내나라 내땅 내두발로

오늘은 우리집 스마트홈의 중요한 연결 통로인 홈브릿지에 보안을 강화하기 위하여,

2단계 인증(2 Factor Authentication)과 HTTPS(SSL)를 적용하여 보았다.

우리집은 애플 홈킷을 스마트홈 통합 플랫폼으로 사용하고 있는데,

3개 홈브릿지( bit.ly/31TniNa )에 나뉘어서 모두 93개의 액세서리가 연동되고 있다.

1. 2단계 인증

2단계 인증은 로그인시 보안을 강화하기 위하여 비밀번호에 일회용 암호를 추가하는 방법인데,

우리가 금융 거래시 사용하는 OTP와 완전히 똑같다고 이해하면 쉽겠다.

1) 스마트폰에 OTP 어플인 Google Authenticator를 설치하고,

홈브릿지에 비밀번호로 로그인하여 User Accounts에서 'SETUP 2FA'를 누른다.

2) OTP 어플에서 '+'를 누르고 홈브릿지의 바코드를 스캔하면 자동으로 OTP가 생성되며,

생성된 일회용 암호를 홈브릿지 화면에 넣고 'ENABLE 2FA'를 누르면 활성화가 된다.

3) 홈브릿지의 2단계 인증은 백업 코드가 없는 단순한 방식이어서, 만일을 위하여 반드시 백업 관리자 계정을 만들어 놓자.

4) 그러면 다음번 홈브릿지 로그인부터는 비밀번호와 함께 OTP 일회용 암호도 함께 입력해야 한다.

2. HTTPS(SSL) 적용

홈브릿지 화면을 집에서만 사용한다면 암호화가 없는 HTTP도 문제가 없겠지만,

외부에서도 사용하려면 암호화가 있는 HTTPS(SSL)가 더 안전할 듯 싶어서 적용하였다.

1) 시놀로지의 [제어판-외부 엑세스-DDNS]에서 DDNS를 활성화시키고,

2) [제어판-네트워크-DSM 설정]에서 2곳을 체크하여 '적용'을 누른후,

3) [제어판-응용 프로그램 포털-역방향 프록시 규칙]을 신규 생성하여,

소스(HTTPS-DDNS 주소-포트번호)와 대상(HTTP-localhost-포트번호)을 정확하게 입력하고 '확인'.

4) 그리고 [제어판-보안-인증서]에 들어가 보면 역방향 프록시 정의가 등록되어 있는 것을 확인할 수가 있다.

5) 마지막으로 라우터(공유기)의 관리 화면에 들어가서 포트포워딩을 해주면 모든 작업이 끝난다.

나는 평소에 비밀번호를 자주 바꾸는 것을 매우 귀찮아하는 성격이라 2단계 인증이 신뢰가 가며,

외부에서 홈브릿지 접속시 비밀번호도 훤히 보이는 평문인 HTTP 프로토콜이 아니라,

데이터가 모두 암호화되어  전송되는 HTTPS/SSL 프로토콜이어서 많이 안심이 된다.

포테이너( https://www.portainer.io/ )는 PC에서 도커 컨테이너를 관리하는 솔루션인데,

CLI인 라즈베리파이에선 나름 효과적이지만 GUI인 나스에선 큰 도움이 되지 않지만,

어제 HOOBS 솔루션을 설치한 탄력으로 포테이너도 시놀로지 나스에 설치하여 보았다.

1. 시놀로지에 포테이너 설치하기

1) File Station에서 '/docker/portainer' 폴더 생성

2) PuTTY 또는 SSH로 시놀로지에 로그인하여 루트 계정($sudo su - )으로 전환

docker run -d -p 8000:8000 -p 9000:9000 --name=portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v /volume1/docker/portainer:/data portainer/portainer

3) 위의 코드 블럭에 있는 명령어를 복사(Ctrl-C)후,

4) PuTTY 명령어창에 붙여넣고(Ctrl-V) 실행

2. PC에서 포테이너 설정하기

1) 웹브라우저에 '시놀로지 IP:9000'을 입력하여 포테이너에 접속하여,

사용자 이름과 패스워드를 2번 입력하고 계정(Create User)을 생성

2) Local 모드를 선택후 'Connect'를 클릭

3) Endpoints 메뉴에서 'Local'을 체크하고 클릭

4) Public IP 필드에 시놀로지 IP 주소를 입력하고 'Update endpoint'를 클릭

5) Home 메뉴로 올라와서 고래(컨테이너 로고)를 클릭하면,

6) 포테이너가 로컬 모드로 동작한다.

