WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsicher

Allgemeines zur HomeMatic Haussteuerung

Moderator: Co-Administratoren

Benutzeravatar
anli
Beiträge: 4297
Registriert: 10.06.2009, 14:01
Wohnort: 20 Min. nördlich von Hannover und bei Bremen
Kontaktdaten:

WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsicher

Beitrag von anli » 18.02.2017, 02:04

Abgesehen davon, dass es eine olle Kamelle ist, hier noch einmal die dringende Warnung:

Im Zusammenhang mit dem kürzlich ausgestrahlten Plusminus-Beitrag, die jetzt auch dem Dümmsten zeigt wie man öffentlich erreichbare CCU2s per shodan findet hier noch einmal der dringende Hinweis:

Jede öffentlich per Portweiterleitung erreichbare WebUI ist UNSICHER! Dabei ist es egal, ob eine Passwortabfrage genutzt wird oder nicht. Bei CCU2s ohne Passwortabfrage kommt nur jeder drauf, bei CCU2s mit Passwortabfrage nur diejenigen, die wissen, welche EINE (!) Zeile sie zusätzlich per Browser an die CCU2 senden müssen, damit die Passwortabfrage DAUERHAFT deaktiviert wird.
Also: VPN (https://avm.de/service/vpn/uebersicht/) oder ReverseProxy (http://homematic-forum.de/forum/viewtop ... 26&t=17493) jetzt einrichten und nutzen!

AUF JEDEN FALL DIE PORTWEITERLEITUNG AUF DIE WEBUI DEAKTIVIEREN - EGAL OB MIT ODER OHNE PASSWORTABFRAGE - EINFACH ABSCHALTEN!!!

1. Edit: Warnungen noch einmal größer geschrieben, Links zu Konfigurationsmöglichkeiten ergänzt
Zuletzt geändert von MartinJ am 20.02.2017, 16:23, insgesamt 2-mal geändert.
Herzliche Grüße, anli

Alle Angaben ohne Gewähr und Haftung meinerseits. Verwendung der von mir zur Verfügung gestellten Downloads auf eigene Gefahr. Ich bitte um Verständnis, dass ich aus zeitlichen Gründen keine unaufgeforderte Hilfestellung per PN/Mail geben kann. Bitte allgemeine Fragen ins Forum stellen, hier können viele fähige User viel schneller helfen.

TERMIN für das Usertreffen 2019 jetzt verfügbar! Hier informieren: https://www.homematic-usertreffen.de. Termin: 5.4. - 7.4.2019 in Kassel (freitags nur Workshops, Vorträge Sa + So)

Homematic-Manager v2: einfaches Tool zum Erstellen von Direktverknüpfungen und Bearbeiten von Gerätenamen, -parametern etc. für Homematic und HomematicIP (Alternative diesbzgl. zur WebUI)

Einsteiger-Hilfeerweiterter Skript-ParserCCU2 WebUI Admin Kennwort weg und kein SSH-Zugang? - hier klicken

Benutzeravatar
AndiN
Beiträge: 2212
Registriert: 10.06.2015, 08:54
Wohnort: Hennef

Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi

Beitrag von AndiN » 18.02.2017, 09:14

Damit das Thema nicht nach unten rutscht eine laienhafte Frage von mir

D.h. wenn ich das richtig verstanden habe sehe ich derzeit dort 5 offene CCU Einheiten (Sorry, aber ich habe weder eine Portweiterleitung (arbeite nur mit Cloudmatic), oder mit der Internetseite jemals (bis vor 5 Minuten) gearbeitet.

Aber wenn man dort einfach nur Homematic eingibt kommen fünf Treffer..... Da sollte beispielsweise ein Bewohner aus Flensburg einmal schauen?

Denke wir können ja sowieso die Betroffenen nicht darauf aufmerksam machen, weil sich keiner in die Systeme haken möchte. Es geht meines Erachtens hier auch nicht um den Zeigefinger. Es geht vielmehr darum die Betroffenen zu warnen.

