CCU3

[66er]

...
So einfach ist das mit dem VPN also oft nicht. Und wenn es um Sicherheit geht darf man die Dinge zwar so einfach machen wie möglich, aber halt auch nicht einfacher...

Man kann es treiben und übertreiben.

Ich kann auch eine richtig gute, sichere und teure Schließanlage zu Hause verbauen und die Schlüssel dann unter die Fußmatte legen!

@gzi:
Bitte lass' mal die Kirche im Dorf.

LG und schönen Sonntag
Stefan

[deimos]

Hi,

@gzi: Einfach nur HTTPS und Passwortschutz ist zwar besser als nichts, aber von sicher brauchen wir da noch nicht reden. Dann brauchst du auch kryptografisch sichere Authtokens, musst dich um so Dinge wie Padding Oracle kümmern und, und, und.
Wer VPN richtig macht, der betreibt das auch nicht einfach nur mit Passwort, sondern mit 2-Factor-Auth oder Zertifikat. Dann ist dein Argument mit Passwortklau sofort hinfällig.

Wenn man es richtig macht, ist das also alles andere als trivial und ich kenne nur sehr wenige Entwickler, welche wirklich Ahnung davon haben. Und wenn man sich anschaut, was für Generalisten bei eQ-3 sitzen, kann man sich dann grob vorstellen, wie tiefgehend deren wissen dann ausgerechnet in dem Bereich ist.

Viele Grüße
Alex

[shartelt]

Ein VPN hingegen öffnet, für alle die den Schlüssel haben, alle Türen und alle Fenster inklusive Scheunentor.

nein, das ist falsch. Einer meiner Tunnel geht nur auf die CCU, der andere geht nur auf mein NAS...

man kann es einfach nicht allgemein sagen und die obige Aussage ist einfach falsch.

[gzi]

Einer meiner Tunnel geht nur auf die CCU, der andere geht nur auf mein NAS...

Hallo shartelt, dein Beispiel zeigt, dass auch ich zu stark vereinfacht habe. VPN ist eben auch nicht gleich VPN. Sorry.

Allerdings könntest Du Dir auch folgende Frage stellen: wenn ich als Angreifer "nur" auf Dein NAS komme aber dort SW installieren kann , welche anderen Geräte in Deinem LAN kann ich von dort nicht erreichen?

Aber lassen wir das. Ich wollte das Prinzip VPN ja nicht schlecht reden. Ist in vielen Fällen eine gute Lösung. Aber eben nicht immer und nicht für jeden und auch nicht völlig ohne Risiken.

Ich wollte aber darauf hinweisen, dass Portweiterleitung (oder sogar direkte Anbindung) auf HTTPS Server kein Schwachsinn sondern einfach der Normalfall für professionelle, auch sicherheitsrelevante Websites ist.

@Alex: natürlich macht zwei Faktor Authentifizierung PW Klau wesentlich schwieriger aber spricht das dagegen die Frage "Was passiert wenn" zu stellen?

@blackhole: Sei mir nicht bös, aber dass Du als Entwickler einer CCU Firewall eine Sicherheitsdiskussion für Satire hältst, das ist für mich jetzt tatsächlich Satire!

Anfang dieser Diskussion war meine Frage, ob sich bei der CCU3 etwas in Punkto Sicherheit verbessern wird. Die ist leider noch offen.

ich würde mir jedenfalls ein gutes HTTPS Interface für die CCU3 wünschen.
Auch wenn man sie nur im eigenen LAN benutzt :
Dass sie mit ihrem HTTP Interface offen wie ein Scheunentor ist, muss ja auch nicht sein.
Vielleicht findet sich ja doch jemand bei EQ3, der HTTPS sauber hinbringt oder zumindest dafür sorgt, dass man es sich selber konfigurieren kann.

Diejenigen, die lieber VPN verwenden, könnten das dann ja trotzdem tun.

gzi

[blackhole]

... dass Du als Entwickler einer CCU Firewall eine Sicherheitsdiskussion für Satire hältst ...

Nun, das kann ich dir gerne erklären, das liegt an deinen unterhaltsamen Äußerungen, wie z.B. diesen aktuellen:

ich würde mir jedenfalls ein gutes HTTPS Interface für die CCU3 wünschen.

Das WebUI per https absichern geht schon seit Jahren. Das ist sogar per Mausklick im WebUI regelbar, ganz ohne Frickelei.

Dass sie mit ihrem HTTP Interface offen wie ein Scheunentor ist, muss ja auch nicht sein.

Das WebUI ist einfach so sicher, wie der Betreiber der CCU sie konfiguriert und (nicht) zugänglich gemacht hat.
Problematisch sind und waren immer die Dienste, die sich nicht per Konfiguration absichern lassen und ließen.

Vielleicht findet sich ja doch jemand bei EQ3, der HTTPS sauber hinbringt oder zumindest dafür sorgt, dass man es sich selber konfigurieren kann.

EQ-3 hat das bereits gemacht, das geht schon seit Jahren, wie bereits gesagt, per WebUI und Mausklick, völlig ohne Frickelei.
Das ist sogar im HomeMatic WebUI-Handbuch ausführlich beschrieben.

Viel zweifelhafter, ebenfalls falsch dargestellt und deutlich schädlicher als Deine Beiträge in Sachen WebUI/https sind natürlich Deine Aussagen zum Thema VPN und zum Thema Portweiterleitung. Diese sollten endlich unterbunden und aus dem Forum entfernt werden.

[66er]

... Diese sollten endlich unterbunden und aus dem Forum entfernt werden.

Zumindest wurden ja bereits die letzten neuen Threads von gzi in Offtopic verschoben/gepostet.

