WARNUNG: CCU und Portforwardning - Alternativen
Moderator: Co-Administratoren
-
- Beiträge: 776
- Registriert: 31.10.2007, 13:32
- Hat sich bedankt: 6 Mal
- Danksagung erhalten: 6 Mal
WARNUNG: CCU und Portforwardning - Alternativen
Hallo Leute,
immer wieder wird hier gefragt, wie man eine CCU aus dem Internet erreicht und wie man ein Portforwarding einrichtet. Oft fragen Anfänger, wie man dies auf seinem Router einstellt.
NIEMALS EINE PORTFREIGABE DIREKT AUF DIE CCU EINRICHTEN!!!
Ich möchte hier nochmals an alle appellieren, dass die CCU und auch (wahrscheinlich) deren Nachfolger auf keinen Fall aus dem Internet direkt erreichbar sein dürfen, da die Systeme für solch einen Zugriff nicht gebaut wurden.
Die Hardware kann gehackt werden oder funktioniert nicht mehr, wie sie soll. Teilbereiche der CCU sind ohne Passwortabfrage erreichbar.
Im idealsten Fall funktioniert Eure Haussteuerung nicht mehr, im Schlimmsten Fall spielt jemand bei Euch im Haus mit dem Licht, schließt Euch aus oder dreht an Eurer Heizung.
Da die CCU ein Unix System ist, kann diese auch für Spyware, SPAM, usw. umgebaut werden und Euch beim Homebanking oder Shopping belauschen!!! Ein Proxy für Kriminelle ist auch denkbar.
Kosten und Zerstörung können die Folge sein, sowie Ärger mit der Kripo.
In der aktuellen c’t wird in einem Artikel beschrieben, worin Heizsysteme in Haushalten und Kraftwerken aus dem Netz erreichbar waren und durch Bugs durch fremde gesteuert werden können.
http://www.heise.de/ct/inhalt/2013/11/78/
Der Artikel ist 1:1 auf die CCU zu übertragen.
Das aktivieren der Passwortabfrage in der CCU oder die Installation eines SSL Zertifikates auf der CCU lösen das Problem nicht!
Was ist die Alternative:
Wer den Zugriff von außen ermöglichen will, kann folgende Wege gehen, die alle als sicher gelten:
- VPN einrichten. Die CCU wird über ein VPN von außen erreicht. Vorteil: Kostengünstig, Nachteil: Router muß dies unerstützen, VPN muss vor Zugriff gestartet werden, Einrichten kosten was Zeit. Für Fritzboxen gibt es Details hier: http://www.avm.de/vpn Draytek Router: http://www.draytek.de/draytek/downloads ... el_VPN.pdf
- http://www.meine-homematic.de/ - PRO: Sehr einfach, Nachteil: Kosten monatlich Geld, man Vertraut einem Anbieter
- http Proxy auf einen Rechner im eigenen Netz: Details: http://homematic-forum.de/forum/viewtop ... oxy#p75150
Eigentlich gehört dies nicht wirklich hier hin, aber vielleicht kann man hier in diesem Thread die ein oder andere VPN Konfiguration noch angeben oder Verlinken.
Grüße
Erik
PS: Oft bieten Provider Fritzboxen subventioniert an. Wer keinen Router hat, der VPN unterstützt und VPN nutzen möchte, sollte mal seinen Provider fragen, ob er über Ihn eine verbilligt bekommt. Gegen eine Vertragsverlängerung kann man oft auch in bestehenden Verträgen neue Hardware bekommen.
PPS: Wer meint, das er uninteressant ist und keiner sein System kennt, der möge mal http://www.shodanhq.com/search?q=homematic aufrufen....
immer wieder wird hier gefragt, wie man eine CCU aus dem Internet erreicht und wie man ein Portforwarding einrichtet. Oft fragen Anfänger, wie man dies auf seinem Router einstellt.
NIEMALS EINE PORTFREIGABE DIREKT AUF DIE CCU EINRICHTEN!!!
