Unsicher ohne https ?

[Rampler]

Hallo zusammen,
habe FHEM seit längerem schon am laufen, allerdings ohne https und ohne Passwort. FHEM läuft aber nicht als root (rpi).
Zugriff erfolgt eigentlich nur vom eigenem Hausnetz (192.168.1.x). Es gibt nur eine Ausnahme über das Handy, dafür muss ich aber dann einen VPN zur Fritzbox aufbauen (bei Bedarf). Portweiterleitungen gibt es auch nicht.
Ich bin der Meinung das sollte reichen !
Oder irre ich da ?
Wie seht Ihr das ?

VG
Klaus

[DeeSPe]

Naja, ohne Passwort darüber würde ich nochmal nachdenken.
In Deinem Szenario reicht auch http.

Ich komme selbst auch nur per VPN auf mein Netzwerk und nutze auch nur http.
Ein Passwort hat meine produktive FHEM Instanz trotzdem, man weiß ja nie...
Bei Gelegenheit wollte ich den ganzen IoT-Kram auch mal in ein eigenes VLAN stecken, auf das dann nur bestimmte Geräte Zugriff haben, um "mögliche Angriffe aus dem Freundeskreis" aus meinem WLAN zu unterbinden.
Sicher kann es niemals genug sein, https halte ich aber für nicht nötig sofern FHEM nicht aus dem Internet erreichbar ist.

Gruß
Dan

[NehCoy]

Hallo!

Da haben viele ein falsches Verständnis! https ist ja nur eine verschlüsselte Datenübertragung zwischen Server und Client, so das Dritte nicht mitlesen und/oder manipulieren können. Das hat nichts mit einer Authentifizierung in Form von User Credentials (sprich Benutzername und Passwort) zu tun. Viele Webseiten, sind inzwischen verschlüsselt (https), aber hierbei ist keine Anmeldung erforderlich. Wenn du nicht möchtest, dass ein Dritter auf deine FHEM-Seite kommt musst du einen Benutzernamen und Passwort einrichten. - Per https würde es nur gehen, wenn serverseitig nur bestimmte Client-Zertifikate zulässt...

Edit 2
Wenn sich also keine unerwünschten Leute in deinem Netzwerk rumtreiben (Freunde in diesem Fall ausnahmsweise mal inbegriffen), benötigst du meines Erachtens keine Anmeldung in FHEM. Sollte jemand in dein Netzwerk eindringen (und hier gilt von Innen (z.B. Virus/Trojaner auf einem im Netzwerk angemeldeten Gerät (PC, Tablet, Smartphone)), wie von Außen (direkter Angriff und Ausnutzung einer Sicherheitslücke im Router und/oder dessen Konfiguration inkl. WLAN) ist es schlussendlich schon fast egal, ob der Angreifer auf die FHEM Seite kommt oder nicht.

Grüße
NehCoy

Edit 1
P.S.:

Bei Gelegenheit wollte ich den ganzen IoT-Kram auch mal in ein eigenes VLAN stecken, auf das dann nur bestimmte Geräte Zugriff haben, um "mögliche Angriffe aus dem Freundeskreis" aus meinem WLAN zu unterbinden.

Besser ist es umgekehrt: Die Freunde in ein eigenes Subnetz verlegen. Viele Router (insbesondere Fritzbox) bieten diese Option und richten ein entsprechendes Subnetz für das Gastnetzwerk ein. Dieses kann dann auch über LAN verfügbar gemacht werden ...

[Wernieman]

N aja .. es muß nicht gleich ein Virus sein, es "reicht" schon ein passendes "javascript". Solche Angriff über die Bande eines Client-PCs sind heute auch schon "produktiv" angewendet worden, z.B. um router, die nur von "innen" konfiguriert werden können, anzugreifen.

Man sollte sich also sicherheitstechnisch nicht ausruhen mit dem Argument "ist nur von innen erreichbar".

ich stimme aber zu, das hierzu ein http reicht.

Edit:
Die Begründung " fhem läuft unter eigenem User" halte ich im Sicherheitsbereich etwas ... kurz. Dieses ist wichtig für die Sicherheit, aber selber KEINE steigerung der Sicherheit. FHEM erlaubt über die EIngabe direkt perl-Befehle einzugeben, d.h. ein Angreifer hat die fhem-User-Rechte. Ein "guter" schafft es damit, sich auf die root-Ebene hochzuhangeln, insofern ist "eigener user" eine Hürde um einen 0815-Angreifer auszuhebeln. Keine Grundlösung der Sicherheit.

