CCU3 sicher genug für Türschlösser?

[rentier-s]

Hallo zusammen,

ich erwäge gerade die Anschaffung eines Türschlossantriebs HmIP-DLD für die Haustüre. Die Antriebe haben ja die Möglichkeit, die Türe nach dem Aufschließen zu öffnen, indem der Schlüssel kurz in Öffnen-Richtung weiter gedreht wird. Jeder, der auf die CCU zugreifen kann, könnte also die Türe öffnen und damit ins Haus gelangen.

Ohne Portforwarding muss man dafür ins Netzwerk gelangen, und genau da kommt mein Problem. Es gibt hier in einem Bereich des Hauses, der, sagen wir mal prinzipbedingt nicht allzu gut gegen unbefugten Zutritt gesichert ist, die Möglichkeit an einen Netzwerkanschluss zu gelangen. Mehr möchte ich nicht verraten

Meine Frage wäre deshalb, wie sicher die CCU mittlerweile gegen Eindringen gesichert ist.

Anders gefragt, was man tun müsste um sie wirklich dagegen zu schützen. Im Internet finden sich zwar Artikel dazu, aber natürlich keine genaue Beschreibung, welche Wege für Angriffe ausgenutzt werden. Mein Plan wäre, PivCCU in einem VLAN zu verstecken und den Zugriff über einen Reverse Proxy zu realisieren. Über diesen könnte man in meiner Vorstellung die Angriffsvektoren gezielt sperren.

Damit hier niemand öffentlich die Lücken ausplaudern muss, wäre die Frage daher an die Experten, ob mir jemand über privaten Schriftverkehr erklären möchte, was man genau blockieren müsste, damit die CCU gegen Feinde gesichert ist, die es ins Netzwerk geschafft haben.

Mir ist klar, dass es keine 100%ige Sicherheit geben kann. Trotzdem wäre mir wohler zu wissen, dass man wenigstens ausreichend Know-How mitbringen muss, um in mein Haus zu kommen.

Installiert sind derzeit:
CCU3 (Pivccu3) Firmware 3.73.9
hm_pdetect 1.16
CUxD 2.11
Programme Drucken 2.6
XML-API 2.3

Alternativ wäre die Frage, hat jemand eine Idee, das Öffnen mechanisch im DLD zu unterbinden?

[Roland M.]

Hallo!

Es gibt hier in einem Bereich des Hauses, der, sagen wir mal prinzipbedingt nicht allzu gut gegen unbefugten Zutritt gesichert ist, die Möglichkeit an einen Netzwerkanschluss zu gelangen.

Kleinen Switch dazwischen setzen und den mit einem Schaltaktor nach Bedarf ein- und ausschalten.
Oder diesen LAN-Anschluss in ein eigenes VLAN setzen.
Oder versperrbare Dose verwenden.

Mein Plan wäre, PivCCU in einem VLAN zu verstecken und den Zugriff über einen Reverse Proxy zu realisieren.

Oder einfach ein VPN einrichten.

Damit hier niemand öffentlich die Lücken ausplaudern muss, wäre die Frage daher an die Experten, ob mir jemand über privaten Schriftverkehr erklären möchte, was man genau blockieren müsste,

Die offenen Scheunentore sind lang keine Geheimnisse mehr. Autologin und Port 8181.

Alternativ wäre die Frage, hat jemand eine Idee, das Öffnen mechanisch im DLD zu unterbinden?

Access Point verwenden. Dort ist das Öffnen der Tür aus Sicherheitsgründen überhaupt nicht möglich!


Aber ich habe auch noch nie gehört, dass sich Einbrecher auf CCUs spezialisiert haben.
Wie hoch sind die Erfolgsaussichten, dass jemand ein Haus mit Homematic findet (ok, mit EQ3-RFA herumfahren), dann versucht, über ein schwach gesichertes WLAN oder eine außenliegende LAN-Buchse softwaretechnisch einzudringen, hoffen, dass man eine CCU findet und keinen AP und dann noch hoffen eine Keymatic zu finden. Kalle mit dem 5-kg-Universalschlüssel ist da längst schon im Haus drinnen und wieder draußen.


Roland

[Henke]

Jemand der die Kenntnisse hat ein Netzwerk zu hacken und die Kontrolle dann über dein Türschloss zu übernehmen kann, steht mit an Sicherheit grenzender Wahrscheinlichkeit nicht vor deiner Tür, sondern ist am Arbeiten oder im Urlaub.

