebouwd.

[Reactie gewijzigd door GekkePrutser op 31 maart 2021 12:05]

jimzz
@GekkePrutser31 maart 2021 12:46
Je hoeft alleen SSO te gebruiken bij de initiele setup, ook voor protect kun je daarna een lokaal account instellen en SSO uitschakelen. Ook de nieuwere Unifi producten kunnen dit gewoon.
Nexz
@jimzz31 maart 2021 13:06
Helaas kun je vervolgens geen gebruik meer maken van de app, want hoewel hij wel Local Connection kan, werkt dat alleen als je je Remote Access op je CloudKey/DM hebt aan staan.
GekkePrutser
@Nexz31 maart 2021 13:14
Oh dat had ik nog niet gehoord. Wel vreemd want met de oude controller (in docker of lokaal gedraaid) kan je de app wel weer gebruiken zonder remote access aan :? Uiteraard moet je wel lokaal zitten, of VPN hebben. Maar dat vind ik juist een belangrijk voordeel voor de beveiliging ervan.

Het klinkt wel alsof ze de gebruiker zoveel mogelijk richting cloud willen pushen. Waarschijnlijk omdat dit heel veel waardevolle informatie oplevert over het gebruik van de produkten. En wellicht het verminderen van support interacties ("waarom werkt mijn app niet als ik niet thuis ben"). Maarja.. Je stelt je apparatuur dan wel bloot aan een hele extra categorie kwetsbaarheden.,

[Reactie gewijzigd door GekkePrutser op 31 maart 2021 13:15]

svenk91
@GekkePrutser31 maart 2021 17:37
Dat is vaak ook een eerste stap naar een maandelijkse fee voor de cloud gaan vragen (en ja, dat gebeurd ook nadat een bedrijf eerst belooft dat het gratis zal blijven). Als een bedrijf zorgt dat je apparatuur enkel nog via de cloud kan gebruiken voor bepaalde key features die prima offline hadden kunnen werken moet dat eigenlijk altijd een red flag zijn. Gezien het verzwijgen van de ernst van de hack zou ik Ubiquiti ook niet meer als betrouwbaar bedrijf zien, die zetten hun eigen reputatie en de lock-in van hun cloud blijkbaar ver boven de veiligheid van de netwerken van gebruikers.
Nexz
@GekkePrutser31 maart 2021 14:06
Jup, heb zelf altijd mijn eigen instance van de NVR software gedraaid en was overgeschakeld naar de CloudKey "want het was zo lekker makkelijk". Daar krijg ik steeds meer spijt van. De infraupgrade die ik gepland had staan met o.a. USG Pro en nieuwe Flex Mini's zet ik voorlopig in de ijskast.
VHware
@Nexz31 maart 2021 21:08
USG pro en flex mini hebben geen controller in de cloud nodig :)
devilkin
@Nexz1 april 2021 21:04
Usg lijn zou ik niet meer kopen trouwens. Daar komen al meer dan een jaar geen deftige updates meer voor uit, en de helft van de features zijn enkel in te stellen via json files.
Colleville
@devilkin6 april 2021 00:14
Oh, gewoon config settings? Heb je meer info, linkje?
devilkin
@Colleville6 april 2021 07:31
Voor wat juist?
jimzz
@Nexz31 maart 2021 13:31
Volgens mij werkt t gewoon met vpn, die kun je eenvoudig maken met de unifi controller.
Nexz
@jimzz31 maart 2021 14:04
Was het maar zo'n feest, ik zit lokaal (WiFi) en kan de controller niet meer vinden als ik remote access uitzet. Edit: dat is alleen zo met de CloudKey, toen ik voorheen de NVR software 'zelf' draaide kon ik er wel lokaal bij.

[Reactie gewijzigd door Nexz op 31 maart 2021 14:07]

jimzz
@Nexz31 maart 2021 14:10
Geen ervaring met de cloud key, heb een udm pro en dat werkt prima lokaal.
gday
@jimzz31 maart 2021 20:34
Op de UDM Pro werkt het netwerkgedeelte prima lokaal via app en browser, maar UniFi Protect werkt lokaal alleen via de browser, want de app verplicht je om met een SSO-account in te loggen. En als je 'remote access' uitzet in je UDM Pro, is die niet meer vindbaar met dat account. Dit is een probleem dat Ubiquiti echt zsm moet oplossen, anders gaat hier ook een hoop spul van Ubiquiti de deur uit.
jimzz
@gday31 maart 2021 20:41
Ah de app... my bad niet geheel goed gelezen. Maar ik ga t straks eens uittesten. Lokaal zijn de camera's in ieder geval wel te benaderen via ip en dan via een lokaal account.

Best omslachtig dan idd, maar oplossingen zoals motioneye zouden hier denk ik wel uitkomst aan bieden.
GekkePrutser
@jimzz31 maart 2021 12:52
Ja maar volgens meerdere mensen blijft er toch een owner account actief waar je mee in kan loggen (lokaal). Dat dus gebruik maakt van je cloud login. Dat vind ik toch wel een zwak punt als het uitlekt zoals dus gebeurd is (en bovendien in de doofpot gestopt). Remote Access uitzetten zorgt wel dat je het vanaf UI.com niet meer kan beheren, maar het lost niet alle cloud verbindingen op.

Zoals ik zei heb ik het niet zelf kunnen testen, maar ik zie het zowel in de comments op Krebs als op reddit genoemd worden.

[Reactie gewijzigd door GekkePrutser op 31 maart 2021 12:56]

Blackboard
@GekkePrutser31 maart 2021 12:16
Ik vond het juist altijd de charme van Ubiquiti om dit allemaal in een lokaal netwerk te kunnen beheren en installeren. De beweging om alles in de cloud te hangen stoot mij dan ook erg tegen het zere been. Jammer van de richting die Ubiquiti heen gaat.
vanaalten
@n9iels31 maart 2021 12:03
Wat ik in de reacties veel terug zie komen is "je hoeft hun cloud niet te gebruiken, je kan het lokaal draaien". En dat is vaak zo en dat doe ik ook (Unifi controller).

Maar, als Ubiquiti inderdaad dit soort security-incidenten heeft, en als ze het inderdaad bewust bagatelliseren, dan kan ik mij goed voorstellen dat je als potentieele klant daar vraagtekens bij stelt: wil ik nog wel een product van een fabrikant die dubieus met beveiligingsproblemen om gaat? Als er nou een ernstig lek in de controller-software of router hardware gevonden wordt, gaat deze fabrikant dat ook eerst bagatelliseren of wordt er meteen eerlijk en correct gehandeld?
Grrrrrene
@vanaalten31 maart 2021 13:38
Ik vind het redelijk vergelijkbaar met hoe Toyota en de VAG-groep opereren. Toyota meldt eerlijk dat er een issue is met bepaalde auto's en doet een terugroepactie, VAG geeft vaak geen gehoor als je een issue ontdekt aan je auto en je moet er via gebruikersgroepen achterkomen dat je niet de enige bent met jouw issue.

In de eerste heb ik daardoor veel meer vertrouwen, ondanks dat je vaker in het nieuws hoort dat ze een terugroepactie hebben.
Il Duce
@vanaalten1 april 2021 12:11
Als er nou een ernstig lek in de controller-software of router hardware gevonden wordt, gaat deze fabrikant dat ook eerst bagatelliseren of wordt er meteen eerlijk en correct gehandeld?
De vraag stellen is hem beantwoorden
d-snp
@n9iels31 maart 2021 13:31
Je hoeft misschien niet te beheren vanuit de cloud, maar uiteindelijk moet je toch je updates uit de cloud pikken. De aanvaller had niet alleen toegang tot de cloud management backend, maar ook tot de volledige broncode, de signing keys, en de AWS S3 buckets. Dat betekent dat ze alle firmware geïnfecteerd kunnen hebben, en dat niemand dat door kon hebben omdat ze daar geen logs van bijhielden.
GeleFles
@n9iels31 maart 2021 11:19
Het ligt er een beetje aan welke producten je gebruikt.

Voor de protect suite heb je de cloud connectie nodig zodra je bijvoorbeeld met je telefoon verbinding wilt maken.
Wil je notificaties op je telefoon krijgen als er bijvoorbeeld iemand voor de deur staat; dan heb je de cloud connectie nodig.

Er zijn misschien wel omwegen te bouwen, maar dan moet je wel echt flink aan het tweaken.
yzf1kr
@GeleFles31 maart 2021 11:29
Je kan ook gewoon je Protect service direct benaderen, geen cloud nodig.

Ook notifications etc kunnen buiten de cloud om. Maar dan moet je zoals vroeger wat meer kennis hebben en zelf wat extra services draaien.

De cloud is gewoon voor het gemak.
GeleFles
@yzf1kr31 maart 2021 11:38
Precies dat...

Als ik de protect app van buiten op mijn telefoon wil gebruiken, dan heb ik eigenlijk al een VPN nodig. Die ga ik niet constant aan laten staan natuurlijk, dan kan ik m'n accu 3x per dag laden.

Via externe systemen zoals bijvoorbeeld home assistant kan ik wel notificaties maken, maar dat is weer niet zo mooi/makkelijk als de protect app.
jimzz
@GeleFles31 maart 2021 12:48
Het is juist veel mooier met Home Assistant IMHO. True het kost ietsje meer werk maar als je HA toch al hebt draaien kun je daar fantastische notificaties van maken die ook nog eens actionable zijn.
Nexz
@yzf1kr31 maart 2021 13:07
Als ik Remote Access uitzet op mijn CloudKey Gen2 kan ik mooi geen gebruik meer maken van de Protect app.
BHQ
@yzf1kr31 maart 2021 23:36
Ah. Kan je inmiddels al verbinden met een lokale controller vanuit de Protect app? (Zonder dat remote access aanstaat?)
SG
@n9iels31 maart 2021 14:11
Van uit Ubiquiti perspectief is dat men de Cloud key gen1 en 2 in nogal grote LAN toepassen en dus buiten de controller limiet worden toegepast.
Bij grotere installaties verwacht je een server waar de software op kan draaien.

