Habe ich gerade in der ARD gesehen, das hier Homematic Geräte einfach im Internet gefunden werden und man wohl einfach eindringen kann.
http://www.ardmediathek.de/tv/Plusminus/Smart-Home-So-leicht-haben-es-Einbrec/Das-Erste/Video?bcastId=432744&documentId=40709860
Tach,
Jedes geraet was direkt mit dem internet verbunden ist ist findbar. Firewall entsprechend konfigurieren bzw internetzugang der geraete einschraenken oder ganz unterbinden ... Hat mit unsicheren homematic geraeten nix zu tun ....
Gesendet von meinem E39 mit Tapatalk
Richtig, habe es mir gerade selbst angeschaut.
Hat wohl wie so oft damit zu tun das einige Leute/Firmen aus Bequemlichkeit kein Password setzen oder es ein allgemein bekanntest Standard Password gibt.
Der Suchserver ist
https://www.shodan.io/
als Suchbegriff z.B. ise GmbH eingeben .......... viel Spaß
Ohne Worte 😳
Hahaha, ich lach mich tot!
Der letzte Satz interpretiert wohl die allgemeine Meinung der Redaktion.
ZitatAlso, Smart Homes sind alles andere als sicher!
Richtig sollte es wohl heißen:
Smart Homes können unsicher sein, wenn sie unfachmännisch gemacht werden!
Also mein Smart Home ist wohl kein Smart Home denn es kann über das Internet weder als solches identifiziert werden, noch kann es jemand belauschen und schon gar nicht kann es jemand fernsteuern!
Was ist eben mit den ganz vielen "Smart Homes" die nicht über diese Suchmaschine gefunden werden. Sind die genau so unsicher wie die die gefunden werden? Wieviel "Smart Homes" werden generell gefunden und wie ist die tatsächliche Verbreitung? Darüber trifft niemand eine Aussage.
Die Berichterstattung ist, wie so oft üblich im TV, nur wieder mal sehr einseitig!
Gruß
Dan
Ich bin mal gespannt was dann noch alles mit IPv6 kommt wenn man da keine Firewall aus Unwissenheit einrichtet ;)
Was für ein schlecht recherchierter Beitrag. Habe ihn mir gerade in der Mediathek angeschaut. Da wird suggeriert, dass eine neu installierte HomeMatic CCU2 direkt aus dem Internet erreichbar ist. Unfassbarer Bullshit.
Sicher gibt es Leute, die den Zugriff auf ihr Smarthome per Internet freigeben. Viele davon "vergessen" auch, ein Passwort zu setzen oder das Default Passwort zu ändern. Auf diese Bedingungen hätte man in dem Bericht hinweisen müssen.
So ist es einfach nur Panikmache.
Da aber (unabhängig von Homematic) den Leuten immer wieder erzählt wird, das mit einem "smarten Hause" sie von überalle dieses mit dem Handy steuern können, nicht aber, das es auch eventuell "andere" machen können, sind solche Beiträge durchaus .... wichtig.
Ich stimme Dir zu, das DIESER aber überzogen ist und deshalb eher kontraproduktiv.
Habe SIcherheitshalber trotzdem schnell mal meine IP überprüft, was (direkt) extern erreichbar ist. Zum Glück .. nur das, was ich will ;o
Aber so ein offenes fhem ist wirklich schnell gefunden, ich kann da nur warnen. Hab eben mal spaßenshalber schnell gesucht. Es dauert nur 5 Sekunden, bis man das erste offene FHEM hat. Und sehr viele mit Authentification sind ohne ssl. :o
Wenn jemand von Euch Thorsten und Svenja heißt, Euer Netz ist komplett offen!!!!
Das ist ja echt erschreckend! ???
Wenn man mal überlegt, wieviele Leute ohne irgendwelche Ahnung ihr Haus so offenlegen. Da kann man ja von der Anrufliste bis zur Pooltemperatur alles einsehen.
@topfi
Nur wegen Dir haben ich eben gesucht ... Du bist jetzt Schuld, das ich aus versehen jemanden ein Licht ausgeschaltet habe *grummel*
Och nee. Das macht man nun aber wirklich nicht. :'( Ich glaube, ich lösche den Beitrag wieder. Oder habe ich einen Smiley übersehen?!
Nein ... habe nur per google gesucht und "auf den Link" gedrückt ...
Wenn jemand eine Tochter Namens Svenja hat, ein Aquarium besitz und in der Nähe von Nürnberg wohnt, seine Tocher sich beschwert, das das Licht automatisch ausging .... dann sichere Deine FHEM Instance ab.
(P.S: Wohnort nach IP geschätzt)
P.S. Das Verlegen auf Port 9000 bringt nichts :o(
Und ... Entschuldiege mich gleich hiermit. War nicht Absicht ....
na dann wollen wir mal hoffen, dass wenigstens die Bezeichnung "Licht" stimmt und Du beim Ausmachen nicht doch die Gefriertruhe erwischt hast ;).
Aber zur Frage nach Homematic: Jedenfalls das "alte" Funkprotokoll ist bekannt. Als sicher sollte man es also nur bezeichen, wenn man damit meint, dass man einen gewissen Aufwand treiben muß, um sich in das System einzuklinken...
Der Telefonnumer nach ist derjenige wohl aus Roßtal, Niederfranken. Ich vermute, Svenja ist die Frau und die Kinder heißen Lea und Paul.
Und sie sollten dringend ihr FHEM absichern!
Hoffen Wir ... Zum Glück war es kein Schalter der Aquarium im Namen hatte ... ;o)
Aber so sieht man, wie schnell es gehen kann. Jedenfalls bin ich nicht "der böse Hacker" ......
P.S. So etwas kann übrigens auch durch eine Suchmaschine entstehen, wenn der krawler einem Link folgt ....
@mahowi
Wir reden vom gleichen. Nur .. wie hast Du die Nummer rausbekommen? Dort steht nur die "angerufen Liste". Sonst hätte ich dort mal angerufen ...
Jetzt hört mal auf, noch mehr Details zu posten. Ist doch schon so schlimm genug. Irgendjemand hat ihm auch einen Hinweis in die Konfiguration geschrieben.
Ich denke, dass Thorsten hier irgendwo mitliest, denn die FTUI ist beispielsweise ganz ordentlich gemacht.
@Beta-User: Um den Funk mitzulesen muss man aber in der Nähe sein. Sicher ist das auch keine Hexerei, aber doch weniger wahrscheinlich. Vor allem, wenn man selbst in der Nähe noch keine fremden HM-Geräte empfangen hat, sich also wahrscheinlich niemand mit Sachkenntnis und Equipment dauerhaft in der Nähe befindet.
Zitat von: Wernieman am 16 Februar 2017, 13:19:11
@mahowi
Wir reden vom gleichen. Nur .. wie hast Du die Nummer rausbekommen? Dort steht nur die "angerufen Liste". Sonst hätte ich dort mal angerufen ...
Im Callmonitor sind die vergebenen Rufnummer sowie die Vorwahl hinterlegt.
Das ist der Grund, warum ich hier immer gegen Portfreigabe (ohne entsprechende Maßnahmen) wettere.
Im Grunde muss man aber nicht unbedingt Mitleid haben. Das Sicherheitsthema wird hier im Forum und auch im Wiki ausreichend gut behandelt.