Die "Einbrecher" sind nicht gerade die hellsten Leuchten und nehmen schnelle, schwache Angriffspunkte. Das sind eher Kellerfenster, Fenster, Teerassentüren und Türen die sich aushebeln lassen. Auch die Schlösser sind mit entsprechendem Werkzeug innerhalb von 2 Minuten erledigt. Unangenehm ist dabei der entstandene Schaden.

Zum Netzwerk:
Ob es nun ein W-Lan oder der Zugang über ein Kabel ist, macht keinen großen Unterschied. Beide sind schließlich durch ein vernünftiges Passwort geschützt. Wink mit dem Zaunpfahl...
Das CCU Netz dahinter nochmals mit einer VPN zu trennen erweitert zwar den Schutz, aber kann durch installierte Software auch ausgehebelt werden. Nutzen und Aufwand stehen da für mich in keiner Relation. Es muss verhindert werden, das überhaupt jemand in eines der Netze kommt.
Was jedoch recht einfach ist, ist den Zugang zur CCU auf bestimmte Netzwerkadressen zu beschränken. Stichwort: CCU-Firewallregeln. Ich kann z.B. nur von meinem PC und meinem Handy, wenn es im W-Lan ist, auf die CCU.
Das kann natürlich auch auf den DHCP-Server angewandt werden, wenn man dort nur feste Adressen vergibt für das lokale Netz und den Rest ausschließt.

Wo ich mir etwas mehr Gedanken machen würde, ist die Ansteuerung des Schlosses. Hier muss ausgeschlossen werde, das es nicht durch Fehler in der Programmierung die Tür am 2. Urlaubstag öffnet.

[rentier-s]

Kleinen Switch dazwischen setzen und den mit einem Schaltaktor nach Bedarf ein- und ausschalten.

Der Anschluss soll insbesondere dann aktiv sein, wenn ich nicht zuhause bin. Aber Du bringst mich auf eine Idee, ich könnte die angeschlossenen Geräte über CUxD Ping überwachen und die Leitung trennen, wenn eins davon abgesteckt wird. Muss ich nochmal überdenken, Voraussetzungen dafür wären eigentlich gegeben.

Oder einfach ein VPN einrichten.

Es geht mir tatsächlich um die Sicherheit innerhalb des Netzwerks. Aus dem Internet ist die CCU sowieso nicht erreichbar, bzw. nur über VPN. Den Reverse Proxy möchte ich intern verwenden, analog dem Betrieb von PiVCCU über WLAN, weil Apache doch nochmal mehr Möglichkeiten zur Filterung bietet. Mein Ansinnen war, die Sicherheitslücken der CCU über Apache abzufangen, nur habe ich eben keine brauchbaren Anhaltspunkte gefunden, welche das wären.

Die offenen Scheunentore sind lang keine Geheimnisse mehr. Autologin und Port 8181.

Ich habe nicht wirklich was genaueres dazu gefunden, oder falsch gesucht, deshalb dieser Thread. Nachdem was man hier im Forum immer so mitbekommen hat ("Happy Hacking"), hat sich das für mich so angehört, als könnte jeder Depp, der weiß nach was er googeln muss, jeglichen Kennwortschutz umgehen und eine CCU übernehmen.

Wenn das schwer bis unmöglich wird, sofern Autologin aus- und RemoteSkriptAPI Authentifizierung eingeschaltet sind, beruhigt mich das schon mal.

Kalle mit dem 5-kg-Universalschlüssel ist da längst schon im Haus drinnen und wieder draußen.

Wie gesagt, ist mir durchaus bewusst und darüber möchte ich auch nicht diskutieren. Mir war halt einfach nicht wohl bei dem Gedanken, dass ich mir ausgerechnet mit einem Türschlossantrieb, der eigentlich für mehr Schutz sorgen soll, weil das Haus dann für mich ans Abschließen denkt, stattdessen eine noch größere Lücke einbaue.

Was jedoch recht einfach ist, ist den Zugang zur CCU auf bestimmte Netzwerkadressen zu beschränken. Stichwort: CCU-Firewallregeln.

Ich mag mich täuschen, das gilt doch nur für die APIs, nicht für das WebUI. Zumindest verhält sich meine PiVCCU so.

[Roland M.]

Hallo!

Der Anschluss soll insbesondere dann aktiv sein, wenn ich nicht zuhause bin.

Also könnte ein Anwendungsfall gaaanz zufällig Web-Kameras sein.

Ich habe im Wochenendhaus meine Kameras (*) ganz bewusst auf Basis WLAN integriert, weil ich das WLAN besser sichern kann, als (physikalisch) LAN-Buchsen.