Dus 100+ installaties met Cloudkey gen1 / 2 ( plus )
boomer21
@n9iels5 april 2021 16:18
Heb de controller gereset( daarvoor had ik het wel bij oudere firmware) en lukte me niet om lokaal account gegevens in te voeren zonder e-mail en wachtwoord via cloud ben even bezig geweest om het weer lokaal te krijgen maar is me nog niet gelukt.👎
fapkonijntje
@Bose32131 maart 2021 11:05
Volgens mij zijn er genoeg ubiquity dingen te gebruiken zonder cloudverplichting. Maar de vraag is of Ubiquity überhaupt wel nodig is. Je ziet teveel mensen met beperkte kennis voor Ubiquity gaan, omdat het een hype ofzo is. Genoeg mensen die de geavanceerde dingen helemaal niet nodig hebben en nooit gaan gebruiken. Maar door hun gebrek aan kennis is de configuratie dan weer wel onveilig. Vaak ben je beter af met een TP-Link Deco setje of dingen als een RE650 bijvoorbeeld. Doet toch niet onder voor Ubiquity qua performance in de praktijk en je hebt minder gedoe met instellen.
GekkePrutser
@fapkonijntje31 maart 2021 12:07
Maar voor prosumers is "het gedoe met instellen" juist weer iets dat we wel willen. De mogelijkheid tot meerdere VLANs, uitgebreide instellingen die je alleen in zakelijke produkten hebt. Die dingen zijn juist waarom ik unifi heb. Sowieso wil ik geen mesh omdat ik overal al Ethernet heb hangen voor de uplink. Het speciale voordeel van Unifi is dat de controller geen license behoeft zoals met andere spullen zoals Cisco wel. Cisco heeft tegenwoordig ook goedkopere hardware maar die controller licensing blijft een probleem voor thuisgebruik.

Volgens mij zijn er niet veel mensen die het niet kunnen beheren en toch unifi kopen. Ik zie juist zelfs veel technische mensen die het op zich wel zouden kunnen gewoon de router van hun internetprovider gebruiken, of inderdaad mesh setjes.

[Reactie gewijzigd door GekkePrutser op 31 maart 2021 12:10]

phubert
@GekkePrutser31 maart 2021 13:58
Ik heb zelfs gewone thuisgebruikers graag het systeem zien aanschaffen. Ja het is minimaal +/- 250 euro, maar hoor erna niemand klagen over belabberd wifi of netwerk. Voor vele heb ik de basis gemaakt en de rest doen ze zelf via app of browser. In een tijd waarin alles aan het internet hangt is VLAN wel minimaal een vereiste geworden; iets wat vele (provider) modem/routers niet bieden.

Het klikker-de-klik principe maakt het juist zo makkelijk (als het systeem opgetuigd staat).
mcbeef
@phubert31 maart 2021 20:31
Got me!
Ik heb er niet veel verstand van maar was de instabiele Ziggo modem/router zat. Daarnaast wilde ik access points in m'n woning met één ssid een natuurlijk naadloze transities in verbinding van het ene AP naar het andere. Dit zijn zaken die allemaal wel konden met m'n oude dir-655 icm de Ziggo router en eventueel nog een rondslingerende tp-link maar dat was erg veel instellen en sub-par prestaties.

De AP's van ubiquiti doen alles wat ik wil, smoelen enigszins en hebben een geweldige uptime.

Edit: typo

[Reactie gewijzigd door mcbeef op 31 maart 2021 20:31]

phubert
@mcbeef31 maart 2021 23:18
Exact. Het meest prachtige voorbeeld.
Ziggo levert zulke 'gedrochten' van modem/routers, die witte of die Technicolor, ik heb al veel mensen weten te verlossen met een USG of Edgerouter en het modem in bridge. Nadeel is, je moet, er is vrijwel geen alternatief voor de kabel. 8)7

Overigens ook genoeg mensen weten te verlossen van die migrainebox |:( uuuuh Expediabox van KPN (waar mogelijk).
r2504
@GekkePrutser31 maart 2021 14:58
Volgens mij zijn er niet veel mensen die het niet kunnen beheren en toch unifi kopen.
Dan moet je de forums van UBNT maar eens lezen...
phubert
@r250431 maart 2021 15:46
Dat doe ik vrijwel dagelijks, maar hieruit maak ik op dat veel mensen zonder kennis aan het systeem beginnen omdat ze 'gehoord hebben dat het fantastisch is'; ja dan is het een uitdaging. Zoals ik al schreef, ik maak een basis en de gebruiker doet de rest waar nodig. Heb al jaren niemand op de mail of telefoon gehad, ja enkel als de provider zelf eruit lag; niet het unifi systeem ;)
GekkePrutser
@r250431 maart 2021 21:55
Nouja support fora staan er over het algemeen niet bekend dat mensen zich daar registreren alleen om het produkt te bejubelen natuurlijk. Dus je ziet bij dat soort communities gewoon een negatieve bias.

Ik heb zelf in support gewerkt en ik heb jarenlang geen produkt van het betreffende bedrijf gebruikt omdat ik ook een beetje wantrouwen had. Elke dag ernstige problemen aanhoren ondermijnt het vertrouwen wel een beetje.

Maarja ik heb het een keer naast de verkoopcijfers gelegd en het ging natuurlijk om aantallen van helemaal niets. Maar de klanten gaan je niet bellen om te zeggen hoe blij ze zijn.
r2504
@GekkePrutser1 april 2021 10:04
Het gaat niet meteen over de bias (ieder product heeft pro/contra gebruikers), maar wel over het niveau van de gebruikers. Ik zie vaak mensen die amper weten wat een IP-adres is, laat staan wat een VLAN en andere dingen zijn.

De vraag is dan of het product voor hun de juiste keuze is (tenzij men het beheer aan iemand anders zou overlaten maar dan verwacht ik ook geen vragen van hen zelf).
SG
@GekkePrutser1 april 2021 11:44
Nou probleem van de anti Unifi zijn de klanten die voor dubbeltje op de 1st rij moeten .
Zij hebben produkt verwachting van niveau Cisco enterprise, maar dan zonder bakken geld naar cisco dragen. En verwachten dan dat ubiquiti dat bied. Daar naast als automatiseerder via unifi multi lans van clentele wilt beheren of multi lan clienten ja dan heb je meer met de nadelen en nukken van Ubiquiti te maken.
Ik verwacht van merk dat moet hebben van betaalbare hardware sales vs dure enterprise merken en daar aan de onderkant enterprise markt voorzien zonder omzet om service van niveau te kunnen bieden.
Tja daar betaal je die service en cloud licenties bij cisco en dan betaal je ook daarnaast premium prijs om ook deels de firmware afdeling te voorzien kwa grote en dure experts.

Dus als Ubiquiti Amplify ontstijgt en eigenlijk wat features van Unifi nodig hebt dan zijn de ervaringen grotendeels top omdat isp de meeste troep hardware leveren. Of heel licht wat amper de potentie dekt. Wil dus iets meer met standaard basis eisen voldoet unifi ruim. Ervaringen zijn dan goed.
Val je meer tussen Unifi en meer pro edgemax dan kom je de kort komingen tegen van low budget semi pro enterprise merk eisen en features
En dan zijn de ervaringen zeer gemengt. Maar ja het is geen cisco.

Ik val net alleen kwa pure router in edgemax voor ‘n feature, voor al het andere is Unifi ruim voldoende voor mij. Protect is twijfelaar heb maar 1 goedkoopste POE cam
De hardware is redelijk de firmware moet bij dit merk altijd even de kat uit de boom kijken.
GekkePrutser
@SG1 april 2021 12:10
Nou Cisco vind ik toch wel een heel andere markt. Cisco koop je niet om er 10 op te hangen, maar om er 10.000 op te hangen. Het is een heel ander soort beheer. Als je op 10.000 AP's dingen wil aanpassen dan doe je dat niet met individueel klikken maar dan wil je dat automatiseren, minder gebruiksvriendelijk voor de instapper maar een stuk efficienter op schaal.

Daar hangen ook hogere prijzen aan vast omdat het soort bedrijven dat 10.000 AP's kopen, niet de marktprijs betalen maar enorme kortingen afdingen. Daar worden de prijzen natuurlijk ook op ingeschaald. Ik werk zelf bij zo'n partij en op sommig spul (niet Cisco overigens) krijgen we 60% korting op RRP.

Bovendien op dat soort volumes zijn de beheer licenties niet relevant meer omdat je ze over zoveel clients verdeelt. Het mooie van Unifi vind ik juist de niche van klein/midden bedrijf met toch een volwaardige functieset.
SG
@fapkonijntje31 maart 2021 14:03
Ubiquiti heeft naast
* Unifi wat bestaat uit onderdelen netwerk, talk, protect, acces, LED
* EdgeMax de pro line
* Amplifi de instap consumenten lijn.

Unifi controller is interessant voor semi pro of heavy consumer ook MKB tot aan semi large of multi LAN netwerken.
Unifi zit in gat in de markt tussen heavy user semi pro en sub enterprise.

TP-link spring er achterna met Armada. Maar is beta en heeft ook zijn beperkingen. Misschien in de toekomst een directere alternatief voor Unifi of is dat al?

Mijn Routers van 2 ISP hangt de Edge router aan daar achter Unifi netwerk zonder AP.
Het is voor mij fijn dat alle managed switches centraal beheerbaar zijn. Ook is daarmee makkelijk te achterhalen wat er aan welke port hangt.
Ook niet vergeten bij Unifi is blijkbaar nogal standaard dat het allemaal minstens L2 managed switches zijn. Dus in puur Unifi Lan kan je dus centraal alle Vlan beheren. En ook trunks uplinks maken.

Bij mij zijn bijna alle vorige switches die unmanaged zijn vervangen door unifi switches. Dat zijn er 4 stuks die 6 switches vervangen.

