Warum die eigene Firewall Sinn macht... Part II


  • Rebel Alliance

    Für alle Freunde der Unifi Lösungen. Beim stöbern durch die Weite des Internets bin ich an diesem Blogeintrag hängen geblieben. Da sammelt Unifi telemetrische und persönliche Daten und bauen später dann einen Schalter in den Controller, welcher nur ein Teil der Sammelwut einschränkt. :(

    Um es komplett einzudämmen muss eine Config-Datei erstellt werden.
    Klar, man kann die Devices hinter einer Firewall stellen, was meiner Meinung ja auch Sinn macht. Was mich bissl anregt ist die Tatsache, daß erst gesammelt wird und später erst die Optionen zur Deaktivierung bereitgestellt wird. Die richtige Reihenfolge wäre die, die Leute zu Informieren:

    "Hey, wir wollen paar Daten sammeln, wenn Ihr Lust habt, die uns bereit zu stellen, dann aktiviert das im Controllersetup, ansonsten noch einen schönen Tag."

    Das ist meiner Meinung nach der richtige Weg und nicht sammeln, erwischen lassen und dann halbherzig einen Schalter einbauen. :(

    Bei mir hängen die Geräte im MGMT Netz, das einzige was raus darf ist der Debian Host im Subnet, da wo die Controller Soft installiert ist. Werde mal ne Runde sniffen.

    Hier noch ein bisschen Input im Unifi Forum.

    Mike


  • LAYER 8 Moderator

    Jup ist aber schon länger her, dass da was kam. Und was sie da sammeln (wollten) ist auch nicht soo ganz klar, aber sicherlich nicht die schönste Art und Weise, das stimmt wohl. Wobei man natürlich auch sagen muss, dass da auf Ebene 2 wenig Kram ist, den sie sammeln der viele Nutzdaten enthält, eher Metadaten in der Art was für Geräte und wie viele pro bspw. Switch/USG/AP am Start sind. Aber ja, Kommunikation ist hier tatsächlich alles, und da müssen sie etwas nachlegen. Wobei mich das Bild vom Cisco Catalyst am US Zoll, der mal einfach aufgemacht und bespielt wird, mehr schockiert hatte (weil die Dinger potentiell L3 und höher können und man so ne schöne SSH Backdoor einbauen kann). Aber damals war man auch noch optimistisch... Fühlt sich nach Jahrzehnten an...


  • LAYER 8 Moderator

    @mike69 Kleine Ergänzung dazu: Das ist aber nicht mehr ganz richtig. Es muss inzwischen keinerlei Konfiguration mehr erzeugt werden, das war nur temporär. Inzwischen ist das alles OPT-IN (der richtige Weg) und in der UI sauber hinterlegt. Gerade kurz auf meinem CloudKey geschaut, Analytics und Datenkram getrennt aufgeführt und disabled mit Popup dass man sich freuen würde anonymisiert Daten zu bekommen damit man sich verbessern kann.

    So rum ists OK.


  • Rebel Alliance

    @JeGr said in Warum die eigene Firewall Sinn macht... Part II:

    So rum ists OK.

    Sehe ich auch so.

    Mir ist beim sniffen auch nichts aufgefallen. Waren aber nur paar Stunden ink. Reboots und Restarts der Controllersoft. So soll es sein....


  • LAYER 8 Moderator

    Witzige Erkenntnis dabei:

    Bei einem Cloudkey immer erst die Firmware, dann die UI/Controller aktualisieren. Anscheinend sind in den FW Updates der Keys auch neuere Controller aber nicht immer die neusten drin. Wenn man zuerst den Controller auf neu2 aktualisiert und dann das FW Update das Ding auf neu1 runterschraubt, was aber neuer als "alt" war, dann failed der Controller beim Start. Da die Keys aber Debian ARM Installationen sind, ist das mit einem Apt Update/Upgrade schnell gefixt gewesen, aber war trotzdem sehr irritierend ;) Ein Downgrade mögen sie anscheinend nicht so gerne.


  • Rebel Alliance

    Du scheinst rund rum zufrieden zu sein, was? :)
    Hast es nicht bereut?

    Kann auch nicht klagen mit den beiden AP AC Pro. War WLAN-technisch ein grosser Schritt nach vorne.


  • LAYER 8 Moderator

    Rundherum ist relativ aber das System ist soweit ausgeklügelt, dass ich mit dem Key alle Geräte steuern kann auch wenn mir sowas wie der angekündigte Switch Pro mit integriertem Controller lieber gewesen wäre (ein Gerät weniger). Aber gabs eben noch nicht und der 2.Gen Key tut wirklich gut seine Dienste - bis eben auf die ab und an auftretenden Überraschungen bei Updates wie oben. Aber ich kann mir da eben dank Background ganz gut helfen und somit ist das System für mich ein no-brainer weil es genau das tut was es soll und ich nicht mehr an jeden Switch extra ranrennen muss um irgendwas zu konfigurieren etc. sondern das Ding einfach tut.


Log in to reply