Es geht mir tatsächlich um die Sicherheit innerhalb des Netzwerks. Aus dem Internet ist die CCU sowieso nicht erreichbar, bzw. nur über VPN. Den Reverse Proxy möchte ich intern verwenden,

Was soll das bringen?
Auch interne IPs kann man faken, also wäre mein erster Gedanke, den Zutritt zum LAN von vornherein zu verhindern. Allem voran mechanisch.

Nachdem was man hier im Forum immer so mitbekommen hat ("Happy Hacking"), hat sich das für mich so angehört, als könnte jeder Depp, der weiß nach was er googeln muss, jeglichen Kennwortschutz umgehen und eine CCU übernehmen.

Na ja, YouTube-Videos als Ersatz für das Studium der vorhandenen Dokumentation gibt es - je nach Sichtweise Gott sei Dank oder leider - noch nicht, ich möchte aber auch nicht @Black, der sich dankenswerterweise um Hacking-Opfer kümmert, als "Depp" darstellen, nachdem er auch nur das umsetzt, was auch Hacker (im besten Fall... ) beherrschen.

Mir war halt einfach nicht wohl bei dem Gedanken, dass ich mir ausgerechnet mit einem Türschlossantrieb, der eigentlich für mehr Schutz sorgen soll,

Nein, ein Türschlossantrieb bietet gleich wie die ganze Homematic nicht mehr Sicherheit, sondern nur mehr Komfort. Mehr nicht.

Für mich persönlich stellt sich die Frage nach Türschlossantrieben gar nicht. Meine Türen, die dafür prädestiniert wären, sind die jeweils einzigen Zugänge zu Wohnungen bzw. Bereiche des Hauses. In Kombination mit Schlössern ohne Notfallfunktion könnte schon ein blockierendes Getriebe ungeahnte Folgen bereiten...


Roland

(*) ganz abgesehen von der österreichischen Rechtslage, in dessen Graubereich ich mich bewusst aufhalte...

[rentier-s]

ich möchte aber auch nicht @Black [...] als "Depp" darstellen

Das habe ich auch nie behauptet! Da möchte ich mir bitte nicht das Wort im Mund verdrehen lassen.

Was soll das bringen?
Auch interne IPs kann man faken

Da wir in meinem Fall konkret von PiVCCU reden, kann ich die Bridge vom physischen Netz trennen und

Code: Alles auswählen

RewriteRule ccu-schwachstelle - [F,L]

ProxyPass /ccu/ http://192.168.253.2/
ProxyPassReverse /ccu/ http://192.168.253.2/

Wie auch immer, ich werde

die angeschlossenen Geräte über CUxD Ping überwachen und die Leitung trennen, wenn eins davon abgesteckt wird.

[Roland M.]

Hallo!

Das habe ich auch nie behauptet! Da möchte ich mir bitte nicht das Wort im Mund verdrehen lassen.

Sorry, falls du meine Worte so aufgefasst hast, es war nie meine Absicht, dir etwas zu unterstellen.


Roland

[Hagbard235]

Damit hier niemand öffentlich die Lücken ausplaudern muss, wäre die Frage daher an die Experten, ob mir jemand über privaten Schriftverkehr erklären möchte, was man genau blockieren müsste,

Die offenen Scheunentore sind lang keine Geheimnisse mehr. Autologin und Port 8181.

Moin, leider sind sie für mich noch ein Geheimnis, kannst du mir sagen oder einen Link geben wo steht was es damit auf sich hat, ich kann jetzt gerade nur zwischen den Zeilen erahnen, dass die CCU Sicherheitslücken hat?!?

Bislang bin ich davon ausgegangen, dass mit vernünftigem User/Passwort die CCU sicher wäre gegen missbräuchliche Verwendung/Zugriff auch wenn jemand im selben Netz ist?!?

[AF-Mobil]

Hallo, Suchbegriff "Happy Hacking".
z.Bsp.:
viewtopic.php?f=26&t=76888&hilit=Happy+Hacking#p745581
viewtopic.php?f=26&t=80624&hilit=Happy+Hacking#p785078
Gruss AF

[frd030]

Bislang bin ich davon ausgegangen, dass mit vernünftigem User/Passwort die CCU sicher wäre gegen missbräuchliche Verwendung/Zugriff auch wenn jemand im selben Netz ist?!?

Was ist schon wirklich sicher gegen mißbräuchliche Verwendung? Ich lasse niemanden in mein Netz, dem ich nicht vertraue! Und das nicht nur wegen der CCU!

Die CCU hat einen nicht wirklich gehärteten Webserver auf einem nicht gerade taufrischen OS-Stand. Sicher geht sicher anders!
Sicherheit ist zudem relativ und ganz sicher nicht transitiv!