SCS – Security & Control Server - Firewall für die CCU

User stellen ihre Haussteuerung vor

Moderator: Co-Administratoren

gzi
Beiträge: 450
Registriert: 12.01.2015, 23:37
System: CCU
Hat sich bedankt: 15 Mal
Danksagung erhalten: 14 Mal

SCS – Security & Control Server - Firewall für die CCU

Beitrag von gzi » 05.02.2017, 20:47

Ausgangspunkte

Die gute Nachricht vorab: Wer ein HomeMatic System betreibt, hat schon einmal eine gute Ausgangsbasis, denn als HomeMatic User muss man Komfort nicht mit Auslieferung der Privatsphäre an die üblichen Datenkraken erkaufen.

Ich habe den SCS entwickelt, weil ich eine einfach in Betrieb zu nehmende Lösung schaffen wollte, die wirklich sicher ist und mein Zuhause und meine Daten nicht an Unbekannte ausliefert.
Hardware.jpg


Ist ein Smart Home sicher, wenn die CCU nur aus dem LAN/WLAN erreichbar ist?

Leider nicht wirklich, denn im Normalfall kann Jeder der physischen Zugang zum LAN hat oder den WLAN-Key kennt, einfach über den Web-Browser ohne Passwort jedes beliebige CCU-Programm ausführen, Systemvariablen abfragen und ändern. Und Ihren WLAN-Key kennt nicht nur Ihre Familie, sondern auch Ihre Freunde, die Freunde Ihrer Kinder, die Fa. Google … http://www.com-magazin.de/news/sicherhe ... 08940.html (die Firewall CCU Protect verbessert zwar einiges, bietet aber auch keinen 100%igen Schutz dagegen)

Wer denkt: Ich brauche nicht aus der Ferne auf meine HomeMatic Anlage zugreifen?

Auch nicht, um nachzusehen, ob alle Türen und Fenster geschlossen sind, wenn man weggefahren ist, um rechtzeitig die Heizung wieder einzuschalten, wenn man früher vom Urlaub zurückkommt, oder – ganz wichtig - wenn man eine Alarmanlage oder Rauchmelder installiert hat - auf den Bildern der IP-Kamera nachzusehen, ob es wirklich brennt bzw. was wirklich die Alarmanlage ausgelöst hat?

Früher oder später will man einfach die „Tür" aufmachen, aber wie verhindert man zuverlässig, dass Fremde durch diese "Tür" hereinkommen?

Die könnten ja die Heizung ausschalten, Lichtspiele veranstalten, nachsehen wer heute über Nacht zu Besuch ist, ein lustiges Konzert mit der Alarmsirene veranstalten oder auskundschaften, wann die beste Zeit für einen Einbruch ist. Da hört sich dann der Spaß auf. In einem früheren Beitrag hier http://homematic-forum.de/forum/viewtop ... 31&t=33768 habe ich die Sicherheitsthematik eingehend beleuchtet und auch schon die Idee des SCS skizziert.

Keine der mir bisher bekannten Lösungen erfüllt alle nachfolgenden Anforderungen:
  • Wasserdichter Zugangsschutz: Nur der Besitzer und von ihm autorisierte Personen können auf die Haus-Steuerung zugreifen (abgestuft nach nur-lesen, bedienen und verändern/verwalten):
    • CCU
    • Visualisierungs- und Bedienungsoberflächen
    • beliebig viele IP-Kameras
  • Vom Internet und lokal: egal ob aus dem WLAN im Wohnzimmer, unterwegs über UMTS/LTE oder aus dem Hotel in New York,
  • Universell: mit allen gängigen Endgeräten (Tablet, Handy, Laptop ..., keine Apps notwendig)
  • Datenkraken ade: es wandern absolut keine Daten auf irgendwelche Server Dritter, die ich nicht kontrollieren kann
  • Abhörsicher: es kann kein "Man in the Middle" mithören, weil Daten ausschließlich verschlüsselt übertragen werden
  • Universell: funktioniert bei allen Arten von Internet-Anschlüssen (auch Kabel oder Mobilfunk)
  • es gibt keine monatlichen Kosten
  • schützt auch gegen die KRACK Sicherheitslücke im WLAN Protokoll
Ziel des Projektes ist es auch – und das war eigentlich die größte Herausforderung - dass der SCS in jedem LAN/WLAN
  • absolut einfach in Betrieb zu nehmen ist,
also für jeden, der auch eine CCU in Betrieb nehmen kann. Dabei sollte die Lösung transparent und offen für jedwede Erweiterung und Überprüfung sein. Grundsätzlich sind dafür alle notwendigen Komponenten im Internet frei verfügbar. Die Herausforderung war die Richtigen auszuwählen, eine solche Lösung korrekt zu konfigurieren und einzurichten.

