HMLAN AES Key ändern?

[dero]

Hi,

ich habe hier im Forum gelesen, dass man den Default-AES-Key ändern soll.

Auf meinem brandneuen HMLAN ist ein AES-Key aufgedruckt. Wie soll den jemand kennen? Oder geht es um etwas anderes?

Danke!

dero

[Dirk]

Hallo dero,

der HMLAN hat 2 AES-Keys.
Der Aufgedruckte ist für die verschlüsselte Netzwerkkommunikation zwischen Rechner und HMLAN. Diesen musst du für FHEM ausschalten.

Der AES-Key für die Funkübertragung willst du ändern. Dieser ist nämlich werksseitig bei allen HMLAN gleich.

Gruß
Dirk

[dero]

Wie sieht es eigentlich mit der Sicherheit aus, wenn jemand sich Zugang zu meinem LAN verschafft und LAN-AES ausgeschaltet ist? Kann er dann über meine HMLan die Haustür öffnen???

dero

[martinp876]

ja!

[dero]

Irgendwo hatte ich hier gelesen, dass jemand an der LAN-AES-Verschlüsselung arbeitet. Wie weit sind wir da?

dero

[martinp876]

leider keine Ahnung.
Martin

[Samsi]

Wie sieht es eigentlich mit der Sicherheit aus, wenn jemand sich Zugang zu meinem LAN verschafft und LAN-AES ausgeschaltet ist? Kann er dann über meine HMLan die Haustür öffnen???

Ja, aber er müsste ja auch Zugriff auf den Sender bekommen (bei dir vermutlich der HMLAN). Wenn FHEM läuft, kann sich die Windows Software nicht mehr mit dem HMLAN verbinden. Ich weis nicht ob man mit einer anderen Software irgendwie Zugriff auf den HMLAN bekommen kann wenn gleichzeitig FHEM schon damit kommuniziert. Vielleicht weiss das ja jemand ganz genau?
Wenn ein paralleler Zugriff nämlich ausgeschlossen ist, würde es vermutlich ausreichen, Deinen FHEM Server so abzusichern, das er nicht heruntergefahren wird und auch keiner auf das Webinterface kommt ;)

Ausserdem müsste er Deine HMID kennen (also per Funk mitsniffen oder Zugriff auf die Config Datei von FHEM bekommen).

Wenn Du also nur Angst hast das ein Böser Hacker aus China Deine Tür öffnet, würde es reichen die HMID ausreichend abzusichern.

Ansonsten gehe ich von außerhalb nur per VPN in mein Heimnetz, offene Ports wären mir auch zu unsicher.

[martinp876]

Ich kann mehrere telnetsessions auf FHEM aufmachen. Uns schon damit kann ich alles steuern.
Korrekt, der HMLAN erlaubt nur eine session (soweit ich weiss). Aber wenn man es schafft die Verbingung zum Abstürz zu bekommen kann man sich in diese eine Verbingung einhäcken. Dann ist es auch egal ob der FHEM server oben bleibt.

Ich gehe davon aus, dass jemand der sich in mein Heimnetzwerk einhäcken kann UND sich etwas mit HM/FHEM auskennt auch die fragile Verbindung FHEM/HMLAN knacken kann. Der Rest ist ein Kindespiel.

Vor anderen Leuten musst du keine Angst haben - jedenfalls nicht auf diesem Weg.

Ein AES am LAN sollte hier einen deutlichen Level Sicherheit addieren.
Auf der anderen Seite sollte das LAN sowieso gut hoffentlich abgeschottet sein.

Die HMID mitzusniffen ist ein Kinderspiel - diese sind quasi öffentlich. Jemand der einbrechen will und sich hier die Mühe macht hat sicher einen kleinen sniffer im Auto in Reichweite!

Ein böser Hacker aus China ist in meinen Augen nicht das Problem Wenn der meine Tür öffnet muss er schnell ins Flugzeug bevor ich zu hause bin.
Real sind sicher Einbrecher die sich Gedanken manchen wie sie solche Systeme hacken können. Wenn die Verbreitung des Systems gross genug ist lohnt sich auch der Aufwand es zu hacken.

Gruss Martin

[Dirk]

Ein AES am LAN sollte hier einen deutlichen Level Sicherheit addieren.

Sobald das Netzwek kompromitiert ist. Ist dieses auch egal.
Dann greife ich FHEM halt direkt an. Oder schaue mir die Config-Datei an, wo der HM-LAN-Schlüssel dann ja gespeichert sein müsste.

Ich Denke, wenn die Hausautomatisierungssysteme in Zukunft zunehmen, muss man sich hier grundlegende Gedanken um die Sicherheit Machen.

Am sichersten währ es, sicher den HM-Lan und den Rechner / Server auf dem FHEM läuft physisch vom restlichen Netz zu trennen. Aber wer will das schon? Man kann das auch mit einer Firewall schützen. Oder was auch immer.

Gruß
Dirk

[dero]

FHEM direkt angreifen sollte nicht gehen, wenn man per SSL+PW schützt, oder?