Ich möchte hier nochmals an alle appellieren, dass die CCU und auch (wahrscheinlich) deren Nachfolger auf keinen Fall aus dem Internet direkt erreichbar sein dürfen, da die Systeme für solch einen Zugriff nicht gebaut wurden.
Die Hardware kann gehackt werden oder funktioniert nicht mehr, wie sie soll. Teilbereiche der CCU sind ohne Passwortabfrage erreichbar.
Im idealsten Fall funktioniert Eure Haussteuerung nicht mehr, im Schlimmsten Fall spielt jemand bei Euch im Haus mit dem Licht, schließt Euch aus oder dreht an Eurer Heizung.
Da die CCU ein Unix System ist, kann diese auch für Spyware, SPAM, usw. umgebaut werden und Euch beim Homebanking oder Shopping belauschen!!! Ein Proxy für Kriminelle ist auch denkbar.
Kosten und Zerstörung können die Folge sein, sowie Ärger mit der Kripo.
In der aktuellen c’t wird in einem Artikel beschrieben, worin Heizsysteme in Haushalten und Kraftwerken aus dem Netz erreichbar waren und durch Bugs durch fremde gesteuert werden können.
http://www.heise.de/ct/inhalt/2013/11/78/
Der Artikel ist 1:1 auf die CCU zu übertragen.
Das aktivieren der Passwortabfrage in der CCU oder die Installation eines SSL Zertifikates auf der CCU lösen das Problem nicht!
Was ist die Alternative:
Wer den Zugriff von außen ermöglichen will, kann folgende Wege gehen, die alle als sicher gelten:
- VPN einrichten. Die CCU wird über ein VPN von außen erreicht. Vorteil: Kostengünstig, Nachteil: Router muß dies unerstützen, VPN muss vor Zugriff gestartet werden, Einrichten kosten was Zeit. Für Fritzboxen gibt es Details hier: http://www.avm.de/vpn Draytek Router: http://www.draytek.de/draytek/downloads ... el_VPN.pdf
- http://www.meine-homematic.de/ - PRO: Sehr einfach, Nachteil: Kosten monatlich Geld, man Vertraut einem Anbieter
- http Proxy auf einen Rechner im eigenen Netz: Details: http://homematic-forum.de/forum/viewtop ... oxy#p75150
Eigentlich gehört dies nicht wirklich hier hin, aber vielleicht kann man hier in diesem Thread die ein oder andere VPN Konfiguration noch angeben oder Verlinken.
Grüße
Erik
PS: Oft bieten Provider Fritzboxen subventioniert an. Wer keinen Router hat, der VPN unterstützt und VPN nutzen möchte, sollte mal seinen Provider fragen, ob er über Ihn eine verbilligt bekommt. Gegen eine Vertragsverlängerung kann man oft auch in bestehenden Verträgen neue Hardware bekommen.
PPS: Wer meint, das er uninteressant ist und keiner sein System kennt, der möge mal http://www.shodanhq.com/search?q=homematic aufrufen....
Zuletzt geändert von erik am 06.05.2013, 15:01, insgesamt 1-mal geändert.
Re: WARNUNG: CCU und Portforwardning - Alternativen
Guter Hinweis!erik hat geschrieben:Eigentlich gehört dies nicht wirklich hier hin, aber vielleicht kann man hier in diesem Thread die ein oder andere VPN Konfiguration noch angeben oder Verlinken.
Ich erreiche mein Heimnetzwerk über VPN.
Dazu kann ich die Router-Firmware TomatoUSB in der Ausprägung von Toastman oder Shibby empfehlen. Diese läuft auf den meisten Linksys-, Asus-, und vielen weiteren Routern.
(Bei mir z.B. die Toastman-Version auf einen Linksys WRT610N)
Ein VPN (OpenVPN wird auch unterstützt) ist recht schnell eingerichtet und erhöht die Sicherheit gegenüber einer Portfreigabe doch sehr.
Zuletzt geändert von Boris am 06.05.2013, 15:29, insgesamt 1-mal geändert.
CCU3 / Homeputer CL Studio / 348 Kanäle in 120 Geräten:
- Roland M.
