Hallo liebes Forum,
ich habe über das Modul HMCCU vollen Zugriff auf Systemvariablen der Homematic-Zentrale. Das ist zwar einerseits schön, aber außer der IP-Adresse ist keinerlei Login notwendig. Bin ich erstmal im Heimnetz drin, kann ich also alle Variablen der Homematic-Zentrale auslesen und setzen. Je nach Fortschritt der Hausautomation kann ich also mit einem Smartphone und einem Raspi mit FHEM in den Häusern meiner Bekannten Lichter schalten, die Heizung steuern, Türen öffnen etc., sobald ich deren WLAN benutze. Und fremde WLAN-Schlüssel zu sniffen ist auch kein Hexenwerk! Auch FHEM selbst ist auf diese Weise anfällig: Mit Raspi ins WLAN einklinken, FHEM in den Anlernmosus versetzen und ich habe haufenweise Geräte, die ich auslesen und ansteuern kann.
Sollte da nicht dringend Abhilfe geschaffen werden? Oder habe ich irgendetwas überlesen?
Liebe Grüße,
Jacopp
Zitat von: jacopp am 23 September 2016, 12:31:12
...Mit Raspi ins WLAN einklinken, FHEM in den Anlernmosus versetzen und ich habe haufenweise Geräte, die ich auslesen und ansteuern kann.
Sollte da nicht dringend Abhilfe geschaffen werden? Oder habe ich irgendetwas überlesen?
Dazu benötigst Du auch erstmal ein WLAN, das "offen wie Scheunentor" ist.
Mit ordentlicher Verschlüsselung und vernünftigem Kennwort hält das die meisten schon ab.
Anschließend müsstest Du Dich dann auch noch einloggen dürfen und eine passende IP bekommen.
Wer drückt denn dannn noch die ganzen Knöpfe, damit Dein Anlernmodus auch Daten bekommt?
Dann greif doch lieber direkt auf das WebIF dort zu und steuer die Geräte direkt an.
Also so offen finde ich das alles gar nicht; in Zeiten von SmartHome in der Cloud etc.
Verstehe die Sorgen nicht.
Wenn jemand wirklich in mein WLAN "einbricht", dann will er bestimmt nicht mein Licht einschalten, sondern eher Passwörter, Kontodaten, etc. abgreifen.
Ansonsten, wie Hollo schreibt, WLAN absichern, FHEM absichern und gut.
Du kannst auch gleich direkt die HM-Geräte steuern/abfragen, sobald du die HMID hast...
...Steuern lässt sich noch mittels AES-Signierung und vergebenen eigenem Schlüssel unterbinden...
...ein Mitlesen (da Funk und unverschlüsselt etc.) nicht.
Da ist der Umweg über das (WLAN-)Netzwerk etc. doch deutlich aufwendiger...
ZitatBin ich erstmal im Heimnetz drin, kann ich also alle Variablen der Homematic-Zentrale auslesen und setzen. Je nach Fortschritt der Hausautomation kann ich also mit einem Smartphone und einem Raspi mit FHEM in den Häusern meiner Bekannten Lichter schalten, die Heizung steuern, Türen öffnen etc., sobald ich deren WLAN benutze.
Wenn du das bei dir machen kannst dann hast du definitiv dein FHEM nicht richtig abgesichert, das ist dann aber nicht das Problem von FHEM.
