Raspberry Pi als brein van je smarthome

Threatmodel

De Raspberry Pi is een populair hardwareplatform om zelf een domoticacontroller te bouwen. Of je dat nu met een geïntegreerd domoticaplatform doet of door zelf domoticasoftware aan elkaar te koppelen, beveiliging is altijd belangrijk. Daarover gaat het in deze laatste aflevering van de reeks over de Raspberry Pi als brein van je smarthome.

Wat is je threatmodel?

Als je wil beginnen met het beveiligen van je smarthome moet je eerst bedenken wát je precies wil beveiligen. Daarom is het belangrijk te bedenken wat je threatmodel is. Die term uit de cybersecurity wordt gebruikt om te bepalen voor wie je iets veilig houdt en waarom. Iedereen heeft een ander threatmodel. Welke bedreigingen vind jij relevant in jouw situatie en wat mag zeker niet gebeuren? De ene persoon wil zich misschien alleen beschermen tegen automatische botnets, maar een ander zou ook graag de AIVD buiten de deur willen houden als puntje bij paaltje komt. Beide threatmodels hebben een andere aanpak nodig.

Om te bepalen wat je eigen threatmodel is, kun je beginnen door jezelf een vraag te stellen: “Wat kan er mislopen in mijn smarthome?” Een in de branche veelgebruikt model om bedreigingen te identificeren, is het door Microsoft ontwikkelde Stride. Dit acroniem staat voor zes categorieën van bedreigingen: spoofing, tampering, repudiation, information disclosure, denial of service en elevation of privilege. Deze bedreigingen zijn een voor een schendingen van gewenste eigenschappen van een systeem, respectievelijk authenticiteit, integriteit, onbetwistbaarheid, vertrouwelijkheid, beschikbaarheid en autorisatie.

Bekijk eens enkele voorbeelden van oefeningen om een threatmodel voor een smarthome te ontwikkelen. Ontwikkelaar Kevin Kredit heeft bijvoorbeeld een uitgebreid threatmodel uitgewerkt dat als inspiratie kan dienen.

Isoleer je domoticanetwerk

De belangrijkste maatregel die je kunt nemen om je smarthome te beveiligen, is al je domoticatoestellen isoleren van de rest van je thuisnetwerk. Als er dan iemand door een kwetsbaarheid in slaagt om in een van je domoticatoestellen in te breken, kan hij dat niet als opstapje gebruiken om bijvoorbeeld toegang tot je nas of pc te krijgen.

De belangrijkste maatregel die je kunt nemen, is al je domoticatoestellen isoleren van de rest van je thuisnetwerkDe professionele aanpak van dit scenario is met een virtual local area network, of vlan. Je partitioneert apparaten die met hetzelfde netwerk verbonden zijn in verschillende ‘virtuele netwerken’ die van elkaar geïsoleerd zijn. Je maakt dan een afzonderlijk vlan voor je smarthome aan. Daarvoor heb je een switch nodig die met vlans overweg kan. Je maakt dan bijvoorbeeld op je accesspoint twee ssid’s aan en elk ken je aan een ander vlan toe.

Niet iedereen heeft netwerkapparatuur in huis die vlans ondersteunt. Een toegankelijkere manier om een geïsoleerd smarthomenetwerk te creëren, is dat je een afzonderlijk accesspoint voor dit netwerk instelt. Gebruik er een met minstens één lanpoort, zodat je zowel je Raspberry Pi als de wifiapparaten in je smarthome hierop kunt aansluiten. De wanpoort van het accesspoint gaat naar een van de lanpoorten van je hoofdrouter/switch. In de firewallinstellingen van het accesspoint stel je in wat de verbonden apparaten kunnen doen, bijvoorbeeld geen communicatie buiten het smarthomenetwerk.

Sommige apparaten, zoals de Raspberry Pi die als domoticacontroller werkt, hebben wel internettoegang nodig, bijvoorbeeld om updates te downloaden of om informatie uit onlinebronnen in een dashboard te tonen. Geef in de firewall alleen die apparaten internettoegang die het nodig hebben.

OpenWrt en SPIN

In principe kun je elk accesspoint gebruiken voor je smarthomenetwerk, maar uiteraard moet je dit ook veilig houden. Een goede keuze is OpenWrt, dat talloze accesspoints ondersteunt. En als je een ouder accesspoint hebt dat geen updates meer krijgt van de fabrikant, kan OpenWrt het een nieuw leven geven.

Als je wat meer zichtbaarheid in het verkeer van je smarthometoestellen wilt, kun je op een OpenWrt-accesspoint SPIN installeren, waarvan onlangs versie 1.0 is uitgekomen. SPIN staat voor Security and Privacy for In-home Networks en is een project van SIDN Labs om het netwerkverkeer van apparaten op je lokale netwerk te inspecteren. Zie je verdacht of ongewenst verkeer, dan kun je dit ook in enkele clicks blokkeren.

Welke manier je ook gebruikt om je smarthomenetwerk te isoleren, het is belangrijk dat je die isolatie zo goed mogelijk doorvoert. Zodra je het mogelijk maakt om vanaf je smartphone met een app je domoticacontroller aan te sturen, introduceer je weer risico’s. Een veiligere manier is om een tablet die je alleen als dashboard voor je domoticacontroller gebruikt, met je smarthomenetwerk te verbinden. Zodra je het mogelijk maakt om vanaf je smartphone met een app je domoticacontroller aan te sturen, introduceer je risico’s

Authenticatie

Om te voorkomen dat onbevoegden toegang tot je smarthometoepassingen krijgen, moet je zoveel mogelijk gebruikmaken van authenticatie. Zo vraagt Home Assistant je de eerste keer om een account aan te maken en een wachtwoord in te stellen. Node-RED daarentegen schakelt standaard geen authenticatie in. Daarvoor moet je in het bestand settings.js gebruikers en een bijbehorende wachtwoordhash toevoegen. Het bestand bevat al voorbeeldcode daarvoor, maar die is 'uitgecommentarieerd'. Verwijder de // ervoor en pas de waarden aan. Doe dit voor adminAuth (de editor), nodeAuth (het dashboard) en staticAuth (statische pagina’s).

De wachtwoordhash genereer je met de opdracht node-red admin hash-pw of, als je Node-RED in een Docker-container draait, docker exec -ti node-red node-red admin hash-pw, waarbij de eerste Node-RED de naam van de container is en de tweede de naam van de binary. Vul dan je wachtwoord in en plaats de uitvoer van de opdracht in de string bij 'password' in het configuratiebestand.

In de MQTT-broker Mosquitto voeg je authenticatie toe door in het configuratiebestand mosquitto.conf naar een wachtwoordbestand te verwijzen:

password_file /mosquitto/config/passwords

Dit wachtwoordbestand creëer je dan met:

docker exec -ti mosquitto /usr/bin/mosquitto_passwd -c /mosquitto/config/passwords GEBRUIKERSNAAM

Vul dan het wachtwoord voor de gebruiker in. Andere gebruikers voeg je eenvoudig toe met dezelfde opdracht, maar dan zonder de optie -c, die een nieuw wachtwoordbestand aanmaakt. Zolang de optie allow_anonymous true niet aanstaat in het configuratiebestand, moeten alle MQTT-clients zich nu met een geldige gebruikersnaam en een geldig wachtwoord aanmelden.

Sterke wachtwoorden

Kies altijd een sterk wachtwoord en gebruik waar mogelijk tweefactorauthenticatie. Zo kun je in je gebruikersprofiel van Home Assistant 2fa inschakelen. Dat kan met time-based one-time password, of totp, in combinatie met een app zoals Authy of Google Authenticator, of met hotp in combinatie met de notify-component van Home Assistant. Hiermee kun je aanmeldcodes sturen via tientallen notificatiediensten.

Home Assistant 2FA

In je profiel van Home Assistant voeg je het best 2fa toe met een totp-app.

Autorisatie en je eigen certificaatautoriteit

Naast authenticatie, dus alleen gewenste gebruikers toelaten, heb je autorisatie nodig voor een goede beveiliging van je smarthome: bepalen welke gebruikers wat mogen doen. Je wilt niet dat elke gebruiker alles met alle apparaten of software in je smarthome kan aanvangen.

In het configuratiebestand settings.js van Node-RED stel je bij individuele gebruikers hun permissies in bij de string permissions. * betekent dat de gebruiker, bijvoorbeeld de beheerder, alles mag, read dat de gebruiker alleen leesrechten heeft. Je kunt ook specifiekere rechten geven voor elk van de api-endpoints. De api-documentatie van elk endpoint legt uit welke permissies nodig zijn. Zo kun je met flows.read de configuratie van de huidige flow bekijken en met flows.write diezelfde configuratie wijzigen.

