FHEM/Raspberry nach außen im Internet absichern?

Rasprobby · 23 Oktober 2016, 23:54:26

Ich möchte mit FHEM von unterwegs meine Heizung zu Hause steuern können.

FHEM läuft bei mir auf einem Raspberry. Da ich nicht der Linux-Experte bin und beim Absichern des Raspberry nach außen Bedenken habe (ob ich da alles richtig mache und alles bedacht habe), ist meine Frage, ob man das Sicherheitsproblem nicht evtl. über VPN lösen kann, wie dies bei Homematic vorgeschlagen wird, ohne dass man dann den Raspberry perfekt absichern müsste.

Wie handhabt ihr das denn?

Thyraz · 24 Oktober 2016, 09:03:45

Ich hab VPN direkt in der Fritzbox aktiviert und im Router dafür gar keine direkten Portweiterleitungen/-freigaben mehr drin.
Sprich, mein gesamtes Heimnetz ist von außen nur noch über VPN erreichbar.

Seit man auch mit Mobilgeräten problemlos über VPN reinkommt, halte ich das auch für die beste Wahl.

Man sieht in letzter Zeit ja gerade an den DDOS Attacken durch Inter-of-Things Geräte,
dass dies ein Problem ist.

Bei meinem Raspberry hätte ich da gar nicht die große Sorge,
den update ich ja selbst und kann entscheiden welche Ports offen sind und wie ich diese absichere.

Aber es fängt ja schon beim SAT-Receiver mit Linux an.
Keine Ahnung welche Software da so alles drauf rennt und ob da irgendwelche bekannten Exploits ungepatched bleiben.
Das Webinterface nur über VPN zur Verfügung zu stellen beruhigt einen doch ein wenig...

Bei anderen Geräten (Wlan-Wetterstationen, Bridges für Lampensysteme wie Hue, usw.), wo ich keine Ahnung habe was an Software drauf läuft,
möchte man evtl. gar nicht wissen was da an Scheunentoren offensteht.

Und wer einmal im Heimnetz drin ist, braucht auch keine offenen Ports im Router mehr um die nächsten Geräte (PC, Laptop) angreifen zu können.

Tedious · 24 Oktober 2016, 09:33:05

Ich denke eine solide Firewall-Regel in Kombi mit einem ReverseProxy sind ein recht guter Anfang... Bei mir biegt die FB den entsprechenden Port auf den ReverseProxy des RPIs um, dort wird nach Authentifizierung auf Port 8085 des RPIs umgebogen.

herrmannj · 24 Oktober 2016, 10:11:59

Klare Empfehlung zum VPN.

Reverseproxy und co nur wenn man sehr genau weiß worauf man sich einlässt und was man tut.

vg
joerg

Rasprobby · 24 Oktober 2016, 11:31:17

Zitat von: Thyraz am 24 Oktober 2016, 09:03:45
Ich hab VPN direkt in der Fritzbox aktiviert und im Router dafür gar keine direkten Portweiterleitungen/-freigaben mehr drin.
Sprich, mein gesamtes Heimnetz ist von außen nur noch über VPN erreichbar.

Hallo Thyraz,

heißt das eigentlich, dass es dann gar nicht so wichtig ist, wie gut der Raspberry abgesichert ist bzw. wie aktuell man den hält?

DeeSPe · 24 Oktober 2016, 11:44:36

VPN ist m.E. die beste Lösung.
Außer den VPN-Ports ist sonst nichts weiter nach Außen offen und es spielt überhaupt keine Rolle wie gut irgendwelche internen Hosts abgesichert oder gepatcht sind.

Gruß
Dan

CBSnake · 24 Oktober 2016, 12:51:08

Hi,

wie greift ihr, mir geht es um Android, über VPN zu?
Bisher nutze ich VPN mit Android nur dienstlich, dort ist es ziemlich "blöd" eingerichtet.
-> ich muss die VPN Verbindung manuell herstellen, kaum steht die sind alle anderen Apps nicht mehr in der Lage online zu gehen. Hab dort aber weder Lust, noch Möglichkeiten (Playstore etc gesperrt) andere Apps/Verbindungen auszuprobieren.
Wenn ich das jedesmal machen muss wenn ich die Heizung verstelle, das Licht anschalten will etc sinkt der WAF Faktor ;-(

Bisher nutze ich HTTPS sowie hauptsächlich WebViewControl als UI, welches mangels alternativer URL auch im heimischen Wlan den Umweg über das Internet macht.