포테이너가 시놀로지 나스 사용자에겐 커다란 효과는 없지만,

정보의 공유와 자료의 기록 차원에서 포스팅을 한번 해보았다.

오늘은 홈브릿지(이하 HB)의 좋은 대안인 HOOBS를 시놀로지 나스에 설치하여 보았다.

HOOBS( https://hoobs.org/ )는 HB 설치를 어려워하는 IoT 초보자들을 위하여,

하드웨어(라즈베리파이 같음)에 HOOBS를 내장한 일체형을 169.99달러에,

HB 설치와 설정을 어려워하는 사용자에겐 HOOBS MicroSD만 19.9달러에,

HB 경험자에겐 HOOBS 무료 다운로드를 제공(기부를 살짝 요구함)하며 장사하는 놈들이다.

나는 시놀로지 나스를 이미 보유하고 있어서, 도커 컨테이너에 HOOBS를 설치하였는데,

우선 시놀로지의 '제어판->터미널 및 SNMP'에서 SSH 서비스를 활성화시키고,

단말 프로그램(PuTTY, SSH등)으로 로그인하여 'id'를 입력후 uid와 gid값을 적어놓자. 

(내 경우는 uid=1026, gid=100)

1. 시놀로지 도커 컨테이너 설치 방법

1) 레지스트리 메뉴에서 'hoobs'를 입력하고 최신버전(latest)을 다운로드하면 544MB 크기의 이미지가 내려온다.

2) 다운로드된 이미지를 클릭하여 컨테이너 이름을 입력하고 (그대로 두어도 무방),

'높은 권한을 사용하여 컨테이너 실행'을 체크하고, 고급 설정 탭에서 '자동 재시작 활성화'도 클릭하자.

3) 볼륨 탭에서 '폴더 생성'을 눌러서 /docker/hoobs와 /docker/hoobs/data 폴더를 생성하고,

'폴더 추가'를 눌러서 파일/폴더에 '/docker/hoobs/data'를 마운트 경로에 '/hoobs'를 추가하자.

4) 네트워크 탭에서는 'Docker 호스트와 동일한 네트워크 사용'에 체크하고, 포트 설정과 링크 탭은 그대로 스킵하자.

5) 환경 탭에서는 TZ은 Asia/Seoul로, PUID와 PGID는 위의 SSH에서 적어놓은 값을 그대로 각각 입력한다.

6) 그리고 '다음'을 누르고 '적용'을 누르면 HOOBS 컨테이너가 실행되는데,

서버 포트가 기본값(80)으로 되어 있어서 첫 실행은 에러가 발생하나 초기 config.json 파일은 생성된다.

7) HOOBS 컨테이너를 중지하고 config.json 파일(/docker/hoobs/data/etc/config.json)을

텍스트 편집기로 열어서 서버 포트를 '80'에서 '8085'로 수정하고 컨테이너틀 재시작한다.

다른 방법(컨테이너 탭에서 포트 설정 방법)도 있었으나 이 방법이 휠씬 간단하다.

2. HOOBS 초기 설정 방법

1) PC 웹브라우저에서 '시놀로지IP:8085' (내 경우는 192.168.1.210:8085)를 입력하면 HOOBS를 처음 만나는데,

이곳에서 Name(사용자 이름), Username(사용자 ID)을 입력하고 비밀번호를 2번 입력하면 계정이 생성된다.

2) HOOBS 인터페이스 설정의 언어에는 '한국어'도 있었으나 너무 허접하여 'English'로 두었으며, 온도 단위, 국가 코드, 경위도 정도만 수정하였다.

3) 서버 설정에서는 config.json에서 텍스트 편집기로 수정한 포트 번호가 들어와 있었으며,

4) 애플 홈 설정에서는 홈브릿지 기본값으로 서버 포트(51826), 사용자 이름(Mac주소), 홈핀(031-45-154)이 들어가 있더라.

5) 그리고 HOOBS config.json도 웹화면에서 수동으로 수정이 가능하다.

3. 홈킷에 HOOBS 연결 방법

1) 홈앱에서 액세서리 추가(+)를 누르고, PC HOOBS 메인 메뉴의 QR코드에 비추면 HOOBS 브릿지가 생성된다.

2) 과거 홈브릿지는 이 과정에서 속을 썩이는 경우가 간혹 있었는데, HOOBS는 한방에 연결되어서 기특하더라.

아직 액세서리들까지 추가하여 완벽하게 테스트를 해보지는 못했지만,

HOOBS는 홈브릿지 설치를 어려워하는 초보자에겐 좋은 대안이 되지 싶다.