In Mosquitto gebeurt autorisatie met een access-control list-, of acl-bestand. Daarnaar verwijs je in mosquitto.conf:

acl_file /mosquitto/config/acl

In dit bestand bepaal je voor elke gebruiker op welke topics hij kan inschrijven en op welke topics hij kan publiceren. Wil je bijvoorbeeld de gebruiker admin lees- en schrijftoegang tot alle topics geven, dan is de acl:

user admin
topic #

Het is een goed idee om voor elk domoticaprogramma dat van je MQTT-broker gebruikmaakt, een gebruiker aan te maken in Mosquitto en een bijbehorende acl met permissies aan te maken. Als je bijvoorbeeld 'bt-mqtt-gateway' alleen gebruikt om data van Bluetooth LE-sensoren naar je MQTT-broker te sturen, geeft de volgende acl die permissies en niet meer:

user bt-mqtt-gateway
topic write bt-mqtt-gateway/#

Voor een programma als rtl_433, dat draadloze sensors uitleest, doe je dan hetzelfde. Als je dan in Node-RED een dashboard hebt gemaakt dat de temperatuurgegevens van al deze sensors toont, laat dit dan verbinding maken met de MQTT-broker door middel van gebruikersnaam 'dashboard' en geef het deze acl:

user dashboard
topic read bt-mqtt-gateway/+/+/temperature
topic read rtl433/+/+/+/temperature_C

Overigens kunnen deze acl’s in Mosquitto ook dynamisch aangepast worden met een beveiligingsplug-in. Een ander belangrijk punt is dat je het best zoveel mogelijk netwerkcommunicatie versleutelt

Versleutelde verbindingen

Een ander belangrijk punt in de beveiliging van je smarthome is dat je het best zoveel mogelijk netwerkcommunicatie versleutelt, doorgaans via TLS. Hiermee voeg je niet alleen encryptie toe, maar ook authenticatie van de server: het TLS-certificaat dat de server je toont, geeft je garanties dat je verbinding maakt met de juiste server.

In het eenvoudigste geval maak je gewoon een self-signed certificate aan, maar het is netter om je eigen certificaatautoriteit, of CA, aan te maken en daarmee het certificaat van je server te ondertekenen. Als je dan het CA-certificaat toevoegt aan de lijst met vertrouwde CA’s van je webbrowser en/of besturingssysteem, krijg je geen waarschuwing.

Vooral als je meer dan één server in je smarthome gebruikt, is het handiger om met een CA te werken; anders moet je elk van die certificaten toevoegen aan de lijst met vertrouwde certificaten en dat op al je apparaten die toegang tot die servers nodig hebben.

Er zijn diverse manieren om een certificaatautoriteit aan te maken en er servercertificaten mee te ondertekenen. Het kan rechtstreeks met OpenSSL-opdrachten, of met een tool als mkcert of step-ca. Die laatste is een heuse ACME-compatibele certificaatautoriteit. Smallstep, de ontwikkelaar van step-ca, heeft instructies gepubliceerd om automatisch certificaten aan te vragen en te vernieuwen in Caddy, Nginx, Apache en Traefik.

MKCert certificaat

Met mkcert maak je eenvoudig een CA en TLS-certificaten aan voor je interne netwerk.

Certificaten gebruiken

Heb je eenmaal een CA en certificaat voor je server, dan is het een kwestie van dit certificaat gebruiken in de gewenste software. Sla de root-CA, de sleutel en het certificaat bijvoorbeeld op in een directory 'containers/certificates' en koppel deze in je Docker-containers als read-only volume.

Voor Node-RED doe je dat bijvoorbeeld door - ./containers/certificates:/etc/ssl/private:ro aan de volumes in je Docker Compose-bestand toe te voegen. Dan commentarieer je in het begin van het configuratiebestand settings.js var fs = require("fs"); uit en zoek je daarna naar Https. Daar voer je dan het volgende in om naar de sleutel en het certificaat te verwijzen en HTTP-verkeer automatisch naar Https door te verwijzen:

https: {
key: fs.readFileSync('/etc/ssl/private/key.pem'),
cert: fs.readFileSync('/etc/ssl/private/cert.pem')
},

requireHttps: true,

Voor Mosquitto werkt dit net zo. Koppel de certificaten in een volume met - ./containers/certificates:/mosquitto/config/certs:ro in het Docker Compose-bestand. Verander bij de poorten ook - "1883:1883" in - "8883:8883", de standaardpoort voor Mqtts (MQTT over TLS). In je mosquitto.conf verwijs je dan naar de root-CA, de sleutel en het certificaat met:

listener 8883
cafile /mosquitto/config/certs/rootCA.pem
keyfile /mosquitto/config/certs/key.pem
certfile /mosquitto/config/certs/cert.pem

Als je nu bijvoorbeeld in Node-RED een ‘mqtt in’-node aanmaakt en dan een MQTT-broker toevoegt, kies je bij de verbindingseigenschappen poort 8883. Verzeker je ervan dat je dezelfde hostname invult als de hostname waarvoor je het TLS-certificaat hebt aangemaakt. Schakel dan ook TLS in en voeg een nieuwe TLS-configuratie toe. Upload daar je CA-certificaat. In het tabblad Security vul je de vereiste combinatie van gebruikersnaam en wachtwoord in.

Node Red mqtt broker

Stel in Node-RED de TLS-configuratie voor je MQTT-broker in.

Proxy's en tunnels

Reverse proxy

Als je heel wat software van een TLS-configuratie moet voorzien, is het waarschijnlijk handiger om met een reverse proxy te werken, zoals Traefik, Nginx of Nginx Proxy Manager. Je draait de software in je Docker-containers dan op een onversleutelde HTTP-verbinding die alleen vanaf een intern Docker-netwerk bereikbaar is. Je maakt dan verbinding over Https met de reverse proxy, die afhankelijk van de bezochte hostname of poort automatisch met de juiste container verbinding maakt. Je kunt op deze manier ook authenticatie toevoegen.

Het is handig als je een lokale dns-server draait die je toelaat om wildcard-subdomeinen aan het IP-adres van je Raspberry Pi toe te kennen. Je geeft je Raspberry Pi bijvoorbeeld de hostname smart.home, en alle subdomeinen eronder verwijzen naar hetzelfde IP-adres. In combinatie met een reverse proxy kun je dan bijvoorbeeld Zigbee2MQTT bezoeken op https://zigbee.smart.home, Node-RED op https://node-red.smart.home, Home Assistant op https://home-assistant.smart.home enzovoort.

Reverse Proxy

Met een reverse proxy zoals nginx verzorg je een TLS-verbinding voor al je Docker-containers.

Veilige toegang op afstand

Tot nu toe gingen we ervan uit dat je alleen toegang tot je smarthomesoftware krijgt van in je huis zelf, het liefst zelfs alleen van in een geïsoleerd smarthomenetwerk. Maar wat als je van buitenaf toegang wilt? Misschien ben je wel het huis uit en wil je een camerabeeld bekijken of je rolluiken omlaagdoen. Uiteraard wil je niet dat anderen dat ook kunnen.

De klassieke manier is met portforwarding. Je laat bijvoorbeeld poort 8443 in je modem/router doorsturen naar poort 8123 van Home Assistant op je Raspberry Pi, die daarvoor een statisch IP-adres nodig heeft of een statische mapping in je DHCP-server. Daarnaast heb je dynamische DNS nodig, zodat je met een domein naar het mogelijk veranderlijke publieke IP-adres van je modem kunt verwijzen. Een van die diensten is Duck DNS en die heeft ook een add-on in Home Assistant. Daarnaast heb je een TLS-certificaat voor het dynamische domein nodig, bijvoorbeeld van Let’s Encrypt. De add-on van Duck DNS in Home Assistant neemt dat ook op zich.

De dynamische DNS kun je ook zelf regelen met een Docker-container van DDclient, zoals die van linuxserver. Het programma ondersteunt diverse dyndns-providers. Een Let’s Encrypt-certificaat regel je eenvoudig met Certbot of een andere ACME-client. Een populaire Docker-container daarvoor is SWAG van linuxserver.

Tunnel naar een relayserver

Een andere manier voor toegang op afstand zijn zogenoemde localhost tunneling-oplossingen, zoals ngrok, PageKite en Cloudflare Argo Tunnel. Op je Raspberry Pi creëer je dan een netwerktunnel naar een relayserver op internet. Doorgaans kent die je een subdomein toe van het domein van de dienst. Als je in een webbrowser dat subdomein bezoekt, wordt al het netwerkverkeer via de (versleutelde) tunnel naar je Raspberry Pi gestuurd. Overigens kun je bij PageKite de relayserver ook op een eigen VPS draaien. De software is open source.