Het is dus niet zomaar dat je Unifi met directe tegenhanger vervangt. Tenzij je meer in Ampli instap Unifi past en beperkt blijft tot consumenten features of aan de boven kant eigenlijk pro Cisco stuf en navenante prijs en licenties.

Als je niet veel waarde hecht aan centraal beheer van je netwerk. En hooguit 2 core managed switch nodig hebt dan zijn er veel alternatieven.

Maar het zit er meer tussen in. Dus afhankelijk wat je ermee wilt en welke features je wilt of nodig hebt.
GekkePrutser
@SG31 maart 2021 21:57
Amplifi is niet echt instap voor consumenten toch? Het is meer spul op zware consumenten zoals gamers gericht. Volgems mij doet Ubiquiti niet echt instap spul zoals TP-Link dat doet.
phubert
@SG31 maart 2021 23:29
Je kunt haast hebben maar als je daarmee een compleet b-keuze assortiment in de markt zet heb je het anno 2021 snel verpest; de concurrentie is moordend.

-Unifi Talk werkt naar mijn weten alleen in Amerika met provider via Ubiquiti
-Unifi Access zijn ze al jaren mee bezig en komt nu pas mondjesmaat op gang. (zolang het duurt)
-EdgeMax gaat helemaal over in UISP, voor PtP verbindingen in afgelegen gebieden.
-Amplifi heb ik nooit enig nut van in gezien, persoonlijk vind ik het meer een gadget.

Ze zetten wel de trend met bepaalde switchen, 8x10gb voor 229 euro excl btw daar steek je andere aanbieders echt wel mee. En de Unifi Lite swichen zijn zeker een groep die naast het proconsumer spul ook wat extra's biedt.
SG
@phubert1 april 2021 11:49
Ik wil die switch wel inzetten als core switch en wacht nog ook even op us6xg ding 6x 10gb ben nu aan twijvelen
GekkePrutser
@phubert1 april 2021 12:14
Ik denk dat ze met Talk ook te laat zijn ingesprongen. De bureautelefonie is allang op zijn retour. Heel veel bedrijven zijn er helemaal klaar mee. Bij ons wordt elk toestel juist actief van de bureaus verwijderd en gaat alles nu gewoon via teams (inclusief telefonie). Handiger met thuiswerken (of waar dan ook), standaard een headset in gebruik enzovoorts.

Toen Cisco er in sprong rond 1999 toen was het booming ivm de opkomst van VoIP. Nu is het allang richting apps aan het verplaatsen. En dat was allang aan de gang voor Corona, al heeft dat het wel versneld. Zelfs prive bel ik eigenlijk alleen nog maar via WhatsApp, ik heb nog maar een handjevol telefoonminuten op de rekening elke maand :)

Ik werkte zelf heel lang in de technische implementatie van bureautelefonie en callcenters. Maar die markt was enorm aan het krimpen, daarom ben ik overgegaan naar mobiel beheer (wat nu samengaat met desktop beheer). Bij ons in het bedrijf hebben alleen de contact centers nog bureautelefonie, maar zelfs die maken nog maar een beperkt deel uit van het werk. Nu gebeurt een hoop interactie via webchat, social media accounts enz. En steeds minder via de telefoon. Ook email is hiervoor op zijn retour, klanten zien veel liever direct chat contact.

[Reactie gewijzigd door GekkePrutser op 1 april 2021 12:19]

phubert
@GekkePrutser1 april 2021 13:56
Dat de thuistelefoon op zijn retour is deel ik niet geheel met je. Zelf heb ik nog gewoon meerdere VoIP telefoons (ook draadloos) en worden geregeld gebruikt (privé). Nu in de corona tijd met veel mensen thuis werken is VoIP juist ideaal. Ook is de verwachting dat vele grote delen thuis blijven werken. Een bedrijf kan een toestel thuis bij de medewerkers zetten en via VPN zorgen dat mensen niet hun privé mobiel hoeven te gebruiken. Sterker nog, ik ben er één van en leg het ook nog voor anderen aan.

(offtopic)
Cisco heeft inderdaad eind jaren 90 de perfecte stap gezet met Unified Communications, tot ruim 2010 wisten ze de markt te domineren. Ze zullen zeker ook bakken met geld verdiend hebben aangezien de meeste toestellen tussen de 250-800 euro per stuk kostte, en ook nog het licentiemodel van de PBX. Tot op de dag van vandaag zie ik nog steeds toestellen uit die tijd. Waarom er nu zoveel nog werken heeft met de degelijkheid te maken, waarom je ze veelal 2e hands aangeboden ziet heeft te maken met dat bedrijven nu de kosten voor vernieuwen licentie willen betalen. Vele stappen over op andere licentie vrije systemen.
Blokker_1999
@Bose32131 maart 2021 11:01
Ja, het is op dit moment nog mogelijk om gewoon lokaal te beheren. De Unifi software kan je nog altijd gewoon downloaden en isntalleren waarna je je apparaten kunt provisionen.
Ethirty
@Blokker_199931 maart 2021 11:29
Behalve de software voor de beveiligings-camera's, Protect. Die moet op hun eigen hardware draaien en inloggen via de cloud is verplicht. En dat om je beelden juist lokaal te kunnen houden.

Ik zie ze er nog wel voor aan om dit "ineens" ook voor Unifi te gaan doorvoeren.

Deze hack maakt maar weer duidelijk dat het combineren van cloud-only en lokaal één van hun slechtere ideeën is geweest.
DarkForce
@Ethirty31 maart 2021 11:55
Behalve de software voor de beveiligings-camera's, Protect. Die moet op hun eigen hardware draaien en inloggen via de cloud is verplicht. En dat om je beelden juist lokaal te kunnen houden
Weet je dat zeker?
Als ik kijk bij Crosstalk Solutions zie ik dat hij zijn camera's gewoon bereikt via 192.168.200.16 en betreft dit toch echt een lokaal ip-adres of mis ik hier iets ?
SG
@DarkForce31 maart 2021 12:40
Op eigen hardware is dus Unifi apparaat die de Unifi Protect controler software bied.
Ja je moet ten 1st weten wat zijn volledige Unifi LAN kwa hardware heeft. kan ik 123 niet zien.
Maar in de Unifi protect software controler zie ik ook de UNVR staan.
Ethirty
@DarkForce31 maart 2021 12:29
Je recorder draait inderdaad lokaal, maar voor de inlog is een cloud account verplicht.

En dáár is een hoop gedoe over, want hoe log je in als de cloud weg valt? Een hack of een storing is al vervelend, maar wat als ze besluiten dat ze er geen zin meer in hebben en die inlog weg halen?
jimzz
@Ethirty31 maart 2021 12:49
Klopt niks van, kan gewoon met een lokaal account inloggen hoor.
gday
@jimzz31 maart 2021 20:39
Via de browser wel, maar de Protect-app is juist wat de camera's voor mij zo handig maken. En die kun je niet meer bereiken via de app als je 'remote access' uitzet, omdat je in die app verplicht bent om in te loggen met je SSO-account.
jimzz
@gday31 maart 2021 20:50
Ah dat durf ik niet te zeggen haha, maar ik zal het straks eens proberen. Ik zal mijn bevindingen hier delen.

Edit: inmiddels getest en inderdaad de app werkt niet lokaal. Wat stom... nu is dat eenvoudig op te lossen met iets als motioneye, zoneminder of blueiris, of gewoon een html paginaatje met links naar de cams. Maar toch, stom dat dat niet mogelijk is.

[Reactie gewijzigd door jimzz op 31 maart 2021 22:18]

SG
@gday1 april 2021 10:42
Omdat de mobile app bedoeling is dat je via mobiel netwerk je camera views kan bekijken en dat zal dus remote zijn. Helaas ook als je binnen je wifi netwerk zit.

Er is ook unifi protect viewport apparaat , dat is puur in LAN device is die ook alleen via cloud toegankelijk want dat zou idioot zijn.
gday
@SG1 april 2021 12:06
Omdat de mobile app bedoeling is dat je via mobiel netwerk je camera views kan bekijken en dat zal dus remote zijn. Helaas ook als je binnen je wifi netwerk zit.
Maar dat is voor mij helemaal niet 'de bedoeling', anders heeft het geen enkele zin om beelden lokaal te hebben staan. Ubiquiti heeft 2 weken geleden gelukkig beloofd om de verplichte koppeling met de cloud uit de Protect-app te verwijderen. 'Mobile App Local Connect' noemen ze het zelf. Er is ook geen enkele technische reden om niet de optie te geven om handmatig controllers toe te voegen, zoals ze dat wel doen voor de UniFi Network-app.

De deurbel is wel een ander verhaal, aangezien het ietwat onzinnig is om on the road een melding te krijgen van de deurbel, maar dat je vervolgens alleen via een VPN de beelden kunt bekijken. Echter, daar geef ik nog steeds de voorkeur aan boven elke verplichte cloud-afhankelijkheid. Het is nu all or nothing: als ik Protect via de cloud beschikbaar maak, is ook mijn netwerk-management via de cloud beschikbaar en is de infrastructuur van mijn thuisnetwerk dus ook cloud-connected.

[Reactie gewijzigd door gday op 1 april 2021 12:10]

dycell
@Blokker_199931 maart 2021 11:29
Daar moet wel bij worden gezegd dat steeds meer focus op cloud komt te liggen en Ubiquity steeds meer terug komt op hun strategie om zaken ook lokaal te laten werken.
Ubiquity protect (camera's) vereisten bijvoorbeeld online connectivity om lokaal in te kunnen loggen en er komt steeds meer twijfel of men dat ook niet gaat doen met iedere andere software. Het wordt nu al verplicht om een online account aan te maken tijdens de setup van je lokale hardware (bijvoorbeeld met cloudkey).