Zitat von: topfi am 16 Februar 2017, 13:21:49
@Beta-User: Um den Funk mitzulesen muss man aber in der Nähe sein. Sicher ist das auch keine Hexerei, aber doch weniger wahrscheinlich. Vor allem, wenn man selbst in der Nähe noch keine fremden HM-Geräte empfangen hat, sich also wahrscheinlich niemand mit Sachkenntnis und Equipment dauerhaft in der Nähe befindet.
Ist schon klar ;). Ich hatte nur beim ersten Lesen des Titels erst mal gedacht, es ginge um die Sicherheit des Funkprotokolls und nicht um dieses allgemeine Thema mit der Zugänglichkeit aus dem Netz. Daher wollte ich den Punkt hier auch nochmal anbringen, denn vielen scheint auch das nicht klar zu sein ::).
Vor einiger Zeit war irgendwo auch zu lesen, dass selbst komerzielle oder öffentlich-rechtliche Kraftwerksbetreiber ihre Anlagen offen im Netzt stehen haben (oder jedenfalls hinsichtlich der graphischen Darstellung des Anlagenzustands nicht richtig abgesichert). Da braucht man sich nicht wundern, wenn nicht jeder Private die Absicherung zum INet hinbekommt... Von daher ist eigentlich nur die allgemeine Überraschung überraschend 8).
@marvin78: Lesen scheint eben nicht jedermanns Stärke zu sein, wir tun gut daran, das immer und immer wieder zu wiederholen...
Oha, durch den Beitrag habe ich gerade ein wenig bammel bekommen.
Wie kann man denn am besten testen ob das EIGENE fhem sicher ist?
Grüße Marcel
In dem man einen Freund bitte, von Seinem Anschluß aus zu gucken, was denn erreichbar ist ....
(Wenn Du mir traust, kannst Du mir gerne eine PM schreiben)
Ich traue niemandem, manchmal sogar mir selbst nicht... [emoji6]
Gesendet von iPhone mit Tapatalk
Aber Testen kann man nur "von draußen" ..... alternativ mit dem Latop ins nächste Internetcaffee ... und hoffen, das deren Firewall nicht Deine Probierversuche blockt und Dich in Sicherheit wiegt ...
Aber jetzt mal ganz ehrlich. Wenn ich einen Raspi bspw. mir mit FEHM hinstelle ist der erstmal gar nicht im freien WWW. Das bedeutet, dass ich explizit eine Internetfreigabe mache, damit FHEM von außen zugänglich ist. Oder halt auf einer Synology welche dann im WWW-Netz hängt. Dann ist doch klar, dass dies nicht sicher ist, wenn ich zumindest kein https oder .htaccess verwende. Warum nutzt man denn generell kein VPN egal ob es für eine owncloud/nextcloud, synology oder fhem instanz ist? Verstehe das nicht... bei der CCU2 ist das ja glaube ich was anderes. Die bieten ja cloud services an etc. keine Ahnung ob das im aktuellen Bericht der Knackpunkt war oder ob die Leute echt die CCU2 ins WWW hängen und dann glaube das es sicher ist.... das macht doch keiner... echt jetzt? Vor allem Unternehmen?? Dem ITler würde ich kündigen .... das ist alles schon grob fahrlässig...
Ich kenne die CCU2 jetzt nicht, aber ein Passwort braucht man doch sicher auch für die, oder?
@rageltus
Für Sicherheit wird kein Geld ausgegeben. Meistens sitzt der Dienstleister für die Hardware heute nicht mehr vor Ort, sondern prüft "per Web". Und da keine für Spezialisiertes Adminpersonal Geld ausgiebt, wird für den Dienstleister eben der Zugriff geöffnet. Da der Dienstleister auch keinen Spezialisiertes Admin (und es Ihm mehr Arbeit ohne mehr Geld aufbürgen würde), achtet keine Auf die ASicherheit. Erst wenn was passiert ....
Habe dieses schon persönlich im Beruf erlebt .... (zum Glück nicht als Betroffener)
Ich muss sagen, dass ich es erschreckend finde wieviele Homematic Systeme es gibt, die offen sind und wo man ohne Probleme Türschlösser öffnen kann.
Teilweise frage ich mich jedoch auch, wieso wird im TV gezeigt wie es geht?
Da gibt es sogar "Bewässerungen". Nicht auszudenken wenn dort jemand im schlimmsten Fall eine Wohnung/Haus flutet.
Warum soll es nicht im TV gezeigt werden? Das ist noch immer das Medium, das die größte Aufmerksamkeit erzeugt. Auch bei denen, die das Problem beseitigen müssen und das sind die Haushalte selbst. Die Sensibilisierung für das Thema ist gut nicht nicht schlecht. Die Frage ist immer, wie man sowas aufbaut. Wenn man den Eindruck erweckt, der Hersteller der Software ist Schuld oder gar "Smart Home" ist generell Mist, weil unsicher, dann ist das natürlich grob fahrlässig. Aber: Schaut mal, euer Smart Home ist unsicher, weil ihr was falsch macht, ist gut und richtig.
boah, der Text ist aber wohl auch übelst gehackt worden! :o
Zitat von: Wernieman am 16 Februar 2017, 14:52:35
Für Sicherheit wird kein Geld ausgegeben. Meistens sitzt der Dienstleister für die Hardware heute nicht mehr vor Ort, sondern prüft "per Web". Und da keine für Spezialisiertes Adminpersonal Geld ausgiebt, wird für den Dienstleister eben der Zugriff geöffnet. Da der Dienstleister auch keinen Spezialisiertes Admin (und es Ihm mehr Arbeit ohne mehr Geld aufbürgen würde), achtet keine Auf die ASicherheit. Erst wenn was passiert ....
Sorry, nur manchmal ist die Koordinierung Gedanken/Tastatur bei mir beim schnellen Tippen "gestört" ... und nicht immer merke ich es ...
Bin gespannt wann die ersten Hilfe-ich-wurde-gehackt Threads kommen
Ich habe leider im Beruf oft genug erlebt, wie Sicherheit geschickt/ungeschickt lahm gelegt wird.
Es gibt ja von der BSI ein Grundschutzhandbuch. Die haben sich mal ein paar Grundlegende Gedanken um IT Sicherheit gemacht, eigentlich das was man auch macht wenn man mit gesundem Menschenverstand ein Thema angeht. Da steht mach dies nicht, mach das nicht weil es kann passieren dies und das .....
Was macht unsere Geschäftsleitung, genau das was da steht was man genau nicht tun soll weil ..... passieren kann.
Ich informiere die Geschäftsleitung mit verweis auf BSI, was passiert, man wird noch übelst beschimpft :o
Datenschutz ...... was ist das, kann man das essen ........
Ich hatte auch den Bericht gesehen mit Kraftwerken und Wasserwerken usw. das die von außen zugänglich sind, das waren oft SPS Anlagen, bei denen man manchmal kein PW vergeben kann, und als Service Zugang damit der Dienstleister einfach die Anlage waren kann, ab damit ins Internet. Alles schon live erlebt ........... leider.
Der Prophet im eigenen Land hat ja nie recht.
In dem konkreten Beispiel ist FHEM inzwischen neu gestartet und auch der Hinweis eines freundlichen fhem-users gelöscht worden. Da hatte extra jemand einen Raum angelegt, in dem deutlich auf den offenen fhem-Zugang hingewiesen wurde und der hat das einfach gelöscht.
Angesichts der sehr umfangreichen und auch vielseitigen Installation von Thorsten und Svenja (da sind etliche nicht-Standard-Module, FTUI usw. aktiv) gehe ich inzwischen eher von einem Beispielserver, einem Journalistenprojekt oder einem Honigtopf aus. Wer sich über solche Module informiert macht doch nicht penetrant ungeschütztes port-forwarding...