Software-Komponenten des SCS

In der CCU muss keinerlei Zusatz-Software installiert werden. Alle CCU Programme laufen ohne Änderung weiter. Folgende Software-Komponenten sind im SCS installiert:
  • HTTPS Schnittstelle für den sicheren Zugriff auf die CCU WebUI ("reverse proxy" SSL/TLS verschlüsselt und Passwort-geschützt; aus dem Internet wie auch aus dem LAN/WLAN)
  • HTTPS Schnittstelle für den sicheren Zugriff auf die CCU XML/API Schnittstelle. (wie oben, SSL/TLS verschlüsselt und Passwort-geschützt)
  • HTTPS Schnittstelle für die sichere Nutzung der CCU Remote HomeMatic Script Schnittstelle. (wie oben SSL/TLS verschlüsselt und Passwort-geschützt)
  • HTTPS Infrastruktur die auch für andere Web-Server basierte HM-Visualisierungssysteme wie z.B. HomeHub WebUI http://homematic-forum.de/forum/viewtop ... UI#p248217 verwendet werden kann
  • Hardware-Konzept stellt sicher, dass nicht mehr unverschlüsselt mit HTTP und ohne Passwort auf die CCU zugegriffen werden kann, die CCU aber aufs Internet zugreifen kann (z.B. für den Versand von Mails durch CCU Programme)
  • Beliebig erweiterbares Beispiel für Web-basierte Bediener-Oberfläche für die CCU (HTTPS, SSL/TLS verschlüsselt und Passwort-geschützt)
  • Beliebig erweiterbares Beispiel für Web-basierte read-only-Oberfläche auf CCU Daten (HTTPS, SSL/TLS verschlüsselt und Passwort-geschützt)
  • Sichere Anzeige von Bildern lokaler IP-Kameras – so vorhanden - auch wenn die Kamera selbst kein HTTPS unterstützt, in der Beispiel- Oberfläche (HTTPS, SSL/TLS verschlüsselt und Passwort-geschützt
  • Web-basierte Verwaltungs-Oberfläche für den SCS (HTTPS, SSL/TLS verschlüsselt und Passwort-geschützt)
  • Command-Line Interface zum SCS (SSH verschlüsselt und Passwort geschützt)
  • Command-Line Interface zur CCU (SSH verschlüsselt und Passwort geschützt)
  • Hardware-Konzept erlaubt es im Bereich Ihres WLAN die CCU kabellos, unabhängig vom Router dort aufzustellen, wo alle HomeMatic Geräte den besten Funk-Empfang haben. Empfangsqualität von WLAN und HomeMatic Geräten wird in der SCS Wartungsoberfläche angezeigt.
  • Lösung für die Erreichbarkeit des SCS und der CCU aus dem Internet über eine fixe URL, der Form HTTPS://name.domain die Sie auf Ihrem Endgerät (Laptop, Handy …) abspeichern können (wie gesagt für alle Arten von Internet Anschlüssen).
  • Falls die externe IP-Adresse des Routers, wie bei Kabel- und Mobilnetz-Internetanschlüssen üblich, nicht öffentlich erreichbar ist, wird ein VPN eingerichtet, sodass bis zu vier Endgeräte (Windows, IOS, Android) dennoch vom Internet kostenlos (Stand: 2/2017) auf den SCS zugreifen können. Trotz VPN werden dabei die Datenströme zwischen Endgerät und SCS und CCU zusätzlich verschlüsselt, sodass auch der VPN Betreiber nicht „mitlesen“ kann.
  • Eigene private „Certification Authority“ (CA) auf dem SCS, die alle HTTPS Schnittstellen mit Ihrem eigenen, kostenlosen persönlichen SSL/TLS Zertifikat absichert (openssl, natürlich die Version ohne den heartbleed bug)
  • Starke HTTPS Verschlüsselung. (TLS 1.2, z.B. mit Chrome Version 55: key exchange ECDHE_RSA with P-256, cipher: AES_256_GCM mit Firefox 40: TLS 1.2 ECDHE_RSA, SHA256, AES_128_GCM).
  • Unterschiedliche Passworte für Administrator mit CCU Zugriff, Bediener und read-only/Viewer
  • Zuverlässige Aktualisierung der Uhrzeit nach längerem Stromausfall (ntpdate statt ntp)
  • Schutz gegen Brute-Force Attacken auf die Passworte der HTTPS und SSH Schnittstellen (fail2ban).
  • System-Log-Auswertung zur Erkennung von Angriffen, Speichermangel etc (logwatch)
  • Web Funktionen um die CCU oder den SCS via HTTPS-Oberfläche remote neu zu starten und den SCS herunterzufahren
  • Web Oberfläche zur einfachen Aktualisierung der HTTPS-Passworte und des WLAN Keys
  • Leistungsfähiger Webserver (lighttpd, mittlere Antwortzeit 1,5 sec bei 10 concurrent usern)
  • Linux Betriebssystem
Alles in Allem hat es mich über 2 Monate gekostet alles so konzipieren, zu konfigurieren und zu installieren, dass nun alle Anforderungen erfüllt sind.