LG
Stefan

[darkbrain85]

gzi hat in vielen Punkten sicher recht, aber wer will denn bitte sicherstellen das der Dienst bzw. das Gerät auf den der Port zeigt auch wirklich sicher ist?

Mein VPN Passwort und der zugehörige Schlüssel sind dagegen relativ sicher. Ich gebe die Daten praktisch nie irgendwo ein weil meine mobilen Geräte diese gespeichert haben.
Das jemand meine VPN Daten aus einem iPhone oder iPad ausliest ist auch nahezu unmöglich. Auch ist das für mich der wichtigste Grund warum ich iOS Geräte einsetze. Diese haben in der Vergangenheit immer wieder gezeigt, dass es sehr wenige Möglichkeiten gibt, in das Gerät einzudringen. Wird doch mal eine entdeckt, ist die Software beim nächsten Update wieder dicht. Und das über Jahre.
Auch ist Apple das einzige (korrigiert mich wenn ihr noch eins kennt) Unternehmen dieser Klasse, welches sich ganz klar auf die Fahne geschrieben hat, dass kein Geld mit den Daten der Nutzer verdient wird. Wenn der CEO dies bei jeder Gelegenheit vor Kameras auch bestätigt, kann man ansatzweise daran glauben.
Wenn ich mir dagegen die Mehrheit meiner Mitmenschen angucke, die mit uralt Android Krachern durch die Gegend rennen, auf denen die Software seit Jahren schon nicht mehr aktualisiert wurde, dann kann man schon mal den Kopf schütteln. Versorgt mit Software von der Datenkrake Nr 1...
Ich muss mir bei der Nutzung so eines Geräts auch ernsthaft keine Sorgen über Alexa machen. Die Wanze hat man doch eh den ganzen Tag bei sich… Ich meine mal im Ernst: Ein Smartphone mit Betriebssystem von Google in das der asiatische Hersteller ein paar extra „Features“ integriert hat. Wenn man drüber nachdenkt, kann das man beim besten Willen nicht schön reden….
Aber ich schweife ab...

Mein Fazit: Besser ein zentral kontrollierbares VPN, als Weiterleitungen auf Dienste dessen Sicherheitslücken ich noch nicht kenne...

[66er]

...
Mein Fazit: Besser ein zentral kontrollierbares VPN, als Weiterleitungen auf Dienste dessen Sicherheitslücken ich noch nicht kenne...

Volle Zustimmung.

LG und schönes WE
Stefan

[gzi]

ich würde mir jedenfalls ein gutes HTTPS Interface für die CCU3 wünschen.

Das WebUI per https absichern geht schon seit Jahren.

Hallo blackhole, dass man HTTPS im WebUI aktivieren kann, ist mir bekannt. Daher habe ich geschrieben: ein gutes HTTPS Interface. Damit meine ich die fehlenden Features um HTTPS auf der CCU wasserdicht zu machen.

Ich verstehe deine (emotionale?) Reaktion jedenfalls nicht.
Du tust so als ob es schon heute möglich wäre, die CCU mit ein paar Mausklicks per HTTPS abzusichern, entwickelst aber selber eine Firewall ( die dann keiner brauchen würde) und erwähnst zwei Zeilen weiter dass die API Dienste der CCU völlig ungesichert sind.

Was an meinen Ausführungen zu VPN (gut , aber auch kein Allheilmittel), zu Portweiterleitung (Eine CCU as is per Portweiterleitung aus dem Internet erreichbar zu machen ist ein absolutes NoGo) und zu HTTPS (Stand der Technik, sicher wenn man es richtig macht) falsch oder gar schädlich sein soll, verstehe ich nicht.

Erklär uns doch bitte was Du daran für falsch hältst. Ich lerne gern dazu , aber Pauschalkritik bringt uns nicht weiter.

@darkbrain: stimme dir im Großen und Ganzen zu. Zu Deinem Fazit: beim VPN kommt es - sofern ich nicht selber der Betreiber bin - ganz entscheidend darauf an, wer den VPN Server kontrolliert, denn der kann in meinem LAN theoretisch schalten und walten wie ich selber und hätte dann Zugriff auf In der Regel ungeschützte Systeme. Bei einer HTTPS Weiterleitung gibt es keine kontrollierende Instanz zwischen meinen Endgeräten und meinem Server/CCU, ich kann selber kontrollieren welche Art der Verschlüsselung verwendet wird, und auf welchen Dienst Zugriff besteht (z.B. Nur Webui oder auch APi's) . Diese Selbstbestimmtheit mag manche überfordern für mich aber hat sie halt so ihren Charme.....

gzi

[66er]

Hallo gzi,

Du darfst ja gerne hier weiterhin Dein CCU-Sicherheitssamaritertum ausleben.

Aber merkst Du wirklich nicht, dass Du zum Teil deutlich über das Ziel hinaus schießt?

Auch wenn in Deinen sehr umfangreichen Ausführungen immer ein Teil Wahrheit steckt, lehne ich mich mal soweit aus dem Fenster, dass ich behaupte, dass maximal 2 Handvoll User alles lesen und sich gedanklich damit auseinander setzen. Die Anzahl der Aufrufe ist hier mit Sicherheit nicht das Maß der Dinge.

Wieviele Dir inhaltlich vollumfänglich folgen können? ...

Was mich sehr interressieren würde:

Wie oft wurde Dein SCS verkauft? Ist es der Frust oder der Erfolg, der Dich zu solchen Beiträgen antreibt?

Wenn ich mir das in den letzten Tagen in anderen Threads anderer User wiederholt angesprochene Niveau der aktuellen Fragestellungen ansehe, dann ist Dein Lieblingsthema das letzte Problem, um das sich das Gros der User kümmert oder kümmern würde. wenn sie es denn verstehen könnte.

Einen schönen, sicheren Sonntag
Stefan