Ich möchte mit FHEM von unterwegs meine Heizung zu Hause steuern können.
FHEM läuft bei mir auf einem Raspberry. Da ich nicht der Linux-Experte bin und beim Absichern des Raspberry nach außen Bedenken habe (ob ich da alles richtig mache und alles bedacht habe), ist meine Frage, ob man das Sicherheitsproblem nicht evtl. über VPN lösen kann, wie dies bei Homematic vorgeschlagen wird, ohne dass man dann den Raspberry perfekt absichern müsste.
Wie handhabt ihr das denn?
Ich hab VPN direkt in der Fritzbox aktiviert und im Router dafür gar keine direkten Portweiterleitungen/-freigaben mehr drin.
Sprich, mein gesamtes Heimnetz ist von außen nur noch über VPN erreichbar.
Seit man auch mit Mobilgeräten problemlos über VPN reinkommt, halte ich das auch für die beste Wahl.
Man sieht in letzter Zeit ja gerade an den DDOS Attacken durch Inter-of-Things Geräte,
dass dies ein Problem ist.
Bei meinem Raspberry hätte ich da gar nicht die große Sorge,
den update ich ja selbst und kann entscheiden welche Ports offen sind und wie ich diese absichere.
Aber es fängt ja schon beim SAT-Receiver mit Linux an.
Keine Ahnung welche Software da so alles drauf rennt und ob da irgendwelche bekannten Exploits ungepatched bleiben.
Das Webinterface nur über VPN zur Verfügung zu stellen beruhigt einen doch ein wenig...
Bei anderen Geräten (Wlan-Wetterstationen, Bridges für Lampensysteme wie Hue, usw.), wo ich keine Ahnung habe was an Software drauf läuft,
möchte man evtl. gar nicht wissen was da an Scheunentoren offensteht.
Und wer einmal im Heimnetz drin ist, braucht auch keine offenen Ports im Router mehr um die nächsten Geräte (PC, Laptop) angreifen zu können.
Ich denke eine solide Firewall-Regel in Kombi mit einem ReverseProxy sind ein recht guter Anfang... Bei mir biegt die FB den entsprechenden Port auf den ReverseProxy des RPIs um, dort wird nach Authentifizierung auf Port 8085 des RPIs umgebogen.
Klare Empfehlung zum VPN.
Reverseproxy und co nur wenn man sehr genau weiß worauf man sich einlässt und was man tut.
vg
joerg
Zitat von: Thyraz am 24 Oktober 2016, 09:03:45
Ich hab VPN direkt in der Fritzbox aktiviert und im Router dafür gar keine direkten Portweiterleitungen/-freigaben mehr drin.
Sprich, mein gesamtes Heimnetz ist von außen nur noch über VPN erreichbar.
Hallo Thyraz,
heißt das eigentlich, dass es dann gar nicht so wichtig ist, wie gut der Raspberry abgesichert ist bzw. wie aktuell man den hält?
VPN ist m.E. die beste Lösung.
Außer den VPN-Ports ist sonst nichts weiter nach Außen offen und es spielt überhaupt keine Rolle wie gut irgendwelche internen Hosts abgesichert oder gepatcht sind.
Gruß
Dan
Hi,
wie greift ihr, mir geht es um Android, über VPN zu?
Bisher nutze ich VPN mit Android nur dienstlich, dort ist es ziemlich "blöd" eingerichtet.
-> ich muss die VPN Verbindung manuell herstellen, kaum steht die sind alle anderen Apps nicht mehr in der Lage online zu gehen. Hab dort aber weder Lust, noch Möglichkeiten (Playstore etc gesperrt) andere Apps/Verbindungen auszuprobieren.
Wenn ich das jedesmal machen muss wenn ich die Heizung verstelle, das Licht anschalten will etc sinkt der WAF Faktor ;-(
Bisher nutze ich HTTPS sowie hauptsächlich WebViewControl als UI, welches mangels alternativer URL auch im heimischen Wlan den Umweg über das Internet macht.