Daher sollte vielleicht jeder einmal schauen was Anli geschrieben hat und vielleicht mit Hilfe der Seite schauen, ob er betroffen ist. Aber ich sehe noch nicht, wie ich sehen könnte, ob es meine CCU ist....
Greenhorn

Letzter Reboot: 29.09.18 - FW-Update // Uptime-Rekord: 65 Tage
Systeminfos: 171 Variablen, 85 Programme, 2810 Datenpunkte, 438 Kanäle, 126 Geräte (4x CUX28 (1 Timer, 1 Ping/Alive, 1 Exec, 1x CCU CPU))
Raspberry Firmware: 3.37.8.20180929
Addons: Drucken 1.2a - HQ WebUI 2.5.5 - XML-API 1.18 - CUx-Daemon 2.1.0 - E-Mail 1.6.8a - hm_pdetect 1.3 - VPN cloudmatic
System angebunden: 3 Roomba 650 Staubsauger - 1 Sprachausgabe via Home24 Media - Zentrale: Asus TF103 mit Home24 Tablet


Diverse Links

tdd
Beiträge: 8
Registriert: 14.02.2017, 21:23

Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi

Beitrag von tdd » 18.02.2017, 12:06

Hi
wie fahrlässig ist in diesem Zusammenhang eigentlich das Angebot Cloudmatic SmartHome? Dieser beinhaltet nicht das Angebot der VPN Verbindung wie bei Cloudmatic Connect bzw. Complete. Um das zu nutzen muss ich also einen Port öffnen.

PS. Ich mag das nicht so, wenn man nur sagt: "Tut das nicht. Ist gefährlich." Als interessierter Laie bin ich immer für Anleitungen dankbar, die mir Zeigen, wie es besser geht. Das geht anderen vielleicht auch so. :) Um vielleicht den nicht Netzwerk-Admins zu helfen, hier Lesestoff um sich ins Thema VPN rein zu kommen. Mit der Fritzbox ist die Einrichtung zwar etwas Aufwand, aber auch für den Laien durchaus machbar: https://avm.de/service/vpn/uebersicht/
Habe ich selber so gemacht und funktioniert wunderbar.

Benutzeravatar
AndiN
Beiträge: 2212
Registriert: 10.06.2015, 08:54
Wohnort: Hennef

Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi

Beitrag von AndiN » 18.02.2017, 12:25

Als interessierter Laie
Nicht falsch verstehen, aber wenn ich Laie bin muss ich mir von Profis bei solchen Themen helfen lassen. Wer sagt Dir denn, dass die Anleitungen die Du im Netz findest von Profis (mit entsprechenden Zertifikaten) oder von Möchtegern Profis erstellt wurden?

Und wer prüft, ob Du das richtig gemacht hast? Finde so etwas fahrlässig und das ist für mich vergleichbar mit: Ich schraube an der Heizung rum indem ich mir Youtube Videos anschaue. Wenn es dann rumst sage ich "Ich bin Laie und habe es nach Anleitung gemacht".....

Ist nicht böse gemeint, aber dafür gibt es Dienstleister und Anleitungen im Netz sind nicht immer richtig. ;-)

Zu Cloudmatic.

Coudmatic-connect ist der Dienst der eine sichere Verbindung zu Deiner CCU aufbaut. Der Rest sind nur Erweiterungen und haben mit der Verbindungsart direkt Nichts zu tun. Wo hast Du etwas Anderes gelesen? Vielleicht bin ich auf dem Holzweg. Hier noch ein paar Infos dazu:
IP und Port Informationen
Zusammengefasste Information

Es muss auf Ihrem Router, der die Interneteinwahl herstellt, ausgehend der Port TCP 11194 und TCP 80 erlaubt sein.

Das ist im Normalfall gegeben, wenn Sie sich nicht hinter einer restriktiven Firewall befinden. Haben Sie z.B. eine AVM FritzBox im Einsatz müssen Sie nichts anpassen.

Es müssen keine eingehenden Ports freigeschaltet werden. Sie müssen die CCU somit nicht direkt per Portweiterleitung in das Internet stellen. Sie müssen kein DynDNS einsetzen.

Unsere Lösung basiert auf VPN Technologie, die Ihnen einen gesicherten Zugriff auf Ihre Zentrale ermöglicht.
. Überprüfen Sie, ob der VPN-Dienst auf Ihrer CCU gestartet ist

Öffnen Sie die WebUI Ihrer CCU und navigieren Sie zu „Einstellungen“ > „Systemsteuerung“ > „meine-homematic.de“. Klicken Sie hier auf den Reiter „Dienste“ und kontrollieren Sie, ob der VPN-Dienst gestartet ist. In manchen Fällen kann es auch helfen den Dienst einmal zu beenden und ihn erneut zu starten.