@Edi77:
Bei mir hat es damals geholfen, als ich darauf hinwies, nicht mehr für die IT-Sicherheit (als Zuständiger Admin) zuständig zu sein und das bei einem Problem damit der Geschäftsführer haftet ... und zwar bei grober Fahrlässigkeit auch mit seinem Privatvermögen. 1h Später (scheinbar ein Anruf bei seinem Anwalt) war er meinen Vorschlägen, im vor Problemen zu schützen, sehr angetan ....
P.S. Dann haftet übrigens auch eine Managerversicherung nicht mehr ... und ?2013? hat dieses einem Geschäftsführer 17 Millionen privates Geld gekostet ... finde nur das Urteil nicht mehr ....
@Wernieman
Genau das habe ich auch gemacht, wie ich festgestellt habe das eine unbekannte Zahl an Anwendern einen Schlüssel für den SERVERRAUM hatten.
Der Sache nachzugehen, und diesen Mangel abzustellen wurde auch mit dem Argument das der Geschäftsführer mit seinem Privatvermögen haftet ignoriert :o wie so vieles andere auch.
Kein Wunder also das die die Karre gegen die Wand gefahren haben, muss ich mir was neues suchen.
Ich sag nur Kirche ....... glauben das schon nichts böses passieren wird, hilft nicht immer. ::)
Wenn Patientenakten in einer abgelegenen Garage lagert und die Tür schön offen stehen lässt das jeder sieht was da noch liegt ............ :o 8) und das teilweise über Tage und Wochen, man die Geschäftsleitung informiert und noch beschimpft wird .......... ;) ne ne ne da hilft auch kein glauben mehr.
Zitat von: topfi am 16 Februar 2017, 20:30:48
Angesichts der sehr umfangreichen und auch vielseitigen Installation von Thorsten und Svenja (da sind etliche nicht-Standard-Module, FTUI usw. aktiv) gehe ich inzwischen eher von einem Beispielserver, einem Journalistenprojekt oder einem Honigtopf aus.
Puh das wäre aber ein bisschen viel Aufwand für einen Honigtopf?
Vor allem ein Honigtopf mit aktiver beeinflussung?
Ich kenne Honigtöpe (und Netze), aber eigentlich versucht man dabei, von "außen" zu gucken, was passiert .... und das sieht mir hier nicht so aus ...
Zitat von: topfi am 16 Februar 2017, 20:30:48Angesichts der sehr umfangreichen und auch vielseitigen Installation von Thorsten
Hi,
also ich heiße Thorsten und habe selbst Probleme, meinen Kram von außen zu erreichen. Es würde mich also wundern, wenn das jemand anders schafft. Könnte mir mal jemand per PN oder Mail den Link schicken, falls ich das tatsächlich bin?
Danke&Gruß,
Thorsten
Zitat von: Wernieman am 17 Februar 2017, 10:02:57
Vor allem ein Honigtopf mit aktiver beeinflussung?
Ich kenne Honigtöpe (und Netze), aber eigentlich versucht man dabei, von "außen" zu gucken, was passiert .... und das sieht mir hier nicht so aus ...
Manchen Journalisten oder Soziologiestudenten traue ich das zu. 8)
Zitat von: Thorsten Pferdekaemper am 17 Februar 2017, 11:28:47
Hi,
also ich heiße Thorsten und habe selbst Probleme, meinen Kram von außen zu erreichen. Es würde mich also wundern, wenn das jemand anders schafft. Könnte mir mal jemand per PN oder Mail den Link schicken, falls ich das tatsächlich bin?
Danke&Gruß,
Thorsten
Heisst deine Frau/Freundin Svenja? :)
Zitat von: Hauswart am 17 Februar 2017, 13:31:12
Heisst deine Frau/Freundin Svenja? :)
Nein, aber mir war nicht klar, dass es hier um genau eine Installation geht. Ich hatte den Eindruck, dass es hier um eine Installation "Thorsten" und eine andere Installation "Svenja" geht.
Ich habe auch inzwischen klären können, dass es sich hier definitiv nicht um mein FHEM handelt.
Gruß,
Thorsten
Aber alle Instanzen ohne Benutzer und passwort können auch nicht connected werden bei denen mit kommt die Aufforderung zur eingabe
Die FHEM Oberfläche per basicAuth abzusichern wäre schon eine erste gute Maßnahme, um den Zugriff auf's eigene SmartHome von intern wie extern zu erschweren. Aktiviertes HTTPS innerhalb von FHEMWEB - gerade bei Zugriff von außen - die nächste Maßnahme.
Eigentlich sollten doch die Firewalls in (DSL/Kabel/LTE) Routern den Zugriff von außen verhindern, per DHCP werden autom. nur priv. IPv4-Adressen von den Geräten vergeben. Mich wundert es daher fast schon, wie man es (als Laie) schafft die eigene FHEM-Installation für den ext. Zugriff von außen zugänglich zu machen. Hier müsste man praktisch schon die eigene Firewall deaktivieren, mit NAT-Regeln "spielen" oder den DHCP-Server mit manuellen IP-Einstellungen "umgehen"...
define allowed_WEB allowed
attr allowed_WEB basicAuth xxxxxxxxxxxx
attr allowed_WEB validFor WEB,WEBphone,WEBtablet
define WEB FHEMWEB 8083 global
attr WEB JavaScripts codemirror/fhem_codemirror.js
attr WEB HTTPS 1
Es gibt genug Anleitung (im Netz), wie man seinen Router (Fritte) (für FHEM) nach außen öffnet um von überall sein Haus steuern zu können. In (fast) jeder dieser Anleitung ist aber das Thema Sicherheit nicht erwähnt .,....
Entweder man greift per VPN aus dem Internet auf das lokale Netz zu oder man lässt es sein. Meine Meinung.
Zitat von: hschuett am 17 Februar 2017, 14:39:13
Hier müsste man praktisch schon die eigene Firewall deaktivieren, mit NAT-Regeln "spielen" oder den DHCP-Server mit manuellen IP-Einstellungen "umgehen"...
Eine Portweiterleitung ist eigentlich ziemlich trivial einzurichten... gibt's sogar im FHEM Wiki Anleitungen (dort natürlich mit Hinweis auf die Sicherheitsprobleme).
Hallo,
ich habe bei meiner Fritzbox 7490 für den Zugriff aus dem Internet eine VPN Verbindung eingerichtet. Ich bin mir aber nicht ganz sicher ob nun die Fritzbox nur per VPN aus dem Internet erreichbar ist.
Kann mir jemand einen brauchbaren online scanner empfehlen?
Gruß Ralf
@KernSani: Aber das ist doch genau der Punkt:
Derjenige der Anleitungen aus dem Internet befolgt, Portweiterleitungen selbst einrichtet - also
aktiv selbst die FHEM Instanz von außen verfügbar macht, kann sich doch nicht gleichzeitig wundern, dass man FHEM von außen auffindet. Dass man Rechner, wenn man sie schon für externen Zugriff frei gibt, absichert - gerade SmartHomes - dürfte auch für Laien grundsätzlich klar sein. Die Frage ist dann nur noch, bin ich technisch in der Lage für meine eigene Sicherheit zu sorgen oder bin ich das nicht? Wenn nicht, nimmt man entweder ein Risiko bewußt in Kauf oder läßt es eben dann auch grundsätzlich sein...
