Ist HM/SmartHome noch sicher? Reportage PlusMinus

zap · 17 Februar 2017, 17:32:28

Entweder man greift per VPN aus dem Internet auf das lokale Netz zu oder man lässt es sein. Meine Meinung.

KernSani · 17 Februar 2017, 18:53:38

Zitat von: hschuett am 17 Februar 2017, 14:39:13
Hier müsste man praktisch schon die eigene Firewall deaktivieren, mit NAT-Regeln "spielen" oder den DHCP-Server mit manuellen IP-Einstellungen "umgehen"...

Eine Portweiterleitung ist eigentlich ziemlich trivial einzurichten... gibt's sogar im FHEM Wiki Anleitungen (dort natürlich mit Hinweis auf die Sicherheitsprobleme).

Ralf9 · 17 Februar 2017, 19:53:35

Hallo,

ich habe bei meiner Fritzbox 7490 für den Zugriff aus dem Internet eine VPN Verbindung eingerichtet. Ich bin mir aber nicht ganz sicher ob nun die Fritzbox nur per VPN aus dem Internet erreichbar ist.
Kann mir jemand einen brauchbaren online scanner empfehlen?

Gruß Ralf

hschuett · 17 Februar 2017, 19:56:46

@KernSani: Aber das ist doch genau der Punkt:
Derjenige der Anleitungen aus dem Internet befolgt, Portweiterleitungen selbst einrichtet - also aktiv selbst die FHEM Instanz von außen verfügbar macht, kann sich doch nicht gleichzeitig wundern, dass man FHEM von außen auffindet. Dass man Rechner, wenn man sie schon für externen Zugriff frei gibt, absichert - gerade SmartHomes - dürfte auch für Laien grundsätzlich klar sein. Die Frage ist dann nur noch, bin ich technisch in der Lage für meine eigene Sicherheit zu sorgen oder bin ich das nicht? Wenn nicht, nimmt man entweder ein Risiko bewußt in Kauf oder läßt es eben dann auch grundsätzlich sein...

Ich stimme zap 100%ig zu:

ZitatEntweder man greift per VPN aus dem Internet auf das lokale Netz zu oder man lässt es sein. Meine Meinung.

KernSani · 17 Februar 2017, 20:35:34

@hschuett: Mir ging es nur darum zu verdeutlichen, dass es -auch für Laien - vergleichsweise trivial ist, FHEM (oder jede andere webbasierte Anwendung) ins Internet zu stellen.

Module wie Geofancy schreien quasi danach... Das dann wieder vernünftig abzusichern ist dann schon ungleich schwieriger.

birdy · 17 Februar 2017, 22:02:56

Zitat von: Ralf9 am 17 Februar 2017, 19:53:35
Kann mir jemand einen brauchbaren online scanner empfehlen?

Da gibt's viele, Google ist dein Freund.
So z.B. https://pentest-tools.com/network-vulnerability-scanning/udp-port-scanner-online-nmap#

zap · 18 Februar 2017, 07:51:26

Interessant wird bzw. ist es natürlich bei Verwendung von IPv6. Ihr könnt ja mal ein Experiment machen:

- auf dem Internet Router IPv6 aktivieren, sofern er das unterstützt
- im Zweifel mal neu starten, damit es auch aktiv ist und Euer Provider eine IPv6 Adresse zugewiesen hat
- auf dem FHEM Server ebenfalls IPv6 aktivieren
- Prüfen, ob ihr aus dem Internet auf die IPv6 Adresse des FHEM Rechners zugreifen könnt

Je nach Router dürfte mancher überrascht sein, dass das funktioniert. Viele Router haben nämlich keine Firewall für IPv6.
Blöd oder?

Jo · 18 Februar 2017, 08:36:11

@hschuett auf dem letzten Usertreff hatte ich mit jemandem aus dem Forum ein Gespräch zum Thema Zugriff von außen. Er hat FHEM und andere Server frei und ist der Meinung solange es nicht ein Standardport ist wird man ihn schon nicht finden... Ihm war also schon bewusst das die Türe ungeschützt offen steht...
So hat jeder eine andere Einschätzung wie man sein Zeug absichert....
Für mich gibt's aber auch nur VPN...

hschuett · 18 Februar 2017, 08:51:17

@Jo: Aber exakt das meinte ich, wenn ich mir im klaren drüber bin, dass FHEM von außen erreichbar ist und ich mir im klaren darüber bin, welche Sicherungen ich warum/oder warum nicht ergriffen habe, ist doch zunächst alles OK. Wenn jemand für sich beschließt: Server frei und Port muss erraten werden --> fein. Dieser User wird sich vermutlich auch hinterher bei Fremdzugriff nicht beschweren, da er ja bewußt gehandelt hat.

marvin78 · 18 Februar 2017, 11:09:33

@hschuett: ich sehe das so, wie du. Trotzdem liegst du natürlich falsch. Gedacht wird meist wenig und somit schreien diese Damen und Herren doch am Ende laut: FHEM ist unsicher.

