CCU3 - empfohlene Firewall-Einstellungen

[dtp]

Hallo,

vielleicht habe ich es auch einfach nur überlesen, aber da ich hier schon mehrfach gesehen habe, dass die Firewall-Einstellungen der CCU auf "offenes Scheunentor" gestellt wurden, meine Frage, ob es hier eine grundsätzliche Empfehlung gibt?

Aktuell sieht meine Konfiguration so aus:

2018-11-18_12h22_42.png (23.39 KiB) 41234 mal betrachtet

Damit haben weder ich noch mein ioBroker oder CUxD irgendwelche Probleme.

Vielleicht wäre es sinnvoll, darauf einzugehen, was denn hier die optimalen Einstellungen mit Bezug auf Usability und Sicherheit sind.

Zudem finde ich den Hinweis wichtig, dass sich die Einstellung "Ports blockiert" reziprok zu den freigegebenen Ports verhält. Sprich, sind die Ports generell blockiert, können durch die Port-Freigabe die entsprechenden Ports freigegeben werden. Sind die Ports aber generell freigegeben, werden die unter Port-Freigabe eingetragenen Ports gesperrt. Oder ist das so nicht korrekt? Falls doch, dann sollte meines Erachtens der Begriff "Port-Freigabe" in "Port-Freigabe bzw. -Sperre" geändert werden, damit es deutlicher wird.

Gruß,

Thorsten

[hoedlmoser]

ich hab mir mal den spaß gemacht und das regelwerk etwas sichtbarer dargestellt. gilt jetzt nicht 100% für die CCU3, weil ich von der RaspberryMatic abgemalt habe.

RaspberryMatic_Firewall.pdf

v0.2.20190301 based on RaspberryMatic 3.43.15.20190223

(38.69 KiB) 3970-mal heruntergeladen

update v0.2.20190301 based on RaspberryMatic 3.43.15.20190223:

• neu: services HmIP Wired und HmIP DRAP, eq3configd port 23272/udp
• geändert: default policy für RESTRICTIVE ist REJECT, eq3configd port 43439/udp src und dst
• gelöscht: broadcast für LAN GW suche (ports 43439/udp und 23272/udp)

such Dir die spalten mit Deiner Firewall-Richtlinie zur orientierung.
je nach einstellung des services (wie Homematic XML-RPC API) gelten dann die entsprechenden unterspalten.
gehe die spalte external port von oben nach unten durch bis Du Deinen port gefunden hast.
findest Du nichts, gilt die default policy.
voila, Du weißt ob Dein packerle verworfen oder angenommen wird bzw ob der port zu oder offen ist.

ACCEPT - IP-packerl bzw request wird angenommen
DROP - IP-packerl bzw request wird verworfen

zusammenfassend kann man sagen, daß mit der Firewall-Richtlinie Ports offen die CCU3 offen ist wie ein scheunentor und wirklich nur das mindeste verworfen wird.
hingegen mit der Firewall-Richtlinie Ports blockiert ist nur das offen was man wirklich benötigt und sonst nix. so macht mans richtig und ist auch meine empfehlung! (firewalls richtet man generell so ein, daß sie nur spezifisches/bekanntes erlauben und den rest verwerfen.)

je nachdem welche services man freigeben will, dreht man diese auf eingeschränkt und trägt in IP-Adressen für den eingeschränkten Zugriff die hosts bzw netze ein, die zugreifen wollen. das ist in meinem fall zb mein LAN (ja, die benutzer sind vertrauenswürdig und die kinder drehen sich nicht gegenseitig das licht ab) und ein externer monitoring host. die IPv6 adressen waren nur mal zum spielen.

am beispiel OpenHAB verlangt die binding doku nach den ports 2001, 2000, 2010, 8181, 9292. die sind alle in Homematic XML-RPC API und Remote Homematic-Script API drinnen.

sollte man wider erwarten einen port offen benötigen der nicht aufgelistet ist, dann kann man den in die Port-Freigabe eintragen. bitte, der ist dann aber für jeden host immer offen, egal auf was die Firewall-Richtlinie steht!

wie zb der CuXD mit port 8701, den hab ich aber nicht in verwendung.

sieht bei mir dann also so unspektakulär aus.

alte übersichten:

RaspberryMatic_Firewall.pdf

v0.1.20181203 based on RaspberryMatic 3.41.11.20181126

(37.68 KiB) 2344-mal heruntergeladen

[dtp]

Danke für Deine ausführliche Antwort. Das hat mir - und evtl. auch manch anderem - sehr geholfen.

Gruß,

Thorsten

[Akwak]

RaspberryMatic_Firewall.pdf
such Dir die spalten mit Deiner Firewall-Richtlinie zur orientierung.

Hallo,
schöne Übersicht. Allerdings verstehe ich nicht warum ich bei Deiner Übersicht unter Ports Blockiert mehr Accepts und Keine Regel als bei den offenen Ports sehe und bei den offenen wird viel mehr gedropt.
Wo ist da mein Denkfehler? Ich dachte Drop ist "sicherer" als keine Regel oder ist es umgekehrt?

Gruß,
Alfred

[hoedlmoser]

schöne Übersicht. Allerdings verstehe ich nicht warum ich bei Deiner Übersicht unter Ports Blockiert mehr Accepts und Keine Regel als bei den offenen Ports sehe und bei den offenen wird viel mehr gedropt.
Wo ist da mein Denkfehler? Ich dachte Drop ist "sicherer" als keine Regel oder ist es umgekehrt?

Du hast die default policy in der letzten zeile übersehen. sprich, wenns kein DROP oder ACCEPT oder eben keine Regel für einen port gibt, dann greift die default policy.

deshalb hast Du bei Ports offen die default policy auf ACCEPT und nur daß was Du explizit blockierst (zb mit Kein Zugriff) wird gedropt. alles andere ist aufgrund der default policy offen.

im gegensatz dazu bei Ports blockiert lasse ich nur das zu, was ich explizit erlaube (zb mit Vollzugriff). alles andere ist aufgrund der default policy geschlossen.

letzteres, also Ports blockiert, ist die sichere variante, da ich nur mir bekanntes bzw gewolltes zulasse.

zur veranschaulichung: stell Dir vor Du hast einen sack bunter legosteine, weißt aber nicht welche farben die legosteine haben. Du magst die roten nicht, bevorzugst aber die grünen.
bei Ports offen sagst Du, die roten schmeißt Du weg (DROP), solltest Du einen blauen ziehen, mußt Du ihn aber nehmen (default policy ACCEPT).
bei Ports blockiert sagst Du, Du nimmst nur die grünen (ACCEPT), die roten, blauen, gelben und alle anderen farben schmeißt Du weg (default policy DROP).

hoffe ich konnte das so anschaulich erklären.

[tom57]

Guten Tag,

ich beschäftige mich auch gerade mit den Sicherheitsaspekten von Homematic. (Raspberrymatic)
XML und Rega sind klar und kann ich auch testen, dass nur bestimmte IP-Adressen bzw. Ports freigegeben werden.

Was mir nicht gefällt ist, dass ich im lokalen Netz von jedem Browser XML-API Requests (Lesen / Schreiben) absetzten kann.
So wie ich dass sehe greift dort kein Zugriffsschutz in der Firewall - oder mach ich was falsch?

[hoedlmoser]

gegen welchen port macht dein browser die requests?

[tom57]

Normaler Web-Port 80.

[hoedlmoser]

und was sagt mein weiter oben verlinktes pdf zu port 80?

[Akwak]

hoffe ich konnte das so anschaulich erklären.

Danke, jetzt hab ich es
Gruss
Alfred