Ich stimme zap 100%ig zu:
ZitatEntweder man greift per VPN aus dem Internet auf das lokale Netz zu oder man lässt es sein. Meine Meinung.
@hschuett: Mir ging es nur darum zu verdeutlichen, dass es -auch für Laien - vergleichsweise trivial ist, FHEM (oder jede andere webbasierte Anwendung) ins Internet zu stellen.
Module wie Geofancy schreien quasi danach... Das dann wieder vernünftig abzusichern ist dann schon ungleich schwieriger.
Zitat von: Ralf9 am 17 Februar 2017, 19:53:35
Kann mir jemand einen brauchbaren online scanner empfehlen?
Da gibt's viele, Google ist dein Freund.
So z.B. https://pentest-tools.com/network-vulnerability-scanning/udp-port-scanner-online-nmap#
Interessant wird bzw. ist es natürlich bei Verwendung von IPv6. Ihr könnt ja mal ein Experiment machen:
- auf dem Internet Router IPv6 aktivieren, sofern er das unterstützt
- im Zweifel mal neu starten, damit es auch aktiv ist und Euer Provider eine IPv6 Adresse zugewiesen hat
- auf dem FHEM Server ebenfalls IPv6 aktivieren
- Prüfen, ob ihr aus dem Internet auf die IPv6 Adresse des FHEM Rechners zugreifen könnt
Je nach Router dürfte mancher überrascht sein, dass das funktioniert. Viele Router haben nämlich keine Firewall für IPv6.
Blöd oder?
@hschuett auf dem letzten Usertreff hatte ich mit jemandem aus dem Forum ein Gespräch zum Thema Zugriff von außen. Er hat FHEM und andere Server frei und ist der Meinung solange es nicht ein Standardport ist wird man ihn schon nicht finden... Ihm war also schon bewusst das die Türe ungeschützt offen steht...
So hat jeder eine andere Einschätzung wie man sein Zeug absichert....
Für mich gibt's aber auch nur VPN...
@Jo: Aber exakt das meinte ich, wenn ich mir im klaren drüber bin, dass FHEM von außen erreichbar ist und ich mir im klaren darüber bin, welche Sicherungen ich warum/oder warum nicht ergriffen habe, ist doch zunächst alles OK. Wenn jemand für sich beschließt: Server frei und Port muss erraten werden --> fein. Dieser User wird sich vermutlich auch hinterher bei Fremdzugriff nicht beschweren, da er ja bewußt gehandelt hat.
@hschuett: ich sehe das so, wie du. Trotzdem liegst du natürlich falsch. Gedacht wird meist wenig und somit schreien diese Damen und Herren doch am Ende laut: FHEM ist unsicher.
Im Beitrag der ARD (in der Mediathek) ist übrigens eine CCU2 von Homematic verwendet worden, kein FHEM.
Der "Hacker" hat sich auf einem Linux/Unix Terminal per ssh als root auf die jeweilige ext. IP-Adresse der CCU2 verbunden. Mal bei 1:45 Min auf Pause drücken...
Erkenntnis 1: Die CCU2 ist von außen (mind. per ssh) erreichbar, man bekommt Zugriff auf das Betriebssystem der CCU2
Erkenntnis 2: die CCU2 hat einen eingebauten (in Standardkonfiguration aktiven?) SSH-Server (Standard SSH Port 22)
Erkenntnis 3: die CCU2 hat einen root-User (scheinbar mit Standardpasswort oder gar ohne - das ist im TV nicht so genau zu erkennen)
--> gehackt im eigentlichen Sinne wurde hier nicht, sondern eben ein aktiver SSH Zugang verwendet. Der clever eingesetzt, hat dann die Tür (im wahrsten Sinne des Wortes) innerhalb der Homematic-Ebene geöffnet.
--> wenn jetzt FHEM Installationen extern erreichbar sind (Portweiterleitung eingerichtet), ggf. unter Linux/Unix laufen und ein aktiver SSH Server (mit Standardpasswort) existiert, dann kann man ggf. eben auch fhem von der Kommandozeile aus steuern.
Beispiel: ein raspi mit pi als standarduser und standardpasswort und aktiven ssh-Server, den man nach außen "frei" gegeben hat, wäre - im Sinne des ARD Beitrags - eine ähnliche Konstellation.
--> wenn es nicht ein ssh Server ist, dann kann ein telnet Zugang, ein (schlecht konfigurierter) FTP-Server, ein ... zum Problem werden...hier sind die Möglichkeiten mannigfaltig. Deshalb den FHEM-Zugang per basicAuth (allowed) absichern und am besten eben nicht den FHEM-Server ins Netz stellen, sondern von außen per VPN teil des eigenen Netzes werden.
--> die Schwachstelle im ARD Beitrag lag nicht bei Homematic als Technologie, auch nicht beim Thema SmartHome, sondern die Schwachstelle war offenbar auf Betriebssystemebene (standard ssh zugang). Es hätte also jeden Rechner in der Konstellation treffen können, die CCU2 hostet halt zufällig grad das "SmartHome".
Zitatgehackt im eigentlichen Sinne wurde hier nicht, sondern eben ein aktiver SSH Zugang verwendet.
Was im Bericht nicht gezeigt wird: der Besitzer der CCU2 hat in der CCU2-Oberflaeche ssh aktiviert, root-Passwort gesetzt, diesen SSH Zugang in dem DSL-Router freigegeben, und IP+Passwort an dem "Hacker" weitergegeben.
Resuemee des Moderators: "SmartHomes sind alles andere als sicher".
Zitat von: zap am 17 Februar 2017, 17:32:28
Entweder man greift per VPN aus dem Internet auf das lokale Netz zu oder man lässt es sein. Meine Meinung.
Frage an die VPN-Experten hier: inwiefern ist ein VPN sicherer als eine HTTPS-Verbindung mit sicherem Passwort?
Ob VPN sicherer als HTTPS ist, kann ich nicht sagen. Es ist auf jeden Fall bequemer, denn einmal verbunden hat man Zugriff auf das gesamte Heimnetz, ohne nochmal exlizit Portfreigaben einrichten zu müssen.
@hschuett: kein IPv4 Gerät hinter einem Internet Router ist von aussen erreichbar, wenn keine Portweiterleitung eingerichtet wurde. Die notwendige Vorgehensweise der Reporter hat Rudi schon erläutert.
Und wieso überrascht es Dich, dass ein Linux System wie die CCU einen root User hat? Mein Raspi mit FHEM hat auch einen, inklusive aktiviertem SSH auf Port 22.
@zap: Überrascht mich nicht, es gibt aber Linux Distro's da ist der root nicht aktiv - wird alles per sudo geregelt. Raspbian ist so ein System --> kein (aktiver) root, dafür user pi mit sudo Möglichkeit
Dass ein SSH Server in der CCU2 drin ist ok, dass er in Standardkonfiguration der CCU2 aktiv ist, hätte mich überrascht. Siehe Beitrag von Rudi oben...wurde scheinbar nachträglich aktiviert und auch das PW für User root gesetzt. Zusätzlich dann halt auch die Portweiterleitung zur CCU im Router eingerichtet...
Privater IPv4-Adressbereich, Firewall, NAT usw. ist mir schon klar...
Zitat von: vbs am 18 Februar 2017, 15:00:46
Frage an die VPN-Experten hier: inwiefern ist ein VPN sicherer als eine HTTPS-Verbindung mit sicherem Passwort?
