CCU3

[deimos]

Hi,

vermutlich hat er das neue Tinkerboard S gefunden, welches im Januar vorgestellt wurde und demnächst in den Handel kommt. Die Info mit dem Speicher ist aber falsch, es gibt nur eine Variante mit 16GB. (Und man kann zusätzlich eine 64GB SD Karte einlegen).
Das es bisher noch keine Unterstüzung für eine wie auch immer geartete CCU (RaspberryMatic, piVCCU) gibt, wurde dezent ignoriert.

Viele Grüße
Alex

[klassisch]

Für eMMC Fans gibt es piVCCU auf Orange Pi Plus 2e.

Gesendet von meinem ZTE A2016 mit Tapatalk

[gzi]

...
Sprich: wird man die CCU3 mit Portweiterleitung sicher ins Internet hängen können ?
...

Portweiterleitung und sicher ist m.E. ein Widerspruch in sich. (in Folge dessen:) Nein

LG
Stefan

Weiss nicht, ob wir das schon einmal diskutiert haben und ich will auch niemanden langweilen. Aber Portweiterleitung an sich ist nicht unsicher. Es kommt darauf an, wie sicher das Ziel der Weiterleitung konfiguriert ist. Keine Frage: Portweiterleitung direkt auf einen unverschlüsselten HTTP Server (CCU2, aber auch z.B. auf eine Kamera !!!) einzurichten ist ein absolutes NoGo. Aber das habe ich nicht gemeint.

Könnte man den Webserver der CCU3 (ists noch Lighttpd?) auf HTTPS umstellen (was teilweise schon bei der CCU2 geht)
UND wäre ein signiertes Zertifikat installiert (was bei der CCU2 nicht der Fall ist)
UND sind user authentication module installiert (was bei der CCU2 teilweise vorhanden ist)
UND könnte man fail2ban einrichten (ein Tool das multiple Anmeldeversuche sperrt und auf der CCU2 auch fehlt)
DANN allerdings nur DANN wäre eine Portweiterleitung auf die CCU3 sicher.

Unter Raspbian z.B. kann man das alles konfigurieren und so eine sichere Portweiterleitung einrichten. Also wär der Weg zur sicheren CCU3 eigentlich nicht allzu weit.

Aber offenbar sind Features, Performance und schicke Gehäuse noch immer wichtiger als Sicherheit...
gzi

P.S.:
INSTAR, deutscher Hersteller von IP Kameras, zeigt es bei seinen neuen 1080p Kameras vor, wie es auch EQ3 machen könnte [jedenfalls laut Hersteller-Angaben]. IP Kameras haben ja ebenfalls einen Webserver eingebaut.

Jede Kamera wird mit einem eigenen Sub-DNS Namen von Instar ausgeliefert. Instar hostet einen kostenlosen DynDNS Service, der es erlaubt auch Router mit wechselnder IP Adresse und damit die Kamera hinter dem Router aus dem Internet via Portweiterleitung immer mit der gleichen URL zu erreichen. Jede Kamera wird mit einem auf diese DynDNS ausgestellten, signierten Zertifikat ausgeliefert, das vom Browser als sicher akzeptiert wird. Damit kann man beim Login sicher sein, dass man sein Passwort der eigenen Kamera übergibt und nicht einem Phishing-Server.

Und natürlich überträgt die Kamera alle Daten verschlüsselt über HTTPS. Damit kann niemand im Netz die Login-Daten oder die übertragenen Bilder mitlesen.

Es ist dabei auch keine Cloud im Spiel. Obs wirklich so stimmt, kann ich allerdings nicht nachprüfen, weil ich so eine Kamera nicht habe. Aber wenns stimmt und wenn dann auch noch sowas wie fail2ban gegen brute-force Passwortknacker installiert ist, wäre es wirklich perfekt und soweit ich weiß die erste Kamera, die man unbesorgt und auch mit moderaten Anwender-Kenntnissen (den Installations-Wizard der Instar HD Kameras kenne ich. Er ist der beste, den ich bisher für so ein Gerät gesehen habe) direkt über Portweiterleitung mit dem Internet verbinden kann.

[Anders]

So eine unsinn habe ich noch nie gelesen.

[grissli1]

So eine unsinn habe ich noch nie gelesen.

Und was wäre da jetzt Unsinn??? Nicht nur irgend einen Blödsinn schreiben sondern auch was falsch ist und wie es richtig wäre!!!

