eiGelbGeek hat geschrieben:ayngush hat geschrieben:
herzlichen Dank, genau das richtige "gegen" spielwütige Gäste, die selbst auch alle HomeMatic-Installationen haben und die doch recht offene XML-API und HM-Script-Schnittstelle kennen
Ohne das Projekt nun zu bewerten ... aber genau dafür gibt es doch ein Gäste WLan .... das getrennt ist vom Privaten W-Lan / Lan in dem die HM Installation steckt .... genau diese könnte / sollte man auch noch in ein VLan setzen .....
Ich denke wenn man sein Netzwerk ordentlich konzipiert hat, dann benötigt man dieses Addon nicht
Es kommt halt darauf an, was man seinen Gästen ermöglichen möchte und was nicht.
Ich hatte ein Gäste-WLAN mit Client Isolation uvm. am Ende reicht das halt nicht.
Möchte man zulassen, dass seine "Gäste" aka Freunde und Familienmitglieder auch Inhalte auf Geräte im LAN Streamen können, Google ChromeCast z.B., oder auf die Musikbibliothek zugreifen können uvm. dann ist das alles nicht mehr so leicht und Scharf zu trennen. Möchte man den Spieltrieb seiner heranwachsenden eindämmen ohne sie in ein "Gastnetzwerk" zu verbannen, dann wird auch das schwierig. Ich bin zu hause halt keine Firma mit unbekannten Gästen und HoptSpot ansinnen.
Mit einer ordentlichen Netzwerkkonzeption benötigt man dieses Addon dennoch, denn: Ich kann fröhlich einfach eine Webseite bauen, in der ich
http://homematic/addons/cuxd/index.ccc oder andere Ressourcen "iframe" und über asynchrone Requests die Ressourcen ableite, ohne dass davon jemand etwas mitbekommt - man muss nur eine so präparierte Seite irgendwie aufrufen - Spoofing - Social Engineering - Spear Phishing. Der Rechner an dem man regelmäßig im Internet mit sieben Meilen Stiefeln unterwegs ist gehört also von der CCU isoliert.
Nur ein logisches VLAN ist übrigens keinerlei Schutz, dazu benötigt man noch Layer 2 + 3 managed LAN-Infrastruktur mit Ports, die an das VLAN und die MACs der Teilnehmer gebunden sind - ist eher unüblich so etwas zu hause zu haben. Ansonsten, bei einem unmanaged LAN, gibt sich ein Angreifer halt einfach ein VLAN-Tag und probiert mal herum - ohne, dass ihm etwas daran hindert.
Am Besten wäre es, wenn man dafür überall DMZ mit entsprechend zweistufigen Firewallkonzepten aufbaut. Aber ich kann mich zu Hause auch zu Tode Administrieren oder einfach iptables auf der CCU aktivieren und gut ists
Edit: Meine CCU hat zum Beispiel keinen Zugriff auf das Internet, wozu auch?. Als Gateway kennt sie sich nur selber, mangels besserer Lösung. NTP bekommt sie vom Raspberry Pi, E-Mail ist bei mir Pushover mit einem Interface auf dem Raspberry Pi, DNS / WINS / DHCP macht bei mir ein Raspberry Pi usw... Updates spiele ich manuell ein und die Update-Benachrichtigung auf er Weboberfläche ist ein iframe, der vom aufrufenden Rechner aus im Internet angefragt wird, nicht von der CCU.