Selektive Portfreigabe und Sicherheit

[MQuitte]

Hallo Zusammen,
ich habe eine Frage in Bezug auf den Sicherheitsaspekt der Portfreigabe,

Ich habe einen eigenen Server mit statischer IP. Unter der CCU3 finde ich unter "Einstellungen -> Systemsteuerung -> Firewall konfigurieren" die Möglichkeit die Remote Homematic-Script API und Homematic XML-RPC API auf eine (oder mehrere) IP einzuschränken.

Ist es ein erhöhtes Sicherheitsrisiko, einen Port der Fritzbox freizugeben, und diesen auf den Port 8181 der CCU3 weiterzuleiten und hier dann die Remote Homematic-Script API und die Homematic XML-RPC API auf die statische IP des Servers einzuschränken.

Falls Ja, wo ist das Risiko und wofür ist diese Einschränkung sonst gedacht?


Gruß und Danke
Bernard

P. S.
Ich bin der einzige mit Zugriff auf den Server und wir gehen einfach mal davon aus, dass dieser ausreichend geschützt ist.

[cmjay]

Ist es ein erhöhtes Sicherheitsrisiko, einen Port der Fritzbox freizugeben, und diesen auf den Port 8181 der CCU3 weiterzuleiten

Ein ganz klares JA.

Falls Ja, wo ist das Risiko und wofür ist diese Einschränkung sonst gedacht?

Ein Risiko ist z.B., dass du darauf vertrauen musst, dass die Firewall der CCU ausreichend "feuerfest" konfiguriert ist und keine Bugs enthält. Diese Wette würde ich nicht eingehen wollen. Zumal es gerade bei der Fritzbox kinderleicht ist, sich für den Fernzugriff ein VPN einzurichten (das auf IPSec basiert und derzeit noch immer als sicher gilt).

EDIT:
Anbei die entsprechende Sicherheitswarnung von eQ-3 selbst, die zumindest bei der CCU2 seit Ende 2017 im WebUI eingeblendet wird (keine Ahnung wie das bei der CCU 3 aussieht).

VORSICHT: VERWENDEN SIE KEIN PORT FORWARDING!

Lieber Anwender!

Ihre Sicherheit und Datenschutz sind uns besonders wichtig.

Die CCU können Sie komplett autonom im Haus betreiben, ohne dass Ihre Installation und/oder Daten von Ihnen im Internet bekannt werden.

Aus dem Internet ist gewöhnlich kein Zugriff direkt auf Geräte in Ihrem Heimnetz möglich. Eine Adressumsetzung (Network Address Translation – NAT) wandelt die lokalen Adressen in Ihrem Heimnetz in die öffentliche Adresse an Ihrem Router um. Während NAT ursprünglich entwickelt wurde, damit in den Haushalten mehrere oder viele Geräte mit nur einer Adresse arbeiten können, bietet NAT auch einen Schutz gegen Missbrauch aus dem Internet: Durch NAT können Geräte im Netz des Anwenders typisch nicht direkt angesprochen werden. Umgekehrt kann NAT aber einen Zugriff aus dem Internet auf Ihre CCU – z. B. mit einem Smartphone – im Wege stehen.

Sofern Sie aus dem Internet auf Ihre Installation mit der CCU zugreifen möchten, empfehlen wir Ihnen insbesondere zwei Arten von Lösungen:

1) Nutzung eines „Remote Access Dienstes“
Hier wird mit einer kleinen Software aus der CCU eine Verbindung zu einem „Rendezvous“-Server im Internet aufgebaut. Mit dem Smartphone und einer entsprechend App wählen Sie ebenfalls diesen Rendezvous-Server an. Nur wenn User ID und Passwort stimmen, werden Sie mit der CCU verbunden. Bei diesem Verfahren ist die CCU vom Internet aus niemals direkt sichtbar.

Beispiele für Remote Access Dienste sind „CloudMatic“ und „Orbilon“.
Sie finden als Beilage zur CCU eine Liste von Partnerlösungen mit weiteren Details.

