WARNUNG: CCU und Portforwardning - Alternativen

[erik]

Hallo Leute,

immer wieder wird hier gefragt, wie man eine CCU aus dem Internet erreicht und wie man ein Portforwarding einrichtet. Oft fragen Anfänger, wie man dies auf seinem Router einstellt.

NIEMALS EINE PORTFREIGABE DIREKT AUF DIE CCU EINRICHTEN!!!

Ich möchte hier nochmals an alle appellieren, dass die CCU und auch (wahrscheinlich) deren Nachfolger auf keinen Fall aus dem Internet direkt erreichbar sein dürfen, da die Systeme für solch einen Zugriff nicht gebaut wurden.

Die Hardware kann gehackt werden oder funktioniert nicht mehr, wie sie soll. Teilbereiche der CCU sind ohne Passwortabfrage erreichbar.
Im idealsten Fall funktioniert Eure Haussteuerung nicht mehr, im Schlimmsten Fall spielt jemand bei Euch im Haus mit dem Licht, schließt Euch aus oder dreht an Eurer Heizung.
Da die CCU ein Unix System ist, kann diese auch für Spyware, SPAM, usw. umgebaut werden und Euch beim Homebanking oder Shopping belauschen!!! Ein Proxy für Kriminelle ist auch denkbar.
Kosten und Zerstörung können die Folge sein, sowie Ärger mit der Kripo.

In der aktuellen c’t wird in einem Artikel beschrieben, worin Heizsysteme in Haushalten und Kraftwerken aus dem Netz erreichbar waren und durch Bugs durch fremde gesteuert werden können.
http://www.heise.de/ct/inhalt/2013/11/78/
Der Artikel ist 1:1 auf die CCU zu übertragen.

Das aktivieren der Passwortabfrage in der CCU oder die Installation eines SSL Zertifikates auf der CCU lösen das Problem nicht!


Was ist die Alternative:

Wer den Zugriff von außen ermöglichen will, kann folgende Wege gehen, die alle als sicher gelten:

- VPN einrichten. Die CCU wird über ein VPN von außen erreicht. Vorteil: Kostengünstig, Nachteil: Router muß dies unerstützen, VPN muss vor Zugriff gestartet werden, Einrichten kosten was Zeit. Für Fritzboxen gibt es Details hier: http://www.avm.de/vpn Draytek Router: http://www.draytek.de/draytek/downloads ... el_VPN.pdf

- http://www.meine-homematic.de/ - PRO: Sehr einfach, Nachteil: Kosten monatlich Geld, man Vertraut einem Anbieter

- http Proxy auf einen Rechner im eigenen Netz: Details: http://homematic-forum.de/forum/viewtop ... oxy#p75150


Eigentlich gehört dies nicht wirklich hier hin, aber vielleicht kann man hier in diesem Thread die ein oder andere VPN Konfiguration noch angeben oder Verlinken.

Grüße

Erik

PS: Oft bieten Provider Fritzboxen subventioniert an. Wer keinen Router hat, der VPN unterstützt und VPN nutzen möchte, sollte mal seinen Provider fragen, ob er über Ihn eine verbilligt bekommt. Gegen eine Vertragsverlängerung kann man oft auch in bestehenden Verträgen neue Hardware bekommen.

PPS: Wer meint, das er uninteressant ist und keiner sein System kennt, der möge mal http://www.shodanhq.com/search?q=homematic aufrufen....

[Boris]

Eigentlich gehört dies nicht wirklich hier hin, aber vielleicht kann man hier in diesem Thread die ein oder andere VPN Konfiguration noch angeben oder Verlinken.

Guter Hinweis!
Ich erreiche mein Heimnetzwerk über VPN.
Dazu kann ich die Router-Firmware TomatoUSB in der Ausprägung von Toastman oder Shibby empfehlen. Diese läuft auf den meisten Linksys-, Asus-, und vielen weiteren Routern.
(Bei mir z.B. die Toastman-Version auf einen Linksys WRT610N)
Ein VPN (OpenVPN wird auch unterstützt) ist recht schnell eingerichtet und erhöht die Sicherheit gegenüber einer Portfreigabe doch sehr.

[Roland M.]

Hallo!

Auch ich würde VPN empfehlen, allerdings gibt es auch hier Unterschiede!
PPTP als Tunnelmethode ist zwar bei (Low-Cost-) Routern nicht unüblich, mitllerweile aber nicht mehr als sicher einzustufen.
L2TP-over-IPSec ist vorzuziehen und auch auf Windows-PCs bereits ab XP als Standard an Bord.
Genauso sicher ist SSL anzusehen, hier ist vol allem OpenVPN als quelloffenes System bekannt.

Als Alternative zu VPN könnte man in manchen Fällen noch TeamViewer ansehen.

Ich persönlich habe mir meinen Router bzw. Firewall selbst gebaut, als Software verwende ich Sophos UTM-9, die als Home-Edition auch lizenzkostenfrei genutzt werden kann. Die Firewall ist hier Endpunkt für OpenVPN-Clients. Selbstverständlich ist diese Lösung nichts für den Durchschnittsanwender, aber schließlich bin ich ja auch nicht ganz normal...


Roland

[ayngush]

Hallo,

die Hürde PPTP zu Hacken ist aber noch sehr hoch. Man muss dafür schon einiges an Geld in die Hand nehmen um sich das Passwort per Brute Force von einem Cloud-Anbieter cracken zu lassen. In Echtzeit geht da noch gar nichts. Zudem muss man per Packet Sniffing einen gültigen VPN-Anmeldevorgang aufzeichnen.
Man müsste schon jemanden sehr auf dem Kicker haben um so einen Aufwand zu treiben.

Grüße

[Dragonfly]

Hier mal so auf die schnelle ein online-Portscanner:
http://www.dnstools.ch/port-scanner.html

[Lueghi]

...r, aber schließlich bin ich ja auch nicht ganz normal...

sind wir nicht alle ein bischen gaga

[tschombe]

Auch ich finde das dieser Hinweis hier unbedingt richtig angebracht ist,
jeder der sein pivates Netzwerk im Internet veröffentlicht, sollte ungefähr wissen was er tut...

Ich nutze auch VPN, habe ein NAS, das den VPN Service übernimmt, da mein Router das nicht kann.
OpenVPN kann ich sehr empfehlen, gibt's auch Clients fürs iPhone / iPad, damit kann ich auch
meine Homematik dann sicher fernsteuern.

[Familienvater]

Moin,

hole das Thema mal kurz hoch, damit sich jeder mal wieder fragen kann, ob er auch wirklich sein testweise eingerichtetes Portforwarding wieder abgestellt hat:

http://www.heise.de/newsticker/meldung/ ... 27124.html

Von meiner Seite aus kann ich nur immer wieder ein VPN empfehlen, das geht vom Handy aus wunderbar, und vom Notebook aus sowieso...

Der Familienvater

[erik]

Sehr schöner Artikel und guter Hinweis, niemals die Ccu mit einer Portweiterleitung aus dem Internet erreichbar zu machen.

Habe mittlerweile auch die CCU2 im Einsatz, die leider sicherheitstechnisch mit der CCU1 identisch ist und keine grosse Hürde für Hacker ist.

Es ist erschreckend wieviele CCUs unter

http://www.shodanhq.com/search?q=HomeMatic

gelistet sind und teilweise sogar OHNE PASSWORT geschützt sind. Kopfschüttel!!