Voor de hoogste beveiliging genereer je het best je eigen TLS-certificaatHet grote voordeel van deze aanpak met een tunnel is dat je geen dynamische DNS of portforwarding hoeft in te stellen op je router/modem, omdat de verbinding wordt geïnitieerd vanaf je Raspberry Pi. Een ander voordeel is dat het subdomein dat je wordt toegekend, niet naar je IP-adres thuis verwijst, maar naar de relayserver. Je houdt je IP-adres dus verborgen.

Voor de hoogste beveiliging genereer je overigens het best je eigen TLS-certificaat, zodat de dienst die de relayserver draait, je onversleutelde netwerkverkeer niet kan inzien. Zo maakt PageKite standaard gebruik van een wildcardcertificaat voor *.pagekite.me. De verbinding tussen je webbrowser en de relayserver van PageKite, en ook die tussen de relayserver en je Raspberry Pi zijn wel versleuteld, maar toch kunnen medewerkers van PageKite je netwerkverkeer onderscheppen. In de documentatie van PageKite vind je hoe je met een eigen TLS-certificaat werkt.

Gebruik je Home Assistant, dan is de eenvoudigste manier wellicht de functie Remote UI van de dienst Home Assistant Cloud van Nabu Casa, het bedrijf dat Home Assistant ontwikkelt. De dienst kost vijf dollar per maand en zet een veilige verbinding van je Home Assistant-installatie naar de cloud op, vergelijkbaar met wat ngrok en PageKite doen. In end-to-endencryptie wordt voorzien met een Let’s Encrypt-certificaat. Je schakelt dit eenvoudig in bij Instellingen / Home Assistant Cloud. Daarna is je Home Assistant-installatie van overal te bereiken via een URL met de vorm https://abcdefghijklmnopqrstuvwxyz.ui.nabu.casa.

VPN-server

De derde manier om op afstand toegang tot je smarthome te krijgen, is een VPN-server bij je thuis draaien, in combinatie met een dynamisch domein. Dat kun je op je modem/router doen of op je Raspberry Pi. In het laatste geval moet je de poort van je VPN-server naar je Raspberry Pi forwarden. PiVPN is een handig project voor de installatie en het beheer van een VPN-server op je Raspberry Pi.

De populaire keuzes voor een VPN-server zijn OpenVPN en WireGuard. Beide hebben hun voorstanders. OpenVPN is een volwassen project, flexibel en uitbreidbaar, maar ook complex. WireGuard is van nul af opgebouwd en heeft daardoor een kleine codebase, maar is niet zo volledig en flexibel als OpenVPN. Beide projecten kun je met behulp van PiVPN installeren en beheren. Voor beide projecten bestaan ook mobiele apps voor Android en iOS. Zodra je verbonden bent met de VPN-server, heb je toegang tot je lokale netwerk, waaronder je domoticadiensten.

pi vpn

Met PiVPN installeer en beheer je eenvoudig een VPN-server op je Raspberry Pi.

Conclusie

Als je zelf je smarthome bouwt met behulp van een Raspberry Pi, is ook beveiliging je eigen verantwoordelijkheid. Je smarthomenetwerk isoleren, authenticatie en autorisatie zijn daarbij de belangrijkste maatregelen. Daarnaast zijn versleutelde verbindingen en een veilige manier om op afstand toegang te krijgen, aandachtspunten. Verder moet je natuurlijk rekening houden met de algemeen geldende veiligheidsmaatregelen. Hou al je software up-to-date, maak het niet te ingewikkeld en zorg voor een gelaagde beveiliging (defense in depth). Op deze manier kun je zorgeloos genieten van je smarthome.

3. Autorisatie en je eigen certificaatautoriteit
4. Proxy's en tunnels
77Reacties

Multipage-opmaak

Reacties (77)

O085105116N 5 januari 2022 07:39

Op welk moment gaat dit je leven beheersen? Ik kan me voorstellen dat het je hobby of beroep is. Maar als je verregaande integratie hebt en om een of andere rede valt de thuis beheerder weg. Wat dan? Wie zorgt er dan voor dat je voordeur nog automatisch opengaat als je thuis komt? Of je raakt op leeftijd en voelt de behoefte niet meer zo om je updates en upgrades te installeren? Oprechte vragen dit. Daar ik zelf verregaande integratie heb. Enige mogelijkheid die ik nu zie is alles er uit slopen.

D-Three @O085105116N • 5 januari 2022 08:21

Een zeer terechte vraag en omdat ik enkele zware operaties moet ondergaan, denk ik (onder andere) hier de laatste tijd ook wel meer over na. Maar ook bij de verkoop van een woning is het belangrijk dat een potentiële koper er niet wordt door afgeschrikt.

Je kan wel gaan documenteren maar als jouw nabestaanden daar geen kaas hebben van gegeten, hebben ze er zelf weinig aan. Dan moeten ze bijna telkens iemand inhuren als er iets defect is of aanpassingen nodig zijn.

Zelf heb ik daar reeds in het begin van mijn installatie ietwat rekening mee proberen houden door;
- systemen (domotica, toegangscontrole) te kiezen met standaard componenten die voor de dagelijkse basiszaken (verlichting, screens, openen deur) zo veel als mogelijk stand-alone werken en ook blijven werken als er geen netwerk aanwezig is of nadat de elektriciteit eens is uitgevallen
- zo weinig mogelijk 'zelfbouw'
- tot nu toe alles bedraad zodat er geen rekening moet worden gehouden met lege batterijen
- geen centrale server die alles regelt, zie mijn eerste punt. De home-server is voor de 'nice to haves'
- niet extreem te gaan automatiseren
- documenteren. Zou eigenlijk hoger moeten staan maar ik doe het zelf te weinig

Zo is het voor mijn vrouw en kinderen geen enkel probleem om de verlichting aan en uit te schakelen ook als ik er niet meer zou zijn. Enkel het netwerk (verschillende VLAN's) en de homeserver kunnen dan een probleem vormen maar deze zijn niet noodzakelijk voor het 'functioneren van het huis'

[Reactie gewijzigd door D-Three op 23 juli 2024 16:51]

haam @D-Three • 5 januari 2022 14:59

Ik heb zelf een raspberry draaien met home assistant, puur om af en toe wat te spelen (lamp van de lidl, HUE lamp).

Waar ik (oprecht) in geinteresseerd ben, is de motivatie om 'alles' smart te maken.

Toen ik de staande lamp van een klikaan/klikuit afstandbediening had voorzien, zei mijn zoon al 'dan kan je de andere lampen daar ook mee schakelen'. Waarop ik zei "dus ik pak de afstandbediening, zet de verlichting in de keuken aan, loop naar de keuken waarbij ik langs de 'gewone' knop loop, omdat die (net als de meeste ruimtes) bij de ingang van de ruimte zit. Dan is de afstandsbediening pakken (en terugleggen) waarschijnlijk meer werk dan de schakelaar indrukken in het voorbij gaan."

Ik ben vooral benieuwd naar welke use cases daadwerkelijk iets toevoegen. Ik kan (in mijn misschien te kleine huis?) echt niet verzinnen wat ik zou willen/kunnen automatiseren.

denonman1 @haam • 5 januari 2022 20:03

Waar ik HA zo ongeveer voor gebruik:

- Verlichting die automatisch in stapjes van 5% per minuut aan gaan bij zonsondergang. Ik merk totaal niet dat het buiten donker wordt en in binnen licht.
- Buitenverlichting gaat automatisch aan bij zondondergang.
- Deuren gaan automatisch op slot s avonds, ik vergeet dus nooit het huis af te sluiten.
- Deuren gaan automatisch van het slot als ik thuiskom.
- Poort gaat open met geofencing als ik aan kom rijden zodat ik niet voor de poort hoef te wachten voordat ie open is om erdoor te rijden. Dat moet met de normale afstandsbedieining wel.
- Kerstverlichting aan en uitschakelen (alleen rond deze tijd van het jaar natuurlijk).
- Electrisch deken gaat automatisch aan voor mijn vrouw: Altijd een warm bed.
- Electrisch deken gaat na aanzetten +3u ook automatisch uit (veligheid / stroombesparing, ook bij mijn dochters die daar niet naar kijken in het gebruik :-)
- Standby killers voor vrijwel alle apparatuur in huis.
- Rolluik gaat bij zonsondergang dicht en bij zonsopgang omhoog.
- Verlichting gaat automatisch aan in de badkamer en toilet en ook automatisch uit.
- Idem voor de verlichting in de hal/bijkeuken.
- Verwarming gaat per radiator of per ruimte automatisch lager 's avonds En 'sochtends omhoog (m.n. badkamer: lekker warm bij het douchen)
- Knop 'naar bed' zet beneden alles uit (verlichting, audio apparatuur, telefoonladers, airconditioning). Om 00:30u gaat dit met een timer altijd, dus ik vergeet nooit iets uit te zetten.
- Knop 'TV slaapkamer aan' zet boven in de slaapkamer de TV aan. Als ik op de slaapkamer kom staat de TV dus al aan en is de slaapkamer 'verlicht' (heb boven -nog- geen smart verlichting :-))
- Automatisch berichtje aan mijn vrouw op haar telefoon als ik bij m'n werk weg rijd dat ik er aan kom, handig voor het eten :-)
- Alles (verwarming, airco's, verlichting, deursloten, hifi en TV apparatuur enz, enz ) is te bedienen met één app op m'n telefoon.
- Verlichting is ook te bedienen met de 'oude' schakelaars in de muur, handig voor de kids/vrouw.