Viele Grüße
Chris

[Borland]

Warum überhaupt Löcher ins Netzwerk wenn man das sicher über ein VPN machen kann?

[66er]

Ganz meine Meinung.

Sich Gedanken über Sicherheit machen ist natürlich o.k.

Aber gzi schießt m.E. über's Ziel hinaus. Natürlich brauche ich mir keine Sorgen um Einbrecher zu machen, wenn ich die Haustür auflasse, aber dahinter mehrfach nicht zu öffnende Gittertore installiere. Aber wer tut so etwas

LG
Stefan

[Familienvater]

Hi,

auch nur ganz kurz:
Ja und Nein

Ich habe nicht immer ein Gerät in meiner Hand, auf dem z.B. eine spezielle VPN-Zugangssoftware für mein LAN zu Hause vorhanden ist (och weniger habe ich meine 2048 Byte "Paranoia-Keys" für die Authentifizerung gerade fehlerfrei im Kopf). Das kann einfach mein Büro-PC sein, mit dem ich mal schnell was zu Hause checken will, oder im dümmsten Fall ein Internet-Cafe PC, weil mir meine IT untwerwegs von trödelnden Händlern entwendet wurde. Da weiß man einen Reverse-Proxy-Zugang für die wichtigsten Systeme zu Hause auf einmal zu schätzen. Im Fall eines Internet-Cafes kann man sich ja "Einweg-Zugangscodes" vorhalten, die man dann selbst schnellstmöglich nach Benutzung deaktiviert, falls da Keylogger und Co aktiv waren...

Ansonsten greife ich in meinem internen WLAN durchaus auch mehr als regelmäßig unverschlüsselt auf meine internen Netzwerkressourcen zu (WPA2 mit Key etc logischerweise schon, aber nicht per weiterer TLS wie https), weil ich einfach glaube, das trotz eines großen Geräteparks im LAN und WLAN nur vertrauenswürdige Geräte vorhanden sind, Gäste haben ihr eigenes VLAN, die kommen an KEINE Intranet-Ressource.

Der Familienvater

[gzi]

Warum überhaupt Löcher ins Netzwerk wenn man das sicher über ein VPN machen kann?

Hallo Borland,
ich gebe Dir recht aber es gibt in Deinem Satz ein WENN!

• WENN Du VPN verwenden willst, dann mußt Du über einen VPN Server gehen.
• WENN Dein Router nicht VPN Server spielen kann, und Du keine Port-Weiterleitung einrichten willst,dann muss es ein VPN Server im Internet sein.
• WENN Du den VPN-Server nicht selbst betreiben, einrichten und bezahlen willst, dann brauchst Du dafür einen VPN Service Provider, den Du auch bezahlen mußt
• WENN der seriös ist und sein RZ sicher betreibt dann ist es wahrscheinlich gut,
• WENN Du keine Endgeräte verwenden willst auf denen Du den VPN Client nicht einrichten kannst (Firmen-PC).

Für manche User sind das einige WENNS zu viel.

Den HTTPS Port 443 (und sonst keinen) auf einen, mit einem starken Passwort geschützten, Server weiterzuleiten auf dem TLS ab 1.2, starke Verschlüsselung und fail2ban installiert sind, ist jedenfalls Stand der Technik und kein Schwachsinn.

Aber wer tut so etwas?

Auch deine Bank zum Beispiel macht das genau so!

Und ein letztes
WENN mir jemand mein Passwort klaut (Keylogger hat Familenvater oben erwähnt, Mitfilmen in der U-Bahn ist auch ein Thema, phishing sowieso... ) dann ist es mir lieber, der Angreifer wird damit nur auf eine Web-Oberfläche weitergeleitet, als er kommt gleich via VPN in mein gesamtes (W)LAN .

Plakativ gesagt: Bei Portweiterleitung auf einen Webserver können alle die den Schlüssel haben, durch ein Fenster schauen. Ein VPN hingegen öffnet, für alle die den Schlüssel haben, alle Türen und alle Fenster inklusive Scheunentor.

Da stellt sich daher die dringende Frage: Wer hat Zugang zu dem Schlüssel? Wo läuft der VPN Server noch mal? Kenne ich alle Leute mit Zugang zu dem Schlüssel?

So einfach ist das mit dem VPN also oft nicht. Und wenn es um Sicherheit geht darf man die Dinge zwar so einfach machen wie möglich, aber halt auch nicht einfacher.

gzi

[blackhole]

Langsam aber sicher nimmt dieser Thread satirische und groteske Züge an.