Das eine ist erstmal nicht inherent sicherer oder unsicherer als das andere. Das Problem ist, wie sehr vertraue ich der Implementierung des jeweiligen Protokolls. Und da haben wir dann auf der einen Seite dann VPN code, der von meist unzähligen Menschen und Firmen eingesetzt wird um Sicherheit zu liefern und der teilweise schon Security Reviews von Experten hinter sich hat. Und auf der anderen Seite ein in Perl geschriebener Heimautomatisierungs-Server mit angeflanschten Web-Interface, dessen Code sich praktisch täglich ändert...
An der Stelle wird das ne einfache Wahrscheinlichkeitsrechnung die mich dazu bewegt dass ich niemals ein FHEM ohne SSH-Port-Redirect oder VPN Zugang direkt ins Netz hängen würde.
Gruß Marcel
Von inhärenter Sicherheit kann im Kontext von FHEM sowieso keine Rede sein, was aber auch der Beschreibung FHEMs entspricht. Das gesamte System ist auf Konfigurierbarkeit und nicht Einfachheit ausgelegt. Inhärente Sicherheit würde bedeuten, dass das System Sicherheit durch Design mit sich bringt, also praktisch keine unsicheren Zustände zulässt.
Was mit den Warnhinweisen bzgl. security nach reboot geschaffen wurde ist schon fast mehr als man von FHEM gemäß seiner Beschreibung erwarten darf.
Zurück zur Frage: Bin da 100% bei Marcel. Der Implementierung FHEMs darf kein vernünftig urteilender Admin so sehr trauen, dass er den via BasicAuth geschützten Webserver ins WWW exponiert.
In aktuellen VPN Protokollen steckt sehr viel mehr Hirnschmalz und auch hier sind CVE-Vorkommnisse nichts aus dem Bereich der Fabel...
Also, IMHO ist VPN die einzig akzeptable Lösung. Mit on-demand Verbindungseinstellungen übrigens auch gar nicht unbequemer (kann selbst das iPhone mittels Konfigurationsprofilen).
Darüberhinaus sollte man sich btw auch Gedanken über den Schutz FHEMs im LAN Gedanken machen. Nur weil kein Port offen ist, rechtfertigt das keine Abschaltung von BasicAuth oder HTTPS. Ich persönlich habe mit Einbindung der Haustür in FHEM zusätzlich eine VLAN-Strukturierung angelegt, um eine vollständige Kapselung relevanter Geräte zu erreichen und diesen auch den Webzugriff passend einzuschränken. Je nachdem wer sich noch so im heimischen LAN rumtreibt kann das Sinn machen (hat Opa noch einen alten Win XP Rechner?) oder paranoid sein.
Ich jedenfalls schlafe so ruhiger.
Einzige Geschichte die mich hier noch stört: Der NFC Raspi sendet Nachrichten an FHEM immer noch per Telnet, das eigentlich verboten gehört. Zwar auch im abgetrennten VLAN, aber... hat da jemand einen eleganteren Ansatz auf Lager, der aus der bash genutzt werden kann?
Grüße
Nils
Gesendet von iPhone mit Tapatalk
Zitat von: NilsB am 19 Februar 2017, 09:53:42
Einzige Geschichte die mich hier noch stört: Der NFC Raspi sendet Nachrichten an FHEM immer noch per Telnet, das eigentlich verboten gehört. Zwar auch im abgetrennten VLAN, aber... hat da jemand einen eleganteren Ansatz auf Lager, der aus der bash genutzt werden kann?
Grüße
Nils
Gesendet von iPhone mit Tapatalk
Eleganter weiß ich nicht aber mit wget/curl sollte https gehen...
Gruß, Joachim
Zitat von: MadMax-FHEM am 19 Februar 2017, 10:05:26
Eleganter weiß ich nicht aber mut wget/curl sollte https gehen...
Gruß, Joachim
Elegant war vielleicht auch nicht ganz der richtige Ausdruck - kommt direkt auf die Sonntags-to-do-Liste. Danke!
Gesendet von iPhone mit Tapatalk
Gedanklich war ich auch nicht bei FHEM direkt im Netz, sondern mehr bei einer Konstellation aus HTTPS-Reverse-Proxy a la nginx/Apache, so dass dieser auch alle Authentifzierung übernimmt (FHEM erst erreichbar, wenn man sich korrekt am ReverseProxy angemeldet hat). Wie würdet ihr das in dem Fall beurteilen?
Den Ansatz finde ich auch gar nicht mal so schlecht. Wäre in meinen Augen (bei korrekter Konfiguration und Wartung des bspw. nginx) eine akzeptable Lösung!
Das einzige was es dann noch zu vergleichen gelte: Authentifizierungsmethoden. VPN geht ohne Probleme zertifikatsbasiert, was man ggü. usr/pwd präferieren sollte. Das wäre im nginx nicht oder nur schwierig abzubilden. Allerdings könnte das zum ersten Mal der Punkt sein, an dem sich das Aufwand-/Nutzenverhältnis wendet.
Ich vermute eine Deine Anforderung lautet FHEM von beliebigen Rechnern aus nutzen zu können, liege ich da richtig? Das widerspricht schließlich der VPN Lösung.
Gesendet von iPhone mit Tapatalk
Ob VPN oder HTTPS sicherer ist, das moegen Fachleute (d.h. Kryptografen) entscheiden, aber apache/nginx wird vermutlich auch nicht weniger als irgendwelche VPN-Loesungen auf Sicherheit untersucht worden sein, und FHEMWEB verwendet am Ende auch die gleiche openssl Bibliothek wie diese.
Ich will aber vermerken, dass Angrifftypen wie CSRF egal ist, ob die Seite per HTTPS oder VPN erreichbar ist, d.h. man sollte sich nich in Sicherheit wiegen, nur weil man VPN einsetzt.
Ich fänds schon elegant, wenn man es von jedem Rechner aus nutzen könnte ohne erst ein VPN einrichten zu müssen. Ich nutze auch Steuerung vom Handy aus per Tasker/HTTP-Befehle. Also ja, ich hänge da schon etwas dran :) Hilft natürlich alles nix, wenn es sicherheitsmäßig nicht vertretbar ist.
Im Moment nutze ich halt ein nginx-ReverseProxy mit sicherem Passwort (klopf auf Holz) und HTTPS mit echtem Zertifikat. Dazu läuft fail2ban, was IPs in der Firewall sperrt (OS-Level) nach 3 fehlgeschlagenen Anmeldeversuchen am nginx.
Habe das bisher halt für hinreichend sicher gehalten und ich wüsste nicht, wo da ein VPN sicherer wäre (außer wie du sagst PW <-> Zertifikat). Lese hier aber regelmäßig im Forum, dass man ausschließlich per VPN mit seinem FHEM reden sollte, was mir dann doch immer etwas Angst macht.
EDIT:
Hier eine interessante Ausführung zum Thema Zertifikat vs. Passwort:
http://security.stackexchange.com/questions/3605/certificate-based-authentication-vs-username-and-password-authentication
Zitat von: rudolfkoenig am 19 Februar 2017, 10:49:57
(...) FHEMWEB verwendet am Ende auch die gleiche openssl Bibliothek wie diese. (...)
Das mag stimmen, nichts desto trotz, gibt es noch mehr als das im Kern liegende openssl. Drumherum kommt jede Menge FHEM-Implementierung, welche AFAIK noch nicht von
unabhängigen Krypto-Experten* auditiert wurde. Allein die Tatsache die Web-Credentials base64-encoded in FHEM zu speichern ist Grund genug dem FHEM-Webserver seine Tauglichkeit ins Web exponiert zu werden abzusprechen.
