shartelt hat geschrieben:Einer meiner Tunnel geht nur auf die CCU, der andere geht nur auf mein NAS...
Hallo shartelt, dein Beispiel zeigt, dass auch ich zu stark vereinfacht habe. VPN ist eben auch nicht gleich VPN. Sorry.
Allerdings könntest Du Dir auch folgende Frage stellen: wenn ich als Angreifer "nur" auf Dein NAS komme aber dort SW installieren kann , welche anderen Geräte in Deinem LAN kann ich von dort nicht erreichen?
Aber lassen wir das. Ich wollte das Prinzip VPN ja nicht schlecht reden. Ist in vielen Fällen eine gute Lösung. Aber eben nicht immer und nicht für jeden und auch nicht völlig ohne Risiken.
Ich wollte aber darauf hinweisen, dass Portweiterleitung (oder sogar direkte Anbindung) auf HTTPS Server kein Schwachsinn sondern einfach der Normalfall für professionelle, auch sicherheitsrelevante Websites ist.
@Alex: natürlich macht zwei Faktor Authentifizierung PW Klau wesentlich schwieriger aber spricht das dagegen die Frage "Was passiert wenn" zu stellen?
@blackhole: Sei mir nicht bös, aber dass Du als Entwickler einer CCU Firewall eine Sicherheitsdiskussion für Satire hältst, das ist für mich jetzt tatsächlich Satire!
Anfang dieser Diskussion war meine Frage, ob sich bei der CCU3 etwas in Punkto Sicherheit verbessern wird. Die ist leider noch offen.
ich würde mir jedenfalls ein gutes HTTPS Interface für die CCU3 wünschen.
Auch wenn man sie nur im eigenen LAN benutzt :
Dass sie mit ihrem HTTP Interface offen wie ein Scheunentor ist, muss ja auch nicht sein.
Vielleicht findet sich ja doch jemand bei EQ3, der HTTPS sauber hinbringt oder zumindest dafür sorgt, dass man es sich selber konfigurieren kann.
Diejenigen, die lieber VPN verwenden, könnten das dann ja trotzdem tun.
gzi
Lichtsteuerung, Heizungssteuerung, Überwachung (Feuer, Wasser, Einbruch, Stromausfall, Heizungsausfall, Wetter, Kamera),
Alarmierung (optisch, akustisch, mail, SMS, voice call) - CCU, diverse HM- und HMIP Aktoren und Sensoren, Rauchmeldeanlage, UPS, GSM-Alarmwähler, Zugriff aus dem Internet via HTTPS und htdigest authentication, kein Datenkraken-Interface (Google, Amazon, China-Cloud, BND, NSA...) - HomeMatic
Sicherheits-Kompendium - Checkliste für
Auswahl von IP Kameras - Vergleich aktueller
HomeMatic Zentralen - und alle Antworten für
das gesamte Universum und den Rest