Ik ga nu nog kijken om ook het zonnescherm automatisch omlaag/omhoog te doen afhankelijk van binnenschijnen van de zon en ik wil mijn grasmaaier en Rainbird bewatering nog koppelen aan HA zodat ze van elkaar weten wat actief is.
En ik wil eigenlijk ook meer met de stofzuiger doen (is al gekoppeld, maar doet nu m.i. te weinig)
En ik verzin ongetwijfeld nog wel wat scenario's, het is ook een hobby natuurlijk.

En: Alles is retrofitted en kan zo verwijderd worden, ik heb (vrijwel) niets ingebouwd en alles werkt naast via HA ook via de originele schakelaars/apps/afstandsbedieningen.
Als ik verhuis zou ik ook vrijwel alles meenemen aangezien het niet 'vast' zit. (Wellicht enkel de evohome thermostaten, maar ik heb de handthermostaten bewaard, dus ook die kunnen eventueel mee :-)

Dus de vraag is meer: Wat voegt het eigenlijk niet toe? Ja, niets is noodzakelijk, maar het werkt vrijwel 'onzichtbaar' en ik zou niet meer zonder willen!

[Reactie gewijzigd door denonman1 op 23 juli 2024 16:51]

Deadso @denonman1 • 6 januari 2022 09:06

"- Deuren gaan automatisch van het slot als ik thuiskom."

Jij, of je telefoon? Ik vind dat zo een No-Go situatie.

Hanter @denonman1 • 10 januari 2022 15:48

Dit klinkt echt cool!
Ben zelf net begonnen met Home Assistant.
Heb je misschien tips/verwijzingen hoe je al die verschillende apparaten (dekens, lichtschakelaars etc) hebt verbonden met HA?

Thx

Gizz

@haam • 5 januari 2022 15:44

Ik ben vooral benieuwd naar welke use cases daadwerkelijk iets toevoegen. Ik kan (in mijn misschien te kleine huis?) echt niet verzinnen wat ik zou willen/kunnen automatiseren

Dit zal voor een deel ook te maken hebben met persoonlijke voorkeur. Dingen die ik iets vind toevoegen vind jij wellicht nutteloos

Maar ik wil best wel wat voorbeelden van mijn huis opsommen:

Automatische beregening voor en achtertuin.
Automatische rolgordijnen en zonwering (handig om het huis er bewoond uit te laten zien tijdens vakanties, maar ook om de zonwering te laten sluiten als je 's ochtends niet thuis bent en het een warme dag wordt)
Notificatie op de telefoons als de wasmachine klaar is (ja, wij zijn van die mensen die anders makkelijk vergeten dat er nog een volle trommel met was is die opgehangen moet worden)
Notificatie op de telefoons als een bezorger een pakket in onze pakketbus heeft gedeponeerd.
Automatische verlichting op basis van beweging (prettig om bijvoorbeeld de keuken uit te lopen met je handen vol en het licht vanzelf uitgaat in de keuken)
Energiebesparing: apparaten als de Quooker, audioreceiver en verwarming die uit / laag gaan als we het huis verlaten.
Traploos aangestuurde mechanische ventilatie op basis van gemeten CO2, fijnstof en luchtvochtigheid. Altijd gezonde lucht, nooit teveel of te weinig ventileren.

[Reactie gewijzigd door Gizz op 23 juli 2024 16:51]

haam @Gizz • 5 januari 2022 21:41

Thanks,

Er zitten zeker dingen tussen die ik niet bedacht had. Hoewel er geen dingen tussen staan die me triggeren om iets soortgelijks te doen, snap ik beter wat een smart home allemaal kan brengen.

TheDutchChief @haam • 5 januari 2022 21:29

Naast pubers die het licht nooit uit doen en ik nu dus her en der bewegingssensors heb, ook voor de tuinverlichting, wil ik in de toekomst mijn wasmachine afhankelijk maken van mijn zonnestroom bijv.
Verder schakelt de cv-ketel uit als de co-meter afgaat en gaat mijn luxaflex automatisch. En mijn iPhone piept bij brandalarm. Als laatste natuurlijk moet Kobus tot negen uur ‘s ochtends binnen blijven om de buren te vriend te houden: https://vimeo.com/536709425

[Reactie gewijzigd door TheDutchChief op 23 juli 2024 16:51]

Paul @haam • 6 januari 2022 11:19

Veel ervan is gemak. Een van de eerste dingen die ik zelf automatiseerde was het aandoen van een lamp als de deur open ging in de kelder. Dat was 20 jaar geleden.

Mijn vrouw heeft een beperking. Voor haar is stembesturing echt ontzettend handig, dat scheelt op en neer lopen of rijden naar de lichtknop. Afstandsbediening kan wel, maar die ligt natuurlijk net ergens anders dan waar jij zit.

PhilipsFan @haam • 7 januari 2022 03:53

Ik heb zelf een aantal use cases waar ik blij mee ben. Op alle functionele plekken in huis waar geen sfeerverlichting nodig is, heb ik bewegingsensoren. In de hal, wc, trapkast, schuur etc. Dan hoef je geen knop in te drukken (wat niet zoveel moeite is) maar je kunt het licht ook nooit vergeten uit te doen. Dat bespaart energie. Tevens kun je varieren met de lichtsterkte, midden in de nacht gaat het licht bijvoorbeeld gedimd aan zodat je niet verblind raakt als je 's nachts even naar de wc moet. Ik vind dat toch echt wat toevoegen aan het comfort van het huis.

Tevens heb ik Evohome (zoneregeling voor de cv met afzonderlijke thermostaten in elke kamer) en dat is gekoppeld aan Homekit en de telefoons van alle bewoners. Kinderen (16+ dus hele dag op hun eigen kamer) kunnen dan zelf hun verwarming aanzetten als ze daar behoefte aan hebben (desnoods via Siri) en de verwarming gaat automatisch uit als ze het pand verlaten. De verwarming in de woonkamer, hal en wc wordt uitgeschakeld als de laatste persoon van huis is. Omdat je nooit meer kunt vergeten om de kachel laag te zetten bespaar je gas, terwijl het toch comfortabel is (woonkamer wordt ook automatisch weer aangezet als iemand thuiskomt).

Sinds kort heb ik ook een Nuki deurslot. Deze ontgrendelt automatisch de deur als ik kom aanlopen, waardoor ik niet eerst m'n boodschappen neer hoef te zetten als ik m'n handen vol heb. Maar ik kan nog niet zeggen hoe comfortabel het werkt. Het geeft wel een soort gemoedsrust dat ik altijd kan zien of m'n deur op slot zit (ook als ik niet thuis ben).

En dan weer eentje voor de verlichting, waar gasten altijd wel onder de indruk van zijn: Als ik een film ga kijken (via m'n Kodi mediaspeler) dan wordt alle verlichting in de woonkamer en (open) keuken dimmend uitgeschakeld, net als in een bioscoop. En als je de film pauzeert of stopzet, gaat de verlichting weer aan

Verder nog wat kleinigheidjes, ik kan de Hue hub uitlezen via de Domotica controller en bijvoorbeeld de ventilator voor een tijdje aanzetten als iemand op de wc zit. Dan zit de volgende niet in de stank. Of automatisch extra ventileren als het in de badkamer te vochtig is. Of wat dacht je hiervan: als je naar bed gaat, je niet druk hoeven maken welke lampen allemaal nog branden (soms zie je pas als je het licht in de slaapkamer uitdoet dat je een lamp vergeten bent): een Hue drukknop naast m'n bed schakelt gewoon ALLE verlichting in het hele huis uit.

Ik vind het zelf ook wel handig om via een camera te kunnen kijken wie er voor de deur staat. Vaak is het toch onzin (verkopers of deurtjebellende kinderen) en dan hoef je niet je bezigheid te onderbreken om zinloos naar de deur te lopen. En het is verbazend hoe handig het soms is om dingen met je stem te kunnen bedienen. Het is allemaal niet echt nodig. Maar veel dingen zijn wel comfort-verhogend of gewoon heel handig.

Er staat inderdaad wel tegenover dat je regelmatig updates moet doen. Fabrikanten brengen soms nieuwe firmware uit, de controller draait verschillende pakketten (ik draai de meeste wel in Docker) die geupdate moeten worden. En na elke update is er een risico dat iets niet meer goed werkt. Dus het kan soms wel wat onderhoudsgevoelig zijn. Maar dat heb ik er wel voor over.