Zitat von: rudolfkoenig am 19 Februar 2017, 10:49:57
(...) Ich will aber vermerken, dass Angrifftypen wie CSRF egal ist, ob die Seite per HTTPS oder VPN erreichbar ist, d.h. man sollte sich nich in Sicherheit wiegen, nur weil man VPN einsetzt. (...)
Gutes Beispiel -- und der dahinter steckende Hinweis ist so wichtig kein anderer: Egal welche high sophisticated Krypto-Technologien ich auch einsetze, der Verstand spielt immer eine genau so große Rolle. Das schließt alle User des Hauses mit Zugriff ein..
Zitat von: vbs am 19 Februar 2017, 10:58:55
Ich fänds schon elegant, wenn man es von jedem Rechner aus nutzen könnte ohne erst ein VPN einrichten zu müssen. (...) Hilft natürlich alles nix, wenn es sicherheitsmäßig nicht vertretbar ist.
(...)
Im Moment nutze ich halt ein nginx-ReverseProxy mit sicherem Passwort (klopf auf Holz) und HTTPS mit echtem Zertifikat. Dazu läuft fail2ban, was IPs in der Firewall sperrt (OS-Level) nach 3 fehlgeschlagenen Anmeldeversuchen am nginx.
Kann das gut nachvollziehen. Ohne es zu wagen mich als Experte zu bezeichnen, würde ich allerdings sagen, dass du ein Setup hast, welches bei gewissenhafter Benutzung durchaus vertretbar ist.
Damit fällst du auch vermutlich nicht in die angedachten Alternativgruppe zu "ausschließlich VPN für FHEM nutzen". Die meisten Autoren solcher Aussagen (einschließlich mir) haben wohl eher den unbedarften User im Kopf, welcher sonst den FHEM-Webserver direkt hinter den offenen Port stellt.
Der Link zum Thema PW vs. cert ist gut; dort finden sich eigentlich alle wichtigen Argumente greifbar erklärt wieder.
Mit den Infos kann glaube ich jeder selbst ziemlich gut entscheiden mit welcher Art der Sicherung er nun am besten beraten ist.
*= Bitte lasst uns hier nicht über die Branche IT-Security sinieren, ich weiß da gibt es auch eine Menge zu diskutieren, dennoch hoffe ich mein Punkt wird klar.Grüße
Nils
ZitatAllein die Tatsache die Web-Credentials base64-encoded in FHEM zu speichern ist Grund genug dem FHEM-Webserver seine Tauglichkeit ins Web exponiert zu werden abzusprechen.
Kannst du das bitte mit einem konkreten Beispiel mir erlaeutern, ich habe Schwierigkeiten das zu begreifen.
Ich gehe solange davon aus, dass du FHEM mit Websites mit vielen Logins, die genackt wurden, und _fremde_ Passwoerter entwendet wurden, verwechselst. Btw. du bist nicht gezwungen, basicAuth Passwoerter als base64 zu speichern. Du musst dein Passwort gar nicht in FHEM speichern, die Authentifizierung kann auch sowas wie ActiveDirectory uebernehmen.
Zitat von: rudolfkoenig am 19 Februar 2017, 12:24:46
(...) Ich gehe solange davon aus, dass du FHEM mit Websites mit vielen Logins, die genackt wurden, und _fremde_ Passwoerter entwendet wurden, verwechselst.
Das ist das übliche Beispiel für schlecht gespeicherte Passwörter -- wohl nicht ganz auf FHEM übertragbar, stimmt.
Aber wäre es nicht auch ein denkbares Beispiel, dass ein Angreifer kurzzeitig (aus welchem Grund auch immer) Zugriff auf das FHEM System hat? Normalerweise dürfte er dann maximal die Möglichkeit haben, das Passwort zu ändern bzw. einen zusätzlichen Login zu erzeugen. Im hiesigen Fall ist es jedoch Möglich das Passwort, also das einzige Geheimnis des gesamten Authentifizierungsmechanismus, zu erfahren. Das verstößt einfach gegen jede Guideline jedes IT-Security Lehrwerks/Papers/ was auch immer. Im Beispiel könnte er dann unbemerkt diesen Login weiterhin nutzen.
Zitat von: rudolfkoenig am 19 Februar 2017, 12:24:46
(...) Btw. du bist nicht gezwungen, basicAuth Passwoerter als base64 zu speichern. Du musst dein Passwort gar nicht in FHEM speichern, die Authentifizierung kann auch sowas wie ActiveDirectory uebernehmen.
Werden auch andere Verfahren, ggf. sogar Hash-Verfahren von FHEM unterstützt?
Gibt es in FHEM eine AD- (oder anderer Verzeichnisdienst) Integration, oder was schwebte dir dabei jetzt vor?
-Nils
ZitatWerden auch andere Verfahren, ggf. sogar Hash-Verfahren von FHEM unterstützt?
Das allowed Modul erlaubt dir einen Perl-Ausdruck auszufuehren. Mit Net::LDAP sollte nicht aufwendig sein, eine Authentifizierung gegen AD durchzufuehren. Oder mit Digest::SHA was besseres als base64 einzusetzen.
Zitat von: rudolfkoenig am 19 Februar 2017, 12:44:14
Das allowed Modul erlaubt dir einen Perl-Ausdruck auszufuehren. (...)
Schöne Option! Werde ich mir anschauen, danke!
Das ist eine sehr interessante Diskussion. Allerdings hat es nichts mit um zu tun. Sollte im entsprechenden Forum fortgeführt werden ( und umbenannt) damit sicherheitsinteressierte User aller Systeme es finden können.
Rudi?
ZitatSchöne Option! Werde ich mir anschauen, danke!
Und falls du was implementiert hast, bitte irgendwo (wiki/hier) dokumentieren :)
ZitatSollte im entsprechenden Forum fortgeführt werden ( und umbenannt) damit sicherheitsinteressierte User aller Systeme es finden können.
Habe nichts dagegen, das sollte aber der TE machen.
Hat mit HM angefangen, da die "Journalisten" das "Problem" an HM Geraeten demonstriert haben.
Grundsätzlich:
Ein VPN ist NICHT sicherer als https (oder ssh). VPN hat den Vor (und Nachteil), da mehr als nur https drüber gehen kann. Bei https habe ich den Vorteil, jemanden (z.B. dem Ehepartner) nur den https Teil freizugeben, aber alles andere ... geht zwar auch mti VPN, aber es ist komplizierter.
Grundsätzlich:
Je komplexer ein Thema, desto einfacher ist es, per Konfiguration eine Sicherheitslücke einzubauen.
ZitatJe komplexer ein Thema, desto einfacher ist es, per Konfiguration eine Sicherheitslücke einzubauen.
genau.
ein fritzbox vpn ist für einen laien ziemlich sicher einfacher und fehler unauffälliger konfiguriert als ein apache oder nginx reverse proxy mit port forwarding und deshalb vermutlich sehr wohl sicherer was den remote zugang von aussen angeht.
die sicherheitsbedenken einem partner remote weniger freizugeben als er lokal zuhause im zugriff hat verstehe ich nicht ganz.
ich vermute das man bei einem password gesicherten zugang auch sehr schnell der Versuchung erliegt das gleiche password wieder zu verwenden statt pro client ein eigenes vpn zertifikat zu verwenden. ganz zu schweigen vom tatsächlich vorhandenen risiko der einfachen passwörter. von daher sehe ich vpn in fast allen fällen als sicherer und einfacher an.