- Beiträge: 9833
- Registriert: 08.12.2012, 15:53
- System: CCU
- Wohnort: Graz, Österreich
- Hat sich bedankt: 253 Mal
- Danksagung erhalten: 1390 Mal
Re: WARNUNG: CCU und Portforwardning - Alternativen
Hallo!
Auch ich würde VPN empfehlen, allerdings gibt es auch hier Unterschiede!
PPTP als Tunnelmethode ist zwar bei (Low-Cost-) Routern nicht unüblich, mitllerweile aber nicht mehr als sicher einzustufen.
L2TP-over-IPSec ist vorzuziehen und auch auf Windows-PCs bereits ab XP als Standard an Bord.
Genauso sicher ist SSL anzusehen, hier ist vol allem OpenVPN als quelloffenes System bekannt.
Als Alternative zu VPN könnte man in manchen Fällen noch TeamViewer ansehen.
Ich persönlich habe mir meinen Router bzw. Firewall selbst gebaut, als Software verwende ich Sophos UTM-9, die als Home-Edition auch lizenzkostenfrei genutzt werden kann. Die Firewall ist hier Endpunkt für OpenVPN-Clients. Selbstverständlich ist diese Lösung nichts für den Durchschnittsanwender, aber schließlich bin ich ja auch nicht ganz normal...
Roland
Auch ich würde VPN empfehlen, allerdings gibt es auch hier Unterschiede!
PPTP als Tunnelmethode ist zwar bei (Low-Cost-) Routern nicht unüblich, mitllerweile aber nicht mehr als sicher einzustufen.
L2TP-over-IPSec ist vorzuziehen und auch auf Windows-PCs bereits ab XP als Standard an Bord.
Genauso sicher ist SSL anzusehen, hier ist vol allem OpenVPN als quelloffenes System bekannt.
Als Alternative zu VPN könnte man in manchen Fällen noch TeamViewer ansehen.
Ich persönlich habe mir meinen Router bzw. Firewall selbst gebaut, als Software verwende ich Sophos UTM-9, die als Home-Edition auch lizenzkostenfrei genutzt werden kann. Die Firewall ist hier Endpunkt für OpenVPN-Clients. Selbstverständlich ist diese Lösung nichts für den Durchschnittsanwender, aber schließlich bin ich ja auch nicht ganz normal...
Roland
Zur leichteren Hilfestellung bitte unbedingt beachten:
-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...
- Bezeichnung (HM-... bzw. HmIP-...) der betroffenen Geräte angeben (nicht Artikelnummer)
- Kurzbeschreibung des Soll-Zustandes (Was soll erreicht werden?)
- Kurzbeschreibung des Ist-Zustandes (Was funktioniert nicht?)
- Fehlermeldungen genau abschreiben, besser noch...
- Screenshots von Programmen, Geräteeinstellungen und Fehlermeldungen (direkt als jpg/png) einstellen!
-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...
Re: WARNUNG: CCU und Portforwardning - Alternativen
Hallo,
die Hürde PPTP zu Hacken ist aber noch sehr hoch. Man muss dafür schon einiges an Geld in die Hand nehmen um sich das Passwort per Brute Force von einem Cloud-Anbieter cracken zu lassen. In Echtzeit geht da noch gar nichts. Zudem muss man per Packet Sniffing einen gültigen VPN-Anmeldevorgang aufzeichnen.
Man müsste schon jemanden sehr auf dem Kicker haben um so einen Aufwand zu treiben.
Grüße
die Hürde PPTP zu Hacken ist aber noch sehr hoch. Man muss dafür schon einiges an Geld in die Hand nehmen um sich das Passwort per Brute Force von einem Cloud-Anbieter cracken zu lassen. In Echtzeit geht da noch gar nichts. Zudem muss man per Packet Sniffing einen gültigen VPN-Anmeldevorgang aufzeichnen.
Man müsste schon jemanden sehr auf dem Kicker haben um so einen Aufwand zu treiben.