Nachdem Sie alle oben beschriebenen Schritte durchgeführt haben, sollte ein Fernzugriff auf Ihre CCU (und alternativ die Nutzung unserer SmartHome-Oberfläche) wieder problemlos möglich sein.
Weltweiter Zugriff - per APP und Webbrowser

Sie möchten von überall auf Ihre Haussteuerung zugreifen können? Sicher und komfortabel? Nutzen Sie CloudMatic connect!
Über die sichere Anbindung von CloudMatic connect greifen Sie über das Internet auf Ihre HomeMatic Haussteuerung zu.
Anwendungsbeispiele

Kontrollieren sie den Status der Alarmanlage - auch im Urlaub!
Vergessen das Licht auszuschalten? Machen Sie das doch eben aus dem Büro!
Es hat sich unerwartet Besuch angekündigt? Schalten Sie die Heizung doch schon mal in den Partymodus!

So funktioniert es

Sie melden sich von Ihrer HomeMatic Zentrale zu unserem Dienst an
Sie erhalten einen persönlichen Schlüssel, der nur für Sie gilt. Dieser wird auf Ihrer HomeMatic Zentrale eingespielt.
Ihre Zentrale baut nun einen sicheren Tunnel zu unserem Portal auf. Natürlich AES 256bit verschlüsselt und über digitale Zertifikate authentisiert - was dem aktuellen Stand der Technik entspricht. Für Sie passiert das alles vollkommen transparent im Hintergrund!
Sie können nun über unser Portal auf Ihre CCU zugreifen. Klicken Sie einfach auf den Link im Portal - schon werden Sie auf Ihre Haussteuerung geleitet.
Sicherheit geht vor: Damit kein Dritter Zugriff auf Ihre Zentrale hat, sichern wir Ihre CCU über unsere Webfirewall. Erst nach Authentisierung mit Benutzername und Passwort ist ein Zugriff auf Ihre Haussteuerung möglich.

Sie müssen kein Technik - Profi sein, um diesen Komfort genießen zu können!
Unser Dienst funktioniert ganz ohne Portweiterleitungen, Firewallfreischaltungen, DynDNS Einrichtungen. etc.
Ich persönlich investiere gerne ein paar Euro in solch einen Dienst (auch wenn manch Profi (mit oder ohne Zertifikat) davon auch Nichts hält). Aber wer solche Dienste anbietet hat mehr Ahnung wie ich sie habe (was ja nicht schwer ist)

Andi
Greenhorn

Letzter Reboot: 29.09.18 - FW-Update // Uptime-Rekord: 65 Tage
Systeminfos: 171 Variablen, 85 Programme, 2810 Datenpunkte, 438 Kanäle, 126 Geräte (4x CUX28 (1 Timer, 1 Ping/Alive, 1 Exec, 1x CCU CPU))
Raspberry Firmware: 3.37.8.20180929
Addons: Drucken 1.2a - HQ WebUI 2.5.5 - XML-API 1.18 - CUx-Daemon 2.1.0 - E-Mail 1.6.8a - hm_pdetect 1.3 - VPN cloudmatic
System angebunden: 3 Roomba 650 Staubsauger - 1 Sprachausgabe via Home24 Media - Zentrale: Asus TF103 mit Home24 Tablet


Diverse Links

mfahs
Beiträge: 257
Registriert: 18.01.2011, 01:06

WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsicher

Beitrag von mfahs » 18.02.2017, 12:53

Moin,

Vielleicht für 'interessierte Laien' eine schlichte Erklärung: jeder 'normale' Router für die Privatnutzung (Fritz & co etc) lässt im Standard KEINE Verbindungen von außen in das eigene Netzwerk zu.
Von INNEN nach außen (also vom eigenen Techner bzw. Netzwerk) in das INet sind alle Wege geöffnet.
Soweit der Standard. Damit ist es nicht möglich, eine. CCU von außen zu erreichen - also alles gut!

Wenn man eine sog. Port-Weiterleitung für EINGEHENDE Verbindungen einrichtet, bohrt man quasi ein Loch in die Hauswand und legt ein Rohr bis zur CCU. Das kann dann aber eben jeder (!) nutzen. Sicherheits-Loch!

Wenn man mit meine-homematic arbeitet, läuft auf der CCU ein kleines Programm, welches eine Verbindung zu einem Server aufbaut - das geht von innen nach außen, es wird also kein Loch gebohrt.
Um nun mit der CCU zu kommunizieren, trifft man sich im Prinzip auf dem Server mit 'seiner' CCU. Das ist zwar nicht 100% korrekt geschildert, trifft es aber ziemlich genau.

Von daher: jeder, der von außen auf seine CCU zugreifen will, sollte entweder ein eigenes VPN aufbauen können oder so einen Dienst wie meine-homematic nutzen. Ich tue das seit 5 Jahren und bin weiterhin zufrieden...

