Hackerangriff auf fhem?

Amenophis86 · 26 Juli 2018, 11:33:36

Hier noch eine Idee von mir. Ich habe damals auch auf VPN umgestellt und mit einem Andorid Handy kann man recht gut einstellen, dass zB automatisch die VPN hergestellt wird: https://forum.fhem.de/index.php/topic,69860.0.html Seit dem habe ich den Port nach außen auch geschlossen.

kjmEjfu · 26 Juli 2018, 11:39:55

Zitat von: Amenophis86 am 26 Juli 2018, 11:33:36
Ich habe damals auch auf VPN umgestellt und mit einem Andorid Handy kann man recht gut einstellen, dass zB automatisch die VPN hergestellt wird:

iOS kann auch VPN on Demand.

CBSnake · 26 Juli 2018, 12:35:05

Hi,

ja VPN hatte ich schon mal ausprobiert, aber wieder verworfen weil ich beruflich die halbe Woche in Hotels bin, welche ihr WLAN so zunageln, das VPN eben nicht geht.

Aktuell läuft der Test zumindest alles über ifttt zu bündeln, der port ist aktuell offen weil ich google Home teste

Wenn FHEM nun ifttt abfragen könnte bzw ifttt FHEM pushen wäre das natürlich top, auf die FTUI kann ich unterwegs notfalls verzichten.

Weniger zeitintensive Dinge wie 5km vor zuhause könnte ich auch über php auf meinen Webspace schreiben und per httpmod abfragen. Mit schalte das Licht an, wäre das etwas zu lahm

ioBroker muss ich mir auch noch anschauen wäre evtl ne alternative.

Thyraz · 26 Juli 2018, 12:35:39

Klar, ist immer die Frage von wo aus man zugreifen will / muss.

Mir reichen zum Glück die Handys der Familie + mein iPad und Laptop.
Bei allen Geräten bis auf den Laptop wird VPN zudem on Demand hergestellt sobald eine App oder Webseite auf den heimischen Hostnamen zugreifen will.

Daher gehen auch so Dinge wie Anwesenheit etc. problemlos.

Frank_Huber · 26 Juli 2018, 13:15:35

Zitat von: hugo.crank am 26 Juli 2018, 08:16:34
hier nochmal alles:
Code Auswählen Erweitern
####################################################################################### #SICHERHEIT / FIREWALL ERKENNUNG UND ABSCHALTUNG #######################################################################################

sollte alles sein direkt aus der cfg.

funktioniert prinzipiell, nur kommen die Nachrichten vom Notify doppelt bei nur einem Login Versuch.
Hast Du das auch?

Code Auswählen

2018.07.26 13:10:56 3 : Login denied by allowed_WEB for 6 via WEB_37.24.18.222_60278
2018-07-26 13:10:56 TelegramBot TelegramBot message Fehlgeschlagener LOGIN Haussteuerung DG!
2018-07-26 13:10:56 TelegramBot TelegramBot message Fehlgeschlagener LOGIN Haussteuerung DG!

weiterhin würde ich "define" durch "defmod" ersetzen. dann gibt es keine Fehlermeldungen durch bereits existierende Geräte.

willib · 26 Juli 2018, 13:20:00

Zitat von: Thyraz am 26 Juli 2018, 12:35:39
Klar, ist immer die Frage von wo aus man zugreifen will / muss.

Mir reichen zum Glück die Handys der Familie + mein iPad und Laptop.
Bei allen Geräten bis auf den Laptop wird VPN zudem on Demand hergestellt sobald eine App oder Webseite auf den heimischen Hostnamen zugreifen will.

Daher gehen auch so Dinge wie Anwesenheit etc. problemlos.

Sind das Apple Geräte?
Ich finde das Vorgehen bei Android für sowas wie VPN on Demand doch recht umständlich. Oder wie ist deine Lösung?
Falls Nötig müssen meine Frau und ich zuerst von Hand die VPN Verbindung starten und danach FHEM aufrufen. Geht auch ist aber nicht smart.

Thyraz · 26 Juli 2018, 13:21:03

Ja sind Apple Geräte.

Ob das bei Android möglich ist bin ich mir nicht sicher...

marvin78 · 26 Juli 2018, 13:47:32

Zitat von: willib am 26 Juli 2018, 13:20:00

Falls Nötig müssen meine Frau und ich zuerst von Hand die VPN Verbindung starten und danach FHEM aufrufen. Geht auch ist aber nicht smart.

Das kommt allerdings auf die Sichtweise an. Ich z.B. möchte, dass man sich bewusst ist, was man tut. Das gilt auch für meine Frau. Denken kann sie und viel Aufwand ist es auch nicht. Convenient ist nicht immer besser und schon gar nicht smarter. Ganz im Gegenteil.

CBSnake · 26 Juli 2018, 14:18:21

Habt ihr die Meldung auch schon doppelt im Log oder nur in Telegram?
Ich hab eine Meldung im Log und einem Meldung in Telegram

nils_ · 26 Juli 2018, 14:31:52

hab mir den code mal kurz angeschaut....

was ist das:

Code Auswählen

attr loginerror userReadings 1

und DOIF Syntax ist das auch nicht mit den ganzen {}

Code Auswählen

define loginerror_zaehler DOIF ([loginerror:event] > 0) { fhem("set loginerror.Versuche " . (ReadingsNum("loginerror.Versuche","state",0)+1)) } { fhem("setreading loginerror event 0")} { fhem("set loginerror.Versuche_Tag " . (ReadingsNum("loginerror.Versuche_Tag","state",0)+1)) } { fhem("set loginerror.Versuche_Gesamt " . (ReadingsNum("loginerror.Versuche_Gesamt","state",0)+1)) } { fhem("define login_zaehler_refresh at +00:00:01 set loginerror_zaehler initialize")}

und die ganzen zähler kannst du auch in einem dummy zusammenfassen.