hschuett · 18 Februar 2017, 14:00:43

Im Beitrag der ARD (in der Mediathek) ist übrigens eine CCU2 von Homematic verwendet worden, kein FHEM.
Der "Hacker" hat sich auf einem Linux/Unix Terminal per ssh als root auf die jeweilige ext. IP-Adresse der CCU2 verbunden. Mal bei 1:45 Min auf Pause drücken...
Erkenntnis 1: Die CCU2 ist von außen (mind. per ssh) erreichbar, man bekommt Zugriff auf das Betriebssystem der CCU2
Erkenntnis 2: die CCU2 hat einen eingebauten (in Standardkonfiguration aktiven?) SSH-Server (Standard SSH Port 22)
Erkenntnis 3: die CCU2 hat einen root-User (scheinbar mit Standardpasswort oder gar ohne - das ist im TV nicht so genau zu erkennen)

--> gehackt im eigentlichen Sinne wurde hier nicht, sondern eben ein aktiver SSH Zugang verwendet. Der clever eingesetzt, hat dann die Tür (im wahrsten Sinne des Wortes) innerhalb der Homematic-Ebene geöffnet.
--> wenn jetzt FHEM Installationen extern erreichbar sind (Portweiterleitung eingerichtet), ggf. unter Linux/Unix laufen und ein aktiver SSH Server (mit Standardpasswort) existiert, dann kann man ggf. eben auch fhem von der Kommandozeile aus steuern.
Beispiel: ein raspi mit pi als standarduser und standardpasswort und aktiven ssh-Server, den man nach außen "frei" gegeben hat, wäre - im Sinne des ARD Beitrags - eine ähnliche Konstellation.
--> wenn es nicht ein ssh Server ist, dann kann ein telnet Zugang, ein (schlecht konfigurierter) FTP-Server, ein ... zum Problem werden...hier sind die Möglichkeiten mannigfaltig. Deshalb den FHEM-Zugang per basicAuth (allowed) absichern und am besten eben nicht den FHEM-Server ins Netz stellen, sondern von außen per VPN teil des eigenen Netzes werden.
--> die Schwachstelle im ARD Beitrag lag nicht bei Homematic als Technologie, auch nicht beim Thema SmartHome, sondern die Schwachstelle war offenbar auf Betriebssystemebene (standard ssh zugang). Es hätte also jeden Rechner in der Konstellation treffen können, die CCU2 hostet halt zufällig grad das "SmartHome".

rudolfkoenig · 18 Februar 2017, 14:39:35

Zitatgehackt im eigentlichen Sinne wurde hier nicht, sondern eben ein aktiver SSH Zugang verwendet.

Was im Bericht nicht gezeigt wird: der Besitzer der CCU2 hat in der CCU2-Oberflaeche ssh aktiviert, root-Passwort gesetzt, diesen SSH Zugang in dem DSL-Router freigegeben, und IP+Passwort an dem "Hacker" weitergegeben.

Resuemee des Moderators: "SmartHomes sind alles andere als sicher".

vbs · 18 Februar 2017, 15:00:46

Zitat von: zap am 17 Februar 2017, 17:32:28
Entweder man greift per VPN aus dem Internet auf das lokale Netz zu oder man lässt es sein. Meine Meinung.

Frage an die VPN-Experten hier: inwiefern ist ein VPN sicherer als eine HTTPS-Verbindung mit sicherem Passwort?

zap · 18 Februar 2017, 15:46:52

Ob VPN sicherer als HTTPS ist, kann ich nicht sagen. Es ist auf jeden Fall bequemer, denn einmal verbunden hat man Zugriff auf das gesamte Heimnetz, ohne nochmal exlizit Portfreigaben einrichten zu müssen.

@hschuett: kein IPv4 Gerät hinter einem Internet Router ist von aussen erreichbar, wenn keine Portweiterleitung eingerichtet wurde. Die notwendige Vorgehensweise der Reporter hat Rudi schon erläutert.
Und wieso überrascht es Dich, dass ein Linux System wie die CCU einen root User hat? Mein Raspi mit FHEM hat auch einen, inklusive aktiviertem SSH auf Port 22.

hschuett · 18 Februar 2017, 16:33:00

@zap: Überrascht mich nicht, es gibt aber Linux Distro's da ist der root nicht aktiv - wird alles per sudo geregelt. Raspbian ist so ein System --> kein (aktiver) root, dafür user pi mit sudo Möglichkeit
Dass ein SSH Server in der CCU2 drin ist ok, dass er in Standardkonfiguration der CCU2 aktiv ist, hätte mich überrascht. Siehe Beitrag von Rudi oben...wurde scheinbar nachträglich aktiviert und auch das PW für User root gesetzt. Zusätzlich dann halt auch die Portweiterleitung zur CCU im Router eingerichtet...
Privater IPv4-Adressbereich, Firewall, NAT usw. ist mir schon klar...