CCU3 sicher genug für Türschlösser?

[alchy]

Bislang bin ich davon ausgegangen, dass mit vernünftigem User/Passwort die CCU sicher wäre gegen missbräuchliche Verwendung/Zugriff auch wenn jemand im selben Netz ist?!?

Nein. Dein Passwort ist irrelevant und bietet keinen Schutz.
Wenn wer Zugang zu deinem Netzwerk hat besteht prinzipiell dieselbe Gefahr wir eine Portweiterleitung. (Abgesehen davon, das bei einer Portweiterleitung niemand vor Ort sein muss um deine CCU zu übernehmen und manche der Kiddies vielleicht noch keinen Führerschein haben.

Moin, leider sind sie für mich noch ein Geheimnis, kannst du mir sagen oder einen Link geben wo steht was es damit auf sich hat, ich kann jetzt gerade nur zwischen den Zeilen erahnen, dass die CCU Sicherheitslücken hat?!?

Und das bleibt auch so.
Es wird nichts gepostet, was eine Anleitung zum Übernehmen fremder CCUs darstellt.

Du kannst zur Genüge nachlesen wie viele User hier um Hilfe betteln, weil es Kiddiies gibt, die solche Anleitungen nutzen. Zusätzlich gibt es dann auch noch welche die sich gar nicht trauen, öffentlich um Hilfe zu fragen, die es gleich per PN oder wie auch immer Kontakt aufnehmen.
Die Happy Hacking Threads sind neueren Datums, vorher gab es genügend Threads zu dem Thema.
Suchbegriffe wie "Doci1989" oder "Hacken oder nicht hacken" oder "WARNUNG: Per Portweiterleitung" usw.usw. bringen die Lesestoff bis zum Abwinken.

Alchy

[rentier-s]

Zwischenzeitlich habe ich testweise eine PiVCCU aufgesetzt mit bridge_ports none und einem vorgelagerten Apache.
Für den Zugriff auf die eq3 Server gibt es NFT NAT Tabellen und Regeln.
Verhält sich grundsätzlich völlig transparent, ich habe bislang keinen Unterschied zu einer normal ins Netzwerk gehängten CCU bemerkt.
Allerdings verwende ich kein XML-RPC, das müsste man wohl über NFT forward machen.

Die Apache Config ist so angelegt, dass die CCU nur über den lokal aufgelösten virtuellen Hostnamen, aber nicht über die IP-Adresse des Hosts erreichbar ist. Damit wird es nochmal schwieriger für Unbefugte, die CCU im Netzwerk zu finden.

Vorbereitend für die Umstellung von XML-API auf RemoteSkript habe ich ein PHP Skript gebastelt, dass mittels Rewrite ebenfalls transparent vor die CCU gehängt ist. Dieser zusätzliche Umweg deshalb, weil ich in dem Skript gezielt verschiedene Aktionen blockieren kann.

Zur Ergänzung kommen jetzt noch ein paar fail2ban ähnliche Mechanismen als Absicherung rein. Alles in allem traue ich mir so meine Haustüre der CCU anzuvertrauen.

[MichaelN]

Paranoia ist dein 2. Vorname...

[Hagbard235]

Ich hab jetzt fleissig die teilweise sehr langen Beiträge gelesen und will mal zusammenfassen was ich daraus an Honig gezogen habe:
1. keine Portweiterleitung im Router (klar, warnt ja eq3 SEHR aktiv vor)
2. keine CCU ohne Useranmeldung bzw. mit Autologin
3. API mit User-Authentifizierung aktivieren

was mit nicht klar ist...
ist es schlimm, wenn auf den Befehl der mehrfach gepostet ist, der auf Port 8181 geht, etwas zurück kommt auch wenn keine Authentifizierung kommt? Kann man da nur lesen oder kann man über 8181 auch was kaputt machen? Und wenn ja, wie sichere ich den ab?

Anscheinend wird/wurde vor manchen Sachen in älteren Beiträgen mal gewarnt, als "Forenneuling" hätte ich mir aber einfach einen Pinned-Beitrag gewünscht wo drin steht: Dies tun und dies lassen, damit deine CCU sicher ist... oder so..

