Die Qual der Wahl.... (suche Tipps für Systemumstieg)

Begonnen von HeizungsKuno, 30 Oktober 2021, 17:22:15

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten 1 2 Alle
Benutzer-Aktionen

MadMax-FHEM

#15
13 November 2021, 13:30:50 Letzte Bearbeitung: 13 November 2021, 13:32:58 von MadMax-FHEM
Zitat von: Gisbert am 13 November 2021, 12:44:17
Eine Frage meinerseits, deshalb *offtopic:
meine ESP8266-Wlan-Geräte befinden sich alle in einem separaten VLAN, denen ein Zugriff von innen nach außen auf das Internet verwehrt ist. Selbst wenn jemand diese Geräte wie auch immer kapern sollte, dann kann er über diese Geräte keine Verbindung ins Internet aufbauen. Ist dieses Konstrukt ein Beitrag zur Erhöhung der Sicherheit, oder nur ein nettes Konstrukt, da es anderweitig leicht umgangen werden könnte?
*offtopic Ende

Viele Grüße Gisbert

[OT "Fortsetzung" ;)  ]

Nicht jeder hat eine eigene SSID mit eigenem Passwort und vLAN ohne Zugang zu nix ;)

Also ich habe das auch so.
Und selbst wenn das WLAN-PW gekapert wird, dann kann ein Angreifer mMn nix machen, weil: aus dem vLAN kommt er nirgends hin und auch nicht mal ins Internet...

Einzige verbleibende "Schwachstelle" mein fhem "pollt" den ESP via HTTPMOD, also da könnte dann ein Angreifer was einschleusen...
Und ja: bewusst "pollen", weil sonst müsste ich ja dem ESP zumindest per mqtt o.ä. erlauben irgendwo hin zu kommen ;)

Und ich denke für die ist es auf jeden Fall zu überlegen, ob das "gut so" ist...

Bzw. würde mich auch interessieren, ob ich falsch liege...

[Ende OT]

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

rudolfkoenig

#16
13 November 2021, 14:06:17
ZitatUnd ja: bewusst "pollen", weil sonst müsste ich ja dem ESP zumindest per mqtt o.ä. erlauben irgendwo hin zu kommen ;)
Ich sehe zwischen den beiden Varianten (die Geraete einzeln pollen vs. allen Geraeten den Zugang zu einem MQTT-Server freischalten) nur einen Unterschied: im ersten Fall kann ein wildgewordenes Geraet den MQTT Server (und FHEM) nicht mit DOS stoeren. Das WLAN zu sabotieren ist weiterhin moeglich. Aus "Code Einschleusen" Sicht sehe ich keinen prinzipiellen Unterschied, dafuer spart man beim MQTT das Pollen.

Wernieman

#17
13 November 2021, 16:27:25
Ich habe bei mir die ESP8266 auch in einem eigenen WLAN. Nur ist der WLAN-Controller der FHEM-Server, Damit können die ESP8266 mit FHEM reden und FHEM mit denen. Egal ob MQTT oder FHEM-espeasy/ Pushen oder Pollen, aber ins netz kommen sie nicht. Auch das Hausnetzt kommt nicht auf die ESP. Saubere Trennung.

Ich persönlich sehe jetzt kein Unterschied zwischen Pushen und Pollen, aber eine Trennung der Netze/Aufgaben macht immer Sinn.
- Minimiert die Angriffsfläche
- Minimiert den Schaden bei einen Angriff, da eben die 0815 24/7-Geräte nicht ins Netz kommen (z.B. kein DDOS Angriff einer Webside über Euren Anschluß)
Mann sollte sich aber klarmachen: Einen ernsthaften Angreifer, der Euch kennt und direkt angreift, wird es nicht abhalten. Aber der wird sich normalerweise nicht um Euch kümmern. Der hat "bessere" Ziele (Hoffentlich).

Hinweis: Mit "Euch" meine ich meinereiner auch. Bin mir klar, das ein echter Angriff, eines persönlichen Angreifers, maßgeschneidert auf meinereiner, mich in "Grund und Boden" rammt. Dagegen kommt (hoffentlich) ein auf automatismen setzender Angreifer bei mir nicht rein.
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

MadMax-FHEM

#18
13 November 2021, 19:39:15
Zitat von: rudolfkoenig am 13 November 2021, 14:06:17
Ich sehe zwischen den beiden Varianten (die Geraete einzeln pollen vs. allen Geraeten den Zugang zu einem MQTT-Server freischalten) nur einen Unterschied: im ersten Fall kann ein wildgewordenes Geraet den MQTT Server (und FHEM) nicht mit DOS stoeren. Das WLAN zu sabotieren ist weiterhin moeglich. Aus "Code Einschleusen" Sicht sehe ich keinen prinzipiellen Unterschied, dafuer spart man beim MQTT das Pollen.