2) Einwahl mittels VPN („Virtuelles Privates Netz“)
Die meisten Hersteller von Routern erlauben den Aufbau eines VPN von einem Smartphone. Sie können sich ein VPN als sicheren Tunnel vorstellen, in dem alle Daten verschlüsselt und authentisiert sind. Bei VPN-Aufbau ist mindestens die Angabe einer User ID und eines Passworts notwendig. Es gibt aber auch VPN-Lösungen, die eine zweite Form der Authentisierung benötigen, z. B. eine auf das Handy gesendete TAN. Auch beim VPN ist die CCU im Internet niemals direkt sichtbar.

Ein Beispiel für eine VPN Lösung ist „My Fritz!“ von AVM.

Smartphone Apps für die CCU wie die „Pocket Control App“ können VPNs automatisch unterstützen.

Warum warnen wir Sie vor PORT FORWARDING?

Bis vor etwa 8 Jahren war es durchaus üblich, eine andere Technik für den Remote Zugriff zu unterstützen: Bei Port Forwarding werden ein oder mehrere Ports – d. h. Zugangspunkte – eines Geräts innerhalb des Heimnetzes auch „außen“ am Router zur Verfügung gestellt. Eine CCU – oder auch ein anderes Gerät in Ihrem lokalen Netz – kann mit Port Forwarding von einem Smartphone im Internet direkt angesprochen werden.

Port Forwarding wurde früher von vielen Herstellern empfohlen und sogar aktiv unterstützt, damit die Konfiguration einfacher ist. Es gibt sogar bis heute einen Standard „UPnP“, mit dem Port Forwarding am DSL oder Cable Router eingerichtet werden kann, ohne dass hierzu eine manuelle Konfiguration notwendig ist. LAN und WLAN Kameras haben früher fast ausschließlich auf Port Forwarding basiert und unterstützen es oft selbst noch heute aktiv.

Der gravierende Nachteil von Port Forwarding ist, dass Ihr Gerät von jedem anderen System im Internet angesprochen werden kann. Leider auch von Hackern, die nur darauf, bislang noch unbekannte Sicherheitsfehler in Linux zu nutzen, um die Systeme in Ihrem Netz anzugreifen.

Port Forwarding ist heute nicht mehr für den Zugriff auf eine CCU notwendig! Wie oben gezeigt, stehen bessere Alternativen zur Verfügung, die weitaus sicherer sind.

Falls Sie heute noch Port Forwarding für eine CCU oder andere Geräten verwenden, stellenSie dies in Ihrem eigenen Interesse BALDMÖGLICHST ein.

Um die Sicherheit gegen unbefugtes Anmelden weiter zu verbessern, empfehlen wir ebenfalls die Funktion „Automatisches Anmelden“ in der Benutzerverwaltung zu deaktivieren.

Viele Grüße
Ihr eQ-3 Support Team

[Roland M.]

Hallo Bernhard!

Man kann ja nicht gerade behaupten, dass dieses Thema neu wäre , also sollten 34 Seiten nur in diesem einen Thread -> viewtopic.php?f=19&t=35725 einmal eine Anfangslektüre sein...


Roland

[MQuitte]

Hallo cmjay und Rohland,
Danke für die Antwort. Habe mir das bereits gedacht.
Im dem Thread hatte ich nichts über die Funktion "Einschränkung" gefunden.
Damit ist die Funktion nahezu nutzlos. Naja, vielleicht als zusätzlicher Schutz vor Gästen, die sich bereits in meinem WLAN befinden.


Gruß
Bernard

[dtp]

Wie von Roland bereits gezeigt, wurde hier ja schon häufig über die Portweiterleitung auf die CCU gewarnt. Einfach aus dem Grund, weil sie damit leider nicht ausreichend geschützt ist. Bei der CCU2 war es noch Harakiri, weil sie damit offen war, wie ein Scheunentor; bei der CCU3 wurde es deutlich verbessert, aber ich würde das Risiko trotzdem nicht eingehen, zumal es mit einem Virtuellen Privaten Netzwerk (VPN) eine wirksame und in der Regel recht einfach einzurichtende Alternative gibt.

Manchmal muss man aber auch Ports weiterleiten, um z.B. gewisse Server-Funktionalitäten realisieren zu können. So mache ich das z.B. auch bei meiner Synology DiskStation. Bei der weiß ich aber, dass sie im Gegensatz zur CCU über sehr gute Schutzmechanismen verfügt.