FHEM Sicherheit mit FritzBox Mitteln für RasPIs, ESPs, IoT-Devices & Co.

zYloriC · 03 März 2017, 17:06:30

Hallo,

durch die immer großer werdende Anzahl von (W)LAN-Geräten, die an mein FHEM angebunden sind, will ich mich dem Thema Internetkommunikation und Sicherheit widmen.

Ich habe das Ziel bei meinem "Wildwuchs" aus raspis, ESPs und IoT-Devices etwas Struktur und auch Sicherheit zu etablieren.

Neben einer Strukturierung der IP-Adressen möchte ich dies vor allem auf Basis der Fritzbox mit White-Listing und nach Möglichkeit Gast-WLAN (vLAN) hinbekommen.

1) White-Listing
Ich bin aktuell beim Zusammentragen der http-Adressen, die alle Komponenten zum Kommunizieren, Aktualisieren und ggf. zeitweise zum Installieren neuer Komponenten brauchen. (Updates folgen auf Wunsch)

2) Gast-WLAN
Die Fritzbox bietet ja ein dediziertes (v)LAN für Gäste. Eine meiner frühen Ideen war, dass ich alle ESPs (Sonoff, NodeMCU, Wemos) und Co im Gäste-WLAN anmelde und die Ports zu meiner FHEM-Installation freigebe. Leider habe ich mittlerweile gelesen, das dies in der aktuellen Firmware nicht mehr so einfach möglich ist.
Daher denke ich aktuell über einen weiteren Wlan-Access-Point nach, den ich dann mit der Fritzbox verbinde. Somit hätte ich 2 getrennte WLANs und könnte die Kommunikation untereinander besser kontrollieren.

3) Fritzbox Zugangsprofile
Mit Hilfe der Zugangsprofile war meine Idee, z.B. die ESPs-Bausteine, auf denen ESPeasy läuft komplett vom Internet zu trennen. Eigentlich müssen die ESPs nur mit fhem (Port 8083) und per Webinterface (Port 80) erreichbar sein. Leider ist die Erreichbarkeit vorhin komplett abgerissen, als ich die Internet-Nutzung dem Profil untersagt habe.
Ich werde noch weiter testen und auch prüfen, wie es sich mit der Ausnahmsweise-Erreichbarkeit via VPN von außen verhält. Vielleicht wird der Aufruf einer lokalen IP über eine VPN-Verbindung von der FritzBox auch als Internetverbindung empfunden....

Ich halte euch diesbezüglich gern auf dem Laufenden und würde mich dafür interessieren, wie ihr eure Fhem-Umgebung (Internet-)sicher gemacht habt.

Viele Grüße, zYloriC

eldrik · 05 März 2017, 04:12:09

Hi,

Zu 3.

Geräte denen die Internet Benuzung untersagt wurde, sind per VPN nicht mehr erreichbar!

Unglücklich aber wird von AVM auch irgendwo beschrieben!

Greetz
Eldrik

Gisbert · 05 März 2017, 08:17:55

Zitat von: eldrik am 05 März 2017, 04:12:09
Geräte denen die Internet Benuzung untersagt wurde, sind per VPN nicht mehr erreichbar!
Unglücklich aber wird von AVM auch irgendwo beschrieben!

Das kann ich so nicht bestätigen.
Bei mir haben alle ESP's per Kindersicherung in der Fritzbox keinen Zugang zum Internet.
Sie sind im Wlan erreichbar, und das gilt auch, wenn ich mich per VPN von außen auf meinen RPi einwähle.

Viele Grüße Gisbert

eldrik · 05 März 2017, 13:05:17

Zitat von: Gisbert am 05 März 2017, 08:17:55
Das kann ich so nicht bestätigen.
Bei mir haben alle ESP's per Kindersicherung in der Fritzbox keinen Zugang zum Internet.
Sie sind im Wlan erreichbar, und das gilt auch, wenn ich mich per VPN von außen auf meinen RPi einwähle.

Viele Grüße Gisbert

Kannst du deinen genauen Zugriffsweg beschreiben?

Wenn ich meinen IP Kameras den Internetzugang verbiete dann sind sie per VPN definitiv nicht mehr zu erreichen.

Wenn man das Thema googelt findet man hierfür auch Workarounds aber im Standard scheint das von AVM so gewollt zu sein.

Greetz
Eldrik

Gisbert · 05 März 2017, 18:23:46

Hallo Eldrik,

ich habe einen Internetzugang von Unitymedia und damit IPv6 bzw, IPv4 über DS-Llte. Damit funktioniert mit Vodafone auf einem Smartphone kein VPN, da Vodafone IPv4 benutzt.
Um dennoch per VPN Zugriff nach Hause zu bekommen, nutze ich den Service von feste-ip.net, die einen Portmapper von IPv6 auf IPv4 für 5 EUR/a anbietet; wie es genau geht, siehe bei feste-ip.net.
Damit hab ich vollen Zugriff auf alle Geräte in meinem Wlan von außen.

Viele Grüße Gisbert

eldrik · 05 März 2017, 19:12:31

Hi,

demnach wird bei dir, wie von mir vermutet VPN nicht von der Fritzbox gemacht und damit tritt die Limitierung durch die Fritbox natürlich nicht auf

Aber das kann zYloriC ja relativ schnell für sich testen.

Greetz
Eldrik

zYloriC · 07 März 2017, 12:47:16

Hallo,

ihr habt wie so oft mal wieder recht. Wenn das VPN von der fritzBox ausgeht, komme ich nicht auf die ESPs, wenn die nicht ins Internet dürfen.
Wenn ich das weißt ist es ok und konsequent von der Box. Damit kann ich leben und brauche auch keinen "Relay-Browser". ESP geht dann nur @Home.

Hinzu zu meinen Sicherheitsbemühungen kommen nun noch IP Einschränkungen bzgl. dem fHem WEB device. Eine IP-Einschränkung auf übliche Laptops und Smartphones kann sicherlich auch nicht schaden

Gruß, zYloriC

NewRasPi · 07 März 2017, 13:27:12

Hallo Gemeinde
da passt das Thema hier bestimmt ganz gut dazu.
Irgend wo im Netz stand mal das jede Fritzbox eine "Hintertür ab Herstellerwerk" hat. Können das die Profis hier im Forum prüfen/ bestätigen? und, gibt es einen Weg, diese Hintertür zu schliessen?
(Ich habe diese Nottür auch schon bei einer älteren Fritzbox verwendet und war froh das es die gab.)
Was macht es sonst für einen Sinn, alle Ports etc. zu schliessen und nur per VPN den Zugriff von aussen zu zulassen.
Die IP- Adressenfilterung ist bestimmt ein kleiner Anfang, bietet aber gegen richtige Hacker bestimmt keinen ausreichenden Schutz.
Es wird wohl immer ein Wettlauf mit den Hackern bleiben.
Was wir heute "aufrüsten" wird übermorgen lächelnd geknackt?
Das ist natürlich ein Grund mehr, heute schon nach dem besten (machbaren) Schutz zu suchen.
Schöne Grüße NewRasPi

FhemPiUser · 08 März 2017, 22:33:11

alternative sind open source router wie openwrt oder lede, die denke ich ein hohes sicherheitsniveau bieten...