Wenn der unbedarfte Partner von überall auf Netz kann, dann kann es auch ein anderer. Spätestens wenn er "das Smartphone in die Hand kriegt".
Allerdings habe ich bei m ir die Frage gleich viel Tiefer gestellt:
Ich habe meine Partnerin gefragt, ob sie vollen externen Zugriff überhaupt braucht ...... ist es wirklich wichtig, von der Arbeit die Heizung komplett steuern zu können?
Wegen VPN pro Gerät ... gerade die FritzBox macht aber "ein VPN pro User". Meinst Du wirklich, das der "Normaluser" für jedes Gerät einen neuen User anlegt?
Da kommt mir ein anderer Punkt zum Thema VPN: Sieht jemand eine Möglichkeit den Zugriff auf FHEM wirksam zu beschränken?
Es wäre doch interessant für externe Zugänge nur unkritische Dinge wie Heizungen freizugeben, die Haustür aber bspw. nicht.
Zum Thema Multiuser: Finde es erstmal nicht so schlimm wenn jemand einen VPN User für n devices nutzen würde. Sobald eins abhanden kommt und er diesen Zugang sperren muss, weiß er warum eine vernünftige Aufteilung sinnvoll wäre.
User pro device ist ansonsten ja eher non-repudation, was hier keine große Rolle spielen dürfte.
Grüße
Nils
Hi,
gute Diskussion hier !
Ich gebe mal zwei nette Beispiele:
- ein Arbeitskollege hat auch sein Smarthome mit Homematic automatisiert und mit quasi null know-how von außen zugreifbar gemacht. Als er mir das ganz stolz zeigte habe ich mir seine IP gemerkt und ihm dann mal auf meinem Rechner demonstriert, wie einfach ich seine Haustüre (per Keymatic) öffnen kann. Ich habe ihm dann dringlichst empfohlen, sich mal in die Materie HTTPS, Passwort und Proxy_Server einzulesen. Unfassbar: der hatte seine CCU komplett offen von außen zugänglich gemacht
- irgendwo in den Untiefen des Netzwerkes gibt es einen Baublog, in dem ein User seine komplette Installation im Detail beschreibt (natürlich auch ohne Sicherung). In einem Eintrag beschreibt er aber auch, dass er aus Paranoia extra einen Antrag gestellt hat, damit am Briefkasten kein Name dran ist, denn dann könnte ihn ja jeder identifizieren. Da Frage ich mich dann doch, warum der Baublog den Namen der Heimbewohner mit Fotos etc. im Klartext hat und das Smarthome komplett von außen zugreifbar ist.
Fazit: die meisten Smarthomes sind wohl unsicher, da die Leute aus Bequemlichkeit sich keine Gedanken machen, wie man das absichert.
Und für die, die es interessiert: loggt mal an eurem Router mit, wie oft pro Tag da von außen ein Portscanner vorbeikommt. Bei mir ist das im Schnitt ca. 3 mal pro Tag ... Also übertragen auf die echte Welt kommt dreimal pro Tag jemand aus Russland oder Asien vorbei und schaut, ob an eurem Haus irgendein Fenster offen ist.
Und wenn ihr schon beim Absichern seid: falls eure Musiksammlung auf dem heimischen NAS ebenfalls ungesichert im "Internet-Wind" steht, dann macht das auch gleich dicht oder richtet schon mal Geld für die Abmahnanwälte.
ZitatDa kommt mir ein anderer Punkt zum Thema VPN: Sieht jemand eine Möglichkeit den Zugriff auf FHEM wirksam zu beschränken?
Es wäre doch interessant für externe Zugänge nur unkritische Dinge wie Heizungen freizugeben, die Haustür aber bspw. nicht.
ich habe bei mir 3 FHEMWeb Instanzen angelegt
- eine, die man zu Hause benutzt, mit der man die geräte steuert
- eine für mich, in der dann alles sichtbar ist zur Konfiguration
- eine für den Zugriff von außen. Hier sind viel Räume ausgeblendet und auch viele Befehle nicht zugreifbar.
der Zugriff von außen geht dann über einen Proxy-Server mit HTTPS, der auch die Passwort-Verwaltung macht. Router ist keine Fritzbox und auch keine Telekom-Box. Dieser Router hat nur den HTTPS Port nach außen frei. Alle anderen sind zu.
Das ist vermutlich auch nicht 100% sicher, aber ich habe die Hürden für einen "Einbrecher" etwas nach oben gezogen. Wer da also virtuell rein will, verliert vermutlich schnell die Lust und versucht es einfach bei der nächsten IP Adresse, die weniger gesichert ist.
Einziges Manko an der ganzen Sache: ich kann nicht mitloggen, von wo außerhalb der Zugriff erfolgt ist, dann der Proxy Server sieht ja als Zugriffsadresse nur meinen Router.
Man kann in der allow festlegen welche Befehle oder welche Devices über die Webinstanz geschalten werden können
Zitat von: bugster_de am 20 Februar 2017, 09:08:48
ich habe bei mir 3 FHEMWeb Instanzen angelegt
- eine, die man zu Hause benutzt, mit der man die geräte steuert
- eine für mich, in der dann alles sichtbar ist zur Konfiguration
- eine für den Zugriff von außen. Hier sind viel Räume ausgeblendet und auch viele Befehle nicht zugreifbar.
(...)
Wie hast du die Auswahl der abrufbaren Elemente (Räume?) erstellt? Einfach Räume ausgeblendet? Das würde ja nicht wirklich eine Einschränkung einstellen, denn die Befehle sind dennoch über URL Aufrufe ausführbar.
Ich denke coolTux Vorschlag ist da relevanter über das Allowed Objekt. Das wusste ich noch nicht - vermutlich erfolgt hier dann auch eine echte Validierung ob die Aufrufe erlaubt sind, oder? Das würde dann selbst gebaute URL Aufrufe ausschließen.
Grüße
Nils
Internals:
CFGFN
NAME allowed_WEBhook
NR 7
STATE active
TYPE allowed
allowedCommands set
allowedDevices rr_Marko,rr_Nadin,rr_Isabel
validFor WEBhook
Readings:
2017-02-06 06:57:56 state active
Attributes:
allowedCommands set
allowedDevices rr_Marko,rr_Nadin,rr_Isabel
validFor WEBhook
Bei diesem Beispiel sind nur Setbefehle erlaubt und auch nur für die hier gezeigten Devices.
Sehr stark. Das wird auf jeden Fall für das von anderen Familienmitgliedern erreichbare FHEM-Web genutzt.
Der Thread ist jetzt schon Gold wert. Werde in ca. 2 Wochen mal mit dem Security Artikel im Wiki anfangen abzugleichen und ggf. erweitern!
@bugster_de
Ich hoffe, Du hast an IPv6 gedacht. Es gibt zwar vieles an AVM zu meckern, aber bezüglich IPv6 haben sie im Standart die Firewall an, d.h. alles eingehende blockiert. Mit bedauern mußte ich feststellen, das viele anderen Router es NICHT machen. D.h. man macht auf IPv4 Ebene alles dicht, aber auf IPv6 ist das Scheunentor offen. Wurde hier aber auch schon geschrieben.
Bezüglich "Einbruchversuche":
Wir haben auf unseren Servern Deamons, die den SSH-Deamon überwachen. Wenn etwas "böses" versucht wird, wird für über 1h die Quell-IP gesperrt. Mitlerweile passiert das im Durchschnitt 80 mal am Tage. Also 3 Mal ist etwas wenig (wobei ein Portscanner auch kein Einbruchversuch ist)
Zitat von: NilsB am 20 Februar 2017, 10:23:50
Sehr stark. Das wird auf jeden Fall für das von anderen Familienmitgliedern erreichbare FHEM-Web genutzt.