Ik heb mijn huis ook vol hangen met hun access points maar bij vervanging ga ik eerst verder kijken. Hun software (en daardoor hardware) heeft ook een lange problemen gehad met Apple apparaten en stabiliteit.
Manta99
@dycell31 maart 2021 15:28
Zit zou in een komende release op iOS en Android aangepakt worden waarbij men terug focus legt op lokaal beheer / inloggen.
SG
@Manta991 april 2021 10:57
Dat is goed nieuws
phubert
@Bose32131 maart 2021 11:31
De hardware is in mijn ogen prima, enkel de firmware is soms een drama maar daarvoor heb je de community om te zien of iets echt stabiel is. Zolang als je alles lokaal thuis draait zonder de unifi.ui.com (externe beheer portal) te gebruiken is er eigenlijk weinig aan de hand. Als je van buitenaf toch je controller wilt bedienen dan kan ik je een VPN verbinding aanraden.

Ik heb vele 'sites'/'installaties' opgetuigd en in beheer, werken veelal prima. Bij alle apparatuur moet je wel kennis hebben van zaken, anders gewoon een huis-tuin-keuken systeem kopen. De enige ervaring die ik met Ubiquiti heb is dat ze zelf slecht reageren op bug-reports maar in de community een grote club zit die pro-actief wilt helpen. Ook begrijp ik niet dat ze de (soms beschamende kritiek op firmware) niet ter harte nemen maar stug door blijven pushen met nieuwe 'features'.

Voor wie wel unifi.ui.com in gebruik heeft en zelfs de 2FA heeft geactiveerd alsnog het dringende advies op de 'controller' de externe toegang uit te schakelen, nieuw wachtwoord in gebruik te nemen. De 2FA beschermd je alleen bij het online inloggen, als ze je wachtwoord en username hebben kunnen ze alsnog extern inloggen op je 'site'.

Tot slot positieve ervaring: Na installatie in welke 'site' dan ook heb ik nooit meer 1 klacht gehoord over slecht/traag wifi, werk zelf voornamelijk met de AC-Pro; deze is fantastisch. Hoe raar het ook klinkt de response met bekabeld netwerk lijkt sneller dan andere routers/switchen.

Edit: 2FA, ethernet ervaring

[Reactie gewijzigd door phubert op 31 maart 2021 11:37]

Strebor
@phubert31 maart 2021 12:42
De 2FA beschermd je alleen bij het online inloggen, als ze je wachtwoord en username hebben kunnen ze alsnog extern inloggen op je 'site'.
Kun je dat misschien toelichten (alvast dank)?

De controllers die zich aanmelden op de unfiy unifi.ui.com omgeving maken zelf die connectie. Er staan geen poorten open van buiten. Hoe kan dan een ander inloggen op jouw cloud connected controller?

De vrees is - lijkt mij - dat de unifi.ui.com omgeving comporomised is, waardoor de hackers op deze omgeving mee kunnen liften naar een connected controller, en dan juist een aanvalspositie hebben op dat netwerk.
phubert
@Strebor31 maart 2021 12:57
In de controller geef je bij externe toegang je gebruikersnaam en wachtwoord op van je UI-account, hiermee log je online in op de 'cloud'. Deze gegevens zijn gelijk aan het online inloggen op unifi.ui.com

edit: Of dit eenmalig is weet ik niet, kan ik ook niet checken. Het kan goed zijn dat na inloggen er een 'key' gebruikt wordt voor verdere communicatie. Maar omdat naar alle waarschijnlijkheid ook de broncodes van Unifi zijn buitgemaakt weten we nu nog niet of nu het hele systeem 'op straat ligt'.

edit2: Ik mag toch hopen dat Ubiquiti toch wel de gaten gaat dichten om verdere ellende te voorkomen anders zijn ze in deze tijd ten dode opgeschreven.

[Reactie gewijzigd door phubert op 31 maart 2021 13:15]

Strebor
@phubert31 maart 2021 13:16
Dat begrijp ik en keur ik natuurlijk af. Dit zou met een oAuth koppeling moeten of zoiets, die je koppelt/installeert door een keer met de login gegevens in te loggen.

Edit op bovenstaande:
Volgens mij is er wel een oAuth achtige koppeling tussen jouw controller en de Unifi Cloud en worden je logingegevens daar niet voor gebruikt. Waarom ik dat denk: Nadat Unifi iedereen adviseerde hun wachtwoord aan te passen, konden controllers nog steeds verbinding maken met de Unifi cloud. Het was niet nodig het wachtwoord in je controller aan te passen. Ook niet na een herstart van de hardware.

Maar, zelfs al hebben de hackers jouw inloggegevens. Als deze login 2FA heeft, dan hebben de hackers - gelukkig - niet genoeg aan je login gegevens om in te loggen op jouw uninif.ui.com omgeving.

Waar het mij met name om gaat is dat @phubert aangaf dat zelfs op accounts met met 2FA ,de hackers in kunnen loggen op je site (controller en andere hardware), en dát begrijp ik niet.

[Reactie gewijzigd door Strebor op 31 maart 2021 13:43]

phubert
@Strebor31 maart 2021 13:21
Maar, zelfs al hebben de hackers jouw inloggegevens. Als deze login 2FA heeft, dan hebben de hackers - gelukkig - niet genoeg aan je login gegevens om in te loggen op jouw uninif.ui.com omgeving.

Waar het mij met name om gaat is dat @phubert aangaf dat zelfs op accounts met met 2FA ,de hackers in kunnen loggen op je site, en dát begrijp ik niet.
Wie zegt dat enkel via unifi.ui.com je controller te benaderen is? Wellicht doordat er broncode buit gemaakt is er ook andere manieren zijn, manieren zonder dat een 2FA benodigd is. De tijd zal het uitwijzen welke schade er is, maar dit zal aan de open en eerlijkheid en te nemen maatregelen van Ubiquiti liggen.
Strebor
@phubert31 maart 2021 13:39
Ok, dat is een hypothese (absoluut geen onredelijke) maar geen feit.

Mogelijke 2FA omzeilende hacks dus (waarmee je hardware over te nemen zou kunnen zijn):
  • Mogelijk maken van een login met jouw gegevens, op de cloud omgeving van unifi
  • Mogelijk maken van een login met jouw gegevens, op unifi hardware met gehackte firmware, bijvoorbeeld een USG router met een verstopte open poort
Op de Unifi forums meen ik me al te herinneren dat er iemand diverse Unifi hardware met diverse firmwares achter een packet sniffer had gezet, om te kijken of er vreemd gedrag was. Zonder resultaat gelukkig. Ik had je graag de link gegeven, maar sinds de upgrade van de Unifi forums kan ik er niets meer vinden |:(
phubert
@Strebor31 maart 2021 13:47
Het is geen hard feit maar speculatie.

Tijdens het inloggen vanaf je controller op unifi.ui.com krijg je, als je dat hebt ingesteld een popup waarin je een 6-cijferig (Google authenticator) moet invullen. Als de link gemaakt is hoeft dat niet meer. Dit is de 2FA vanuit derden om aan te melden op unifi.ui.com .

Mocht je de link vinden mag je me altijd PB sturen, alvast dank! Deel je mening na migratie forum is er veel onvindbaar of verwijderd.

Wel iets om in achterhoofd te houden, de hack was begin januari, nu is bekend geworden dat de hack groter is dan destijds gemeld. Better Safe Than Sorry, laten we overal rekening mee houden, er kan in ruim 2,5 maand veel gebeuren.
SG
@phubert31 maart 2021 18:29
Mij lijkt het dat men te veel wonderen verwacht.
Als je gehele inkomen gebasserd is op hardware sales.
En je centrale controller software free aanbied.
Dan is toch duidelijk dat Ubiquiti niet de middelen heeft zoals Cisco. Daar is de Hardware duurder maar er zijn ook flinke neven kosten.
Ik verwacht dan ook dat hun development team een stuk kleiner is dan een Cisco.

Als goed breed opgezette klanten helpdesk, grote actieve community team en grote test team zijn allemaal kosten. Die bij een merk Cisco breder gedekt is dan Ubiquiti.
phubert
@SG31 maart 2021 23:08
Ik heb altijd de indruk gehad dat Ubiquiti zich af wil zetten tegen de 'abonnementen en servicecontracten'. Ook in de advertentievideo van EdgeRouter wordt duidelijk de draak gestoken naar Cisco qua performance en prijzen.

Misschien verwachten mensen wel teveel, maar Ubiquiti biedt het wel zelf aan in de vorm van je betaalt meer voor de hardware en lifetime updates zijn inbegrepen. Waar ze in mijn optiek de fout maken is geen gehoor te geven aan bugs die tot in detail op fora worden uitgelegd maar steeds weer blijven pushen met nieuwe features. Dat het development team kleiner is boeit niet, zolang ze maar aan de basics werken, stabiele firmware is meer waard dan een fancy controller GUI.

De hardware van Ubiquiti als van Cisco is goed, ervaring met beide alleen staat het grove verdienmodel van Cisco me tegen en daarbij krijg je niet eens de volle support. Ooit gepoogd een bug report te doen bij Cisco, kan niet zonder servicecontract; hoe belachelijk. Qua kostenvrij is Ubiquiti niet de enige, TP-Link, D-link, Zyxell, Netgear, Linksys etc hebben allemaal 'vergelijkbare' tot vrijwel 'identieke' ecosystemen (inmiddels).
Koen Hendriks
@Bose32131 maart 2021 11:03
Het wordt je niet makkelijk gemaakt, maar je kan je Unifi setup geheel lokaal draaien.
Moosjes
@Bose32131 maart 2021 11:03
Ik heb een lokale controller op mn synology nas draaien. Daarmee hoef ik niets van hun cloud te gebruiken
gedonie
@Moosjes31 maart 2021 12:12
Dat jij een controler lokaal draait is mooit voor het lokaal beheren van je hardware. Maar maakt de hardware dan ook geen verbinding meer met de cloud van Ubiquiti? Of doet het dit alsnog op de achtergrond.

