Nouveau passionné domotique & sécurité - Bonjour à tous !

[Seb_IoT]

Bonjour à toute la communauté !  

Moi c'est Seb, je suis dans l'informatique et les réseaux depuis quelques années, et je mets enfin sérieusement les mains dans le cambouis de la domotique.

Je rejoins le forum car je suis en pleine phase d'apprentissage sur le standard KNX. J'ai longtemps bidouillé avec des solutions sans fil grand public, mais je veux passer à un système robuste et pérenne pour mon projet d'installation.

Mon petit "tic" professionnel, c'est la cybersécurité. Du coup, en abordant le KNX, je m'intéresse énormément à la façon dont on sécurise les accès distants, comment on isole le réseau domotique du réseau internet classique, et la gestion de KNX Secure. C'est fascinant de voir comment le monde du bâtiment et celui de l'IT se rejoignent !

J'ai déjà parcouru pas mal de vos anciens sujets (une vraie mine d'or, bravo aux contributeurs), mais je risque de vous embêter bientôt avec des questions un peu pointues sur la sécurisation des passerelles IP. 

Au plaisir d'échanger avec vous et d'apprendre de vos retours d'expérience !

[Ives]

Bonjour et bienvenue sur le forum.

Avec un superviseur comme Home Assistant (avec Nabu Casa ou autre système de tunnel), l'accès distant direct à la passerelle IP/KNX n'a aucun intérêt. Elle reste isolée sur le réseau local, invisible depuis Internet (aucun port d'ouvert). Seul le superviseur, via un tunnel sécurisé et authentifié, communique avec elle.
Le pilotage quotidien se fait via l'interface du superviseur. L'accès direct à la passerelle ne servirait qu'à une programmation ETS à distance, rarement nécessaire.

Le protocole KNX Secure est souvent superflu en maison individuelle en isolant les participants extérieurs (détecteurs, station météo) sur une ligne dédiée via un coupleur de ligne avec table de filtrage ; on empêche toute prise de contrôle du bus depuis l'extérieur de la maison.... et depuis l'intérieur de la maison, on peut supposer qu'une personne entrée par effraction aura autre chose à faire que de pirater le KNX !
On évite ainsi la complexité de gestion des clés de sécurité sans sacrifier la fiabilité.

Le KNX Secure reste alors une option réservée au tertiaire ou aux environnements à haut risque d'intrusion physique interne.

[Seb_IoT]

Bonjour Ives et merci beaucoup pour l'accueil et ces précisions !

C'est exactement le genre de retour d'expérience pragmatique que je venais chercher. C'est vrai que venant du monde IT, j'ai le réflexe "Zero Trust" chevillé au corps et j'ai tendance à vouloir tout chiffrer par défaut (d'où mon focus initial sur KNX Secure).

Mais ton argument sur l'isolation physique via un coupleur de ligne et une table de filtrage pour les participants extérieurs est implacable. Ça fait parfaitement sens en résidentiel : pourquoi complexifier avec des clés de sécu si l'architecture réseau elle-même bloque le risque. Ça m'aide beaucoup à comprendre la "philosophie" KNX.

Pour l'accès distant, on est 100% en phase. Je prévois justement d'utiliser Home Assistant comme superviseur. L'idée est de passer par un tunnel sécurisé sans jamais ouvrir le moindre port de la box vers la passerelle IP. L'accès direct restera sagement en local pour les rares sessions ETS.. Et là après je pourrai faire le fier lol. En tout cas, merci derechef pour l'accueil.

[Ives]

Je prévois justement d'utiliser Home Assistant comme superviseur.

Quelques idées ici