Edit: Beim 2. Mal lesen würd ich eher sagen das eigene Netz zu wenig abgesichtert. Aber das ist dann ein grundsätzliches Problem und hat nicht direkt mit FHEM zu tun :-)
Also FHEM absichern ist sicherlich das eine, aber das Problem ist ja, dass ich mit einer funktionierenden FHEM Software und meinem Raspi problemlos an die Daten der Homematic-CCU herankomme. Habe ich den WLAN-Schlüssel (und den habe ich von diversen Bekannten/Freunden/Nachbarn/Bars/Restaurants), sehe ich mit diversen Smartphone-Apps (z.B. Fing) alle IP-Adressen im Netz und auch die Geräte-ID, erkenne also sofort die Adresse der CCU, und schon kann ich die Daten über meine FHEM Hard- und Software auslesen. Versteht mich nicht falsch, ich bin auch froh, dass das alles so problemlos zu steuern ist, aber spätestens, wenn die Türen über Homematic geöffnet und geschlossen werden können, hört der Spaß auf. In erster Linie scheint mir das ein zwar Problem von Homematic zu sein, aber vielleicht sollte darüber auch hier nachgedacht werden. - Aber wie gesagt, vielleicht habe ich etwas überlesen, dann helft mir bitte auf die Sprünge.
LG, Jacopp
KeyMatic und Co bekommst Du definitiv als Fremder nicht gesteuert da AES signiert.
Aber wenn Du so misstrauisch bist spricht doch nichts gegen ein eigenes Subnetz für IoT. Oder ein entsprechendes VLAN und schon siehst Du aus dem normalen WLAN nichts mehr.
Ich lasse generell erst einmal niemanden in mein WLAN, dafür gibt es das Gast-WLAN.
Gruß
Dan
Zitat von: DeeSPe am 23 September 2016, 14:48:11
Ich lasse generell erst einmal niemanden in mein WLAN, dafür gibt es das Gast-WLAN.
+1
Zitat von: jacopp am 23 September 2016, 14:35:41
Also FHEM absichern ist sicherlich das eine,
Das ist ja auch gar keine FHEM oder Homematic-spezifische Problematik, sondern eine grundsätzliches Problem der Absicherung des eigenen Netzwerks. Ein Netzwerk in dem sensible Daten oder Geräte hängen gehört nicht für Bekannte geöffnet. Dafür gibt es wie schon erwähnt, wenigstens Gast-Netz.
Auch mein SAT-Receiver oder mein AV-Receiver sind bspw. in
meinem (!) Netz erreichbar und Steuerbar, da brauche ich nich einmal eine ID, das geht bequem über HTTP. Auch meine Webcam ist in
meinem (!) Netz problemlos erreichbar, genau so wie mein NAS und, und, und ...
Aber in
meinem Netz haben Gäste auch nichts verloren!
Zitat von: jacopp am 23 September 2016, 12:31:12
Und fremde WLAN-Schlüssel zu sniffen ist auch kein Hexenwerk
bezogen auf offene wlans, wep verschlüsselte und einfachste keys bei den besser verschlüsselten mag das stimmen, diese leute habens aber nicht anderst verdient
Das ist ja abtrus ...
Genauso könnte man behaupten das linux "offen wie ein Scheunentor ist". Wenn man das root password hat kann man da auch alles auslesen...
Der Zugang zum Netz gehört abgesichert.
Fhem gehört abgesichert.
Zitat
Und fremde WLAN-Schlüssel zu sniffen ist auch kein Hexenwerk
So, so. Die Info gib mal schnall an die Cisco und HPE dieser Welt. Am besten noch bevor die Infrastrukturen ganzer Unternehmen aufbauen. ;)
vg
joerg
... lol ....
Ich kann die Bedenken nicht recht nachvollziehen (wie offenbar 99% der restlichen Poster hier auch).
Alles was Du angemerkt hast, ist kein Problem von HM / FHEM sondern von unsachgemäßen Installationen. Hier gilt es also nicht das Produkt zu blamen, sondern den Nutzer - wo wir wieder bei dem Sprichwort sind: Meistens ist der Fehler vor dem Gerät.