Thyraz · 26 Juli 2018, 14:54:40

Zitat von: marvin78 am 26 Juli 2018, 13:47:32
Das kommt allerdings auf die Sichtweise an. Ich z.B. möchte, dass man sich bewusst ist, was man tut. Das gilt auch für meine Frau. Denken kann sie und viel Aufwand ist es auch nicht. Convenient ist nicht immer besser und schon gar nicht smarter. Ganz im Gegenteil.

Wenn man für den FHEM Webhook der Geofency App aber jedesmal beim Verlassen und Betreten des Hauses kurz manuell VPN aktivieren muss,
ist das auch nicht so smart.

Aber ja, mitdenken hat noch nie geschadet.

Christoph Morrison · 26 Juli 2018, 17:15:40

Zitat von: CBSnake am 26 Juli 2018, 11:23:51
Schlussendlich ist ein nach außen offenes FHEM in manchen Dingen Bequem z.B.
das Handy meldet schon 5km vorher, dass man heimkommt.
Google Home, Alexa etc gehen so auch am einfachsten bzw auch nur so.
FTUI soll für den WAF eben auch extern gehen (ich stell mal die Heizung hoch)

Das alles machen wir auch und ich hab kein FHEM nach außen freigegeben: Ich hab für die iPhones eine Mobile Config erstellt, die VPN-on-demand startet, wenn ein lokaler Host aufgerufen wird. So nutzen wir FritzFon für VoIP und eben FHEM (Geofancy z.B.) schön bequem über VPN.

Zusätzlich habe ich noch einen MQTT-Broker im Netz, der Daten von Owntracks bezieht und vom internen LAN gepullt wird. Kostenpunkt so 10 € im Jahr, voll unter meiner Kontrolle. Alternativ kann man mit dem HAB auch noch über Telegram kommunizieren. Dort läuft ein rudimentärer Chatbot.

helmut · 26 Juli 2018, 17:49:02

Zitat von: hugo.crank am 26 Juli 2018, 14:49:42
Meine Erfahrungen hier im Forum sind meistens sehr negativ weil viele User für dumm verkauft werden wenn Fragen gestellt werden.

Das kann ich so ueberhaupt nicht nachvollziehen.

Zitat von: hugo.crank am 26 Juli 2018, 14:49:42Oder es gibt einfach gar keine Antwort.

Damit fuerchte ich, musst Du leben, denn a) sind das alles Freiwillige hier, vielleicht hat auch b) Deine Frage nicht
der/die/das Richtige gelesen oder willst Du c) nur lesen "Weiss ich nicht"? Du merkst, gendergerecht kann ich
noch nicht

Zitat von: hugo.crank am 26 Juli 2018, 14:49:42ABER wehe jemand versucht sich einzubringen in Themen. Dann klatscht es und man bekommt Abmahnungen wenn man selbst mal einen Spaß macht.

Dein Code wurde hier doch ernsthaft diskutiert und Nils wollte Dich ganz sicher weder "klatschen" noch abmahnen.
Wenn ich hier im Forum kritisiert werde, sehe ich das als konstruktiv an, gehe in mich und versuche gegebenenfalls,
daraus zu lernen und es besser zu machen.

Im Uebrigen hat mir Rudis Bemerkung gefallen, der sinngemaess mal geschrieben hat, er sei da manchmal etwas
flapsig und das solle der Empfaenger dieser Bemerkung mal nicht so ernst nehmen.

In diesem Sinne hoffe ich, dass Du Dir es noch einmal ueberlegst.

Gruss Helmut

Wernieman · 26 Juli 2018, 19:50:36

Also ich würde Dir definitiv NICHT empfehlen, dein Windows direkt nach außen zu öffnen. Genau daran dürfte es liegen, das fhem versucht wird anzugreifen. Ein 24/7 Rechner mit Windows unter einer Kontrolle .... gibt bestimmt "Geld dafür" ;o) (Wobei auch bei Linux-Systemen gerne gezahlt wird). Bislang sind bei mir auf Port 443 in 5 Jahren 5 Angriffe erfolgt ... da hatte ein Dussel sich beim Passwort mehrfach vertippt ;o)

Ich würde Dir jetzt direkt empfehlen, einen "echten" proxy mit Password davor zu schalten. Dafür reicht ein Pi mit NGinx.

Das automatische Sperren würde ich auch nicht per FHEM, sondern im darunterliegenden System implemetnieren (z.B. fail2ban oder Ähnliches). Das muß laufn, auch wenn FHEM NICHT läuft.

Bezüglich:

ZitatMeine Erfahrungen hier im Forum sind meistens sehr negativ weil viele User für dumm verkauft werden wenn Fragen gestellt werden.

meine Erfahrungen mit Usern, welche so was behaupten sind meist negativ. Weil "Hilfe für Selbsthilfe" und nicht sofortiege Lösungen präsentiert werden .... habe ich auch schon in anderen Foren (Gentoo etc.) erlebt.... aber lassen wir das lieber ...

P.S. Wie erkennst Du eigentlich Portscans ... an Deinem Windowsrechner?

Marlen · 26 Juli 2018, 22:10:24

Hallo,

interessantes und wichtiges Thema!

Wie kann man einen Portscan simulieren?

Hiermit hab ich versucht http://www.dnstools.ch/port-scanner.html da heißt es mein Port ist geschlossen?

LG
Marlen