Hardware-Komponenten des SCS

Als Hardware kommt zum Einsatz:
• ARMv8 1,2 GHz Quad Core Prozessor
• 1 GB RAM
• 8 GB SD
• 10/100 BaseT Ethernet
• 2,4 GHz WLAN 802.11b g und n
• 4xUSB etc. (also, Kenner werden es erraten haben: ein Raspberry Pi 3 Modell B)

Lösungsarchitektur des SCS

Das folgende Bild zeigt die Lösungsarchitektur.
architektur.jpg
SCS Architektur
architektur.jpg (11.47 KiB) 7044 mal betrachtet

Der SCS bildet also das Kommunikations-Portal und eine Hardware-Firewall für den sicheren Zugriff auf die CCU. Da die CCU nicht mehr direkt mit dem Router verbunden ist, laufen ausnahmslos alle Zugriffe auf die CCU über den SCS und der erlaubt nur eine sichere, Passwort-geschützte Kommunikation mit HTTPS und SSH. Nebeneffekt: Die CCU muss nicht mehr neben dem Router stehen, SCS und CCU können dort aufgestellt werden, wo es für Ihre HM-Funk-Komponenten am besten ist und Sie brauchen keine LAN-Kabel dorthin verlegen.
SCS CCU Interface.jpg
Mit HTTPS auf die CCU
Die CCU mit sicherem HTTPS Interface. Stark verschlüsselt und daher weltweit sicher erreichbar.
SCS User.jpg
Beispiel für Bediener-Oberfläche

Das mitgelieferte Beispiel für eine Bedienerseite.

Ich habe dabei weniger auf Schönheit geachtet, sondern dass die Ladezeiten möglichst kurz sind und der Quellcode der Beispiele einfach zu verstehen und zu erweitern ist. Natürlich ebenfalls HTTPS-verschlüsselt. Der Quellcode ist in sehr einfachem PHP geschrieben und kann leicht angepasst werden. Die Namen der CCU Systemvariablen sind bei Konfiguration natürlich austauschbar.

Wer möchte, kann in dem betreffenden Verzeichnis natürlich auch andere web-basierte Visualisierungs-Lösungen installieren und kann dann via HTTPS drauf zugreifen.
SCS Viewer.jpg
Beispiel für Viewer Seite

Das mitgelieferte Beispiel für eine read-only Viewer-Seite. Der Quellcode ist ebenfalls in sehr einfachem PHP geschrieben und kann leicht angepasst werden. Die Namen der Systemvariablen sind natürlich bei Konfiguration austauschbar (Das Bild ist nicht von meiner Kamera sondern ein freies Pixabay-Sample).
SCS Setup.pdf
Verwaltungsoberfläche
(155.81 KiB) 260-mal heruntergeladen
Ein Ausdruck der Verwaltungsoberfläche befindet sich im beiliegenden PDF (wäre für einen Screenshot zu groß).

Es würde hier viel zu weit führen, die Installation der einzelnen Komponenten hier im Detail so zu erklären, dass jeder den SCS nachbauen kann. Das Thema ist sehr umfangreich und komplex.

