CCU-Protect v3.01 (obsolete) - Lokale Firewall für die CCU3

[blackhole]

Ich denke wenn man sein Netzwerk ordentlich konzipiert hat, dann benötigt man dieses Addon nicht

Man kann die CCU sicherlich auch anders/netzwerktechnisch von potentiellen Störern (Personen und Geräten) isolieren.

In der Praxis tummeln sich im vermeintlich sicheren LAN (vs. WLAN/Gäste-WLAN) Geräte die auf der CCU nichts zu suchen haben: Geräte mit Zugriff von außen - immer wieder auch per Portforwarding (sic), DNLA-Server, Broadcastschleudern, Familienmitglieder, "Cloud-Clients" oder gar Geräte mit Windows 10 im gleichen Subnet wie die CCU sind wohl eher die Regel als eine Ausnahme, wenn ich mich hier im Forum einmal umschaue und ein wenig querlese.

Wie man diese Trennung dann letztendlich vornimmt, hängt von den Möglichkeiten des Betreibers ab (Skill/Budget/Willen/Lust/Zeit).
CCU-Protect ist sicherlich nur eine von mehreren Möglichkeiten. Eine recht bequeme und einfach umszusetzende Möglichkeit mit Anleitung.

Vielleicht schreibst Du ja in einem neuen Thread einfach einmal eine Anleitung für den Durchschnitsuser wie man ein "ordentlich konzipiertes Netzwerk mit CCU" erstellt und betreibt.

[eiGelbGeek]

Es war nicht böse gemeint.... Ich habe nur aus meiner Sicht geschrieben und geurteilt...

Ja und für manch Nutzer macht dein Addon schon sinn.... andersrum wer z.b. die CCU in Internet routet, dem ist eh nicht mehr zu helfen


Gesendet von iPhone mit Tapatalk

[Sven_A]

... wer z.b. die CCU in Internet routet, dem ist eh nicht mehr zu helfen ...

Warum ist mir nicht mehr zu helfen? Ja, ich route meine CCU ins Internet.
Braucht Sie für Uhrzeit, Updates, Email... du meinst das Internet auf die CCU Forwarden, das sollte man wirklich lassen

Und Blackhole hat schon recht mit der Firewall. Bei allem was unterwegs ist ist das durchaus angebracht.
Obwohl ich auch gestehen muss ich verzichte auf die Firewall, ich betrachte mein Heimnetz als ausreichend sicher, trotz Win10.
Ich hab mir das aber gut überlegt, und weiß was ich tue (meistens jedenfalls). Meine Frau tut nichts, die hat selber eine IT Ausbildung, und unser Sohn hat mit 2 Jahren noch kein Netzwerkgerät. Für Gäste gibts das Gästenetz. Sobald Junior aber anfängt sich im Netz zu tummeln muss ich mir das nochmal neu überlegen...

[ayngush]

herzlichen Dank, genau das richtige "gegen" spielwütige Gäste, die selbst auch alle HomeMatic-Installationen haben und die doch recht offene XML-API und HM-Script-Schnittstelle kennen

Ohne das Projekt nun zu bewerten ... aber genau dafür gibt es doch ein Gäste WLan .... das getrennt ist vom Privaten W-Lan / Lan in dem die HM Installation steckt .... genau diese könnte / sollte man auch noch in ein VLan setzen .....

Ich denke wenn man sein Netzwerk ordentlich konzipiert hat, dann benötigt man dieses Addon nicht

Es kommt halt darauf an, was man seinen Gästen ermöglichen möchte und was nicht.
Ich hatte ein Gäste-WLAN mit Client Isolation uvm. am Ende reicht das halt nicht.
Möchte man zulassen, dass seine "Gäste" aka Freunde und Familienmitglieder auch Inhalte auf Geräte im LAN Streamen können, Google ChromeCast z.B., oder auf die Musikbibliothek zugreifen können uvm. dann ist das alles nicht mehr so leicht und Scharf zu trennen. Möchte man den Spieltrieb seiner heranwachsenden eindämmen ohne sie in ein "Gastnetzwerk" zu verbannen, dann wird auch das schwierig. Ich bin zu hause halt keine Firma mit unbekannten Gästen und HoptSpot ansinnen.

Mit einer ordentlichen Netzwerkkonzeption benötigt man dieses Addon dennoch, denn: Ich kann fröhlich einfach eine Webseite bauen, in der ich http://homematic/addons/cuxd/index.ccc oder andere Ressourcen "iframe" und über asynchrone Requests die Ressourcen ableite, ohne dass davon jemand etwas mitbekommt - man muss nur eine so präparierte Seite irgendwie aufrufen - Spoofing - Social Engineering - Spear Phishing. Der Rechner an dem man regelmäßig im Internet mit sieben Meilen Stiefeln unterwegs ist gehört also von der CCU isoliert.

Nur ein logisches VLAN ist übrigens keinerlei Schutz, dazu benötigt man noch Layer 2 + 3 managed LAN-Infrastruktur mit Ports, die an das VLAN und die MACs der Teilnehmer gebunden sind - ist eher unüblich so etwas zu hause zu haben. Ansonsten, bei einem unmanaged LAN, gibt sich ein Angreifer halt einfach ein VLAN-Tag und probiert mal herum - ohne, dass ihm etwas daran hindert.