Also, ich würde mich gerne bei AES engagieren, wie ist denn da der Stand?

dero

[martinp876]

das war die Frage.
Stand ist, dass AES zwischen HMLAN und des Device eingeschaltet werden kann. Zum Einschalten braucht man die HM-PC-SW.

Offen ist AES über CUL und AES zwischen FHEM und HMLAN. Mir nicht bekannt dass hier schon jemand etwas angefangen hat.

Gruss Martin

[dero]

Ich meine AES zwischen HMLAN und FHEM.

das hier? -> http://forum.fhem.de/index.php?t=rview&goto=78791&th=12954

dero

[martinp876]

ich dachte das ist zwischen HMLAN und den Devices - nicht sicher.

Im Prinzip bin ich ziemlich blank hier.
Um es zu impelmentieren brauchen wir den Algorithmus zum kodieren/dekodieren, das Verfahren zum generieren/austauschen der Schlüssel sowie das Protokoll.
Das Protokoll auf der Luft habe ich gemessen, ist einfach. Das vergeben der Schlüssel habe ich auch gemessen, aber nicht verstanden aus was diese gemacht werden. Jedes Device hatte einen Eigenen, den HMLAN erstellt/modifiziert hat.

Wo willst du anfangen?

Gruss Martin

[herrmannj]

bitte nicht missverstehen, aber ich finde das etwas extrem.

Gefühlt ist das Thema Sicherheit bei vielen hier nicht so im Fokus und ich finde es sehr gut das zu thematisieren.

Aber wenn ich jetzt wirklich jemanden im LAN hab - dann hab ich doch ganz andere Probleme als den Kabel-AES zum HMLAN Adapter ?

Ganz pragmatisch würde jemand der sich die Mühe macht ins LAN einzubrechen wohl auch eher Deinen Server vornehmen. Denk an Dein fhem-telnet password und überschlage mal wie lange das einem brute-force aus dem lokalen Lan standhalten würde.
Abgesehen davon dürfte ein Einbruch ins LAN mit dem *Ziel* die Tür auf zumachen für bad-guys total unökonomisch sein. (Zeitaufwand, notwendiges Wissen vs. Brechstange fürs Fenster ...)

Wenn wir aber schon mal bei Hightech Einbrechern sind:

Viel kritischer sehe ich in dem Zusammenhang das viele Luftschnittstellen (FS20, IT, MAX, X10 ...) komplett offen sind.

Bei HM und der Keymatic stellt die AES, zumindest in der Theorie) ja noch eine Hürde dar. Aber da sollte man auch doppelt kritisch drauf schauen, die Sicherheit steht und fällt ja mit der korrekten Implementierung des Algorithmus und auch der Menge der Challenges die das Schloss zur Verfügung hat (oder der Qualität des eingesetzten Zufallsgenerators).

Wenn ich mir jetzt überlege das da ein kleiner Atmel im Stromsparmodus drin werkelt und die Programme closed source sind und EQ3 sichr keine Spezialisten dafür eingeflogen hat -dann weiß ich zumindest wo ich ansetzen würde, da haben schon ganz andere Hersteller voll gepatzt ....

Die Standards zur WLAN Verschlüsselung wurden mittlerweile gefühlte 5 mal erneuert weil sie eben doch Angriffsvektoren boten und dort hatten hunderte (tausende?) von Security Champs *vorher* ganz genau drauf geschaut.

Nochmal, ich möchte da niemandem zu Nahe treten, aber manchmal muss man eben auch wie man so schön sagt "die Kirche im Dorf lassen".

viele Grüße
Jörg

[martinp876]

Hallo Jörg,

Grundsätzlich liegst du sicher richtig. Aber jeder muss es selbst wissen. Security ist ein komplexes Thema. Wenn jemand den Code zu Verfügung stellt würde ich versuchen es einzubauen damit es genutzt werden kann.
Ich für meinen Teil sehe es so:
Lichtschalter, Heizung, Rollo und Ähnliches sind nicht security relevant. Erst wenn mein Nachbar mich ärgern will und meine Rollos/lichter manipuliert werde ich hier Aktiv - hoffentlich nie.

Eine ganz andere Baustelle ist die Haustüre und alles was zu Alarmanlagen gehört. Hier und nur hier würde ich mir Gedanken machen - dann aber intensiv.

Faktisch ist es hier nicht anders als im übrigen Computer Business. Wenn einer mein Heimnetz hackt - wird er in mein Haus einbrechen oder wird er mein Bankkonto knacken?...
Hier sind auch immer wieder unsichere User die angst haben eine HMID zu posten. Diese könnte jeder hacker, wenn er in der nähe des Hauses einen Empfänger betreibt aus der Luft fischen. Es zeigt die Unsicherheit einiger.

Sicher hast du recht dass es viel wichtiger ist sein LAN/WLAN zu schutzen - da liegt meist mehr "herum" das interessant sein könnte.

Gruss Martin