Grüße
Martin


Gesendet von unterwegs

tdd
Beiträge: 8
Registriert: 14.02.2017, 21:23

Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi

Beitrag von tdd » 18.02.2017, 13:13

Hi
was du zitierst betrifft "Coudmatic-connect". Aber nicht Cloudmatic Smarthome. Darauf bin ich letzte Woche auch schon reingefallen und bemühe mich daher gerade um das Upgrade auf Complete. Der Support hat mir das auch so geschrieben. Entweder auf Complete upgraden, um die VPN Verbindung zu nutzen, oder Portfreigabe mit DynDNS Dienst nutzen. Es wird zwar nur der Port 44381 benötigt, der ist mir aber schon zu viel. Zum Glück blockt die Fritzbox den direkten Zugriff auf die CCU dennoch. Habe den Port aber trotzdem wieder geschlossen. :!:

Deshalb interessierter Laie. Habe halt Maschinenbau studiert und nicht Informatik. ;) Was eine Portfreigabe bedeutet, verstehe ich sehr wohl. Ich lese mich in die Themen schon aus verschieden Quellen ein, um die Technik und Fallstricke dahinter zu verstehen. Leider gibt es zu einigen Themen (wie z.B. Cloudmatic) nicht so viele brauchbare Quellen. Daher stoße ich gerade die Diskussion zum Angebot Smarthome an.

Benutzeravatar
AndiN
Beiträge: 2212
Registriert: 10.06.2015, 08:54
Wohnort: Hennef

Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi

Beitrag von AndiN » 18.02.2017, 13:22

Hallo,

hmmm
Mit CloudMatic SmartHome können Sie:

Ihre Zentrale komfortabel per EASY App oder Internetbrowser bedienen.
Individuelle Ansichten erstellen.
Schnell eine Statusübersicht verschaffen.
Unterschiedliche Zugriffe für mehrere Benutzer erlauben.
Mehrere CCUs gleichzeitig verwalten.

Voraussetzungen

Für die Verwendung der SmartHome-Oberfläche muss Ihre Zentrale von außerhalb über das Internet erreichbar sein. Dies können Sie einfach und komfortabel mit CloudMatic connect, unserem sicheren VPN-Tunnel, erreichen. Alternativ können Sie die Verbindung per Portfreigaben an Ihrem Router und einem DynDNS-Dienst herstellen.
Heißt für mich so viel wie: Mit Cloudmatic Smarthome können sie das und das (was ich ja oben schrieb)
Der Rest sind nur Erweiterungen und haben mit der Verbindungsart direkt Nichts zu tun.
Um auf die CCU zu kommen musst Du entweder Cloudmatic connect (MIT DEM VPN TUNNEL!!!! was oben Martin schön beschrieben hat) oder mit einer Portfreigabe arbeiten (was das Loch in der Wand ist).

Und schon sieht man, wie unterschiedlich man was im Internet deuten kann und dann unbewusst was falsch macht:
Der Support hat mir das auch so geschrieben. Entweder auf Complete upgraden, um die VPN Verbindung zu nutzen, oder Portfreigabe mit DynDNS Dienst nutzen
Der Support meint: Entweder Cloudmatic connect oder Portfreigabe einrichten, damit Du das Paket XY nutzen kannst. Ich habe nicht gelesen, dass der Support schrieb, dass Cloudmatic connect keine VPN Lösung ist und Cloudmatic Smartphone mit VPN ist. Eher, dass man es nur mit VPN nutzen kann.

Aber für Dich heißt es (weil Du irgendwo in Erinnerung / gelesen hast), dass cloudmatic connect upgegradet werden müsste auf Smarthome. Und so ist das mit dem Einlesen im Internet und Portfreigaben auch. Falsch verstandenes Wissen und Medienbrüche, Übertragungsfehler führen zu Fehlern. :)

Wenn mir jetzt einer schreibt, dass cloudmatic connect keine VPN Lösung ist, dann kippe ich vom Stuhl. :lol:

Andi
Greenhorn

Letzter Reboot: 29.09.18 - FW-Update // Uptime-Rekord: 65 Tage
Systeminfos: 171 Variablen, 85 Programme, 2810 Datenpunkte, 438 Kanäle, 126 Geräte (4x CUX28 (1 Timer, 1 Ping/Alive, 1 Exec, 1x CCU CPU))
Raspberry Firmware: 3.37.8.20180929
Addons: Drucken 1.2a - HQ WebUI 2.5.5 - XML-API 1.18 - CUx-Daemon 2.1.0 - E-Mail 1.6.8a - hm_pdetect 1.3 - VPN cloudmatic
System angebunden: 3 Roomba 650 Staubsauger - 1 Sprachausgabe via Home24 Media - Zentrale: Asus TF103 mit Home24 Tablet