[Reactie gewijzigd door PhilipsFan op 23 juli 2024 16:51]

haam @PhilipsFan • 7 januari 2022 10:27

Dank voor de voorbeelden.

Ik zie wel duidelijk dat er een verschil zit tussen have en have not. Net zoals bij tattoo's, meestal blijft het er niet bij 1. Dus ik snap ook dat het leuk is om steeds meer toe te voegen.

pietje63 @D-Three • 5 januari 2022 09:27

Een potentiële koper van de woning denkt waarschijnlijk enkel "relaxed, alles werkt". De potentiële koper die wel slim genoeg is om na te denken over de uitdagingen, die kan het zelf oppakken.

Zelf inderdaad meer nagedacht in de categorie "wat als ik er niet ben, wat kan mijn vrouw dan nog".

Heb daarom ook zoveel mogelijk met standaard componenten (Hue, Woonveilig, Tado) gewerkt en mijn vrouw geleerd hoe ze hier mee moet werken. De geavanceerdere opties (Homebridge, etc) zijn geen must haves (valt de Raspberry uit, dan werkt Hue Bridge gewoon door).

Bij de verbouwing van mijn huis wel de grote gok genomen om geen stroom te laten leggen naar de schakelaars op nieuwe plekken (maar Friends of Hue schakelaars op kinetische energie). Had dat liever anders gedaan, maar aannemer werd erg zenuwachtig van alles wat met elektra te maken heeft (later bleek dat elektriciens bij hem de zwakste schakel in zijn netwerk is).

terradrone

@pietje63 • 5 januari 2022 13:15

Echt waar? Dus je hebt een aannemer die zenuwachtig wordt van elektra? En daar ga je mee in zee? Da's net zoiets als naar een tandarts gaan die zenuwachtig wordt van tandsteen.

ontopic: een potentiële koper denkt niet , "relaxt alles werkt" (want niet iedereen is een tech-liefhebber) maar schrikt vooral van de bende apparatuur waar hij/zij geen kaas van gegeten heeft. Bovendien richten mensen hun domotica in naar hun eigen wensen en hoe hij/zij het prettig vind werken. Dat betekend niet dat een ander hier van gediend is. Als ik een huis koop hoef ik andermans "zooi" niet. Je wilt zoiets, als je er al aan zou denken, toch op je eigen manier aanleggen.

Ik vind het bovendien erg ver gaan om elektrische sloten te gebruiken. Gevoelig voor misbruik en, wanneer de stroom uitvalt, wat dan? Zelfde geld voor elektrische rolluiken. Heb je je hele huis potdicht zitten , overal de elektrische rolluiken omlaag, breekt er brand uit en heb je een stroomstoring. Veel succes dan met je mooie domotica systeem.

Doordat je zelf als liefhebber graag met techniek bezig bent ontstaat al gauw de misconceptie dat anderen hier ook passie voor hebben. De realiteit is gemiddeld anders. De meesten interesseren zich hier niet voor, willen enkel dat hun smart tv, facebook en instagram werkt, en dat hoeft ook niet over supersnelle internet verbingen waarover vpn's lopen waar ook weer een domotica systeem aanhangt.

Of zoals met zegt: K.I.S.S

EJlol @terradrone • 5 januari 2022 14:47

Echt waar? Dus je hebt een aannemer die zenuwachtig wordt van elektra? En daar ga je mee in zee? Da's net zoiets als naar een tandarts gaan die zenuwachtig wordt van tandsteen.

Dat is nog altijd beter dan dat als je naar de tandarts gaat vanwege een gaatje, en de assistente zegt 'Oh, maar dat kan ik ook wel, daar heb je de tandarts niet voor nodig', om vervolgens vrolijk al je tanden eruit te trekken... Soms kan je het beter aan de experts overlaten (of zoals de aannemer van pietje63 het gewoon niet doen).

terradrone

@EJlol • 5 januari 2022 20:59

Die vergelijking gaat mank. Een aannemer is de expert in deze. Daarvan mag je verwachten dat in zijn beheer cv, elektra, sanitair etc. aangelegd wordt. Wat is anders de meerwaarde van een aannemer in dienst nemen? Dan kan je net zo goed op eigen houtje individuele firma's aan het werk zetten (ploeg metselaars, loodgieter, kabeltrekkers, glaszettters, schilders etc). Eventueel huur je een projectmanager in.

Als je als aannemer niet eens een paar lichtschakelaars kunt realiseren (van mijn part besteed je het weer uit, maar blijf je het bouwproces beheren), dan is het misschien toch tijd om iets anders te gaan doen.

Paul @terradrone • 6 januari 2022 11:27

Ik vind het bovendien erg ver gaan om elektrische sloten te gebruiken. [..] wanneer de stroom uitvalt, wat dan?

Veel elektrische sloten hebben daar rekening mee gehouden. De traditionele systemen met elektromagneten of elektrische sluitkommen hebben daar natuurlijk al helemaal geen last van (een elektromagneet valt uit als de stroom uitvalt, en bij een elektrische sluitkom werkt het normale slot nog gewoon).

Nieuwe systemen die echt de dag- of nachtschoten elektrisch maken werken over het algemeen op een accu, en zijn van binnen mechanisch te openen.

Het zijn zeker dingen om over na te denken, maar dat doen fabrikanten ook

Er is veel keuze, de kans dat er iets tussen zit dat je aanspreekt is best groot.

Rolluiken zijn niet bedoeld als inbraakwering. Als je al rolluiken voor de deuren hebt (meeste mensen installeren ze alleen voor de ramen), de voordeur gaat naar binnen open. Je hoeft niet bijzonder hard te duwen om het rolluik uit de sponning te duwen... De achterdeur is wat lastiger maar dat moet ook wel lukken. Maar dat is inderdaad iets om rekening mee te houden als je rolluiken installeert voor je deuren.

[Reactie gewijzigd door Paul op 23 juli 2024 16:51]

JackBe @Paul • 7 januari 2022 17:01

Ik las even "Ik vind het bovendien erg ver gaan om elektrische stoelen te gebruiken."...

_ferry_ Moderator CM @O085105116N • 5 januari 2022 07:56

Mee eens, alleen al om de boel werkend te houden. Soms stopt er iets, zoals laatst bij mij de zigbee2mqtt service. Vervolgens werkt de automatische verwarming in de badkamer niet meer. En ook de handmatige knop niet.
Hoewel domotica veel dingen voor je uit handen kan nemen komt er vaak evenzoveel werk voor terug. Althans, dat gevoel heb ik. Updates doen, apparaten die opeens niet meer mee willen werken na een herstart of update, of uitzoeken of je nieuwe device compatibele is. Heb je een mooi stukje code geschreven komt er een update en zijn een aantal functies depricated en vervangen door andere functies. En zo blijf je bezig

capronicus @O085105116N • 5 januari 2022 08:54

Dan ga je naar de computerwinkel? Of toch eentje waar er nog effectief techniekers werken.
Je zou althans niet de eerste zijn die met zoiets afkomt bij ons na het kopen van een huis of overlijden van familielid.
We verkopen zo'n opstellingen wel niet, maar aanpassingen, documentatie, uitleg, of het oplossen van een probleem ermee doe ik alvast met plezier. Betaal je wel voor de uren natuurlijk.

WaterFire @O085105116N • 5 januari 2022 07:51

In principe is dat niet anders dan bij een beheerder op het werk; het moet gedocumenteerd zijn zodat een ander het kan overnemen.
En verwijderen om er mee te stoppen, tja, dat geldt voor veel meer aanpassingen in een huis toch?
En het wegvallen van de beheerder is denk ik ook vaak het probleem niet eens; een youtube tutorial volgen om van alles te installeren en monteren is nog wel te volgen, maar als het later een foutmelding geeft kan ik mij voorstellen dat veel mensen er niet meer uitkomen..

[Reactie gewijzigd door WaterFire op 23 juli 2024 16:51]

D-Three @WaterFire • 5 januari 2022 08:22

In principe is dat niet anders dan bij een beheerder op het werk; het moet gedocumenteerd zijn zodat een ander het kan overnemen.

Dan moet jouw partner een vacature gaan uit schrijven?

WaterFire @D-Three • 5 januari 2022 08:26

Dan heb je niet goed gedocumenteerd..

digibaro @O085105116N • 5 januari 2022 09:08

Mee eens, ik ben zelf overgestapt van Domoticz naar Home Assistant. Op 1 of ander manier is er altijd wel iets met HASS bij een upgrade. Je kan niet verwachten van familie leden die niet technisch onderlegd zijn om dit op te lossen. In mijn situatie is het streven om het ook vooral ondersteunend te houden zodat bij uitval zaken nog handmatig te bedienen zijn.