Grüße
Achim
@Thyraz:
ZitatSprich, mein gesamtes Heimnetz ist von außen nur noch über VPN erreichbar.
nur weil an der fritzbox keine ports geöffnet wurden und nur vpn aktiv ist heist das noch lange nicht das geräte nicht raustelefonieren und darüber einen weg nach innen öffnen....
man muss, wenn man sicher sein will, auch die wege raus absichern und schauen was da alles so aufgemacht wird.
vpn ist toll aber oft nur auf den eigenen geräten praktikabel (eigenes handy, pc, laptop) und das auch oft nur über einen offenen zugang zum inet.
zudem für den laien einfach einzurichten.
in abgesicherten netzen mit proxys und auf geräten wo man nichts installieren kann sieht man dann schon alt aus. da find ich den reverseproxy und den einfachen aufruf einer gesicherten website per standard http/https schon einfacher und angenehmer
Was ich noch problematisch bei FHEM auf dem Raspberry finde, ist, dass man nach einem Stromausfall die Stellmotoren für die Heizung wieder neu pairen muss, oder gibt es da einen Trick, wie sich das verhindern lässt?
Welchen Stellmotoren, Hersteller Typ etc, nutzt du denn?
Gesendet von meinem SM-P605 mit Tapatalk
Zitat von: CBSnake am 24 Oktober 2016, 12:51:08
Hi,
wie greift ihr, mir geht es um Android, über VPN zu?
Bisher nutze ich VPN mit Android nur dienstlich, dort ist es ziemlich "blöd" eingerichtet.
-> ich muss die VPN Verbindung manuell herstellen, kaum steht die sind alle anderen Apps nicht mehr in der Lage online zu gehen. Hab dort aber weder Lust, noch Möglichkeiten (Playstore etc gesperrt) andere Apps/Verbindungen auszuprobieren.
Wenn ich das jedesmal machen muss wenn ich die Heizung verstelle, das Licht anschalten will etc sinkt der WAF Faktor ;-(
Bisher nutze ich HTTPS sowie hauptsächlich WebViewControl als UI, welches mangels alternativer URL auch im heimischen Wlan den Umweg über das Internet macht.
Grüße
Achim
Vorsicht, HTTPS sorgt ja (bei korrekter Einrichtung) auch nur dafür das Du
a: sicher sein kannst wirklich mit _Deinem_ Server zu sprechen
b: niemand die Verbindung belauschen kann.
HTTPS gibt Dir keine Sicherheit das nicht das login (basic auth?) umgangen werden kann.
Theoretische Möglichkeiten eines Angriffs über einen reverse proxy sind sehr vielfältig. (Unter anderem) sind das auslesen von Passwörtern über Directory traversal auf dem Ziel System, die (theoretische!) Möglichkeit Systembefehle auszuführen in dem man perl code an fhem-urls hängt oder auch das irgendwelche urls als repeater ins private Netz funktionieren.
Https im Heimnetz ist wirklich blöd wenn die DSL Verbindung ausfällt da dann der (öffentliche) Name nicht mehr aufgelöst werden kann. Da hilft nur ein DNS im Heimnetz der dort auf die lokale IP auflöst.
vg
joerg
Deswegen wäre vpn ja schick ;-) aktuell braucht webviewcontrol schon einige Sekunden vom Start bis zur möglichen eingabe, mit VPN on demand ( hab zwischenzeitlich gegoogelt ;-) geht vpn wohl komfortabler aber dann kratze ich vermutlich schon am minutenbereich, das ist dann leider inakzeptabel.
Wenn das DSL ausfällt ist natürlich die Anbindung an FHEM mit den Handys weg. Ein Tablet an der Wand geht allerdings direkt auf die interne IP, das sollte dann ja noch gehen ;-)
Gesendet von meinem SM-P605 mit Tapatalk
Zitat von: CBSnake am 24 Oktober 2016, 13:50:15
Welchen Stellmotoren, Hersteller Typ etc, nutzt du denn?
Hallo CBSnake,
ich habe ein paar FHT8v: http://www.fhemwiki.de/wiki/FHT_8v_direkt_ansprechen
Meinst du es liegt am Gerät?
Möglich das es an den FHT liegt, ich nutzte welche von Homematic, da kenn ich dieses Problem nicht, die arbeitet ja auch ohne FHEM ihr wochenprogramm ab. FHEM liest nur mit und kann bei Bedarf eingreifen (Temperaturen manuell setzen)
Gesendet von meinem SM-P605 mit Tapatalk
Das Problem ist, dass die FHT8v die einzigen sind, bei denen man die Ventilöffnung in Prozent steuern kann, was bei uns wichtig ist, da wir eine Fußbodenheizung haben.
Stimmt das geht bei den Homematic nicht ;-) zu diesem Problem würde ich aber mal in nem separaten Thread fragen, hier geht die frage sicher unter
Gesendet von meinem SM-P605 mit Tapatalk
Zitat von: Rasprobby am 24 Oktober 2016, 13:34:57
Was ich noch problematisch bei FHEM auf dem Raspberry finde, ist, dass man nach einem Stromausfall die Stellmotoren für die Heizung wieder neu pairen muss, oder gibt es da einen Trick, wie sich das verhindern lässt?