Btw. Sicherheit ist kein einmaliges Projekt, sondern ein Prozess, der leben soll (und muß)

[NehCoy]

Solche Angriff über die Bande eines Client-PCs sind heute auch schon "produktiv" angewendet worden, z.B. um router, die nur von "innen" konfiguriert werden können, anzugreifen.

Jain. Das ist zwar einerseits richtig, was du schreibst, aber bei diesem "Angriff" ist vorausgesetzt, dass der Router auf seiner Default-IP-Adresse erreichbar ist. Da viele ... eher die meisten ... diese nicht ändern, ist diese Methode recht erfolgreich*. Ferner werden gezielt Angriffsmethoden für den Routertyp genutzt. Die Wahrscheinlichkeit, dass ein Angreifer gezielt nach einem offenen FHEM-Server im Netzwerk sucht tangiert meiner Meinung nach gegen Null. Den dazu erforderlichen Port-Scan (um die IP-Adresse des FHEM-Servers erstmal zu finden), muss der Angreifer in JavaScript manuell implementieren, da JavaScript dies nicht von Haus aus unterstützt.
Anders sieht es aus, wenn man sich über einen Exploit eben einen Virus/Trojaner/Wurm einfängt. Verfügt dieser über einen Fernzugriff kann der Angreifer über das befallene in deinem Netzwerk erstmal tun und lassen was er möchte, sofern diese Möglichkeiten nicht anderweitig begrenzt oder zumindest erschwert werden. Hierzu zählen entsprechende Netzwerkarchitekturen, Firewalls usw.

*doof bei einer Fritz!Box die auch über die Domain "fritz.box" erreichbar ist.

Btw. Sicherheit ist kein einmaliges Projekt, sondern ein Prozess, der leben soll (und muß)

Security ist sehr wichtig! - Aber man sollte dennoch stets abwägen, was sinnvoll ist und was übertriebene "Paranoia". Denn es gilt nämlich auch:

Code Auswählen Erweitern


                1
Security = -----------
            Usability

[nils_]

*doof bei einer Fritz!Box die auch über die Domain "fritz.box" erreichbar ist.

oder die alternativ-ip 

[NehCoy]

oder die alternativ-ip 

Nop! - Dazu müsstest du die IP des Hosts ändern, um auf dieses IP-Band (169.254.1.xxx, Subnet 255.255.255.0) zugreifen zu können.

[Wernieman]

Also per script die Adresse des Routers des aktuellen PCs rauszubekommen .. nicht das Problem.

Ich stimme Dir aber zu, das (aktuell) FHEM so wenig vertreten ist, das es kein Angriffspunkt (und eben die aktuelle Adresse erratbar sein muß). Es sei denn, jemand will "DICH" angreifen ....

Security ist sehr wichtig! - Aber man sollte dennoch stets abwägen, was sinnvoll ist und was übertriebene "Paranoia". Denn es gilt nämlich auch:

Aber dann bitte nicht schreien, wenn gehackt .. 

Ernsthaft: Wenn man es sich klar ist, dann könnte man, aber den meisten ist es eben nicht klar

Und mit:

1
Security = -----------
            Usability

Ist Windows groß geworden und wir wissen, was daraus geworden ist. Mittlerweile wissen die, das es nicht immer so stimmt. Und APple ... reden wir von was anderem 

P.S. Lass es uns aber mal in einem anderen Thread darüber diskutieren   

[NehCoy]

Ernsthaft: Wenn man es sich klar ist, dann könnte man, aber den meisten ist es eben nicht klar

Es wird ständig Aufwand und Nutzen abgewogen!  Nennt sich "Threat and Risk".
Wenn man es nicht richtig macht bzw. falsch bewertet, kann das für den (End)Anwender schlecht ausgehen.
Aber eins sollte jedem klar sein: 100,0% Schutz gibt es nicht!
Wo ein Wille, da ein Weg! - Die Frage ist nur, wie aufwändig und steinig er ist!

P.S. Lass es uns aber mal in einem anderen Thread darüber diskutieren   

Von mir aus gerne ...
Musst mich nur dazu einladen.