Grüße
- Dragonfly
- Beiträge: 1249
- Registriert: 04.01.2010, 11:40
- Wohnort: Tyrol
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 4 Mal
- Kontaktdaten:
Re: WARNUNG: CCU und Portforwardning - Alternativen
Hier mal so auf die schnelle ein online-Portscanner:
http://www.dnstools.ch/port-scanner.html
http://www.dnstools.ch/port-scanner.html
-
- Beiträge: 630
- Registriert: 01.11.2007, 21:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Siebengebirge (bei Bonn)
- Hat sich bedankt: 18 Mal
- Danksagung erhalten: 2 Mal
Re: WARNUNG: CCU und Portforwardning - Alternativen
sind wir nicht alle ein bischen gagaRoland M. hat geschrieben:...r, aber schließlich bin ich ja auch nicht ganz normal...
Gruß Stefan
Re: WARNUNG: CCU und Portforwardning - Alternativen
Auch ich finde das dieser Hinweis hier unbedingt richtig angebracht ist,
jeder der sein pivates Netzwerk im Internet veröffentlicht, sollte ungefähr wissen was er tut...
Ich nutze auch VPN, habe ein NAS, das den VPN Service übernimmt, da mein Router das nicht kann.
OpenVPN kann ich sehr empfehlen, gibt's auch Clients fürs iPhone / iPad, damit kann ich auch
meine Homematik dann sicher fernsteuern.
jeder der sein pivates Netzwerk im Internet veröffentlicht, sollte ungefähr wissen was er tut...
Ich nutze auch VPN, habe ein NAS, das den VPN Service übernimmt, da mein Router das nicht kann.
OpenVPN kann ich sehr empfehlen, gibt's auch Clients fürs iPhone / iPad, damit kann ich auch
meine Homematik dann sicher fernsteuern.
-
- Beiträge: 7151
- Registriert: 31.12.2006, 15:18
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Rhein-Main
- Danksagung erhalten: 34 Mal
Re: WARNUNG: CCU und Portforwardning - Alternativen
Moin,
hole das Thema mal kurz hoch, damit sich jeder mal wieder fragen kann, ob er auch wirklich sein testweise eingerichtetes Portforwarding wieder abgestellt hat:
http://www.heise.de/newsticker/meldung/ ... 27124.html
Von meiner Seite aus kann ich nur immer wieder ein VPN empfehlen, das geht vom Handy aus wunderbar, und vom Notebook aus sowieso...
Der Familienvater
hole das Thema mal kurz hoch, damit sich jeder mal wieder fragen kann, ob er auch wirklich sein testweise eingerichtetes Portforwarding wieder abgestellt hat:
http://www.heise.de/newsticker/meldung/ ... 27124.html
Von meiner Seite aus kann ich nur immer wieder ein VPN empfehlen, das geht vom Handy aus wunderbar, und vom Notebook aus sowieso...
Der Familienvater
-
- Beiträge: 776
- Registriert: 31.10.2007, 13:32
- Hat sich bedankt: 6 Mal
- Danksagung erhalten: 6 Mal
Re: WARNUNG: CCU und Portforwardning - Alternativen
Sehr schöner Artikel und guter Hinweis, niemals die Ccu mit einer Portweiterleitung aus dem Internet erreichbar zu machen.
Habe mittlerweile auch die CCU2 im Einsatz, die leider sicherheitstechnisch mit der CCU1 identisch ist und keine grosse Hürde für Hacker ist.
Es ist erschreckend wieviele CCUs unter
http://www.shodanhq.com/search?q=HomeMatic
gelistet sind und teilweise sogar OHNE PASSWORT geschützt sind. Kopfschüttel!!
Habe mittlerweile auch die CCU2 im Einsatz, die leider sicherheitstechnisch mit der CCU1 identisch ist und keine grosse Hürde für Hacker ist.
Es ist erschreckend wieviele CCUs unter
http://www.shodanhq.com/search?q=HomeMatic
gelistet sind und teilweise sogar OHNE PASSWORT geschützt sind. Kopfschüttel!!