Ziemlich krasser Themenwechsel :o
Zitat von: Rasprobby am 24 Oktober 2016, 14:16:50
Hallo CBSnake,
ich habe ein paar FHT8v: http://www.fhemwiki.de/wiki/FHT_8v_direkt_ansprechen
Meinst du es liegt am Gerät?
Um den krassen Themenwechsel mal in den vermeintlich richtigen Thread umzuleiten, möchte ich gern mal auf diesen Thread verweisen: https://forum.fhem.de/index.php/topic,55774.0.html
Denke, das könnte einiges erklären...
Nur um mal zu ergänzen:
gerade die aktuellen Angriffe durch Kleinstgeräte zeigt, das Sicherheit, auch ohne externen Zugriff, immer nötig ist. z.B. gibt es schon genug Angriffe "über die Bande", d.h. über inen PC (MAC etc.) im gleichen Netz. Der muss nicht mal selber betroffen sein, sondern "nur" ein Browserscript ausführen ... also JEDES Gerät im Netz sollte "up to date" sein.
Habe bei mir aktuell "nur" 3 Möglichkeiten von außen zuzugreifen:
1. SSH-Zugriff (aktuell und zusätzlich Fail2Ban)
2. FritzBox-VPN (leider kein Fail2Ban möglich :o( )
3. HTTPS-Proxy weiterleitung ... aber eigentlich könnte ich auf die verzichten ;o)
Zitat von: chris1284 am 24 Oktober 2016, 13:15:30
...da find ich den reverseproxy und den einfachen aufruf einer gesicherten website per standard http/https schon einfacher und angenehmer
Kannst Du da etwas mehr zu sagen/schreiben?
Hast Du dazu einen separaten Webserver auf dem "Raspberry" laufen?
Standardmäßig kommt FHEM ja mit dem "internen" Webserver und Authentifizierung aus.
Somit gäbe es nur ja oder nein.
Ich will auf folgendes Szenario hinaus:
- Zugang von extern per https auf Server - vorh.
- Webserver mit virtual_hosts und Authentifizierung bei externem Zugriff (intern darf direkt) - vorh.
- ReverseProxy auf FHEM-Raspi (somit ohne FHEM-eigene Authentifizierung) - wie?
(Bisher separate direkte Portweiterleitung von Fritzbox auf FHEM-Rechner mit FHEM-Authentifizierung - soll weg)
Ideen, Alternativen, Vorschläge?
Wenn Du einen laufenden, internen erreichbaren Webserver hast, kannst Du diesen als Reverseproxy verwenden. Am besten mit Autentifizierung im Webserver, d.h. ohne Authentifizierung bekommt fhem nichts davon mit.
Hintergrund:
Die Authentifizierung im Webserver ist "von Experten" geprüft .....
Da ich nicht weiß, welchen Webserver Du verwendest, kann ich Dir nicht sagen, wie Du es einrichtest....
Stichwort ist Apache und ReverseProzy. Z.B. hier:
https://thomas-leister.de/apache-reverse-proxy-mit-ssl-support-einrichten/ (https://thomas-leister.de/apache-reverse-proxy-mit-ssl-support-einrichten/)
Zitat von: Hollo am 25 Oktober 2016, 11:58:36
Kannst Du da etwas mehr zu sagen/schreiben?
Hast Du dazu einen separaten Webserver auf dem "Raspberry" laufen?
Standardmäßig kommt FHEM ja mit dem "internen" Webserver und Authentifizierung aus.
Somit gäbe es nur ja oder nein.
Ich will auf folgendes Szenario hinaus:
- Zugang von extern per https auf Server - vorh.
- Webserver mit virtual_hosts und Authentifizierung bei externem Zugriff (intern darf direkt) - vorh.
- ReverseProxy auf FHEM-Raspi (somit ohne FHEM-eigene Authentifizierung) - wie?
(Bisher separate direkte Portweiterleitung von Fritzbox auf FHEM-Rechner mit FHEM-Authentifizierung - soll weg)
Ideen, Alternativen, Vorschläge?
fhem auf server, apache als reverseproxy mit https und pw ( clientauth mit zertifikat funktioniert auch hervorragend!). der fhem webserver muss nicht angefasst werden. port 433 an den pc mit dem reverseproxy weitergeleitet