Wat mensen ook nog wel eens vergeten, wat doe je op het moment dat je huis gaat verkopen, of er komt weer een nieuwe standaard aan. Alles er uit (of er weer in).

Ivolve

@O085105116N • 5 januari 2022 10:42

Hele terechte opmerking. Ik heb zelf 4 lampjes en wat sensors op home assistant werken. Ik wil het gaan uitbreiden maar zit er sterk aan te denken om het over te zetten naar een Hue hub. Dit artikel geeft me denk ik wel de push daarvoor...

Dezelfde ervaring heb ik ook met mijn NAS. Ooit zelf een Truenas systeem gebouwd met plex en nextcloud erop. Heeft een aantal jaren prima gedraaid maar nu heeft het eigenlijk echt onderhoud nodig. Zelf heb ik de kennis en tijd niet om dit (goed) te kunnen doen. Eigenlijk wil ik dus die hobby projecten gaan stopzetten maar dat kost dus ook weer tijd...

mbbs1024 @O085105116N • 5 januari 2022 14:43

Ik gebruik enkel elementen die ook los van de automatisatie kunnen gebruikt worden.
De automatisatie en het vanop afstand aansturen is een leuke nice to have bovenop, maar als die het laat afweten, is alles nog steeds volledig manueel te bedienen zoals het was voordat de domotica laag er bovenop kwam.
bvb
- lichten die ook gewoon met een schakelaar aan en uit gaan.
- Airco en centrale verwarming die gewoon ook met de afstandsbediening of thermostaat van de fabrikant bediend kan worden, maar ook door de domotica kan aangestuurd worden, bvb verwarmen met de airco als de zonnepanelen genoeg stroom produceren, en omschakelen naar centrale verwarming bij weinig of geen zonneproduktie
- Sanitair warm water verwarming automatisch aanzetten als er genoeg zonneproduktie is, als dat niet het geval is, gewoon kunnen aanzetten met een manuele schakelaar
- Multimedia kunnen bedienen via Home Assistant, maar ook gewoon met de diverse afstandsbedieningskastjes.
...

Op die manier zit je domotica niet in de weg als het eens een keertje niet werkt, of als je er niet bent.

MarcoC @O085105116N • 5 januari 2022 15:07

Ik vind het leuk om zelf een server te hebben en te gebruiken voor niet-kritische toepassingen, maar ik heb geen enkele domotica-applicatie op mijn server draaien (wel 50 andere applicaties), precies om de reden die jij zegt. Voor "slimme" verlichting gebruik ik Philips Hue met de Hue Bridge en app. Dat werkt en heeft een fijne balans tussen gebruiksvriendelijkheid, instelmogelijkheden en onderhoud (0).

Paul @O085105116N • 6 januari 2022 11:10

Ik zorg zelf dat alles wat automatisch aangestuurd kan worden, ook handmatig kan. Waar mogelijk dus lampen dus met schakelaar bedienbaar (relaiskastje in inbouwdoos ipv slimme lampen), slimme stopcontacten middels externe module ipv relais in inbouwdoos, rolluiken, zonneschermen en screens ook bedienbaar met hun oorspronkelijke fabrieksafstandsbediening.

Voor fancy lampen die kunnen dimmen en van kleur veranderen is dat wat lastiger, maar de rest van de automation zijn vooral sensoren en slimmigheid die de rolluiken en lampen bedienen. Als de server uitvalt dan gaat het rolluik niet meer open zodra we wakker worden, maar kan ik nog prima het rolluik zelf openen.

Voordeur idem, de camera doet het dan niet meer, maar er gaat wel een bel.

Hoover 5 januari 2022 09:45

Goed om te lezen dat hier aandacht aan is gegeven.
Mijn omgeving heb ik op een soortgelijke manier ingericht.
Ik gebruik echter cloudflare, gekoppeld aan mijn eigen domein om een veilige HTTPS verbinding op te zetten. In de firewall heb ik IP filters toegepast zodat alleen de cloudflare diensten verbinding kunnen maken over HTTPS.

Daarnaast heb ik naast het hoofdnetwerk, meerdere VLANS aangemaakt. Een voor domotica (met of zonder cloud dienst) en voor beveiligings cameras. Deze kunnen alleen verbinding maken met Home assistant die in het hoofdnetwerk draait. Hierdoor kan ik met firewall rules alleen de benodigde poorten open zetten. Op de camera vlan is internet volledig dicht gezet. Hierdoor kunnen deze alleen bekeken worden via home assistant. Op het domotica vlan staat internet open voor apparaten die afhankelijk zijn van de cloud. Al probeer ik dit zo veel mogelijk te voorkomen.

Wifi heb ik opgedeelt in meerdere SSID's waarbij alles mbt domotica in isolated mode draait waardoor apparaten niet zomaar met elkaar kunnen communiceren of het netwerk gaan scannen.

Als laatste ook 2way authentica aangezet icm authy.
Dat was overigens erg simpel.

Het was een hele klus om alles werkend te krijgen en koste ook de nodige investering in hardware om het zo neer te kunnen zetten, maar het geeft me een veel beter gevoel.

Antonio di 5 januari 2022 15:14

Wat voel ik mij toch een gelukkig mens met een Alarm/Smarthome Lupus XT2-plus.
Kan alleen de basic's van een smarthome en ook beperkt in aantal.
Ik kan een firmware update doet of weer terug zetten. That's it (nou ja niet helemaal)

Ik en ook mij vrouw zien Home Assistant (HA)/OpenHab/Domoticz als een hobby.
Wat is het nut voor de meeste mensen??
Alles wat ik 'automatisch' aanstuur kan ik ook handmatig (mechanisch) bedienen.
Behalve mijn nieuwe CV daar zit nu ook een computertje en kan ik alleen nog maar beperkt zelf dingen (bijvullen, AAN/UIT/RESET).

Wat alhier de discussie is over HA geldt voor de gehele samenleving. De digitalisering vindt overal plaats en men denkt niet aan continuïteit, uitwijk, autonomie en "te moeilijk voor heel veel mensen".

[Reactie gewijzigd door Antonio di op 23 juli 2024 16:51]

langestefan @Antonio di • 6 januari 2022 02:54

Voor HA gebruikers geldt dat als je het kan bedenken dan kun je het bouwen. The sky is letterlijk the limit. Alle communicatie methoden en praktisch alle smarthome apparaten zijn ondersteund. Het maakt dus niet zo zeer uit wat je koopt, meestal is het met HA plug and play. Zo heb ik bijvoorbeeld WiFi, LoRa, BLE en ZigBee devices in huis. Ook doet HA geavanceerde power monitoring voor mijn gas/elektra verbruik en mijn zonnepanelen. Ik heb overzichten op jaar, maand en dag basis en ik kan in detail zien wanneer ik bijvoorbeeld het beste de wasmachine aan kan zetten.

Eastern 5 januari 2022 07:59

Het is wel zaak om te zorgen dat belangrijke zaken ook bediend kunnen worden met knoppen aan de muur etc zodat je niet gelijk aan het werk hoeft als er iets down is.

Mijn ervaring is ook dat het soms op een ongewenst moment in eens niet werkt. Ik heb veel met dubbele bediening (computer en knoppen) maar helaas niet voor alles omdat het te veel werk was een of gewoon niet past

Qlusivenl

@Eastern • 5 januari 2022 08:42

Heb jij toevallig ook je fysieke (domme) knoppen weggehaald of een afdekplaat ervoor gedaan? Ik heb mijn normale knoppen nog zitten, maar ik twijfel om die "weg te werken".
Soms kan het wel eens handig zijn, maar vaker dat mijn zoontje van 2 het leuk vind om met de lampen te spelen en in enkele gevallen zelfs een lamp reset (1 x maar voorgekomen gelukkig).

AJediIAm @Qlusivenl • 5 januari 2022 10:59

Uiteindelijk moet je zelf een inschatting maken, maar ik kan wel iets van mijn ervaring delen.

Ik gebruik zeer zelden een schakelaar in mijn woning en in een aantal ruimtes heb ik deze weg gehaald of zit de schakelaar niet meer direct gekoppeld aan de lamp. Om te bepalen wat ik zelf acceptabel vind heb ik gekeken naar:
- Wat zijn de worst-case scenario's (impact)
- Hoe vaak denk ik dat dit voor komt (likelyhood)
- Wat ben ik bereid te accepteren (risk = impact * likelyhood).

Impact:
Het kan onhandig zijn om in het donker te zitten als er iets mis is of als er iets stuk gaat. De worst case impact is moeilijk te overzien. Daarom heeft elke kamer bij mij een mogelijkheid om handmatig licht te maken zonder afhankelijkheid van een smart home protocol. Een staande lamp of bureaulamp in de hoek is vaak voldoende. Het worst case scenario is dan dat je even door een donkere kamer moet om het licht aan te doen als de smart home tech even niet werkt.