Grüße
Achim

chris1284 · 24 Oktober 2016, 13:15:30

@Thyraz:

ZitatSprich, mein gesamtes Heimnetz ist von außen nur noch über VPN erreichbar.

nur weil an der fritzbox keine ports geöffnet wurden und nur vpn aktiv ist heist das noch lange nicht das geräte nicht raustelefonieren und darüber einen weg nach innen öffnen....
man muss, wenn man sicher sein will, auch die wege raus absichern und schauen was da alles so aufgemacht wird.

vpn ist toll aber oft nur auf den eigenen geräten praktikabel (eigenes handy, pc, laptop) und das auch oft nur über einen offenen zugang zum inet.
zudem für den laien einfach einzurichten.
in abgesicherten netzen mit proxys und auf geräten wo man nichts installieren kann sieht man dann schon alt aus. da find ich den reverseproxy und den einfachen aufruf einer gesicherten website per standard http/https schon einfacher und angenehmer

Rasprobby · 24 Oktober 2016, 13:34:57

Was ich noch problematisch bei FHEM auf dem Raspberry finde, ist, dass man nach einem Stromausfall die Stellmotoren für die Heizung wieder neu pairen muss, oder gibt es da einen Trick, wie sich das verhindern lässt?

CBSnake · 24 Oktober 2016, 13:50:15

Welchen Stellmotoren, Hersteller Typ etc, nutzt du denn?

Gesendet von meinem SM-P605 mit Tapatalk

herrmannj · 24 Oktober 2016, 14:05:51

Zitat von: CBSnake am 24 Oktober 2016, 12:51:08
Hi,

wie greift ihr, mir geht es um Android, über VPN zu?
Bisher nutze ich VPN mit Android nur dienstlich, dort ist es ziemlich "blöd" eingerichtet.
-> ich muss die VPN Verbindung manuell herstellen, kaum steht die sind alle anderen Apps nicht mehr in der Lage online zu gehen. Hab dort aber weder Lust, noch Möglichkeiten (Playstore etc gesperrt) andere Apps/Verbindungen auszuprobieren.
Wenn ich das jedesmal machen muss wenn ich die Heizung verstelle, das Licht anschalten will etc sinkt der WAF Faktor ;-(

Bisher nutze ich HTTPS sowie hauptsächlich WebViewControl als UI, welches mangels alternativer URL auch im heimischen Wlan den Umweg über das Internet macht.

Grüße
Achim

Vorsicht, HTTPS sorgt ja (bei korrekter Einrichtung) auch nur dafür das Du
a: sicher sein kannst wirklich mit _Deinem_ Server zu sprechen
b: niemand die Verbindung belauschen kann.

HTTPS gibt Dir keine Sicherheit das nicht das login (basic auth?) umgangen werden kann.

Theoretische Möglichkeiten eines Angriffs über einen reverse proxy sind sehr vielfältig. (Unter anderem) sind das auslesen von Passwörtern über Directory traversal auf dem Ziel System, die (theoretische!) Möglichkeit Systembefehle auszuführen in dem man perl code an fhem-urls hängt oder auch das irgendwelche urls als repeater ins private Netz funktionieren.

Https im Heimnetz ist wirklich blöd wenn die DSL Verbindung ausfällt da dann der (öffentliche) Name nicht mehr aufgelöst werden kann. Da hilft nur ein DNS im Heimnetz der dort auf die lokale IP auflöst.

vg
joerg

CBSnake · 24 Oktober 2016, 14:14:24

Deswegen wäre vpn ja schick

aktuell braucht webviewcontrol schon einige Sekunden vom Start bis zur möglichen eingabe, mit VPN on demand ( hab zwischenzeitlich gegoogelt

geht vpn wohl komfortabler aber dann kratze ich vermutlich schon am minutenbereich, das ist dann leider inakzeptabel.

Wenn das DSL ausfällt ist natürlich die Anbindung an FHEM mit den Handys weg. Ein Tablet an der Wand geht allerdings direkt auf die interne IP, das sollte dann ja noch gehen

Gesendet von meinem SM-P605 mit Tapatalk

Rasprobby · 24 Oktober 2016, 14:16:50

Zitat von: CBSnake am 24 Oktober 2016, 13:50:15
Welchen Stellmotoren, Hersteller Typ etc, nutzt du denn?

Hallo CBSnake,

ich habe ein paar FHT8v: http://www.fhemwiki.de/wiki/FHT_8v_direkt_ansprechen

Meinst du es liegt am Gerät?

CBSnake · 24 Oktober 2016, 14:19:52

Möglich das es an den FHT liegt, ich nutzte welche von Homematic, da kenn ich dieses Problem nicht, die arbeitet ja auch ohne FHEM ihr wochenprogramm ab. FHEM liest nur mit und kann bei Bedarf eingreifen (Temperaturen manuell setzen)

Gesendet von meinem SM-P605 mit Tapatalk

Rasprobby · 24 Oktober 2016, 14:21:55

Das Problem ist, dass die FHT8v die einzigen sind, bei denen man die Ventilöffnung in Prozent steuern kann, was bei uns wichtig ist, da wir eine Fußbodenheizung haben.

FHEM/Raspberry nach außen im Internet absichern?

chris1284