Hacker Doci1989 zu Ostern zu Besuch
Moderator: Co-Administratoren
-
- Beiträge: 24
- Registriert: 08.12.2022, 14:23
- System: CCU
- Hat sich bedankt: 2 Mal
- Danksagung erhalten: 1 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
Hallo Michael,
ja, das Zert in https nützt nix, das ist mir klar.
Ich habe bestimmte öffentliche IP-Adressen in der CCU erlaubt, damit ich aus einem Cloud-Service (Integromat) über die Fritzbox auf die CCU zugreifen konnte. Ich betreibe eine FeWo und am An- und Abreisetag, der sich aus einem Kalender ergibt, stelle ich die Temp-WErte dann auf 20 bzw. 15 Grad.
Der Troll kann aber nicht einfach eine Source-Adresse vorgaukeln, so einfach geht das mit dem Routing nicht.
Ich vermute eher, dass die "Whitelist" in der CCU nicht sauber funktioniert. Ärgerlich, aber das ist zunächst sekundär.
Markus
ja, das Zert in https nützt nix, das ist mir klar.
Ich habe bestimmte öffentliche IP-Adressen in der CCU erlaubt, damit ich aus einem Cloud-Service (Integromat) über die Fritzbox auf die CCU zugreifen konnte. Ich betreibe eine FeWo und am An- und Abreisetag, der sich aus einem Kalender ergibt, stelle ich die Temp-WErte dann auf 20 bzw. 15 Grad.
Der Troll kann aber nicht einfach eine Source-Adresse vorgaukeln, so einfach geht das mit dem Routing nicht.
Ich vermute eher, dass die "Whitelist" in der CCU nicht sauber funktioniert. Ärgerlich, aber das ist zunächst sekundär.
Markus
-
- Beiträge: 9649
- Registriert: 27.04.2020, 10:34
- System: CCU
- Hat sich bedankt: 697 Mal
- Danksagung erhalten: 1617 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
White list in der CCU? Wenn er bis zur CCU kommt, ist es eh zu spät. Die Whitelist muss in deinem Router sein!
LG, Michael.
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
-
- Beiträge: 2386
- Registriert: 19.09.2012, 10:53
- System: CCU
- Wohnort: Jottweedee
- Hat sich bedankt: 250 Mal
- Danksagung erhalten: 351 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
Es ist ziemlich wurscht, was du in der Firewall der CCU einstellst. Es gibt Angriffsvektoren an der Firewall vorbei.Ich vermute eher, dass die "Whitelist" in der CCU nicht sauber funktioniert.
Nur um keine noch so unwahrscheinliche Option unversucht zu lassen: Hattest du SSH aktiviert? Mal diesen Zugang probiert?
Und nur zur Sicherheit die Nachfrage: Du greifst gerade aus dem lokalen Netz auf die CCU zu, nicht per Cloudmatic oder VPN? Nicht dass da der Hund für das Timeout begraben liegt.
Zuletzt geändert von cmjay am 08.12.2022, 15:43, insgesamt 3-mal geändert.
Es kann leider nicht ganz ausgeschlossen werden, dass ich mich irre.
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!
-
- Beiträge: 9649
- Registriert: 27.04.2020, 10:34
- System: CCU
- Hat sich bedankt: 697 Mal
- Danksagung erhalten: 1617 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
Ich verstehe nur nicht, warum man parallel zum VPN noch eine Portweiterleitung anlegt.
LG, Michael.
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
-
- Beiträge: 24
- Registriert: 08.12.2022, 14:23
- System: CCU
- Hat sich bedankt: 2 Mal
- Danksagung erhalten: 1 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
Michael, möchtest Du helfen oder tadeln?
Ich hatte es m.E. beschrieben. Das VPN nutze ich, aber die Cloud kann kein VPN zu meiner CCU aufbauen.
- blackhole
- Beiträge: 3730
- Registriert: 21.07.2015, 14:03
- System: CCU
- Hat sich bedankt: 184 Mal
- Danksagung erhalten: 587 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
Tatsächlich?
Bei meinen Versuchen mit der Original-Firewall habe ich diese per WebUI-Konfiguration wie gewollt abdichten können.
Wie sah denn Deine Konfiguration aus, bei der Du festgestellt hast, dass nicht zugelassene Zugriffe, trotz deiner Einstellungen möglich waren?
Nicht dass ich ein Freund der WebUI-Firewall wäre, aber so löchrig wie du sie beschreibst, ist sie nun auch wieder nicht.
-
- Beiträge: 2386
- Registriert: 19.09.2012, 10:53
- System: CCU
- Wohnort: Jottweedee
- Hat sich bedankt: 250 Mal
- Danksagung erhalten: 351 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
Nach deinen Forenbeiträgen zu urteilen traue ich dir durchaus zu, dass du mehr IT- und Netzwerk-Kompetenz als ich besitzt. Vielleicht habe ich mich zu blöd angestellt.Bei meinen Versuchen mit der Original-Firewall habe ich diese per WebUI-Konfiguration wie gewollt abdichten können.
Aber ich frage mal umgekehrt (ganz ehrlich und ohne Zynismus): kannst du ruhigen Gewissens empfehlen, die CCU per Portweiterleitung und entsprechend konfigurierter CCU-Firewall ins Netz zu stellen? Bist du dir sicher, dass mit "richtig" konfigurierter CCU-Firewall einem Hack ausreichend vorgebeugt ist?
Es kann leider nicht ganz ausgeschlossen werden, dass ich mich irre.
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!
- blackhole
- Beiträge: 3730
- Registriert: 21.07.2015, 14:03
- System: CCU
- Hat sich bedankt: 184 Mal
- Danksagung erhalten: 587 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
Das wage ich ohne Weiteres nicht zu beurteilen, daher frug ich nach deiner Konfiguration.
Deine Aussage, dass es, egal was man in der Firewall der CCU einstellt, Angriffsvektoren an der Firewall vorbei gibt, klingt danach, dass Du eine entsprechende Expertise hast. Und genau das interessiert mich aus offensichtlichen Gründen natürlich.
-
- Beiträge: 2386
- Registriert: 19.09.2012, 10:53
- System: CCU
- Wohnort: Jottweedee
- Hat sich bedankt: 250 Mal
- Danksagung erhalten: 351 Mal
Re: Hacker Doci1989 zu Ostern zu Besuch
Ich habe die Absicht hinter deinen so feinsinnig formulierten Fragen schon sehr genau verstanden. Und ich glaube nicht, dass du auch nur im Entferntesten erwartest, von mir noch etwas lernen zu können.Und genau das interessiert mich aus offensichtlichen Gründen natürlich.
Da die Kompetenzfrage aus meiner Sicht als geklärt angesehen werden kann, würde ich dich bitten, deine wasserdichte CCU-Firewall-Konfiguration hier einzustellen damit andere Leser, die mit einer Portweiterleitung auf ihre CCU liebäugeln, davon profitieren können.
Es kann leider nicht ganz ausgeschlossen werden, dass ich mich irre.
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!