Ik ga ervanuit dat omdat de controller lokaal optioneel is dat de hardware zelf in staat is om met de cloud van Ubiquiti te verbinden. Hoe veilig is dit dan nog?
Rataplan_
@gedonie31 maart 2021 12:27
Als je de analytics uitzet (en ik meen dat je daar tegenwoordig geen extra config meer voor hoeft te doen, maar ik pas nog steeds per site handmatig de config file aan zodat het zéker uitstaat) verbinden je apparaten niet naar Ubiquiti. Ik heb verschillende sites waar de Unifi spullen uberhaupt geen toegang tot internet hebben, wat je strikt genomen ook niet wil. En dat werkt prima, als je je controller tenminste ook binnen die site hebt draaien.
teek2
@amigob231 maart 2021 11:24
Je hebt een mooi dashboard met een overzicht van alle netwerk apparatuur en wat je eventueel kunt updaten. En je ziet welke apparaten er verbonden zijn en hoeveel data ze rondpompen. De controller integreert ook met Home Assistant voor aanwezigheidsdetectie en nog veel meer sensors.
Raizio
@teek231 maart 2021 17:06
En ook de roaming support tussen de access points loopt via de controller!
DarkForce
@amigob231 maart 2021 11:52
Ik heb Fresh tomato draaien op al mijn routers en heb niet het gevoel dat ik iets mis aan functionaliteit die een controler zou kunnen toevoegen
Er is al meteen één voordeel van een controller te noemen, één centrale omgeving waarbij je direct al je routers, accesspoints, switches etc. kunt beheren zonder overal apart op te hoeven inloggen.

Of bijvoorbeeld als je kids hebt, gewoon voor je kinderen en diens vrienden/vriendinnen een guest omgeving creëren met voucher codes waardoor ongeoorloofd gebruik en het steeds maar moeten wijzigen van wachtwoorden of SSID's wordt voorkomen.
SG
@DarkForce1 april 2021 11:08
Ik denk dan ook dat de kracht is van managed switches en gebruik van VLAN. Samen met SDN
Rataplan_
@amigob231 maart 2021 12:24
Een lokale webinterface is prima als je een of twee AP's moet configureren. Als je er 50 of meer op een site hebt, wil je die centraal kunnen beheren. En daar heb je software voor nodig.
CyberJack
@amigob231 maart 2021 12:28
Na het inrichten van je netwerk heb je de controller in principe voor dagelijks gebruik niet nodig, maar als je netwerk uit meerdere Ubiquiti (in mijn geval Unifi) apparaten bestaat, gebruik je de controller software niet alleen voor het beheren, maar ook voor het monitoren van je netwerk. En voor monitoren moet deze natuurlijk wel draaien.

Zo kan je (afhankelijk van de hardware) netwerk, wifi, firewall, port forwarding e.d. instellingen doen. Ook kan je firmware updates pushen diversen apparaten.

Met monitoring/logging kan je o.a. te zien of er problemen in je netwerk zijn, alle hardware nog goed werkt en hoeveel clients gebonden zijn zijn (en met welke AP). Ook kan je zien wanneer een client van AP wisselt en of er problemen met bepaalde clients zijn.
amigob2
@CyberJack31 maart 2021 13:01
Maar dit is toch overkill voor een thuis netwerk waar je hooguit 3 routers hebt draaien
Ik log gewoon in op mijn router die aan het internet hangt.
En dat betekent, dat voor al die thuis situaties de cloud controller alleen maar een veiligheids-risico is.
FreshMaker
@amigob231 maart 2021 13:39
Maar dit is toch overkill voor een thuis netwerk waar je hooguit 3 routers hebt draaien
Ik log gewoon in op mijn router die aan het internet hangt.
En dat betekent, dat voor al die thuis situaties de cloud controller alleen maar een veiligheids-risico is.
Een thuisnetwerk met 3 routers is er definitie al overkill
CyberJack
@amigob231 maart 2021 13:12
Voor een thuis netwerk is monitoring op dit niveau waarschijnlijk overkill, maar goed er zullen genoeg mensen zijn die het monitoren van een netwerk zeer interessant vinden.

Zelf heb ik maar 1 router en 2 AP's en deze worden beheerd en gemonitord door de controller software. Persoonlijk vind ik het wel prettig dat ik op 1 plek toegang heb tot all deze data en dat ik niet op ieder device apart hoef in te loggen. Deze data wordt wel lokaal opgeslagen en staat dus niet ergens in een cloud. Ik moet wel eerlijk bekennen dat ik er niet heel vaak naar kijk. Eigenlijk alleen als ik iets van problemen merk, maar dan is het wel handig om iets van historie te hebben.
DarkForce
@amigob231 maart 2021 15:09
Maar dit is toch overkill voor een thuis netwerk waar je hooguit 3 routers hebt draaien
Als je al meer dan 1 router hebt ben je eigenlijk sowieso al vreemd bezig, 99,9% van de gevallen volstaat één router en kun je de rest af doen met switches, accesspoints etc. Tenzij je graag van NAT'ten houdt natuurlijk.
Ik log gewoon in op mijn router die aan het internet hangt. En dat betekent, dat voor al die thuis situaties de cloud controller alleen maar een veiligheids-risico is.
Ik zie niet in waarom het een veiligheidsrisico is, als jij ervoor zorgt dat ie vanaf het internet voor alles en iedereen toegankelijk is snap ik het wel, maar wie zegt dat deze vanaf het internet bereikbaar hoeft te zijn?
SG
@DarkForce1 april 2021 11:21
Ubiquiti Unifi LAN hangt bij mij via edge router aan LAN’s van twee ISP.
Dus mix van dual NAT met Dual WAN.
En werkt goed.
Er zijn bepaalde login bij instanties die over de nek gaan met dual NAT dan enkel nat via ziggo wifi of LAN.
PS4 gaan niet zo lekker met Ziggo dus 1 via xs4al LAN 2de via Unifi LAN via portforwarding via xs4all en gaat redelijk.

Oplossing voor mij voor verbetering zou zijn dat 1 ISP multi WAN IP bied voor de PS4
Of ziggo een eigen keuze router toegepast kan worden.
enverlin
@amigob231 maart 2021 11:34
Fresh tomato in combinatie met Unifi?
amigob2
@enverlin31 maart 2021 12:24
Selecteer mijn routers zodat ik Tomato en DD-WRT er op is te zetten
Heb nu 2 Netgear Nighthawks AC2300 en AC1900
SG
@amigob21 april 2021 11:05
Mijn router is ook geen unifi ik heb dus geen Unifi router of gateway.
Maar edgemax router dat ook buiten unifi werkt. In principe kan je ook ander merk router gebruiken waar unifi aanhangt.

DD-wry is mij brug te ver. Daarnaast heb ik wel windows 2012 server draaien in 1 van mijn 3 LAN’s maar ben voor de cloudkey g2 plus gegaan voor de bat backup en Protect feature.
waanzin
@amigob231 maart 2021 12:20
Naast de al genoemde zaken kan de controller ook nog je (simpele)RADIUS server zijn voor 8021x (als je geen NPS / FreeRADIUS of alternatieven wilt gebruiken)
Ik gebruik het voor MAC based VLAN toewijzingen op mijn switches. Erg handig ;)
Het kan ook nog syslog doorsturen, en ik zal vast nog wel wat zaken vergeten.

[Reactie gewijzigd door waanzin op 31 maart 2021 12:24]

h3nk13
@Bose32131 maart 2021 12:41
Anders moet je eens kijken naar tp-link hardware. gebruikte vroeger zelf ook veel ubiquiti maar vind tp-link tegenwoordig beter werken. hun omada platform is precies hetzelfde als dat van ubiquiti maar heb betere ervaring met hun AP's dan die van ubiquiti.
michielonline
@Bose32131 maart 2021 16:06
Sorry maar je kent de apparatuur niet, weet dus niet hoe deze beheerd wordt, en besluit nu op basis van 1 negatief artikel dat het niet meer de moeite waard is? Wat is er dan precies gehacked? De servers met de cloud controllers van klanten? de UNMS systemen? De servers waar het forum op draait?

Right... Erg kort door de bocht dit. Het feit dat servers van dit bedrijf gehacked zijn, hoe dat ook gebeurt is, zelfs al was het admin wachtwoord "12345", dat zegt daadwerkelijk *niets* over de veiligheid van de producten die ze aanbieden.
Bose321
@michielonline31 maart 2021 16:08
Sorry maar ik neem geen besluit, ik stel alleen de vraag hoe het beheer zit, derhalve.

Het zegt wel iets als de cloud een grote rol speelt in de apparatuur en ze er blijkbaar zo makkelijk mee omgaan.
dvdmeer
31 maart 2021 11:06
Er is al een alert uitgegaan dat ze op dit moment onderzocht worden:

https://finance.yahoo.com...vestigated-184800904.html

Ik heb regelmatig naar de hardware gekeken omdat het een van de weinigen is waar alles lokaal kon draaien (camera's, routers, etc.) maar begin nu toch wel sterk te twijfelen of ik apparatuur van hun in de toekomst wel wil hebben.
Maarja, wat is het alternatief dan?
flippy
@dvdmeer31 maart 2021 11:18
Als alles lokaal draait heb je niks met de rest van ubiquity servers te maken dus heb je nergens last van. Dat is juist het hele punt van lokaal draaien.

[Reactie gewijzigd door flippy op 31 maart 2021 11:19]

Hemingr
@flippy31 maart 2021 11:31
Beetje jammer dat ubiquity all in is op alle shit via de cloud laten lopen. Ik kon niet eens een cloudkey instellen zonder een ui.com account.
flippy
@Hemingr31 maart 2021 11:35
zaken zoals couldkey (hence the name) zijn voor het consumentendeel waarbij conumenten meer belang hebben bij gebruksgemak dan de beveligingsrisicos. zodra je naar hun profi spul overstapt kan je lokaal draaien. iets wat elke zelfrespecterende organistie ook doet.