Du kannst mit recht einfachen Mitteln eine gute Sicherheit erreichen:
Anstatt dein HM-Netz ins eigene Netz einzuspeisen (z.B. indem Du deine CCU einfach an den Hausrouter hängst, sodass er von jedem Nutzer im Netz erreicht werden kann), ist es viel sinnvoller ihn in einem eigenen Netz zu platzieren. Dann ist Das HM-Netz nur über eine Schnittstelle erreichbar (die dann natürlich auch abgesichert sein muss). Um das dann sicherzustellen kannst Du dafür sorgen, dass sich keine fremden Geräte in diesem Subnetz aufhalten dürfen.
Am Beispiel: Wenn dein Pi die FHEM-Zentrale ist, dann hängt an der LAN-Schnittstelle der HM-Gateway (in Deinem Fall offenbar eine CCU). Am Pi richtest Du ein, dass sich an der LAN-Schnittstelle NUR der Gateway befinden darf und dass alle anderen Geräte abgewiesen werden (Stichwort: dhcpd & iptables).
Um dann auf deinen Pi / FHEM zugreifen zu können benutzt Du entweder die WLAN-Schnittstelle des Pi oder (wenn Du das Sniffen unterbinden willst) einen USB-LAN-Adapter.
Natürlich sicherst Du den Pi und FHEM vernünftig ab (bei FHEM z.B. Passwörter - und bitte nicht sex oder admin wählen :D - für die Zugriffsports, SSL ist auch nicht verkehrt). Ggf. kannst Du ja noch einen Filter einbauen, der nur bestimmten, zuvor definierten Geräten den Zugriff auf z.B. das Web Interface von FHEM gestattet.
Damit dann nicht jeder Hans und Franz sich in deinem WLAN tummelt, packst Du dort deine Geräte rein (im Idealfall, alle unkritischen). Für Hans und Franz, die mal für ein Wochenende zu Besuch sind, gibt es ein Gast-Netz mit eingeschränktem Zugriff.
Das sind nur ein paar (teils sehr effektive) Tipps. Natürlich gibt es viele weitere Möglichkeiten. Notfalls, wenn Du auf Nummer sicher gehen willst benutzt Du halt die Wired-Komponenten von Homematic und keine kabellosen Geräte.
Zitat von: jacopp am 23 September 2016, 12:31:12
...
Habe ich den WLAN-Schlüssel (und den habe ich von diversen Bekannten/Freunden/Nachbarn/Bars/Restaurants), sehe ich mit diversen Smartphone-Apps (z.B. Fing) alle IP-Adressen im Netz und ...
Hallo zusammen,
wie wäre es denn damit, mit den Leuten zu reden und versuchen zu erklären warum das keine gute Idee ist bzw. sie dabei zu unterstützen Abhilfe zu schaffen. Ich glaube viele sind sich des Problems bisher einfach nicht bewusst und wissen es schlicht nicht besser.
Auch eine Bar oder ein Cafe kann z.B. eine Gäste-WLAN aufspannen und mittels Client Isolation dann Fing und Co. ins Leere laufen lassen. Einmal von den rechtlichen Problemen hierbei abzusehen (aber dafür gibt es ja kommerzielle Anbieter und Lösungen).
Viele Grüße
pd33
Zitat von: pd33 am 10 Oktober 2017, 21:14:12
Wie wäre es denn damit, mit den Leuten zu reden und versuchen zu erklären warum das keine gute Idee ist bzw. sie dabei zu unterstützen Abhilfe zu schaffen. Ich glaube viele sind sich des Problems bisher einfach nicht bewusst und wissen es schlicht nicht besser.
Die meisten von uns haben einen Job und machen FHEM in der Freizeit für den Eigennutz. Wir sind keine Prediger, die das Gute in der Welt verbreiten müssen.
Wer IT betreibt, sollte wissen was er/sie tut. Ohne Kenntnisse muß er/sie halt mit den Konsequenzen leben. Meistens nicht mein Problem :)
Ciao, -MN
Die CCU hat eine Firewall eingebaut. Dort kann man entsprechend alle Schnittstellen wie HomeMatic Script oder RPC blockieren und nur für FHEM freigeben.