Es hat auch keinen Sinn hier ein Standard-Download anzubieten, denn das würde bei anderen Usern nicht „out of the box“ funktionieren. Es ist notwendig, die Installation an die jeweilige Netzwerkumgebung anzupassen, Zertifikate zu generieren, Accounts anzulegen, individuelle Passworte zu vergeben….

Ich möchte aber einen Beitrag dazu leisten, dass HomeMatic Systeme sicherer werden.

Daher habe ich vor, den SCS allen jenen, die einen wollen, „custom-made“ bzw. „schlüsselfertig“ anzubieten. Die Software ist gratis, die Hardware gebe ich zum Selbstkostenpreis ab, aber für die Einstellung der individuellen Konfiguration aufs jeweilige Netz und die CCU und den Test muss ich einen (moderaten) Unkostenbeitrag verrechnen.

Aber noch ist es nicht ganz so weit. Vorerst suche ich noch 3 Interessenten für einen realistischen Feldtest. Mein Angebot:
  • Ich mache für die ersten 3 User hier die komplette Konfigurationsarbeit gratis
  • Sie bekommen den SCS fertig konfiguriert. Lediglich Ihr WLAN und Ihre Passworte müssen Sie eintragen, weil ich die gar nicht wissen will
  • Sie bekommen kostenlosen telefonischer Support (nach Vereinbarung) in der Testphase (4 Wochen) von mir
  • die Hardware (Raspberry Pi 3 im Gehäuse, Netzteil, SD Karte, Herstellergarantie) überlasse ich Ihnen zum Selbstkostenpreis (insgesamt max. 70€ inkl. Porto)
  • Kein Risiko: Wenn was nicht funktioniert, bekommen Sie entweder ein Update von mir, oder ich nehme die Hardware gegen Kostenersatz zurück
[/list]

Was ich mir von Ihnen erwarte: Ich hätte gerne einen ausführlichen Bericht von Ihnen hier im Forum über Ihre Erfahrungen bei Inbetriebnahme und im Betrieb, ggf. auch sinnvolle Verbesserungsvorschläge.

Interessiert mitzumachen?

Senden Sie mir eine Forum-Mail (Button ganz rechts oben am Beginn dieses Beitrags). Dann melde ich mich.

Oder habt Ihr bessere Ideen, um Eure Security Anforderungen zu erfüllen?

Ich freue mich auf Eure Kommentare!

gzi
Zuletzt geändert von gzi am 23.10.2017, 20:39, insgesamt 9-mal geändert.
Lichtsteuerung, Heizungssteuerung, Überwachung (Feuer, Wasser, Einbruch, Stromausfall, Heizungsausfall, Wetter, Kamera), Alarmierung (optisch, akustisch, mail, SMS, voice call) - CCU, diverse HM- und HMIP Aktoren und Sensoren, Rauchmeldeanlage, UPS, GSM-Alarmwähler, Zugriff aus dem Internet via HTTPS und htdigest authentication, kein Datenkraken-Interface (Google, Amazon, China-Cloud, BND, NSA...) - HomeMatic Sicherheits-Kompendium - Checkliste für Auswahl von IP Kameras - Vergleich aktueller HomeMatic Zentralen - und alle Antworten für das gesamte Universum und den Rest

Jeeper.at
Beiträge: 380
Registriert: 05.01.2016, 09:27
Wohnort: Wien
Hat sich bedankt: 19 Mal
Danksagung erhalten: 1 Mal

Re: SCS – Homematic Security & Control Server

Beitrag von Jeeper.at » 05.02.2017, 22:02

:-)

Benutzeravatar
Herbert_Testmann
Beiträge: 11062
Registriert: 17.01.2009, 11:30
Danksagung erhalten: 7 Mal

Re: SCS – Security & Control Server - Firewall für die CCU

Beitrag von Herbert_Testmann » 07.02.2017, 22:47

Hallo "gzi"

alle User des Forums hatten an dieser Stelle Gelegenheit Dein Projekt kennen zu lernen.
Wir haben verstanden, dass Du viel Zeit in die Entwicklung der Lösung investiert hast.
Wir haben auch verstanden, dass Du die Lösung nicht mit einer Beispielkonfiguration ausliefern möchtest und keinen Support für die Grundeinstellungen hier im Forum anbietest, sondern für jeden Einzelfall einen Unkostenbeitrag erhebst.
So weit so gut.