[Reactie gewijzigd door flippy op 31 maart 2021 11:36]

DarkForce
@flippy31 maart 2021 11:46
zodra je naar hun profi spul overstapt kan je lokaal draaien.
Wanneer heb je profi spul van Ubiquiti ?
Unifi noem ik gezien de geregeld slecht uitkomende firmware updates nou niet echt professioneel, toch oogt die meuk redelijk professioneel. En toch kun je ook die toch eigenlijk niet professionele meuk als consument volledig lokaal laten draaien door de controller software te installeren op je Windows of Linux bak.
flippy
@DarkForce31 maart 2021 11:52
doorgaans draai je in grote installaties lokaal en update je helemaal niks tenzij er een reden voor is.
maxxie85
@flippy31 maart 2021 11:57
Dat is na mijn inziens toch echt de verkeerde instelling. Ook lokaal wil je alles Up to date houden. Mochten ze toch eens binnenkomen dan is de rest van je infra toch beter beschermd als bekende security updates verholpen zijn.
flippy
@maxxie8531 maart 2021 12:01
je beveiliging draait op een gescheiden netwerk. dus is totaal niet bereikbaar, zelfs niet van binnenuit behalve op specifieke machines die niet op de rest van het netwerk kunnen.
DarkForce
@maxxie8531 maart 2021 12:06
Dat is na mijn inziens toch echt de verkeerde instelling. Ook lokaal wil je alles Up to date houden.
Ik weet niet of je dan nog wel bij Ubiquiti Unifi aan het goede adres bent. Ik draai zelf op Controller 5.4.23 in combinatie met een USG, Switch en AP-AC op firmwares 4.3.20.11298 en 4.4.51.5287926 (USG). Waarom? Omdat het merendeel van de versies die sindsdien zijn uitgekomen zijn voor controller tot aan de hardware gewoonweg boordevol bugs e.a. ellende zitten (aldus het UBNT forum).

Wat is dan überhaupt nog wijsheid ?
DarkForce
@flippy31 maart 2021 12:00
doorgaans draai je in grote installaties lokaal en update je helemaal niks tenzij er een reden voor is.
Een update is er eigenlijk altijd met een reden, of het nu een nieuwe feature is, een beveiligingsupdate of alleen al bugfixes... ze worden uitgebracht met een reden.
flippy
@DarkForce31 maart 2021 12:03
dat wil niet zeggen dat jij als systeembeheerder die update blind gaat uitvoeren. zolang de changelogs geen reden geven die voor jou situatie van toepassing zijn update je helemaal niks. net als dat je geen bios update uitvoert die alleen maar ondersteuning toevoegd voor een nieuw cpu reeks die jij niet gebruikt bijvoorbeeld.
DarkForce
@flippy31 maart 2021 15:12
dat wil niet zeggen dat jij als systeembeheerder die update blind gaat uitvoeren. zolang de changelogs geen reden geven die voor jou situatie van toepassing zijn update je helemaal niks. net als dat je geen bios update uitvoert die alleen maar ondersteuning toevoegd voor een nieuw cpu reeks die jij niet gebruikt bijvoorbeeld.
Er zijn genoeg redenen om te upgraden gezien het geen in de changelogs vermeld wordt, maar er zijn ook juist voldoende redenen om het niet te doen omdat Ubiquiti het de laatste tijd presteert om gewoon troep uit te rollen.
BHQ
@flippy31 maart 2021 23:40
Ehm. Een cloudkey *is* om het spul lokaal te beheren.
flippy
@BHQ31 maart 2021 23:58
als je lokaal wilt beheren koop je geen couldkey maar gewoon de software op een pc zetten als consument zijnde. heb je meer controle nodig kan je betere alternatieven kopen of een lokale controller draaien in een docker bijvoorbeeld. couldkeys zijn bedoelt voor consumenten die online willen. daarom hebben ze ook de offline mogelijkheid eruit gesloopt een poosje geleden.

[Reactie gewijzigd door flippy op 31 maart 2021 23:59]

Powermage
@Hemingr31 maart 2021 11:37
Ik heb weinig cloudkeys in mijn handen gezien ik een centrale controller draai, maar eind vorig jaar een keer eentje moeten resetten (een gen1), maar volgens mij kon je hem alsnog configgen zonder een UI account dacht ik?
Hemingr
@Powermage31 maart 2021 12:27
Met de nieuwe firmware niet meer. Initiele setup is via de ui.com account. Daarna kun je wel een local user toevoegen (ook super admin) maar bij een factory reset heb je weer de ui.com account nodig.

In recente firmware hebben ze ook multi-site uit de cloudkey software gesloopt, wat eerst wel kon.
xbeam
@flippy31 maart 2021 11:37
Dan moet dus niet je ubnt forum login gebruiken om lokaal in the loggen.
Het issue zit hem niet het niet lokaal draaien van je controller maar in de SSO koppeling tussen je sites
alwuzomondo
@flippy31 maart 2021 11:34
Tot je bij eerst volgende update wordt voorzien van een backdoor, of opgenomen in een botnet.
DJFliX
@alwuzomondo31 maart 2021 11:58
Ja, het is in principe nooit goed. Want te weinig updates is verdacht maar bij een normale stroom updates kan elke nieuwe update en potentiële backdoor zijn. Het liefst wordt alles met zo min mogelijk inmenging van Chinese bedrijven gemaakt maar het moet wel spotgoedkoop. En het liefst open source en zonder abonnementskosten. En met mogelijkheid om aan het einde van de economische levensduur /support-termijn 3rd party firmware te kunnen draaien waarbij alle binary blobs netjes en met een makefile aangeleverd worden zodat met minimale inspanning eigen firmware gemaakt kan worden. En mijn data blijft van mij.

Ik denk dat ik bij ubiquiti blijf want tot nu toe zetten ze voor mijn situatie de meeste vinkjes op mijn checklist. Zelfbouw/startup met ambities die over een jaar failliet is kosten me meer energie dan leren leven met het risico dat elk apparaat dat ik hier in huis heb potentieel met de volgende gesignede OTA onderdeel wordt van een botnet. Bovendien maken we allemaal gebruik van dezelfde Chinese item chips, dus zelfs al is een bedrijf op orde dan hebben we altijd nog de supply chain attacks die op de loer kunnen liggen 😝
flippy
@alwuzomondo31 maart 2021 11:53
daarom draai je ook lokaal en kan je beveiligingssysteem ook niet online. immers update je alleen tenzij daar een reden voor is.
alwuzomondo
@flippy31 maart 2021 11:59
Meestal is de reden het patchen van kwetsbaarheden, wat heel verstandig is.
flippy
@alwuzomondo31 maart 2021 12:04
mits de kwetsbaarheden voor jou van toepassing zijn.
S-1-5-7
@flippy31 maart 2021 11:51
Wellicht dat je account data veilig is, maar als er toegang geweest is tot de broncode, is dan nog te garanderen dat er niets in de firmware updates van laatst zit?
Hebben de de code doorgespit, of zijn ze er van uit gegaan dat het wel goed zit?
D0phoofd
@flippy31 maart 2021 13:06
Nee en nee.
Herinner je nog de phone-home functies?
According to Adam, the hackers obtained full read/write access to Ubiquiti databases at Amazon Web Services (AWS), which was the alleged “third party” involved in the breach.
Dan ben je gewoon klaar hè... Ook als je een on-prem controllertje draait.
flippy
@D0phoofd31 maart 2021 13:10
phone home werkt niet aangezien je natuurlijk je beveligingssysteem op een gescheiden vlan draait die niet het internet op kan.
TeGek
@dvdmeer31 maart 2021 11:48
Let wel op dat deze alert 'gewoon' een ander for-profit bedrijf is dat een onderzoek start, en niet een markt regulator zoals de FTC.

Dit gebeurt veel op de markt als bedrijven slecht in het nieuws komen met de hoop een settlement te krijgen.
MiesvanderLippe
@dvdmeer31 maart 2021 11:16
Een combinatie van systemen? Een Mikrotik router/switch, Synology NAS, willekeurige IP camera's, AP's van een A-merk (of evt. Ubiquity met OpenWRT). Maar vooral gewoon een strikte firewall en netwerksegmentatie.
gedonie
@MiesvanderLippe31 maart 2021 12:15
Dan ga ik er wel vanuit dat jou firewall ook uitgaand verkeer blokkeert en in de gaten houdt. Lang niet alle firewalls doen dit, zeker de varianten die je op computers zelf installeert. Deze zijn meestal enkel gericht op ingaand verkeer te blokkeren.
Powermage
@dvdmeer31 maart 2021 11:39
Als ik dat bericht lees lijkt het een soort bloedhond advocaten kantoor die vooral uit is op geld.
Niet de overheid oid die iets onderzoekt.
dvdmeer
@Powermage31 maart 2021 11:47
Lijkt het inderdaad veel op maar er is bloed in het water en de haaien hebben het al geroken.
Naar mijn idee is het een soort van: "Het maakt niet uit of je consumenten benadeelt en liegt tegen hun maar zodra je begint te liegen tegen aandeelhouders dan heb je een grondig probleem".
Deze hele afaire kan wel eens een vervelend staartje krijgen voor dit bedrijf.
IIIIIIIIIIII
31 maart 2021 10:55
Gaat dit de nieuwe normaal worden? Ik lees zo vaak over dataleks dat ik er niet meer van opkijk, dat is toch erg? Ik heb het onderhand al geaccepteerd dat uiteindelijk al mijn gegevens op straat komen te liggen, lijkt mij een kwestie van tijd.
Cergorach
@IIIIIIIIIIII31 maart 2021 11:08
Gaat dit de nieuwe normaal worden?
Dit is al heel, heel lang 'normaal', men had vroeger echter geen meldingsplicht en was dit ook nog niet zo 'hip' om er over te lekken of gekke klokkenluider te spelen.

Daarnaast bestaat er niets dat daadwerkelijk 'secure' is, slechts hoe graag iemand toegang wil hebben tot die informatie. Daarom gaan hackers ook achter de infra van de infra aan (Ubiqiti maker van betaalbare netwerk apparatuur), Cisco is ook zo een slachtoffer wat regelmatig de sjaak is voor dit soort hacks.