Likelyhood:
Uit eigen ervaring werken generieke hubs (Home Assistant of Homey) 99.5% van de tijd. Specifieke hubs (Hue of Ikea) of point-to-point communicatie (mogelijk met Shelly of Z-wave) zijn 99.95% betrouwbaar.
99.5% betekend dat het om de zoveel maanden een keer niet werkt. Vaak is een hub resetten voldoende om het probleem op te lossen.

Acceptable risk
Voor de hal, woonkamer, keuken en toilet heb ik nog gewone schakelaars op de muur. Sommige hebben een inbouw module er achter maar de verlichting zonder afhankelijkheid op draadloze communicatie. Voor de overige ruimtes is een 99.95% zekerheid voldoende. Het Hue ecosysteem is voor mij betrouwbaar genoeg.

Dit is een klein voorbeeld van een aantal overwegingen zoals ik ze gemaakt heb. Een vergelijkbaar denkpatroon kan ook heel nuttig zijn om te bepalen of je een smart lock of beveiligscamera in huis wilt heben of niet. Door de worst-case scenario's te kennen heb ik (en mijn vrouw) veel vertrouwen in onze opzet.

Edit: betrouwbaarheid precentages aangepast.

[Reactie gewijzigd door AJediIAm op 23 juli 2024 16:51]

Montaner @AJediIAm • 5 januari 2022 11:18

99% uptime is per maand 7u+ downtime. Dat moet je niet onderschatten.. en de acceptabele risico's zijn voor jou misschien acceptabel, maar de WAF keldert nogal snel als het al een keer niet werkt. Ik zou daarnaast vooral kijken naar je recovery tijd in het geval van een 'disaster' en de verschillende scenario's. Simpelweg storage welke het begeeft (SD of USB-attached) tot een Pi welke volledig de geest geeft. Op een enkeling na zal er weinig hardware dubbel uitgevoerd zijn (hot-hot) of een back-up in de kast liggen (hot-cold).

[Reactie gewijzigd door Montaner op 23 juli 2024 16:51]

AJediIAm @Montaner • 5 januari 2022 13:59

Ik bedoel eigenlijk dat het 99% van de keren dat ik het gebruik werkt zoals ik verwacht. En als ik het nareken is het inderdaad meer 99.5% vs 99.95%. Zal het aanpassen.

batteries4ever @AJediIAm • 7 januari 2022 18:22

Ik heb een Hue bridge die in de tuin staat in een box, om zowel tuin, slaapkamer als woonkamer te bedienen. Thuis een onweersstorm is een bliksem kennelijk dichtbij genoeg ingeslagen om de hue bridge te mollen. In de slaapkamer had ik gelukkig nog mechanische schakelaars, dus met 2x kun je dan het licht weer aanmaken.
ik had een reservebridge maar alle lampen toevoegen, benoemen, groepen indelen, vertellen wat er gebrud als ik een schakelaar 2x indruk of een bewegingsmelder afgaat... bijna een dag bezig geweest! Mensen die zeggen dat ze in die tijd alle schakelaars hadden kunnen bedienen die ze in hun totale leven nodig hebben, zodat ik dus al met al tijd verlies door deze "handige" automatisering kan ik niet helemaal ongelijk geven... toch zou ik niet meer terug willen.

Hoover @Qlusivenl • 5 januari 2022 09:08

Ik zou ze niet weghalen. Dit omdat je bij uitval gewoon nog steeds handmatig je lichten wilt kunnen uit en aandoen. En dit gaat vrijwel zeker gebeuren.

Ik heb zelf op de meeste plekken een fibaro switch of dimmer achter de schakelaar ingebouwd.
Dit is eigenlijk een veredelde relais waardoor het met vrijwel elke lamp of ander apparaat werkt. Ook als alles plat ligt.
Maar zoals Eastern ook al aangaf, het moet wel passen. Zeker in oudere huizen kan dat problematisch zijn omdat de inbouwdozen veel te klein zijn.
Daarnaast ook nog het voordeel dat ik in het verre verleden een elektricien ben geweest waardoor ik dit soort dingen zelf allemaal kan doen.

Qlusivenl

@Hoover • 5 januari 2022 19:49

Ik heb een nieuwbouwhuis en de dozen zijn groot genoeg zover ik weet. Dus dat is het probleem niet.
Het probleem is wel.... dat ik overal al slimme lampen heb. Dus een slimme dimmer/schakelaar inbouwen is zonde.

icecreamfarmer @Eastern • 5 januari 2022 08:37

Dit dus, al het cruciale werkt ook zonder homeassistant. Dat kost alleen meer werk.
Gisteren bv lag de server eruit en moet ik handmatig het ochtend programma af draaien. Vervelend maar alles werkt wel.

pietje63 @Eastern • 5 januari 2022 09:29

Uitdaging is dan wel de domme knoppen te laten samenwerken met de slimme apparatuur. Dit werkt vaak niet goed. Bij de goede oplossing ben je veel dubbel aan het doen. Naar mijn mening kun je hier ook kiezen voor een middenweg (kritieke verlichting wel fail safe; sfeerverlichting niet).

GorgeousMetal

@pietje63 • 5 januari 2022 13:03

Kijk eens naar Shelly 1 & Shelly 1L in combinatie met Tasmota firmware voor lokaal beheer.

Tammo2 @GorgeousMetal • 5 januari 2022 15:21

Shellys doen mqtt lokaal ook prima zonder tasmota

pietje63 5 januari 2022 09:38

Ik vind het artikel wel moeilijk te volgen, maar kan aan mij liggen.

Vlan -> dit voegt toch enkel wat toe als de aanvaller al toegang heeft tot je lan? Ik heb voor elke service op mijn lan nog een eigen gebruikersnaam/wachtwoord. Een aanvaller heeft dan toch zowel toegang tot lan als deze gebruikersnaam/wachtwoord nodig (of toegang tot lan en een lek in de service)?

proxy's en tunnels -> waar bij het instellen van vlan alles binnen je eigen netwerk wordt dichtgezet, werkt het hier de andere kant op door de deur naar buiten een stukje open te zetten. Het lijkt me qua beveiliging logischer om hier te beginnen (i) controleren wat er open staat, (ii) moet dit open staan, (iii) als het open moet staan, is de opening veilig genoeg. Als je zaken via een proxy/tunnel van buitenaf toegankelijk laat, dan voegt de vlan toch niet zoveel meer toe?

As said, ben geen beveiligingsexpert, maar vraag me af hoe de verschillende onderwerpen in verhouding tot elkaar staan. Hoewel er in het begin van het artikel goed op de algemene theorie van beveiliging wordt ingegaan (treat model, Stride) wordt dat in het vervolg van het artikel minder op teruggegrepen (lijken meer "best practices" / "kijk wat ik heb gedaan"). No Flame intended, maar voor mijn gevoel had het beter opgebouwd kunnen worden.

[edit]
@lenwar Dank, duidelijke toelichting. Dan benader je het andersom (IoT als springplant naar rest van je netwerk).

Waar ik dan "tegenaan" loop is dat sommige devices in je lokale netwerk moeten zitten om "lekker" te werken. Voorbeeld is mijn camera; ben ik lokaal en start ik de app dan heb ik sneller beeld dan extern (want dan gaat het beeld via de Cloud). Neem aan dat ik hetzelfde effect krijgt bij het werken met een vlan?

[Reactie gewijzigd door pietje63 op 23 juli 2024 16:51]

SmokingCrop @pietje63 • 5 januari 2022 09:54

Virusje/kwetsbaarheid op je PC of andere box en men geraakt op je lokale LAN.
Dan kan men proberen om alles in je lokale LAN te 'hacken' vanuit het ene apparaat.
Kwestie van lateral movement tegen te gaan.

Dus als je toegang van buitenaf maakt via een bepaalde manier en via die weg wordt een van je domotica apparaten gehacked, houd je terug die lateral movement tegen naar de rest van je netwerk. Binnen een LAN kunnen ze veel gemakkelijker hacken, dan van buitenaf. Meestal zijn er geen firewalls op die devices zelf actief om alle inbound verkeer (behalve related en established verkeer) tegen te houden.

Als het trouwens enkel een vlan is, dan is enkel laag 2 (osi model) beschermd. Bij bv. ubiquiti materiaal kan je standaard dan alsnog via IP adres verbinden naar die andere vlan. Dus dan zijn er nog firewall regels nodig om laag 3 ook af te schermen.

[Reactie gewijzigd door SmokingCrop op 23 juli 2024 16:51]

lenwar

@pietje63 • 5 januari 2022 10:37

Over de vlans.
In de basis heb je gelijk, maar het probleem hierin is, is dat met al die ‘slimme apparaten’ dat je geen invloed hebt op het gedrag van die apparaten.

