Hi,
ich habe hier im Forum gelesen, dass man den Default-AES-Key ändern soll.
Auf meinem brandneuen HMLAN ist ein AES-Key aufgedruckt. Wie soll den jemand kennen? Oder geht es um etwas anderes?
Danke!
dero
Hallo dero,
der HMLAN hat 2 AES-Keys.
Der Aufgedruckte ist für die verschlüsselte Netzwerkkommunikation zwischen Rechner und HMLAN. Diesen musst du für FHEM ausschalten.
Der AES-Key für die Funkübertragung willst du ändern. Dieser ist nämlich werksseitig bei allen HMLAN gleich.
Gruß
Dirk
Wie sieht es eigentlich mit der Sicherheit aus, wenn jemand sich Zugang zu meinem LAN verschafft und LAN-AES ausgeschaltet ist? Kann er dann über meine HMLan die Haustür öffnen???
dero
ja!
Irgendwo hatte ich hier gelesen, dass jemand an der LAN-AES-Verschlüsselung arbeitet. Wie weit sind wir da?
dero
leider keine Ahnung.
Martin
ZitatWie sieht es eigentlich mit der Sicherheit aus, wenn jemand sich Zugang zu meinem LAN verschafft und LAN-AES ausgeschaltet ist? Kann er dann über meine HMLan die Haustür öffnen???
Ja, aber er müsste ja auch Zugriff auf den Sender bekommen (bei dir vermutlich der HMLAN). Wenn FHEM läuft, kann sich die Windows Software nicht mehr mit dem HMLAN verbinden.
Ich weis nicht ob man mit einer anderen Software irgendwie Zugriff auf den HMLAN bekommen kann wenn gleichzeitig FHEM schon damit kommuniziert. Vielleicht weiss das ja jemand ganz genau?Wenn ein paralleler Zugriff nämlich ausgeschlossen ist, würde es vermutlich ausreichen, Deinen FHEM Server so abzusichern, das er nicht heruntergefahren wird und auch keiner auf das Webinterface kommt ;)
Ausserdem müsste er Deine HMID kennen (also per Funk mitsniffen oder Zugriff auf die Config Datei von FHEM bekommen).
Wenn Du also nur Angst hast das ein Böser Hacker aus China Deine Tür öffnet, würde es reichen die HMID ausreichend abzusichern.
Ansonsten gehe ich von außerhalb nur per VPN in mein Heimnetz, offene Ports wären mir auch zu unsicher.
Ich kann mehrere telnetsessions auf FHEM aufmachen. Uns schon damit kann ich alles steuern.
Korrekt, der HMLAN erlaubt nur eine session (soweit ich weiss). Aber wenn man es schafft die Verbingung zum Abstürz zu bekommen kann man sich in diese eine Verbingung einhäcken. Dann ist es auch egal ob der FHEM server oben bleibt.
Ich gehe davon aus, dass jemand der sich in mein Heimnetzwerk einhäcken kann UND sich etwas mit HM/FHEM auskennt auch die fragile Verbindung FHEM/HMLAN knacken kann. Der Rest ist ein Kindespiel.
Vor anderen Leuten musst du keine Angst haben - jedenfalls nicht auf diesem Weg.
Ein AES am LAN sollte hier einen deutlichen Level Sicherheit addieren.
Auf der anderen Seite sollte das LAN sowieso gut hoffentlich abgeschottet sein.
Die HMID mitzusniffen ist ein Kinderspiel - diese sind quasi öffentlich. Jemand der einbrechen will und sich hier die Mühe macht hat sicher einen kleinen sniffer im Auto in Reichweite!
Ein böser Hacker aus China ist in meinen Augen nicht das Problem Wenn der meine Tür öffnet muss er schnell ins Flugzeug bevor ich zu hause bin.
Real sind sicher Einbrecher die sich Gedanken manchen wie sie solche Systeme hacken können. Wenn die Verbreitung des Systems gross genug ist lohnt sich auch der Aufwand es zu hacken.
Gruss Martin
ZitatEin AES am LAN sollte hier einen deutlichen Level Sicherheit addieren.
Sobald das Netzwek kompromitiert ist. Ist dieses auch egal.
Dann greife ich FHEM halt direkt an. Oder schaue mir die Config-Datei an, wo der HM-LAN-Schlüssel dann ja gespeichert sein müsste.
Ich Denke, wenn die Hausautomatisierungssysteme in Zukunft zunehmen, muss man sich hier grundlegende Gedanken um die Sicherheit Machen.