Aber könntest Du bitte damit aufhören, das Forum nach Beiträgen zum Thema Portweiterleitung zu durchsuchen und in Jahre alten Beiträgen immer den gleichen Hinweis "ich habe hier eine tolle Lösung" zu posten??
So wie hier http://homematic-forum.de/forum/viewtop ... 10#p340766
gzi hat geschrieben: Ich habe nun eine sichere Lösung dafür entwickelt. Also empfehlenswerte Port-Weiterleitung mit Sicherheit.
Einfach hier weiterlesen und bei Interesse nachfragen.

gzi
Ich fühle mich durch diese unerwünschte Werbung und das auffrischen uralter Beiträge als User belästigt und bitte Dich als Moderator eindringlich das zu unterlassen.
---
Dieses Schreiben wurde maschinell erstellt und ist ohne Unterschrift gültig

Sven_A
Beiträge: 4152
Registriert: 26.01.2016, 08:14
System: Alternative CCU (auf Basis OCCU)
Wohnort: Renningen
Hat sich bedankt: 345 Mal
Danksagung erhalten: 281 Mal

Re: SCS – Security & Control Server - Firewall für die CCU

Beitrag von Sven_A » 08.02.2017, 08:13

Hallo Gehzieh,

ok, du behauptest also mein WLAN wäre per se unsicher. Und dann bindest du das Securitycenter nur darüber an? Warum? Ich schalte mein WLAN Nachts aus, dann wäre meine CCU offline... Schade eigentlich. Bitte noch eine Lösung mit zusätzlichem USB-LAN Stick realisieren.

Hast du das mit der WLAN Anbindung auch getestet wenn die CCU darüber eine Verbindung zu einem LAN Gateway (egal ob eckig oder rund) halten soll? Geht das? Die LAN Gateways sind bekanntlich etwas "empfindlich" wenn die Verbindung zur CCU nicht über Kabel erfolgt (egal ob Powerline oder WLAN-Strecke, da gibts einige Infos im Forum).

Und zu guter Letzt: Bei mir haben bisher im Raspi noch fast alle SD Karten früher oder später aufgegeben, wie schauts denn mit einem passenden, aktuellen Backup aus? Ist das als Enduser ohne Ahnung Problemlos möglich? Sonst wird die Sicherheitseinrichtung zum Flaschenhals... Oder ist die Karte nur Readonly gemountet?


Gruß,
Sven

gzi
Beiträge: 450
Registriert: 12.01.2015, 23:37
System: CCU
Hat sich bedankt: 15 Mal
Danksagung erhalten: 14 Mal

Re: SCS – Security & Control Server - Firewall für die CCU

Beitrag von gzi » 08.02.2017, 10:31

@Herbert: Ich wollte nur darauf hinweisen, dass die alte und wichtige(!) Regel: "Nur ja keine Ports auf die CCU weiterleiten", nicht mehr gilt, wenn man einen SCS installiert (oder etwas gleichwertiges). Aber wenn solche Querverweise gegen die Regeln hier sind, dann akzeptier ich das natürlich.

Anleitungen, wie man mit guten Linux-Kenntnissen einen reverse Proxy selber einrichten kann, gibt es hier bereits (und gratis) und die nötige Software kann man runterladen. Es geht mir um etwas anderes:

Denjenigen eine Lösung anbieten, die es nicht schaffen oder nicht wollen eine solche Standardkonfiguration an die eigene Umgebung so anzupassen, dass sie in der eigenen Umgebung funktioniert und sicher ist! Ich habe absolut keine Idee, wie ein "one size, fits all" Download aussehen könnte. Daher gehts nur mit Handwerksarbeit.

gzi
Lichtsteuerung, Heizungssteuerung, Überwachung (Feuer, Wasser, Einbruch, Stromausfall, Heizungsausfall, Wetter, Kamera), Alarmierung (optisch, akustisch, mail, SMS, voice call) - CCU, diverse HM- und HMIP Aktoren und Sensoren, Rauchmeldeanlage, UPS, GSM-Alarmwähler, Zugriff aus dem Internet via HTTPS und htdigest authentication, kein Datenkraken-Interface (Google, Amazon, China-Cloud, BND, NSA...) - HomeMatic Sicherheits-Kompendium - Checkliste für Auswahl von IP Kameras - Vergleich aktueller HomeMatic Zentralen - und alle Antworten für das gesamte Universum und den Rest

gzi
Beiträge: 450
Registriert: 12.01.2015, 23:37
System: CCU
Hat sich bedankt: 15 Mal
Danksagung erhalten: 14 Mal

