Werde ich gehackt?

Thyraz · 07 September 2018, 13:53:08

Zitat von: marvin78 am 07 September 2018, 08:45:14
Steuerung von außen sollte bei einer HausAUTOMATION nur in Ausnahmefällen nötig sein. Visualisierungen kann man sich zusenden lassen. Zugriff per VPN oder Reverse Proxy ist relativ sicher.

Klar, mir ging es ja wie gesagt auch nicht darum zu Verteidigen einfach die Ports für FHEM aufzumachen.
Bei mir ist außer über VPN von außen auch nichts erreichbar.

Ich hab mich nur gefragt, ob das die Mehrheit hier auch schon als zuviel ansieht.

Wernieman · 07 September 2018, 18:53:49

Code Auswählen

Und dann zusätzlich die FHEM-Ports: 8083,8084,8085
Und genau das ist das Problem. Gibt genug spezialisierte Suchmaschinen, um so etwas zu finden ....

Ich finde FHEM gut, aber ich würde es ohne Schutz nicht "in der Freien Wildbahn installieren". Dazu ist dort zu viel los ...

OT:
Nur mal um ein gewisses Problembewustsein zu schärfen:
Installiere beruflich häufiger Linux-Server, die "frei" im Netz hängen. Mit dem erste "ernstzunehmende" Angriffsversuch auf einen neuen Server, nach der Erstinstallation, ist spätestens nach 10 Minuten zu rechnen. In der Zeit hat meistens fail2ban schon die ersten 10 Brute Force Angriffe auf SSH abgewehrt ... diese also nicht mit gerechnet.

Gisbert · 09 September 2018, 05:52:59

Zitat von: connormcl am 05 September 2018, 15:05:08Ich persönlich habe auf den Overhead keine Lust und benutze ein verschlüsseltes Port-Forwarding über SSH an einen vServer im Internet, von dem ich dann wiederum per Port-Forwarding SSH die Verbindung an mein Handy usw. share. Damit habe ich die Dual Stack Lite Probleme von Unitymedia abgefrühstückt und kann sowohl per IPv4 als auch IPv6 Verbindungen aufbauen.

Ohne Einarbeitung und von jetzt auf gleich wird das alles aber nichts. Das muss zum persönlichen Setup passen und alle Anwendungszenarien wollen durchdacht und abgedeckt sein...

Hallo connormcl,

dein Ansatz gefällt mir sehr gut, da er das leidige Thema VPN bei einem DS-Lite-Anschluss bei Unitymedia löst.

Du hast deine Lösung grob skizziert. Könntest du für einen Laien ein detaillierte Anleitung zum Nachbauen aufsetzen?

Viele Grüße Gisbert

Wernieman · 09 September 2018, 09:27:34

Wobei ein Portforwarding über ssh schon ein "VPN-light" ist ...

fiedel · 09 September 2018, 09:31:27

Zitat von: WerniemanUnd wenn der Reverse-Proxy mit einem Passwort geschützt ist (und am besten gleich https macht), ist man "fast" so gut wie VPN ....

Zitat von: Wernieman am 07 September 2018, 18:53:49
Mit dem erste "ernstzunehmende" Angriffsversuch auf einen neuen Server, nach der Erstinstallation, ist spätestens nach 10 Minuten zu rechnen. In der Zeit hat meistens fail2ban schon die ersten 10 Brute Force Angriffe auf SSH abgewehrt ... diese also nicht mit gerechnet.

Bei mir ist das so gemacht wie in deinem obigen Zitat, also NGINX mit starkem PW und SSL. Dann hängt auch noch fail2ban dahinter und ich fühle mich recht sicher damit. Was gibt es den in der Praxis so an "ernstzunehmenden Angriffsversuchen"? Das läuft doch dann eher über frei zugängliche (nicht PW- geschützte) Webseiten, oder geht an "meiner" Absicherung auch noch was vorbei außer ggf. social engineering?

Gruß
Frank

Wernieman · 09 September 2018, 09:42:59

NGINX/Apach sind relativ gut geprüft gegen Hackversuchen bei der Authentifizierung. Deshalb wird (normalerweise) nicht mehr weiterprobiert vom Angreifer, wenn Authentifizierung von diesen Produkten gefordert wird.

Bei anderen Produkten, wie z.B. fhem, sieht es bei Angreifern anders aus.

In meinem Beispiel sind "ernstzunehmende Angriffe" meistens Protokollangriffe auf ssh. Der Server ist häufig dann noch so "nackt", das keine "höheren Dienste" wie z.B. Webserver laufen.

Allgemeiner Hinweis:
Gegen "richtige" gezielte Angreifer (Wie die berühmten 3 Buchstaben aus der USA, aber auch Russland, Israel, China ..... etc.) kann man sich fast gar nicht schützen. Das sollte aber für Normalbürger auch nicht das Problem sein. Die Absicherung gegen Automatisierte Angriffe ist damit aber schon mal gut (bis sehr gut).

connormcl · 09 September 2018, 13:57:27

Zitat von: Wernieman am 09 September 2018, 09:42:59
Allgemeiner Hinweis:
Gegen "richtige" gezielte Angreifer (Wie die berühmten 3 Buchstaben aus der USA, aber auch Russland, Israel, China ..... etc.) kann man sich fast gar nicht schützen. Das sollte aber für Normalbürger auch nicht das Problem sein. Die Absicherung gegen Automatisierte Angriffe ist damit aber schon mal gut (bis sehr gut).

Aus diesem Grund bauen ja immer mehr Leute zwei getrennte Netze zu Hause auf: Eins fürs Internet und eins für die Unterhaltung, Heimautomatisierung usw.

Schwierig, aber nicht unlösbar wird es dann, wenn man doch sicheren Datenaustausch zwischen den Netzen haben möchte. Aber man kann z.B. im Fall von FHEM die Datenübertragung über ein Funkinterface lösen, das nicht IP-basiert ist und direkt Schaltvorgänge usw. übergeben.

Auch ist mindestens der Einsatz eines Open-Source Betriebssystems notwendig, um keine Blackbox zu haben, die selbst alle Daten rausschickt und wo jeder zu Besuch kommen kann, wie er gerade Laune hat. (Leider halt komplex, das Ganze richtig zu konfigurieren und auch noch Aktuell zu halten).

Wernieman · 09 September 2018, 14:56:06

Also ernsthaft:
Wenn ich im Zuge der ESP8266 Konfiguration lese, das Leute mit Ihrem Handy ESP-Dosen (ohne FHEM) direkt schalten wollen, befinden sich die Geräte im gleichen WLAN ... deshalb gehe ich davon aus, das praktisch 99% der User KEINE Netztrennung durchführen.