[Hagbard235]

Moin, leider sind sie für mich noch ein Geheimnis, kannst du mir sagen oder einen Link geben wo steht was es damit auf sich hat, ich kann jetzt gerade nur zwischen den Zeilen erahnen, dass die CCU Sicherheitslücken hat?!?

Und das bleibt auch so.
Es wird nichts gepostet, was eine Anleitung zum Übernehmen fremder CCUs darstellt.

Du kannst zur Genüge nachlesen wie viele User hier um Hilfe betteln, weil es Kiddiies gibt, die solche Anleitungen nutzen. Zusätzlich gibt es dann auch noch welche die sich gar nicht trauen, öffentlich um Hilfe zu fragen, die es gleich per PN oder wie auch immer Kontakt aufnehmen.

Ich möchte keine Anleitung für Script-Kiddies sondern das Gegenteil: Offen darüber bescheid wissen WAS eine Lücke ist (nicht wie man sie ausnutzt) und was man zu tun hat um sich davor zu schützen.

Ich mag nicht glauben, das man ohne weitere Maßnahmen seine CCU nicht im eigenen Netz sicher hin bekommt, wenn doch wäre es meiner Ansicht nach ein echter Mangel und dem Hersteller anzuzeigen.

[frd030]

Ich mag nicht glauben, das man ohne weitere Maßnahmen seine CCU nicht im eigenen Netz sicher hin bekommt, wenn doch wäre es meiner Ansicht nach ein echter Mangel und dem Hersteller anzuzeigen.

CCU und alle anderen Heimautomatisierungsgerätschaften in eigenes VLAN Segment packen, dieses mit einer Firewall hinreichend "zunageln". Wer's besonders sicher mag, installiert nach Gusto noch einen Proxy, ein Application Gateway oder gar einen JumpHost, um darauf zuzugreifen.

Kann man alles machen... oder man lässt niemand Fremdes (aka Personen, die kein hinreichendes Vertrauen genießen) in sein Netz!

Ach ja, viel Glück und Erfolg beim "Anzeigen des Mangels" beim Hersteller ->Kontaktformular

Zur "Beruhigung": alle bekannten Vorfälle (siehe die oben hinreichend zitierten Freds) beruhten auf einem Zugriff von Aussen mittels einer saublöderweise eingerichteten Portweiterleitung des Besitzers - <Paranoia> aber man kann sich halt nie sicher sein, ob nicht doch.. </Paranoia>

[robbi77]

1. keine Portweiterleitung im Router

Ist vollkommen ausreichend.
Oder sind fremde unbekannte Leute in deinem Netzwerk unterwegs?

[rentier-s]

Paranoia ist dein 2. Vorname...

Svenja Paranoia, klingt finde ich besser als Svenja Stephanie. Denkst Du ich kann das ändern lassen? Meine Taufpatin ist vor ein paar Jahren gestorben, die wäre also auch nicht mehr beleidigt.

Mehr Sicherheit ohne Einbußen, was spricht dagegen?

Oder sind fremde unbekannte Leute in deinem Netzwerk unterwegs?

Siehe 1. Post. Genau das war eben mein Ausgangsproblem, dass ich es nicht mit Gewissheit ausschließen kann. Als das gebaut wurde, war Smarthome noch nicht wirklich ein Begriff.

[robbi77]

Siehe 1. Post. Genau das war eben mein Ausgangsproblem, dass ich es nicht mit Gewissheit ausschließen kann. Als das gebaut wurde, war Smarthome noch nicht wirklich ein Begriff.

Du hast aber schon gesehen wen ich zitiert habe?

[Matthias K.]

Oder sind fremde unbekannte Leute in deinem Netzwerk unterwegs?

Davon muss man leider immer ausgehen. Aktuell beschränkt sich das auf Grund der höheren Lukrativität noch auf Unternehmen, aber dank immer besserer Ransomware-Bausätze sowie KI ist das eigentlich nur eine Frage der Zeit bis das automatisiert ausgerollt wird.
Wer hier beruflich vorbelastet ist (im Bereich IT-Security/-Systembetreuung) kann gar nicht paranoid genug sein wenn einem seine Daten was wert sind...