Am Besten wäre es, wenn man dafür überall DMZ mit entsprechend zweistufigen Firewallkonzepten aufbaut. Aber ich kann mich zu Hause auch zu Tode Administrieren oder einfach iptables auf der CCU aktivieren und gut ists

Edit: Meine CCU hat zum Beispiel keinen Zugriff auf das Internet, wozu auch?. Als Gateway kennt sie sich nur selber, mangels besserer Lösung. NTP bekommt sie vom Raspberry Pi, E-Mail ist bei mir Pushover mit einem Interface auf dem Raspberry Pi, DNS / WINS / DHCP macht bei mir ein Raspberry Pi usw... Updates spiele ich manuell ein und die Update-Benachrichtigung auf er Weboberfläche ist ein iframe, der vom aufrufenden Rechner aus im Internet angefragt wird, nicht von der CCU.

[Triebwerkler]

Komisch bei mir klappt es einfach nicht. Ich habe alles genaustens nach Anleitung gemacht und die Dateien mit der richtigen Konfiguration geschrieben und den richtigen Rechten versehen und dennoch kann ich mit jedem Gerät auf die CCU zugreifen und die Systemvariable bleibt mit 3 Fragezeichen gefüllt.

[blackhole]

... und die Dateien mit der richtigen Konfiguration geschrieben und den richtigen Rechten versehen ...

Da müssen keine Rechte angepasst werden.

Ich hatte dir hier schon einmal geantwortet und keine Rückmeldung erhalten. Da ich wieder ein ähnliches Verhalten befürchte, frage ich trotz einer Vermutung nicht weiter nach, sondern warte erst einmal ab, was Du noch an genauen(!) Informationen bezüglich deiner Herangehensweise lieferst.

[Triebwerkler]

Das habe ich wohl übersehen. Ich habe jetzt nochmal 2 mal hintereinander alles gemacht wie nieder geschrieben. Addons runtergeladen auf CCU geschoben dort entpackt und dann die config mit den MAC und IP Adressen gefüllt. Dann habe ich das disable Script ausgeführt...nichts. Dann das Enable Script...nichts. Dann die CCU neugestartet und nochmal die config überprüft und beide Scripte ausgeführt...nichts. Ich löse die Scripte mit der Shell aus und erhalte keinerlei Fehler. Weder wird die Systemvariable beschrieben außer wie auf dem Screenshot nach einem Neustart, noch wird der Zugriff beschränkt.

[blackhole]

Das sieht gar nicht so schlecht aus.

Poste die Ausgabe von ...

Code: Alles auswählen

iptables -nvL

... nachdem Du firewall_enable.sh in PuTTY ausgeführt hast.

Ändert sich der Inhalt der Systemvariable Firewall, nachdem Du firewall_sysvar_off.tcl und/oder firewall_sysvar_on.tcl direkt in PuTTY ausgeführt hast?

Hast Du die korrekte Syntax für Deine Einstellungen in firewall.conf eingehalten? Beispiele findest Du in der originalen firewall.conf, die im Paket mitgeliefert wird. Kontrolliere das gewissenhaft und falls nötig auch mehrfach.

[Triebwerkler]

Die Systemvariable hat sich auch nach Ausführung der Scripte seid Neustart nicht aktualisiert. Die Ausgabe sieht ja soweit für mein Empfinden ganz vernünftig aus. 3 IP Adressen für die Fritzbox und die VPN Zugänge und sonst MAC`s.

[blackhole]

Die Systemvariable hat sich auch nach Ausführung der Scripte seid Neustart nicht aktualisiert.

Das ist nicht gut. Existiert noch etwas anderes in deiner CCU2, welches Du den Namen "Firewall" gegeben hast?
Um 100%ig sicher zu gehen, ändere die beiden TCL-Skripte wie folgt ab:

firewall_sysvar_on.tcl

Code: Alles auswählen

#!/bin/tclsh
load tclrega.so
rega_script {dom.GetObject(ID_SYSTEM_VARIABLES).Get("Firewall").State("aktiviert");}

firewall_sysvar_off.tcl

Code: Alles auswählen

#!/bin/tclsh
load tclrega.so
rega_script {dom.GetObject(ID_SYSTEM_VARIABLES).Get("Firewall").State("deaktiviert");}

Falls das nicht klappen sollte, lösche die Systemvariable "Firewall" und lege sie komplett neu an (Zeichenkette!). Ein sauberer Reboot der CCU2 schadet vielleicht auch nicht.

Die Ausgabe sieht ja soweit für mein Empfinden ganz vernünftig aus. 3 IP Adressen für die Fritzbox und die VPN Zugänge und sonst MAC`s.

Ja, das sieht gut aus. Die Firewall-Regeln sind aktiv und Deine Konfigurationsdatei scheint somit auch in Ordnung zu sein.

BTW: Die übertrieben große, animierte Werbung hier im Forum stört enorm. Kann das bitte mal wieder jemand auf ein erträgliches Maß reduzieren? Danke.