Diverse Links

Benutzeravatar
Homoran
Beiträge: 8607
Registriert: 02.07.2013, 15:29
Wohnort: Köln

Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi

Beitrag von Homoran » 18.02.2017, 15:12

Üb schon mal das Kippen :lol:

Auch wenn ich jetzt ggf. selber
AndiN hat geschrieben:Falsch verstandenes Wissen und Medienbrüche, Übertragungsfehler führen zu Fehlern.
in Anspruch nehmen muss :(

Habe ganz schnell bei easy Smarthome gegoogelt:
Ihre Zentrale baut nun einen sicheren Tunnel zu unserem Portal auf. Natürlich AES 256bit verschlüsselt und über digitale Zertifikate authentisiert - was dem aktuellen Stand der Technik entspricht. Für Sie passiert das alles vollkommen transparent im Hintergrund!
Das heisst für mich, dass dies keine VPN-Lösung ist, sondern wie bereits von Martin gesagt, deine CCU eine Verbindung zu dem easy Smarthome-Server (also von innen heraus) aufbaut, auf dem dann die Kommunikation stattfindet.

Gruß
Rainer
Alle meine Hinweise sind auf eigene Gefahr umzusetzen. Immer einen Fachmann zu Rate ziehen!

Benutzeravatar
AndiN
Beiträge: 2212
Registriert: 10.06.2015, 08:54
Wohnort: Hennef

Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi

Beitrag von AndiN » 18.02.2017, 15:25

Hmm,

dann sollten die mal diesen Satz
Dies können Sie einfach und komfortabel mit CloudMatic connect, unserem sicheren VPN-Tunnel, erreichen.
entfernen. Vielleicht versteht man das
Ihre Zentrale baut nun einen sicheren Tunnel zu unserem Portal auf.
Natürlich AES 256bit verschlüsselt und über digitale Zertifikate authentisiert
auch als VPN? ;-)
2017-02-18 14_27_07-CloudMatic connect - sicherer Fernzugriff - www.meine-homematic.de.png
Also wie gesagt. Für mich ist der Cloudmatic connect (auch wenn auf der Seite irgendwo steht "premium" (was es nicht als Option gibt) die VPN Einwahl Lösung) und auf dem Bild ist es abgebildet und auf der Seite steht wortwörtlich:
CloudMatic, die sichere SmartHome Cloud, ermöglicht Ihnen einen VPN gesicherten Fernzugriff auf Ihre SmartHome Installation.
Und die Pakete beziehen sich nur auf Addons die man mit buchen kann (Bsp: Komfortable Bedienung Ihres HomeMatic SmartHomes - Cloud basierend. oder 100 Premium Credits für SMS und Sprachnachrichten enthalten
Eine Stunde kostenpflichtiger HomeMatic Support per Telefon oder Fernwartung enthalten)

Andi
Greenhorn

Letzter Reboot: 29.09.18 - FW-Update // Uptime-Rekord: 65 Tage
Systeminfos: 171 Variablen, 85 Programme, 2810 Datenpunkte, 438 Kanäle, 126 Geräte (4x CUX28 (1 Timer, 1 Ping/Alive, 1 Exec, 1x CCU CPU))
Raspberry Firmware: 3.37.8.20180929
Addons: Drucken 1.2a - HQ WebUI 2.5.5 - XML-API 1.18 - CUx-Daemon 2.1.0 - E-Mail 1.6.8a - hm_pdetect 1.3 - VPN cloudmatic
System angebunden: 3 Roomba 650 Staubsauger - 1 Sprachausgabe via Home24 Media - Zentrale: Asus TF103 mit Home24 Tablet


Diverse Links

Benutzeravatar
Homoran
Beiträge: 8607
Registriert: 02.07.2013, 15:29
Wohnort: Köln

Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi

Beitrag von Homoran » 18.02.2017, 15:55

Als Halbwissender ist für mich:
VPN - eine Verbindung, die ich aktiv von außen gezielt in mein Netz (über eben diesen VPN-Tunnel) aufbaue.
cloudmatic connect: baut eine dauerhafte (AES verschlüsselte) Verbindung (ähnlich https ??) von innen zu dem easy smarthome Server auf, auf die ich von außen (wieauchimmer) zugreifen kann.

Gruß
Rainer
Alle meine Hinweise sind auf eigene Gefahr umzusetzen. Immer einen Fachmann zu Rate ziehen!

Antworten

Zurück zu „HomeMatic allgemein“