Als je een geheim wil houden, vertel het aan niemand, inclusief niet aan je computer...
Kuusje
@IIIIIIIIIIII31 maart 2021 11:12
Vaak het zelfde type nieuws lezen maakt dat mensen er niet meer van opkijken en dus afstompen. Gewenning is hier fnuikend, zeker gezien het veel politici niet boeit vanwege gebrek aan kennis.

Het is daarom wachten tot de 'juiste' partij bij de juiste informatie komt, dan krijgen we vuurwerk. Verzekeraars die bij medische gegevens kunnen bijvoorbeeld, en je dan weigeren voor een polis of arbeidsongeschiktheids verzekering. Dan mag jij als consument bewijzen dat de verzekeraar je weigert op basis van onrechtmatig verkregen informatie. Good luck with that. 8)7
Ik denk dat er al meer gelekt is dan men weet/toegeeft (zoals je in dit artikel leest). Misschien is het zo dst niemand 'de grote klapper' wil maken omdat men dan slapende honden wakker maakt, zoals je zag bij het Cambridge Analytica schandaal. Hoe meer gelekte data in handen is van ombevoegde partijen, des te groter het stuwmeer aan rotzooi dat loskomt. Gelukkig is oude informatie niet veel waard, alleen voor medische info geldt dat niet. Genitische/aangeboren afwijkingen draag je voor altijd mee, dat verjaart niet helaas.
Ondernemingen zijn, vind ik, te schimmig in hun werkwijze wat betreft het wel of niet aannemen van klanten en het berekenen van premies. Alleen zeggen 'tja dat is marktwerking' is te makkelijk. Wie weet wat voor dataset ze gebruiken om 'dure' klanten te weigeren? (/alu hoedje)
SG
@IIIIIIIIIIII31 maart 2021 18:45
Je zou intern in je Lan een high secure LAN opzetten.
Dus Firewall router achter mekaar. oftewel Dual NAT
Naast VLAN.
En hele belangrijke stuf in LAN wat helemaal los van WAN hangt.

Momenteel Xs4all Ai1. Daar zit PS4 in
Ziggo Ai1 meeste IOT zooi zit daar.
Dual Wan Edgerouter naar beide en daar hangt Unifi netwerk aan met ook PS4 ook via XS4all.
Koen Hendriks
31 maart 2021 10:52
Dit lijkt wel een patroon bij dit soort hacks of datalekken. Omdat het nu verplicht is om te melden proberen ze het heel erg te 'down-playen' zodat er wel een melding is gedaan maar er geen (nog) grotere PR ellende uit voortkomt.

Ik zelf ben ook gebruiker van Ubiquiti en probeer zoveel mogelijk lokaal zelf te regelen en niet te koppelen aan de Single Sign On van hun cloud. Al lijkt dat met elke update steeds moeilijker te worden.
dutch_warrior
@Koen Hendriks31 maart 2021 11:38
Klopt, er zijn tegenwoordig zoveel hacks en datalekken dat klanten bij eventuele gevolgen het niet kunnen terugleiden naar deze bewuste hack. Dus als iedereen zich aan het afgesproken verhaal blijft houden kan je als bedrijf de boel bagatelliseren. Zeker als je dan zoals Ubiquiti minimale logging, alerting en monitoring implementeert dan is er ook lastig aan te tonen wat er precies gaande was, wat je niet weet/registreert kan je ook niet betrouwbaar rapporteren.

Ze stellen zichzelf hiermee wel zeer kwetsbaar op tegenover de hackers want die kunnen waarschijnlijk wel aantonen dat ze zeer verregaande toegang hebben gehad. E.e.a. is aan het licht gekomen doordat er een aantal onbekende virtual machines in het netwerk opdoken. Dat geeft aan dat de mate van toegang dermate vergaand was dat je je zelfs zou kunnen afvragen hoe betrouwbaar de recente firmware updates zijn geweest, er was immers ook source code toegang.

Security consultants hebben het vaak over imagoschade en dat zou voor een beursgenoteerd bedrijf extra zwaar moeten wegen. Echter blijkt dat het verzwijgen en kop in het zand steken meestal goed uitpakt. In dit geval trekt een medewerker zijn mond open, de beurskoers gaat inmiddels naar beneden maar die is nog altijd ruim het dubbele van een jaar geleden!

Het zou me niets verbazen als hier een keten van mensen is geweest die het incident (of hun eigen rol) allemaal een beetje hebben afgezwakt gecombineerd met een dosis van gebrek aan technische kennis bij de higher-ups en aandeelhouders. Ik heb regelmatig een soort angstcultuur ervaren bij werkgevers waarbij de berichtgeving steeds een verantwoordelijke verder ging maar ook steeds iets was afgezwakt met als gevolg dat men koos om geen melding te maken van een datalek vanwege een kleinschalig incident wat in werkelijkheid meerdere uren toegang tot klantdata betrof.
Blokker_1999
@Koen Hendriks31 maart 2021 10:55
Hangt er van af waar een bedrijf vandaan komt. Geen idee of er een meldplicht bestaat in de VS zoals we deze hier kennen.

Zelf draai ik ook alles lokaal. De unifi controller draait hier in een lokale VM en mijn edgerouter is ook niet gekoppeld aan hun cloud. En dat zal ook zo blijven. De dag dat ze cloud only gaan, ga ik op zoek naar alternatieven.
Koen Hendriks
@Blokker_199931 maart 2021 11:02
In de VS is er ook meldplicht (bron), en hier is een overzicht van meerdere landen / unions

Heb je ook alle analytics uit gezet? Het is namelijk niet compleet uit te zetten via de Unifi interface.
En welke data exact wordt opgestuurd is ook niet bekend gemaakt door Ubiquiti.
ViperXL
@m3gA31 maart 2021 11:13
Dat klopt niet, de setup is niet zonder setup te doen maar daarna is cloud uit te zetten.
Rataplan_
@m3gA31 maart 2021 12:22
Onzin. Ik heb een stuk of 20 sites met Unifi spul in beheer en ik heb niet eens een Unifi cloud account. Als je wil kan je je controller binnen een site draaien, dan hoeft je Unifi apparatuur niet eens bij internet te kunnen, wat ik voor sommige omgevingen ook zeker zou aanbevelen.
SG
@m3gA1 april 2021 10:32
Managed switch kan je zo in Lan stoppen default managed setup is dan op default lan id en zoals unmanaged switch gewoon werkt.
Wil custom setup dan kan je op je PC de unifi controller software installeren en die heb je alleen nodig voor managen hoeft dus niet continu in LAN aanwezig te zijn.
The-Source
@Koen Hendriks31 maart 2021 20:39
Nou ik heb gewoon geen cloud of remote access gekoppeld. Een wijziging in mijn netwerk die ik thuis en niet ergens anders. Verder gewoon VPN opbouwen en dan via lokale LAN eventueel iets controleren.

Remote access is prima uit te zetten via de app: settings > more > settings > remote access.
Koen Hendriks
@The-Source1 april 2021 13:41
Bij de nieuwe devices zoals de dream machine pro moet je verplicht een Ubiquiti online account maken en gebruiken bij het opzetten van de apparaten.

Je kunt hem daarna inderdaad wel weghalen, maar dan wordt het cloud koppelen wel gepushed door de fabrikant.
Novakoo
31 maart 2021 10:58
Jammer dat het voor bedrijven belangrijker is om hun reputatie te beschermen in plaats van hun klanten.
Caayn
@Novakoo31 maart 2021 11:04
Denk dat ze eerder hun shareholders willen beschermen. Ubiquiti spoelt hun reputatie momenteel al aardig door de plee door met hun laatste software/firmware updates reclames te introduceren en steeds vaker brakke software uit te brengen.

Reclame in je netwerksoftware 8)7

Als ik nu mijn thuisnetwerk opnieuw zou inrichten wordt het 100% geen Ubiquiti hardware.

[Reactie gewijzigd door Caayn op 31 maart 2021 11:05]

phubert
@Caayn31 maart 2021 11:45
Wat had je dan voor alternatief in gedachten? Er zijn 'vergelijkbare' alternatieven op de markt denk aan TP-Link, D-Link, Netgear, Zyxell, HPE, Cisco, Linksys etc. En daar gaat nooit wat fout?

Deel 100% je mening dat ze bij Ubiquiti zich schaamteloos gedragen als het gaat om geen gehoor geven aan het oplossen van firmware-bugs; hun eigen fora loopt ervan over. De persoonlijke frustraties van mensen die soms tientallen tot honderden apparaten handmatig moeten downgraden, hele bedrijven/hotels/etc die plat liggen door een brakke firmware...
EraYaN
@phubert31 maart 2021 12:36
Denk dat je al snel bij Cisco, Ruckus ed. terecht komt, kost je 400+ per AP maar de support is in ieder geval beschikbaar met on-site tech en alles erop en eraan als je dat nodig hebt. Wel al snel een configuratie nightmare maar goed daar kies je dan Cisco voor.

Als thuisgebruiker heb je gewoon pech, als het niet super kostbaar was krijg je dit soort dingen. En daarbij er worden nogal wat lelijke APs gemaakt, daar de UniFi APs nog enige stijl lijken te hebben. Het is jammer zeg maar dat de performance zo goed is, anders hadden we al lang kunnen switchen naar een vergelijkbaar goedkoop product.
GekkePrutser
@EraYaN31 maart 2021 13:00
Cisco heeft ook betaalbare modellen tegenwoordig. Vergelijkbaar met Unifi prijzen: pricewatch: Cisco CBW140AC (1 stuk)

Maar daar heb je wel de controller software die een dure licentie nodig heeft. Dat was het grote voordeel van unifi.
EraYaN
@GekkePrutser31 maart 2021 13:02
Maar die vallen dan ook meteen in een andere firmware categorie binnen cisco, dus de verschillen zijn waarschijnlijk minimaal voor de uiteindelijke uptime. En inderdaad extreem veel software licenties.
phubert
@EraYaN31 maart 2021 13:11
Cisco komt helemaal niet smetvrij weg, deze heeft ook geregeld tekortkomingen en lekken. Tevens worden er bij Cisco moedwillig 'onzichtbare' achterdeuren geplaatst en gedicht als deze aan het licht komen; al komt daar dan weer een nieuwe voor terug. Cisco is gewoon veel te duur vs anderen.