Am sichersten währ es, sicher den HM-Lan und den Rechner / Server auf dem FHEM läuft physisch vom restlichen Netz zu trennen. Aber wer will das schon? Man kann das auch mit einer Firewall schützen. Oder was auch immer.
Gruß
Dirk
FHEM direkt angreifen sollte nicht gehen, wenn man per SSL+PW schützt, oder?
Also, ich würde mich gerne bei AES engagieren, wie ist denn da der Stand?
dero
das war die Frage.
Stand ist, dass AES zwischen HMLAN und des Device eingeschaltet werden kann. Zum Einschalten braucht man die HM-PC-SW.
Offen ist AES über CUL und AES zwischen FHEM und HMLAN. Mir nicht bekannt dass hier schon jemand etwas angefangen hat.
Gruss Martin
Ich meine AES zwischen HMLAN und FHEM.
das hier? -> http://forum.fhem.de/index.php?t=rview&goto=78791&th=12954 (//forum.fhem.de/index.php?t=rview&goto=78791&th=12954)
dero
ich dachte das ist zwischen HMLAN und den Devices - nicht sicher.
Im Prinzip bin ich ziemlich blank hier.
Um es zu impelmentieren brauchen wir den Algorithmus zum kodieren/dekodieren, das Verfahren zum generieren/austauschen der Schlüssel sowie das Protokoll.
Das Protokoll auf der Luft habe ich gemessen, ist einfach. Das vergeben der Schlüssel habe ich auch gemessen, aber nicht verstanden aus was diese gemacht werden. Jedes Device hatte einen Eigenen, den HMLAN erstellt/modifiziert hat.
Wo willst du anfangen?
Gruss Martin
bitte nicht missverstehen, aber ich finde das etwas extrem.
Gefühlt ist das Thema Sicherheit bei vielen hier nicht so im Fokus und ich finde es sehr gut das zu thematisieren.
Aber wenn ich jetzt wirklich jemanden im LAN hab - dann hab ich doch ganz andere Probleme als den Kabel-AES zum HMLAN Adapter ?
Ganz pragmatisch würde jemand der sich die Mühe macht ins LAN einzubrechen wohl auch eher Deinen Server vornehmen. Denk an Dein fhem-telnet password und überschlage mal wie lange das einem brute-force aus dem lokalen Lan standhalten würde.
Abgesehen davon dürfte ein Einbruch ins LAN mit dem *Ziel* die Tür auf zumachen für bad-guys total unökonomisch sein. (Zeitaufwand, notwendiges Wissen vs. Brechstange fürs Fenster ...)
Wenn wir aber schon mal bei Hightech Einbrechern sind:
Viel kritischer sehe ich in dem Zusammenhang das viele Luftschnittstellen (FS20, IT, MAX, X10 ...) komplett offen sind.
Bei HM und der Keymatic stellt die AES, zumindest in der Theorie) ja noch eine Hürde dar. Aber da sollte man auch doppelt kritisch drauf schauen, die Sicherheit steht und fällt ja mit der korrekten Implementierung des Algorithmus und auch der Menge der Challenges die das Schloss zur Verfügung hat (oder der Qualität des eingesetzten Zufallsgenerators).
Wenn ich mir jetzt überlege das da ein kleiner Atmel im Stromsparmodus drin werkelt und die Programme closed source sind und EQ3 sichr keine Spezialisten dafür eingeflogen hat -dann weiß ich zumindest wo ich ansetzen würde, da haben schon ganz andere Hersteller voll gepatzt ....
Die Standards zur WLAN Verschlüsselung wurden mittlerweile gefühlte 5 mal erneuert weil sie eben doch Angriffsvektoren boten und dort hatten hunderte (tausende?) von Security Champs *vorher* ganz genau drauf geschaut.
Nochmal, ich möchte da niemandem zu Nahe treten, aber manchmal muss man eben auch wie man so schön sagt "die Kirche im Dorf lassen".
viele Grüße
Jörg
Hallo Jörg,
Grundsätzlich liegst du sicher richtig. Aber jeder muss es selbst wissen. Security ist ein komplexes Thema. Wenn jemand den Code zu Verfügung stellt würde ich versuchen es einzubauen damit es genutzt werden kann.
Ich für meinen Teil sehe es so:
Lichtschalter, Heizung, Rollo und Ähnliches sind nicht security relevant. Erst wenn mein Nachbar mich ärgern will und meine Rollos/lichter manipuliert werde ich hier Aktiv - hoffentlich nie.
