Ist HM/SmartHome noch sicher? Reportage PlusMinus

[KernSani]

Ich denke gerade darüber nach, VPN nur auf Anforderung, z.B. durch das schicken einer Email mit speziellem "Passwort" im Subject zu aktivieren... Die allermeiste Zeit brauche ich ja auch wenn ich ausser Haus bin kein VPN...

[hobu]

Ich denke gerade darüber nach, VPN nur auf Anforderung, z.B. durch das schicken einer Email mit speziellem "Passwort" im Subject zu aktivieren... Die allermeiste Zeit brauche ich ja auch wenn ich ausser Haus bin kein VPN...

Wie wär's mit "Bei Anruf VPN":
Sprich: Anhand der Anrufernummer(n) das VPN aktivieren?

[igami]

Es gibt doch auch noch das GoogleAuth modul als zusätzliches Passwort

[KernSani]

Es gibt doch auch noch das GoogleAuth modul als zusätzliches Passwort

Genau so habe ich es jetzt auch prototypisch implementiert.
Mail von bestimmtem Absender an bestimmte Adresse mit Subject "VPN start <GoogleAuthToken>" startet das VPN

[hschuett]

https://www.ifun.de/smarthome-sicherheit-unsachliche-ard-reportage-104163/
Das initiale Thema taucht auch an anderen Stellen im Netz als unsachliche Reportage auf...

[Hauswart]

So ein Tutorial VPN starten oder Port freigeben auf einer Fritzbox nach Anruf auf das SIP-Modul / oder per Mail inklusive Google Auth Token wäre sicherlich interessant.

[KernSani]

So ein Tutorial VPN starten oder Port freigeben auf einer Fritzbox nach Anruf auf das SIP-Modul / oder per Mail inklusive Google Auth Token wäre sicherlich interessant.

Ich kann heute abend mal meine Implementierung posten (ist zwar vergleichsweise trivial, aber hat den Vorteil, dass der ein oder andere Experte vielleicht nochmal drüber schaut )

[bugster_de]

Wie hast du die Auswahl der abrufbaren Elemente (Räume?) erstellt? Einfach Räume ausgeblendet? Das würde ja nicht wirklich eine Einschränkung einstellen, denn die Befehle sind dennoch über URL Aufrufe ausführbar.
Ich denke coolTux Vorschlag ist da relevanter über das Allowed Objekt.

ja einfach die Räume ausgeblendet, denn wie schon ausgeführt: die 100% Sicherheit gibt es nicht, ich ziehe damit nur die Hürden etwas höher, so dass ein "Einbruch" bei mir schwerer ist, wie ein Einbruch bei der nächsten IP-Adresse, die ja nur einen Klick entfernt ist. Genauso wie es halt bei der echten Haustüre und Fenster auch ist.
Die Namen der ausgeblendeten Räume fangen mit Sonderzeichen an. Macht das Raten schwerer

Ich hoffe, Du hast an IPv6 gedacht. Es gibt zwar vieles an AVM zu meckern, aber bezüglich IPv6 haben sie im Standart die Firewall an, d.h. alles eingehende blockiert.

ich habe keine FB für den DSL Zugang und bei meinem Router ist IPV6 ausgeschaltet. Ich meckere gar nicht über die FB, ist ein tolles Gerät. Ihr Markterfolg ist aber wohl auch deren Schwachstelle: das Gerät haben halt viele und deshalb lohnt sich auch die Entwicklung eines Angriffstools.
Mein DSL Router geht in den zentralen Switch im Haus und auch dort ist IPV6 ausgeschaltet.

Wie gesagt, mein Anspruch ist es nicht die 100% sichere Lösung zu bauen, sondern so weit als möglich die Hürden hoch zu halten (aber auch die Usability noch akzeptabel zu halten)

[Christoph Morrison]

Wer den Endpunkt seines VPN unter Kontrolle hat (z.B. weil er DD-WRT, einen selbstgebauten Router o.ä.), kann auch Portknocking verwenden, um eine zusätzliche Schicht Sicherheit einzuführen. Nutzt man TCP Stealth, das man mit einem OAuth-Token zusätzlich absichern kann, sind sogar MITM-Attacken nahezu ausgeschlossen.

[Edi77]

Da es jetzt mehr um die FHEM Sicherheit geht, habe ich es in FHEMWeb verschoben.

[CoolTux]

Thorsten konnte mitlerweile identifiziert werden und hat nun sein FHEM dicht gemacht

https://forum.fhem.de/index.php/topic,70868.msg623952.html#msg623952