Fibaro Home Center 3(이하 HC3)가 생일 전날인 월요일(7/27)에 도착하였지만,

주중엔 매일 녹초 또는 꽐라 모드이어서 금요일(7/31)이 되어서야 점등식을 하였다.

HC3의 외관은 생각보다 매우 작았고 무게감도 거의 없어서 제 구실을 할 지 의심스러울 정도였으며,

EU형 플러그도 국내 콘센트에 헐렁할 듯 싶어서, 돼지코 덧씌우기 신공으로 개조하여 전원에 연결하였다.

나는 라우터에 연결하는 모든 장비들에 고정IP를 부여하는 규칙을 가지고 있어서,

일단 HC3를 라우터에 연결하여 유선 NIC과 무선 NIC에 고정IP를 각각 부여하고,

HC3를 재부팅하여 항상 동일한 IP주소가 할당되도록 설정을 하였는데,

보통 유선 NIC과 무선 NIC을 동시에 가지고 있는 장비들은 유선이 무선보다 우선인데,

HC3는 무선(wifi)이 유선(Ethernet)보다 우선적으로 서비스를 받는게 많이 신기했으나,

2.4Ghz 무선랜만 지원하는 부분은 조금 아쉽더라.

위치(Location)는 스마트싱스 ide에 있는 경위도값이 가장 정확하여 복붙으로 집어 넣었으며,

계정(Accounts)은 내부(Local)와 외부(Remote)에서 모두 억세스가 가능하도록 설정하였다.

HC3의 기본 설정중 가장 마음에 드는 부분은 아직 UniFi도 미지원인 클라우드 백업이었다.

새로움을 만나는 것은 언제나 즐거움이다.

3주 전 피바로 카페에 놀러 갔다가 독마존에서 직배가 되는 Fibaro Home Center 3(이하 HC3)의

게시글( bit.ly/39JW4Nr )을 발견하고 스스로의 생일 선물이라는 명목으로 HC3를 즉흥적으로 질렀다.

독마존 쇼핑시 배대지를 이용하면 독일 부가세(공산품 19%) 환급이라는 귀찮은 과정이 생기는데,

HC3가 나름 괜찮은 가격???(418.56 유로)에 무엇보다도 우리집까지 직배송 조건이어서,

배송비(25.84 유로)와 관부가세 보증금(93.13 유로)을 더하여 537.53 유로를 한방에 결제하였다.

예전에 아마존 직배송 통관대행을 '한진택배'가 하던 시절에는

아마존 직배송 업체인 ECMS( bit.ly/3jZXOqE )에 메일을 보내서 국내 송장번호를 알아 냈었는데,

몇 년 전부터 아마존 직배송 통관대행 업체가 '롯데글로벌로지스'로 바뀌어,

ECMS 송장번호의 발행시점부터 롯데택배 어플로 국내 송장번호를 곧바로 알 수가 있다.

보통 독마존에서 배대지를 이용하면 국내로의 화물기가 많은 프랑크프루트에서 인천으로 들어오는데,

HC3는 독일 하노버에서 쉽핑되어 유럽을 가로질러 영국 서단의 브리스톨까지 마구 달려가서 배를 타고 오는 줄 알았다.ㅠㅠ

그러던 녀석이 영국 히드로 공항(LHR)으로 슬그머니 되돌아 오더니 이틀간 종적을 감췄다가,

카타르 도하로 공간 이동후 여객기(QR858편)에 실려서 일요일(7/19) 오후에 인천으로 들어왔다.

보통 인천 입항 3-4시간 전부터 국내 송장번호로 관세청 수입화물 진행정보( bit.ly/30i17l9 )에서 통관을 확인할 수 있는데,

HC3의 거래품명이 'Hair Removing Appliance'로 엉뚱하게 입력되어, 관세 8%와 부가세 10%로 잘 못 부과되어 있어서,

월요일(7/20) 아침에 통관 대행업체 담당자와 통화하여 '수입신고 수리전 정정 접수'를 통하여,

거래품명을 'Desktop Computer'로 정정하여 관세 0%와 부가세 10%로 바로 잡아서 통관시켰다.

이 과정에서 관세청 담당자는 HC3를 셋톱박스로 오인하여 수입신고 정정에 3일이나 걸렸다.ㅠㅠ

험난한 배송과 통관 과정을 거쳐서 어렵게 조우한 HC3와 앞으로 몇 개월은 재미있게 놀지 싶다.