Eine ganz andere Baustelle ist die Haustüre und alles was zu Alarmanlagen gehört. Hier und nur hier würde ich mir Gedanken machen - dann aber intensiv.
Faktisch ist es hier nicht anders als im übrigen Computer Business. Wenn einer mein Heimnetz hackt - wird er in mein Haus einbrechen oder wird er mein Bankkonto knacken?...
Hier sind auch immer wieder unsichere User die angst haben eine HMID zu posten. Diese könnte jeder hacker, wenn er in der nähe des Hauses einen Empfänger betreibt aus der Luft fischen. Es zeigt die Unsicherheit einiger.
Sicher hast du recht dass es viel wichtiger ist sein LAN/WLAN zu schutzen - da liegt meist mehr "herum" das interessant sein könnte.
Gruss Martin
Hi Martin,
ganz genau. Finde Deine Haltung was das angeht übrigens vorbildlich.
Mein Gefühl war das der TO sich, absolut gerechtfertigt, Gedanken zur Sicherheit seiner Installation macht ohne die Risiken richtig zu werten zu können und so ein Forum soll helfen. Mir ist klar wie das mit den ungefragten Ratschlägen ist, trotzdem:
AES zwischen FHEM und dem HMLAN ist ein theoretischen Problem, die gleiche Zeit echt aufs Netzwerk verwendet ist ganz praktische Sicherheit! Natürlich habe ich keine Ahnung was dort schon getan wurde, aber aus Erfahrung: dort kann man wirklich nicht genug (Zeit/Wissen) investieren.
FHEM nach außen absichern! Zugang zu FHEM übers WAN wirklich eher dreimal durchdenken & planen. Wenn möglich VPN.
Bzgl der Funkschnittstelle sehe ich das einen Tick differenzierter. HM/Keymatic gehört aktuell zu dem Sichersten was man kaufen kann. AES ist schon mal gut. Für einen Einbrecher, glaube ich, ist es Stand heute einfach uninteressant sich da know how anzueignen, gemessen an der Anzahl der Häuser/Wohnungen viel zu selten. Nur, wenn ich heute eine Keymatic in die Haustür einbaue dann kann die schon mal 10-15 Jahre da drin sein. Solange wie sie halt funktioniert.
15 Jahre: dann haben wir 2027. Schon möglich das (Achtung Buzzword:-) "Smart Home" dann nicht mehr die Ausnahme sondern eher normal ist. Wenn das so kommen sollte dann werden bad guys mit genug Know How und einem SDR um (und in ;-) die Häuser ziehen.
Dem (Funk-)AES stehe ich mit einiger Skepsis gegenüber. AES funktioniert und ist sicher! Soweit ich weiß sind derzeit keine Schwachstellen bekannt. Aber nur und ausschließlich, wenn es wirklich korrekt programmiert ist. Genau da liegt der Hase im Pfeffer. Programmierer welche die Math dahinter auch wirklich verstehen sind echt, echt selten. Der Rest (99%) der Programmierer schreibt aus existierenden Bibliotheken ab (ansonsten halt mal stackoverflow) und funktionieren bedeutet das der Compiler keine Fehler mehr meldet auf der anderen Seite was ankommt. Wenn dann wirklich mal einer der (guten & seltenen) Security Jungs genau hinschaut, oft Jahre später, dann fallen die zum Großteil durch ... (gerade heute wieder: Android & SSL Zufallszahlen & Fork -> fail).
deswegen Tip 2: keinesfalls darauf verlassen! Unbedingt so planen das die Keymatic nicht der ausschließliche Schutz ist. Das Backup darf selbstredend dann auch nicht aus der HM Familie stammen. Bei einem mechanischen Schloss ist ja auch jedem klar das sich ein Metall-Schlüssel nachmachen lässt, genau die gleiche Haltung ist hier angebracht.
viele Grüße
Jörg
So, hier ist mein geplanter "Hotfix" für das Problem:
- RPi über WLAN mit Router verbunden. FHEM läuft auf dem RPi.
- HMLan direkt am RPi über LAN verbunden, quasi als geschlossenes Mini-Netz.
- RPi und HMLan hänger an einer USV.
- Beides im Haus unter meinen Socken versteckt.
Falls Einbrecher kommen, bin ich als geschützt gegen Manipulation, da RPi+HMLan völlig autark sind. Einbrecher können also auch durch eine Überspannung auf der LAN-Leitung die Anlage nicht killen (war meine Befürchtung, dass die 220V auf die Ethernetkabel geben und damit alles zum Schmelzen bringen.)