Naja einen (kleinen) Unterschied sehe ich schon noch: in der Firewall ist bei mqtt ein "Loch", weil ja der ESP (oder was auch immer) ja "einfach" dorthin Pakete schicken kann/will/soll, beim pollen eben nicht ;) (bzw. nat. nur aus Richtung fhem aber nicht umgekehrt, wie bei mqtt). D.h. ein gekaperter ESP kann einfach auf den Port feuern...
...beim Poll-Szenario gibt es keinen Port wo hingefeuert werden kann. Wenn fhem nicht (mehr) frägt ist Ruhe in der Kiste :)

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

Wuppi68

#19
13 November 2021, 22:37:34
Zitat von: Gisbert am 13 November 2021, 12:44:17
Eine Frage meinerseits, deshalb *offtopic:
meine ESP8266-Wlan-Geräte befinden sich alle in einem separaten VLAN, denen ein Zugriff von innen nach außen auf das Internet verwehrt ist. Selbst wenn jemand diese Geräte wie auch immer kapern sollte, dann kann er über diese Geräte keine Verbindung ins Internet aufbauen. Ist dieses Konstrukt ein Beitrag zur Erhöhung der Sicherheit, oder nur ein nettes Konstrukt, da es anderweitig leicht umgangen werden könnte?
*offtopic Ende

Viele Grüße Gisbert

Hallo Gisbert,

der ESP kann zwar nicht ins Internet, aber auch dieser kann gegebenfalls über Bande spielen ...

Heute machen die Bösen alles was der liebe Gott nicht exliziet verboten hat - im Endeffekt kommt es bei uns im Heimbereich auf die persönliche Risikobewertung an und dafür muss immer das Gesamtsystem betrachtet werden. Ist halt wie mir der Sytemverfügbarkeit - 99% bedeuten bis zu 3,65 Tage Ausfall im Jahr

Aber lass uns damit nicht das Thema kapern

Grüße aus Dänemark

Ralf
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

HeizungsKuno

#20
14 November 2021, 13:09:59
Zitat von: Wernieman am 13 November 2021, 12:01:08
Ich muß gestehen, das ich das Argument "Läuft doch nur intern, keine externe Verknüpfung" nicht mehr gut finde (Habe "früher" auch so gedacht). Meistens befindet sich im gleichen Netz ein PC mit Browser, so das "über Bande" Angriffe gefahren werden können, bzw. gefahren werden. Auf FHEM zwar eher selten (mir nicht bekannt), sondern eher auf die Router. Trotzdem sollte man es nicht "auf die leichte Schulter" nehmen. z.B. WLAN-Geräte ohne Update ... können kurzfristig ein "nettes" Ziel geben (bzw. wurden schon als Ziel genommen)

Ja, da stimme ich zu. Jedoch geht es immer auch um Risikoabschätzung. 14.04 ist ja nicht offen wie ein Scheunentor und da gibt es auch nichts Spannendes für Hacker (keine Root-Passwörter oder Zugänge zu anderen interessanten Systemen)....
Wenn da andere wichtige Dienste drauf laufen würden, täte ich das aufrüsten..... 100% Sicherheit gibt es nicht.... und die relative Sicherheit vom 14.04er Server reicht mir aus...


HeizungsKuno

#21
14 November 2021, 13:11:53
Zitat von: Beta-User am 13 November 2021, 11:31:15
Bin nicht sicher, habe aber den Eindruck, dass dann die "eqiva" (BlueTooth) Serie von eQ-3 am ehesten ins "Beuteschema" paßt. Das kann afaik (modellabhängig) auch autarke (flexible) Wochenprofile und es müßte eine "Handy-App" geben. FHEM-Integration könnte vermutlich parallel laufen.

Na, dass ist ja auf jeden Fall super günstig und klingt sehr interessant. Danke für den Tipp, das schaue ich mir auch mal an...  :)
Drucken
Nach oben Seiten 1 2 Alle
Benutzer-Aktionen