Re: SCS – Security & Control Server - Firewall für die CCU

Beitrag von gzi » 08.02.2017, 11:05

Sven_A hat geschrieben:Hallo Gehzieh,

ok, du behauptest also mein WLAN wäre per se unsicher. Und dann bindest du das Securitycenter nur darüber an? Warum?
Hallo Sven,
sicher ist es deshalb, weil es auch aus dem WLAN ausschließlich verschlüsselte, Passwortgeschützte Kommunikation mit dem SCS und der CCU gibt. Denn SCS mit Ethernet an den Router anzubinden bringt keinen weiteren Vorteil (ausser Geschwindigkeit und das ist heute kein Thema mehr).
Sven_A hat geschrieben: Hast du das mit der WLAN Anbindung auch getestet wenn die CCU darüber eine Verbindung zu einem LAN Gateway (egal ob eckig oder rund) halten soll? Geht das? Die LAN Gateways sind bekanntlich etwas "empfindlich" wenn die Verbindung zur CCU nicht über Kabel erfolgt (egal ob Powerline oder WLAN-Strecke, da gibts einige Infos im Forum).
Nein, da ich kein LAN Gateway besitze. Habe andererseits auch irgendwo gelesen, dass die Verbindung CCU --> LAN Gateway auch via WAN funktioniert. Wenn das stimmt, dann sollte eine WLAN-Strecke für das LAN Gateway kein Problem sein, solange der SCS guten WLAN-Empfang hat, natürlich. Ich muss ihn ja (im Gegensatz zu einem LAN Gateway) nicht weit vom Router aufstellen. Aber zweiter Ethernet-Anschluss ist kein technisches Problem, wenn mans braucht.
Sven_A hat geschrieben: Und zu guter Letzt: Bei mir haben bisher im Raspi noch fast alle SD Karten früher oder später aufgegeben, wie schauts denn mit einem passenden, aktuellen Backup aus? Ist das als Enduser ohne Ahnung Problemlos möglich? Sonst wird die Sicherheitseinrichtung zum Flaschenhals... Oder ist die Karte nur Readonly gemountet?
Derzeit: Da die SD Karten nicht viel kosten, hab ich ein Backup-Image am Laptop und mach ich mir bei Bedarf mit Win32DiskImage eine neue. Karte reinstecken, neu starten und gut ist es. Sobald die Konfiguration steht, gibt es ja keine Daten, die ich dann schmerzlich vermisse.

Ich gehe davon aus, dass das nicht zu oft notwendig ist, weil ein großer Teil der SD Karte nicht belegt ist. Langzeit-Statistiken habe ich aber noch keine.

[Update 26.10. 2017: Nach 11 Monaten noch immer die erste SD Karte in Betrieb. Keine Probleme]

Habe mich übrigens gefragt, wie das die CCU macht. Weiss das wer?

Readonly mount: halte ich ohne Ergänzungs-Speicher (USB-Platte etc.) nicht für sinnvoll.

gzi
Zuletzt geändert von gzi am 26.10.2017, 01:41, insgesamt 1-mal geändert.
Lichtsteuerung, Heizungssteuerung, Überwachung (Feuer, Wasser, Einbruch, Stromausfall, Heizungsausfall, Wetter, Kamera), Alarmierung (optisch, akustisch, mail, SMS, voice call) - CCU, diverse HM- und HMIP Aktoren und Sensoren, Rauchmeldeanlage, UPS, GSM-Alarmwähler, Zugriff aus dem Internet via HTTPS und htdigest authentication, kein Datenkraken-Interface (Google, Amazon, China-Cloud, BND, NSA...) - HomeMatic Sicherheits-Kompendium - Checkliste für Auswahl von IP Kameras - Vergleich aktueller HomeMatic Zentralen - und alle Antworten für das gesamte Universum und den Rest

Benutzeravatar
Herbert_Testmann
Beiträge: 11062
Registriert: 17.01.2009, 11:30
Danksagung erhalten: 7 Mal