Stel dat je een ‘slimme thermostaat/oven/kerstlampjes/afzuigkap/luchtreiniger/whatever’ hebt. Om een één of andere reden moeten die persé zelfstandig het internet op gaan van de fabrikant. Ook als je ze alleen in huis wil kunnen bedienen.
Als zo’n apparaat dus onveilig blijkt (veel van die apparaten draaien Android/Linux, en hebben ze dus bekende kwetsbaarheden. Niks ten nadele van Android of Linux overigens!!) dan is zo’n apparaat dus een springplank naar de rest van je netwerk.
Door dit soort apparaten in aparte vlans te plaatsen, scherm je ze dus beter af naar je pc/telefoon/enz.

De fabrikanten van dit soort apparaten zijn in de regel minder bezig met beveiliging dan bijvoorbeeld telefoon-fabrikanten. (En die zijn ook al niet allemaal erg consequent hierin, dus kan je nagaan hoe triest het is met die domotica-apparaten) Er komen maar heel weinig beveiligingsupdates voor dit soort apparaten.

CAPSLOCK2000 @pietje63 • 5 januari 2022 16:06

Vlan -> dit voegt toch enkel wat toe als de aanvaller al toegang heeft tot je lan?

Dat klopt op zich, maar misschien moet je er op een andere manier naar kijken. "Veiligheid" is geen absoluut iets, net zoals je niet "gezond" of "ongezond" bent. Alles gaat een keer stuk, zorg dat kleine problemen niet uit de hand lopen.

Vergelijk het met hoe we in Nederland met water omgaan. We hebben niet alleen grote dijken langs zee, maar ook langs rivieren en polders. Die dijken zijn er niet om ál het water tegen te houden. We hebben geleerd dat dat toch niet lukt. Geen enkele dijk is onfeilbaar en anders gaat het wel hard regenen en loopt je polder zo onder. Tegenwoordig doen we dus aan watermanagement. We houden er rekening mee dat sommige stukken soms zullen overstromen en dat dijken het kunnen begeven. We proberen er voor te zorgen dat kleine problemen klein blijven. Dat je een kleine overstroming kan hebben in het ene gebied zonder dat het water problemen veroorzaakt in andere gebieden.

Om even concreet te zijn: we hebben thuis steeds meer apparaten met een netwerkaansluiting, van telefoons tot deurbellen tot televisies tot lampen tot koelkasten, etc en de meeste krijgen op z'n best een paar jaar updates, als de gebruiker die al installeert. Je kan er daarom maar beter van uit gaan dat je tenminste één apparaat in je netwerk hebt dat al gehackt is. En als je het zelf niet bent dan is het wel je neefje dat op bezoek komt en even op je wifi wil.

als het open moet staan, is de opening veilig genoeg.

Maar wat als het antwoord "nee" is? Dan kan een proxy of tunnel zo'n veilige toegang toevoegen.

Als je zaken via een proxy/tunnel van buitenaf toegankelijk laat, dan voegt de vlan toch niet zoveel meer toe?

Dezelfde reden dat je gordels én een airbag én een bumper heeft. Door meerdere eenvoudige middelen te combineren krijg je een beter resultaat dan wanneer je vertrouwt op één super oplossing. Want overal worden fouten gemaakt, ook in die super oplossing. Daarom bouwen we beveiliging op uit lagen die elkaar overlappen. Als er dan iets door de kieren van de eerste laag heen weet te dringen dan wordt dat hopelijk tegen gehouden door de tweede of de derde laag.

Legobas 5 januari 2022 10:13

SPIN lijkt een IDS (Intrusion Detection System) te zijn zoals Suricata of Snort maar dan meer gericht op IOT devices.
Weet iemand wat de meerwaarde is t.o.v. Suricata/Snort/enz.?

smesjz 5 januari 2022 11:25

Het grootste risico ben ik zelf. Niet zo zeer qua beschikbaarheid / leeftijd maar door te blijven te sleutelen aan het systeem. Of het nu onderliggend OS is, database of iets anders zoals upgraden naar nieuwste HA versie of op release dag, nieuwe kernel of packages / Linux releases...
En ja, je kan alles prima in een container / VM draaien met scheduled backups etc. maar ook dat is niet zonder risico's als tweaker. In mijn geval: "Even" Proxmox upgrade op host werkte niet lekker met cgroups voor m'n container waar HA draait. Dus automations deden niks en ik kon tot 24u googlen voordat ik snapte waarom het niet werkte en wat er nodig was.

Dus misschien ook interessante vraag: hoe monitor je availability / logs van je smart home? Bij Home Assistant heb je supervisor maar die doet niks (nuttigs) als bijv. Zigbee stick niet online komt na een onverwachte nachtelijke reboot of je moet een automation maken die iets stuurt. En daar denk je pas aan als het een keer fout gaat.

AJediIAm 5 januari 2022 08:15

Na het threat model moet er nagedacht worden over de aanvals paden. Hoe zouden de aanvallen van het threat model uitgevoerd worden? Welke maatregelen zijn het meest effectief tegen de meest relevante threat models?

Het matig of slecht uitvoeren van een maatregel kan schijnveiligheid creëren. Begin bij maatregelen die je goed kent en begrijpt zoals gescheiden wachtwoorden, apparaten zonder cloud verbinding en een VPN naar je thuisnetwerk.

TheDutchChief 5 januari 2022 08:51

Ik gebruik de pilot-app voor Domoticz op mijn iPhone, mijn vrouw ook. Verder hoeft er natuurlijk niemand bij. Daarom heb ik de boel gewoon omgezet naar ipv6 (ondersteund door KPN mobiel). Dat betekent wel dat ik een certificaat op de domoticz-pi moest zetten en ik geen dns meer voor ipv4 heb ingesteld. Dus ook geen portforwarding meer doe. Bij Freedom is het ipv6/48 subnet vast en op de firewall alleen de poort voor domoticz open voor dit ipv6-adres. Uiteraard verder alle IoT op een apart vlan.

digibaro @TheDutchChief • 5 januari 2022 09:11

Als ik het zo lees heb je Domoticz rechtstreeks bereikbaar gemaakt vanaf Internet via IPv6. Dit is niet veiliger dan IPv4 - NAT - Port Forwarding. Ik zou toch echt adviseren om de bereikbaarheid via een reverse proxy en/of VPN te realiseren.

TheDutchChief @digibaro • 5 januari 2022 09:22

Ik heb het op ipv4 wel via een reversed proxy gehad, maar dan liep ik steeds tegen caching e.d. aan die niet goed werkte waardoor gegevens op pagina's niet automatisch gerefreshed werden (steeds pagina helemaal verversen dus). Het is inderdaad niet veiliger, maar wel een optie. Wordt hier op tweakers toch vaak geschreven over de adaptatie van ipv6, maar in het artikel blijft het weer steken op ipv4. Dat vind ik jammer.

Overigens heb ik weer wat zaken via een slave-domoticz-pi geregeld die natuurlijk niet rechtstreeks op internet zit. Dus als iemand de moeite wil doen om in te breken zodat ie mijn eetkamerlamp aan kan doen...

[Reactie gewijzigd door TheDutchChief op 23 juli 2024 16:51]

digibaro @TheDutchChief • 5 januari 2022 09:27

De ontwikkeling van Domoticz is relatief langzaam na mijn mening. Daarnaast wordt deze software normaal gesproken niet rechtstreeks ontsloten via Internet. Het risico op een kwetsbaarheid in de Domoticz software is groter dan in Apache/NGINX.

Kan het zijn dat je reverse proxy niet was ingesteld met websocket? Bij Home Assistant was dit bij mij essentieel voor een goede werking.

P.S. Ik benader mijn thuis netwerk via een VPN.

TheDutchChief @digibaro • 5 januari 2022 09:33

Na ja, ik gebruik Domoticz al best lang en om nou de boel helemaal om te bouwen, heb ook best wat scripts gemaakt, zit best een hoop werk in.

En ja, ik had ook websocket geconfigureerd, alles volgens het boekje, ben er meerdere dagen mee zoet geweest en ben toch echt niet dom.

Verwijderd 5 januari 2022 08:59

Gebruik er een met minstens één lanpoort, zodat je zowel je Raspberry Pi als de wifiapparaten in je smarthome hierop kunt aansluiten.

Hou er dan wel rekening mee dat native apps zoals IKEA of Hue niet meer werken. Zeker als je de nodige bridges hebt. Die kan je wel opsluiten in hun eigen netwerk maar dan ben je dat kwijt.

TheDutchChief @Verwijderd • 5 januari 2022 09:08

Weet niet van alles, maar met de juiste netwerkapparatuur en een hoop firewallrules kom ik altijd een heel end waarbij apps ook tussen verschillende vlans wel werkend te krijgen zijn.

Verwijderd @TheDutchChief • 5 januari 2022 09:40

Ik ook, maar dat is wel iets om in je achterhoofd te houden.

Op dit item kan niet meer gereageerd worden.