Der Thread ist jetzt schon Gold wert. Werde in ca. 2 Wochen mal mit dem Security Artikel im Wiki anfangen abzugleichen und ggf. erweitern!
Bei diesem Beispiel wissen die Familienmitglieder es nicht ein mal. Oder besser sie verwenden es nicht aktiv. Eine Automatisierung auf den Handys sorgt für die entsprechenden Schaltbefehle.
Habe allowed erweitert: die neuen set Befehle basicAuth/password/globalpassword setzten das zugehoerige Attribut auf einem SHA256 hash. Weiterhin gibt es fuer validFor Setzen eine Hilfe im FHEMWEB/detailAnsicht. Evtl. wird es noch ausgeweitet.
Ich denke darueber nach, statt motd zu setzen, beim Fehlen einer allowed Instanz eine automatisch anzulegen, und solange sie nicht mit einem validFor versehen ist, einen roten Eintrag im linken FHEMWEB-Menu einzublenden. Muss nur noch eine Loesung fuer "Besserwisser" finden.
Zitat von: NilsB am 20 Februar 2017, 08:31:44
Da kommt mir ein anderer Punkt zum Thema VPN: Sieht jemand eine Möglichkeit den Zugriff auf FHEM wirksam zu beschränken?
Ist wirklich die Antwort auf Deine Frage, aber es trägt ebenfalls zur Absicherung bei:
Eine relativ einfach umzusetzende Möglichkeit ist auch, den externen Zugriff nur zu aktivieren, wenn irgendein Bewohner den Status 'absent' oder 'gone' hat. Wenn jemand schläft oder zu Hause ist, braucht man auch keinen externen Zugriff. Profaner, aber wirksamer Ansatz.
iptables mit drop-Rule, Server Shutdown (Apache oder Proxy - je nach Setup), VPN down wären Punkte, über die man das realisieren könnte.
Zitat von: hobu am 20 Februar 2017, 19:51:48
Ist wirklich die Antwort auf Deine Frage, aber es trägt ebenfalls zur Absicherung bei:
Eine relativ einfach umzusetzende Möglichkeit ist auch, den externen Zugriff nur zu aktivieren, wenn irgendein Bewohner den Status 'absent' oder 'gone' hat. Wenn jemand schläft oder zu Hause ist, braucht man auch keinen externen Zugriff. Profaner, aber wirksamer Ansatz.
iptables mit drop-Rule, Server Shutdown (Apache oder Proxy - je nach Setup), VPN down wären Punkte, über die man das realisieren könnte.
Genau so mache ich es. Fhem regelt bei mir einige iptables rules. So auch externe VPN/DMZ Ports für FHEM.
Ich denke gerade darüber nach, VPN nur auf Anforderung, z.B. durch das schicken einer Email mit speziellem "Passwort" im Subject zu aktivieren... Die allermeiste Zeit brauche ich ja auch wenn ich ausser Haus bin kein VPN...
Zitat von: KernSani am 20 Februar 2017, 20:05:56
Ich denke gerade darüber nach, VPN nur auf Anforderung, z.B. durch das schicken einer Email mit speziellem "Passwort" im Subject zu aktivieren... Die allermeiste Zeit brauche ich ja auch wenn ich ausser Haus bin kein VPN...
Wie wär's mit "
Bei Anruf VPN":
Sprich: Anhand der Anrufernummer(n) das VPN aktivieren?
Es gibt doch auch noch das GoogleAuth modul als zusätzliches Passwort
Zitat von: igami am 20 Februar 2017, 21:50:30
Es gibt doch auch noch das GoogleAuth modul als zusätzliches Passwort
Genau so habe ich es jetzt auch prototypisch implementiert.
Mail von bestimmtem Absender an bestimmte Adresse mit Subject "VPN start <GoogleAuthToken>" startet das VPN :-)
https://www.ifun.de/smarthome-sicherheit-unsachliche-ard-reportage-104163/ (https://www.ifun.de/smarthome-sicherheit-unsachliche-ard-reportage-104163/)
Das initiale Thema taucht auch an anderen Stellen im Netz als unsachliche Reportage auf...
So ein Tutorial VPN starten oder Port freigeben auf einer Fritzbox nach Anruf auf das SIP-Modul / oder per Mail inklusive Google Auth Token wäre sicherlich interessant.
Zitat von: Hauswart am 21 Februar 2017, 08:02:22
So ein Tutorial VPN starten oder Port freigeben auf einer Fritzbox nach Anruf auf das SIP-Modul / oder per Mail inklusive Google Auth Token wäre sicherlich interessant.
Ich kann heute abend mal meine Implementierung posten (ist zwar vergleichsweise trivial, aber hat den Vorteil, dass der ein oder andere Experte vielleicht nochmal drüber schaut ;-))
ZitatWie hast du die Auswahl der abrufbaren Elemente (Räume?) erstellt? Einfach Räume ausgeblendet? Das würde ja nicht wirklich eine Einschränkung einstellen, denn die Befehle sind dennoch über URL Aufrufe ausführbar.
Ich denke coolTux Vorschlag ist da relevanter über das Allowed Objekt.
ja einfach die Räume ausgeblendet, denn wie schon ausgeführt: die 100% Sicherheit gibt es nicht, ich ziehe damit nur die Hürden etwas höher, so dass ein "Einbruch" bei mir schwerer ist, wie ein Einbruch bei der nächsten IP-Adresse, die ja nur einen Klick entfernt ist. Genauso wie es halt bei der echten Haustüre und Fenster auch ist.
Die Namen der ausgeblendeten Räume fangen mit Sonderzeichen an. Macht das Raten schwerer
ZitatIch hoffe, Du hast an IPv6 gedacht. Es gibt zwar vieles an AVM zu meckern, aber bezüglich IPv6 haben sie im Standart die Firewall an, d.h. alles eingehende blockiert.
ich habe keine FB für den DSL Zugang und bei meinem Router ist IPV6 ausgeschaltet. Ich meckere gar nicht über die FB, ist ein tolles Gerät. Ihr Markterfolg ist aber wohl auch deren Schwachstelle: das Gerät haben halt viele und deshalb lohnt sich auch die Entwicklung eines Angriffstools.
Mein DSL Router geht in den zentralen Switch im Haus und auch dort ist IPV6 ausgeschaltet.
Wie gesagt, mein Anspruch ist es nicht die 100% sichere Lösung zu bauen, sondern so weit als möglich die Hürden hoch zu halten (aber auch die Usability noch akzeptabel zu halten)
Wer den Endpunkt seines VPN unter Kontrolle hat (z.B. weil er DD-WRT, einen selbstgebauten Router o.ä.), kann auch Portknocking (https://de.wikipedia.org/wiki/Portknocking) verwenden, um eine zusätzliche Schicht Sicherheit einzuführen. Nutzt man TCP Stealth (https://www.heise.de/ix/heft/Gut-verschlossen-2399788.html), das man mit einem OAuth-Token zusätzlich absichern kann, sind sogar MITM-Attacken nahezu ausgeschlossen.
Da es jetzt mehr um die FHEM Sicherheit geht, habe ich es in FHEMWeb verschoben.
Thorsten konnte mitlerweile identifiziert werden und hat nun sein FHEM dicht gemacht
https://forum.fhem.de/index.php/topic,70868.msg623952.html#msg623952