Re: SCS – Security & Control Server - Firewall für die CCU

Beitrag von Herbert_Testmann » 08.02.2017, 17:31

gzi hat geschrieben:@Herbert: Ich wollte nur darauf hinweisen, dass die alte und wichtige(!) Regel: "Nur ja keine Ports auf die CCU weiterleiten", nicht mehr gilt, wenn man einen SCS installiert (oder etwas gleichwertiges). Aber wenn solche Querverweise gegen die Regeln hier sind, dann akzeptier ich das natürlich.
Hallo

Du kannst gern in aktuellen Beiträgen einen Hinweis auf Deine Lösung verlinken. Aber bitte nicht 2 Jahre alte Beiträge wieder nach oben katapultieren.

Danke
---
Dieses Schreiben wurde maschinell erstellt und ist ohne Unterschrift gültig

sailor79ac

Re: SCS – Security & Control Server - Firewall für die CCU

Beitrag von sailor79ac » 12.02.2017, 15:00

Einen Kommentar zu diesem Threat habe ich mir in der Kategorie Allgemein hier erlaubt, da es dort m.E.n. besser passt.

gzi
Beiträge: 450
Registriert: 12.01.2015, 23:37
System: CCU
Hat sich bedankt: 15 Mal
Danksagung erhalten: 14 Mal

Re: SCS – Security & Control Server - Firewall für die CCU

Beitrag von gzi » 17.03.2017, 21:52

User Jeeper hat in einem anderen Threadden Text in meiner Signatur kommentiert:
Jeeper.at hat geschrieben:Noch besser wäre es wenn er schreiben würde "ich will mit Hewalt meine kostenpflichtige Lösung verkaufen obwohl es mit einem leicht zu konfigurierbaren VPN besser und genauso sicher funktioniert." [emoji1]
Dazu möchte ich Folgendes sagen: Die Software des SCS ist Open Source bzw. gratis verfügbar und kann von Jedem aus dem Internet heruntergeladen werden. Mein geplantes Angebot ist, die individuelle, schlüsselfertige Konfigurationsarbeit (mehrere Stunden) für alle zu übernehmen, die daran interessiert sind.

Ich kann die offensichtlich hinter der Formulierung stehende Erwartungshaltung, dass das jemand gratis tun würde, nicht nachvollziehen. Denn das ist etwas anderes, als wenn ich ein Script, das ich ohnehin für mich erstellt habe, einfach "as-is" zur Verfügung stelle.

Dass eine VPN-Lösung besser funktionieren würde, kann ich nicht nachvollziehen. Im Gegenteil.
Denn der SCS verhindert auch als Firewall Angriffe aus dem LAN/WLAN. Das kann ein VPN nicht.
Lichtsteuerung, Heizungssteuerung, Überwachung (Feuer, Wasser, Einbruch, Stromausfall, Heizungsausfall, Wetter, Kamera), Alarmierung (optisch, akustisch, mail, SMS, voice call) - CCU, diverse HM- und HMIP Aktoren und Sensoren, Rauchmeldeanlage, UPS, GSM-Alarmwähler, Zugriff aus dem Internet via HTTPS und htdigest authentication, kein Datenkraken-Interface (Google, Amazon, China-Cloud, BND, NSA...) - HomeMatic Sicherheits-Kompendium - Checkliste für Auswahl von IP Kameras - Vergleich aktueller HomeMatic Zentralen - und alle Antworten für das gesamte Universum und den Rest

hjd55
Beiträge: 56
Registriert: 01.03.2014, 13:05

Re: SCS – Security & Control Server - Firewall für die CCU

Beitrag von hjd55 » 19.10.2017, 13:04

Hallo gzi,

vielen Dank für deine Arbeit und die Veröffentlichung deiner Lösung. Ich suche schon seit geraumer Zeit eine sichere Lösung. Vielleicht hast du die Zeit - natürlich gegen Bezahlung - mir bei der Realisierung des SCS zu helfen.
Habe mehr als 180 HM-Geräte mit RPI im Einsatz, bin ziemlich fit in der el. Energietechnik aber nicht in dem von dir genannten Thema.
Freue mich über positive Antwort.
Gruß
Hans

Antworten

Zurück zu „Projektvorstellungen“