ssl und normaler Zugang gleichzeitig? Sorry nicht ssh....

AlterMann · 31 Januar 2019, 13:31:22

Hi, klar habe ich gesucht und bin wahrscheinlich blind...
Ich habe den Zugang zu FHEM mit eigenem Zertifikat vermient. Nur stolpert IFTT über das "falsche" Zertifikat! Ergo wollte ich mir bei "FesteIP" - darüber läuft mein VPN Zugang von außen - ein richtiges Zertifikat bestellen und habe gleichzeitig gefragt, wie ich denn das Zertifikat tauschen kann. Den Forumsbeitrag dazu habe ich gelesen. Nun meinen die, da ich VPN habe brauche ich kein ssl? Ist das so richtig, ich habe da ein ungutes Gefühl....

Liebe Grüße AM

MadMax-FHEM · 31 Januar 2019, 15:16:06

Also 1. sind das 2erlei Dinge.

vpn als Zugang (kucken, admin, ...) dafür brauchst du nix (sofern du für vpn Zertifikate [selbst erzeugt] hast)

https für IFTTT ist ganz was anderes. Allerdings habe ich auch "nur" selbstgenerierte Zertifikate (daher kann man das IFTTT wohl beibringen). Nächstes wäre csrfToken. Das habe ich für diesen Zugang auf einen fixen Wert gesetzt.

EDIT: achja ich habe beides laufen...

IFTTT aber wohl nicht mehr lange... War mal zur Einbindung von Google Home...

Gruß, Joachim

Wernieman · 31 Januar 2019, 16:16:43

Und warum nicht ein Zertifikat über letsencrypt?

ZitatcsrfToken. Das habe ich für diesen Zugang auf einen fixen Wert gesetzt.

Was ich jetzt aus Sicherheitsgründen nicht sooo dolle finde. Schließlich ist es genau deshalb eingeführt worden

ssh:
Dieses ist eine Möglichekeit, um auf Deinen Rechner zu kommen. Wenn Du kein Monitor am Rechner hast, brauchst DU ssh!

vpn:
Dieses ist eine Möglichkeit, um in Dein Hausnetz zu kommen. Dabei kommt aber der Client komplett ins Netz

http/https:
Dieses ist Möglichkeit, um auf die Oberfläche von FHEM zu kommen. Mit allen Vor/Nachteilen, da FHEM sehr mächtig und dafür sehr offen ist.

Wie Du merkst, kann man bei keinem "Produkt" sagen, das man wegen vpn kein https oder ssh braucht .. es hat alles sein Bereich, wo es Wünschenswert ist.

AlterMann · 31 Januar 2019, 16:32:23

Sorry, Hilfe böhmische Dörfer...und es geht um ssl sorry. Also ich habe VPN über eine sogenannte FIP Box von FesteIP aus Frohburg Sachsen. Dafür habe ich 5 Schlüssel bekommen von denen ich zwei nutze!
Ich schalte OPenVPN auf dem Tablet, Smartphone,Laptop ein und kann dann ganz normal auf mein Heimnetz zugreifen NAS, Fritzbox etc. Wenn ich auf FHEM oder den RaspberryPI zugreife, wird ein Passwort verlangt. Für FHEM habe ich ein selbst generiertes SSL Zertifikat. Der Nachteil wenn ich jetzt FHEM aufrufe wird der Aufruf gesperrt, weil das Zertifikat keiner Prüfung stanhält! Für mich ist das kein Problem, weil ich das umgehen kann . Aber IFTTT und Alexa? Ich brauche also ein gültiges Zertifikat z.B. von feste IP deren Partner ist Let's Encrypt.
Doch die sagen wegen VPN brauche ich gar kein SSL? Wenn das so ist, wie drehe ich das ganze zurück oder kann ich eine neue FHEM Instanz ohne SSL aufsetzen. Und ja es geht um IFTTT und Google Home und Alexa. Ich habe gelesen, das beide bei einem SSL Zugang mit falschem SSL Zertifikat aufgeben?

Danke für die Erklärung! SSH mache ich eh nur an der Konsole und auch über VPN.

liebe Grüße AM und sorry für die Verwechselung wie schon gesagt für mich sind das böhmische Dörfer oder eher Straßen deren verschlungen Wege einfach nicht in meinen Kopf wollen....Das ist mir zu abstrakt. Deshalb FesteIP, die bezahle ich und gut ist...

Wernieman · 31 Januar 2019, 16:38:03

ZitatDoch die sagen wegen VPN brauche ich gar kein SSL?

https (also ssl) benutzt Du, damit niemand die Daten mitlesen kann. Durch VPN sollte es auch geschützt sein, ABER .. zwischen Deinem Browser und FHEM ist nicht nur das VPN.

Wenn die Geräte, welche auf FHEM zugreifen sollen, unter Deiner Kontrolle sind, kannst Du aber auch mit einem eigenen Zertifikat arbeiten, in dem Du genau dieses auf den Geräten importierst.

Nur .. damit kann ich Dir nicht helfen.

Ergänzung:
Logischerweise verklärt der VPN-Anbieter immer die Sicherheit Ihres VPN als "man braucht keine zusätzliche Sicherheit". Schließlich wollen sie, das jemand für Ihr Produkt Geld ausgibt.

ABER .... Sicherheit ist vielschichtig.

Nur mal als Beispiel:
Du baust Dir eine Bug. So mit Königs-Schlafzimmer, Schatzkammer, Küche, Gefängnis etc. Jetzt wirst Du bestimmt nicht nur am Eingangstor Wachen aufstellen, sondern auch an anderen Orten. Sonst kommt z.B. jemand mit Truthähnen unterm Arm am Tor vorbei, darf er ja da essen für die Küche, räumt aber anschließend die Schatzkammer leer, da dort keine Zusatzwachen. Wäre blöde .... den Rest kannst Du Dir denken.

So baut man Sicherheitsnetze ...... und https/VPN ist jeweils eine Sicherheitsschicht. leider ist auch ein extrner Dienstleister "nur" eine Schicht von vielen ... und man muss hoffen, das er eine gute und nicht eine faule = "schlafende Wache" Schicht ist.

(Ist mein Lieblingsanalogon)

MadMax-FHEM · 31 Januar 2019, 17:16:46

Ich weiß schon wofür das csrfToken ist.
Ich habe es ja auch nicht auf none sondern fix.

Wie groß ist die Wahrscheinlichkeit, dass ich "zufällig" einen Link klicke wo MEIN selbst erstelltes Token passt, Port und IP und auch noch Zugangsdaten...

Und: wenn fhem nicht neu gestartet wird ist das genau der selbe Zustand...

Außerdem geht halt mit IFTTT nichts anderes als eine "fixe url"...

Ich wollte damit auch nur hinweisen, dass sich evtl. IFTTT gar nicht über das selbst erstellte Zertifikat "beschwert" (tut es bei mir nämlich NICHT) sondern vielleicht wegen csrfToken nicht tut...

Gruß, Joachim

AlterMann · 31 Januar 2019, 17:27:03

Hi ja das mit der Burg hatte ich mir auch gedacht, schließlich ist FHEM über WLAN erreichbar...Meine Geräte sind gemischt von Funk über Zigbee bis zu DECT, eigentlich habe ich alle Funkstandarts im System! Ich hoffe das die Geräte verschlüsselt arbeiten, weiß aber aus Publikationen, das das oft mehr als dürftig ist oder gar keine Verschlüselung da ist. Was den Verkauf des Zertifikates betrifft habe ich das eigentlich mit der FIP Box mitbezahlt.

mit freundlichem Gruß AM