Ahja: Hat jemand eine USV-Empfehlung für Rpi (5V) und HMLan (7,5V)?
dero
Hi,
habe ein kleines Problem. Ich habe eben über die Windows-Software "HomeMatic-Komponenten konfigurieren" den werksseitigen System-Sicherheitsschlüssel meines HMLan-Adapters geändert. Der neue System-Sicherheitsschlüssel (16 stellig, ohne Sonderzeichen) scheint daraufhin automatisch auf meinen Keymatic und den HM-Bewegungsmelder übertragen worden zu sein, welcher ebenfalls AES unterstützt. In der Windows-Software konnte ich daraufhin auch Änderungen (Tür-Auf-Haltezeit) des Keymatic anpassen, so dass die Kommunikation zwischen HMLan und Keymatic augenscheinlich funktioniert. Zurück in FHEM kann ich wie bisher alle meinen nicht-AES-fähigen Homematic-Geräte schalten und bekomme auch den Status meines per AES verbundenen HM-Bewegungsmelders angezeigt. Nur kann ich über FHEM jetzt nicht mehr den Keymatic steuern. Wenn ich über FHEM z.B. den "set_open"-Befehl an den Keymatic absetze, sehe ich auf dessen Display, dass eine Übertragung stattfindet, er schaltet aber nicht, als ob die Keys nicht zueinander passen. Hat jemand eine Idee, woran das liegen könnte bzw. was ich bei der Konfiguration vergessen habe?
Grüße
Jörg
Hallo Jörg,
der key musn im HMLAN hinterlegt werden. Man kann 3 keys hinterlegen.
Hast du den neuen Key hinterlegt? Attribute hmKey
Wie genau HMLAN feststellt, welcher key genutzt wird habe ich nicht verstanden. Wenn man es einträgt entsprechend den Setting der PC SW sollte es funktionieren.
Gruss Martin
Hi Martin,
danke für den Hinweis mit dem Attribut hmKey. Wenn ich den Key (in der Windows-Software als DDb56c2NJaR7XzEE eingegeben) als Attribut in FHEM hinterlege, formatiert FHEM ihn in das Format 01:71afb07c8a6f90cf07b5596a2e7aac02 um. Damit klappt es nicht. Muss ich den Key, den ich in der Windows-Software eingegeben habe vorher noch irgendwie selbst manuell umformatieren (hex oÄ), bevor ich ihn in FHEM hinterlege?
Grüße
Jörg
Jörg,
du kannst den key, den du in der WinSW eingibst auch in FHEM eingeben. Beide kodieren den Key nach AES. In FHEM wird dieser dann als/in key angezeigt. Der orginale Wert wird aus Sicherheitsgründen nicht gespeichert (darf nicht).
In der Windows-SW wird dies in einem file unter BidCos -... keys oder so ... gespeichert.
wenn du gleich den AES kodierten Key in FHEM eingibst wird nicht umkodiert - FHEM erkennt das (am Format)
Die Kommunikation mit der win-sw funktioniert mit allen Devices? Dann sollte es funktionieren die keys aus dem File zu übernehmen
Gruss Martin
Juhu!
Also es klappt jetzt. In der Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bidcos-Service\keys waren zwei identische Schlüssel unter Key 1 und Key 2 hinterlegt. Das liegt evtl. daran, da ich neulich schon mit dem selben PC meinen anderen HMLan mit dem selben Key ausgestattet habe?
Jetzt habe ich jedenfalls in FHEM "attr HMLAN1 hmKey 02:71afb07c8a6f90cf07b5596a2e7aac02" hinterlegt und "attr HMLAN1 hmKey 01:71afb07c8a6f90cf07b5596a2e7aac02" herausgelöscht und jetzt führt der Keymatic die Befehle von FHEM endlich aus. TAUSEND DANK für die Hinweise, ohne die ich sicher verzweifelt wäre!!! Jetzt muss ich nur noch mal den Sicherheitsschlüssel anpassen, damit ihn wirklich nur ich kenne.. :)
Grüße
Jörg
Habe mal ein kleines Howto geschrieben, wie man auch nachträglichen den System-Sicherheitsschlüssel (und damit den AES-Schlüssel) ändern kann: http://www.meintechblog.de/2013/12/hmlan-adapter-system-sicherheitsschluessel-aendern/
Evtl. hilft das ja jemandem beim Einrichten.
Grüße
Jörg