Ik gebruik Ubiquiti al jaren, veelal Unifi maar ook EdgeRouter. Prima spullen, op soms de firmware ellende na.

Maar wat nu voor Ubiquiti geldt, doet het ook voor andere 'Cloud gebaseerde apparaten'. Denk aan IP-camera's, thermostaten, smartplugs, omvormers voor zonnepanelen en zelfs (hoe idioot, mijn mening) koelkasten, ovens en wasmachines (en vele andere witgoed apparatuur). Deze werken ook vrijwel allemaal via een 'cloud'. Als je dan toch deze apparatuur wilt of zelfs moet gebruiken kun je met Unifi/Edgerouter deze isoleren op eigen VLAN en strikte beperkingen opleggen met firewall.

Mensen die hun thermostaat instellen dat die wanneer je mobiel via GPS dichtbij huis is de kachel aanzet (of uitzet bij vertrek) kan ook worden misbruikt. Bij een lek in het systeem kan een kwaadwillende zo een schema maken wanneer iemand wel of niet thuis is.

Uiteindelijk moeten mensen zich realiseren dat alles met 'the cloud' links of rechts, onder of boven door voordelen maar zeker ook nadelen met zich mee brengt.
SG
@phubert31 maart 2021 18:47
Security en gemak gaan helaas niet goed samen.
phubert
@SG31 maart 2021 23:10
Klopt hiervan zijn talloze voorbeelden te noemen, vooral IoT apparatuur kampt geregeld met deze lastige combi.
DarkForce
@phubert31 maart 2021 15:19
Volgens mij is (of was) Engenius ook bezig met een soortgelijk iets als Ubiquiti met Unifi...

[Reactie gewijzigd door DarkForce op 31 maart 2021 15:20]

SG
@DarkForce31 maart 2021 18:50
Weet wel dat tp-link armada zoiets is. Lokaal je netwerk centraal beheren.
Bij andere is dat cloud of licentie.
Denk dat andere merken bewust zijn van die Unifi shit-storm en gaan er mogelijk ook voor deze gat in de markt. Misschien is directe concurrentie wat mogelijk Ubiquiti pushed om toch stuk beter doen want consumenten en MKB lopen weg. En de concurrentie zal daar zoals TP-link op inspelen.
GekkePrutser
@Caayn31 maart 2021 12:58
Buiten de reclame vind ik ook de telemetry pings naar trace.svc.ui.com erg irritant. Waarom moet er altijd weer data gedeeld worden.
Cergorach
@Novakoo31 maart 2021 11:23
Bedrijven bestaan niet voor de klanten, bedrijven bestaan om winst te maken, zo veel mogelijk. In veel gevallen is klanten beschermen/happy houden goed voor de winst, maar soms is de waarheid verbloemen een heel stuk beter voor de winst. Zeker als het gros van de klanten niet voldoende begrijpen van de materie om er een goed waarde oordeel over te maken en veel eerder met de kudde mee gaan in de paniek.

Vandaar dat de staat regels opstelt waar bedrijven aan moeten voldoen en zelfs dan is soms de boete riskeren een winstgevender propositie dan de regels volgen. En zo zijn niet alleen bedrijven, maar zo zijn mensen in het algemeen. Hoeveel mensen rijden (bewust) te hard, steken over waar dat niet mag, etc. We breken allemaal de regels en doen dat op basis van onze eigen risico analyse en een hoop mensen houden daarmee geen tot erg weinig rekening met de rest van de wereld.
DarkForce
@Cergorach31 maart 2021 15:26
Bedrijven bestaan niet voor de klanten, bedrijven bestaan om winst te maken, zo veel mogelijk. In veel gevallen is klanten beschermen/happy houden goed voor de winst, maar soms is de waarheid verbloemen een heel stuk beter voor de winst.
Ja en nee, dankzij wetgeving is het moeilijker geworden om zaken te verbloemen en komt dit op den duur alsnog aan het licht.
Zeker als het gros van de klanten niet voldoende begrijpen van de materie om er een goed waarde oordeel over te maken en veel eerder met de kudde mee gaan in de paniek.
Het gros van de klanten van bijvoorbeeld Ubiquiti weet echter wel degelijk waar het om gaat, en zelfs bij een gemiddelde consument is het woord beveiligingslek bij Ubiquiti e.d. te snappen dat er iets goed mis is.
Vandaar dat de staat regels opstelt waar bedrijven aan moeten voldoen en zelfs dan is soms de boete riskeren een winstgevender propositie dan de regels volgen
Vergis je niet, als je klanten op den duur opstappen naar een concurrent, wordt je winst en marge ook steeds lager en wordt het op den duur toch echt stukken lastiger om die boetes nog te betalen. Gevolg, het bedrijf staakt activiteiten of gaat failliet. Op den duur is het dus, of je verbetert of je nokt... een tussenweg is er niet.
Cergorach
@DarkForce31 maart 2021 15:31
Op den duur is het dus, of je verbetert of je nokt... een tussenweg is er niet.
In theorie heb je gelijk, echter in de praktijk blijkt dat klanten over het algemeen een kort geheugen hebben en dat marketing veel meer klanten aantrekt dan gewoon 'kwaliteit' te leveren.
Higashi
31 maart 2021 10:55
Kan iemand toelichten in hoeverre dit relevant is en impact heeft op mensen die thuis bijvoorbeeld een zoiets als de unify security gateway in hun netwerk gebruiken (waarvoor voor zover ik weet verder geen Ubiquiti-cloud account nodig is)? Bedankt al vast!
Powermage
@Higashi31 maart 2021 11:40
Als je geen UI.com account gekoppeld hebt (voor remote toegang) is er niets aan de hand.
Heb je die wel dan zou in potentie iemand tussen de aanval en je password reset ingelogd kunnen zijn in je eigen netwerk.
Higashi
@Powermage31 maart 2021 12:54
Hartelijk bedankt!
HKLM_
31 maart 2021 10:55
Ubiquiti heeft echt minimaal gehandeld in de communicatie naar hun klanten. Helaas is ubiquiti zeer eigenwijs en steken ze graag hun kop in het zand. één mail en een zeer kort forum bericht waar ze totaal niet reageerde op vragen van hun klanten en dat was het.

Als dit inderdaad waar is dan hadden ze direct meer maatregelen moeten nemen en alle wachtwoorden van hun ubnt accounts moeten resetten. Ook de cloud acces had van mij per direct dicht gemogen om je klanten te beschermen.

Na de hack heb ik i.i.g de cloud access uit staan en ik adviseer iedereen dat te doen.

[Reactie gewijzigd door HKLM_ op 31 maart 2021 11:03]

JorzoR
@HKLM_31 maart 2021 11:32
Na de hack heb ik i.i.g de cloud access uit staan en ik adviseer iedereen dat te doen.
Gaat dit dan om remote access naar je controller?
TheToolGuy
@JorzoR31 maart 2021 11:51
correct
Clevergyno
@JorzoR31 maart 2021 11:53
ja
SG
@HKLM_31 maart 2021 18:37
Ja, als thuis gebruiker is die algehele multi site en remote controller feature niet belangrijk voor mij.
Dus remote staat bij mij vanaf begin al uit.
En mijn Unifi Lan is aparte Lan achter 2 ISP LAN waar de Wifi van aktief is.
Ben nu in fase kabel verversen naar Cat6 en apparatuur in inbouw Rack.
Werkt gewoon, nu even pauze er is wat tussen gekomen.
BugBoy
31 maart 2021 11:05
Ik weet niet of Ubiquiti ook AWS CodeCommit gebruikt of buildservers bij AWS, maar als je beheerdersrechten hebt op AWS dan is de kans natuurlijk levensgroot dat er via-via code is aangepast en er een backdoor in de firmware zit. Kwalijke zaak van Uniquiti om dit zo te downplayen...
RambOe
31 maart 2021 12:06
Voor de mensen die een UDM (Pro) hebben: Je kunt via Unifi OS -> System Settings -> Advanced Remote Access uitschakelen. Remote Access staat standaard aan.

[Reactie gewijzigd door RambOe op 31 maart 2021 12:07]

JustFogMaxi
31 maart 2021 10:54
Daarom heb ik dus geen apparaat dat je via 'de cloud' doet managen. Dat doe ik wel lekker vanaf mijn thuis netwerk.
n9iels
@JustFogMaxi31 maart 2021 11:09
Je "moet" de Ubiquiti apparaten ook niet verplicht vanuit de cloud beheren. Kan prima lokaal met de unifi software die je op een PC binnen je netwerk installeert. Maar absoluut me eens dat deze functionaliteit voor heel veel mensen totaal niet relevant is.
SG
@n9iels1 april 2021 10:37
Ik ben begonnen met cloudkey gen2 plus. Maar dat is dus ook voor de Unifi Protect feature met 1 camera.
dutch_warrior
@disjfa31 maart 2021 11:45
Wat je niet logt of registreert kan je ook niet rapporteren.
Waarom zouden bedrijven investeren in een dedicated security team en allerlei lastige procedures en dure tooling als zeggen wir haben es nicht gewusst in de meeste gevallen ook nog geaccepteerd is als verklaring.

Probleem is dat wanneer je als commercieel bedrijf probeert het beste jongetje van de klas te zijn en al je zaakjes perfect op orde maakt de consumenten jouw dure producten niet zo snel kopen want de concurrent biedt meer features voor een kwart minder geld. Er is gewoon weinig stimulans voor bedrijven om hun security waterdicht te maken, in veel gevallen is het ook onmogelijk omdat er altijd wel weer een partner of externe partij is waar iets misgaat.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee