CCU-Protect v3.01 (obsolete) - Lokale Firewall für die CCU3
Moderator: Co-Administratoren
- blackhole
- Beiträge: 3730
- Registriert: 21.07.2015, 14:03
- System: CCU
- Hat sich bedankt: 184 Mal
- Danksagung erhalten: 587 Mal
Re: CCU-Protect v2.92 - Lokale Firewall für die CCU2
Erledigt. Es gibt jetzt einen Abschnitt "CCU-Protect und YAHM".
Re: CCU-Protect v2.92 - Lokale Firewall für die CCU2
Super! Danke für deine Arbeit!blackhole hat geschrieben:Erledigt. Es gibt jetzt einen Abschnitt "CCU-Protect und YAHM".
- blackhole
- Beiträge: 3730
- Registriert: 21.07.2015, 14:03
- System: CCU
- Hat sich bedankt: 184 Mal
- Danksagung erhalten: 587 Mal
Re: CCU-Protect v2.92 - Lokale Firewall für die CCU2
Gerne geschehen.GasCan hat geschrieben:Super! Danke für deine Arbeit!
Re: CCU-Protect v2.92 - Lokale Firewall für die CCU2
Was ich dazu noch vergessen habe ist, dass du das laden des ip_table Kernel Modules noch in den "Autostart" packen musst. Ansonsten wird es nach einen Reboot nicht mehr laufen.disuho hat geschrieben:Super danke das wars
Code: Alles auswählen
sudo sh -c "echo 'ip_tables' >> /etc/modules"
- blackhole
- Beiträge: 3730
- Registriert: 21.07.2015, 14:03
- System: CCU
- Hat sich bedankt: 184 Mal
- Danksagung erhalten: 587 Mal
Re: CCU-Protect v2.92 - Lokale Firewall für die CCU2
Vielleicht wäre ein kompaktes How-To im YAHM-Thread/Bereich noch ganz sinnvoll. Dazu würde dann (dort) aber auch noch eine Absicherung des Raspis selbst gehören. Aus meines Sicht gehen viele (alle?) YAHM-User die Sache viel zu blauäugig an. Du kannst ja mal schauen, ob Du motiviert bist, das dort im Thread in Hand zu nehmen.GasCan hat geschrieben:Was ich dazu noch vergessen habe
Re: CCU-Protect v2.92 - Lokale Firewall für die CCU2
Gute Idee... Werde mal darüber nachdenken und etwas zusammen schreiben.blackhole hat geschrieben:Vielleicht wäre ein kompaktes How-To im YAHM-Thread/Bereich noch ganz sinnvoll.
Wie meinst du das genau?IPTables auf dem Host?blackhole hat geschrieben:Dazu würde dann (dort) aber auch noch eine Absicherung des Raspis selbst gehören. Aus meines Sicht gehen viele (alle?) YAHM-User die Sache viel zu blauäugig an.
So lange der Pi im lokalen Netz und von außen nicht direkt erreichbar ist sehe ich da keine bedenklichen Sicherheitslücken. Es sollten sicher die grundlegenden Sachen wie sichere Passwörter, keine Portweiterleitungen und kein SSH-Root Zugriff verwendet werden.
Es ist ja nicht so wie bei dem CCU-Container das dort von Haus aus der Zugriff ohne jegliche Sicherheitsabfrage funktioniert. Aber du hast schon recht, sobald man beim Host das Kernelmodul iptables lädt kann man diese dort auch drauf starten und alles zunageln. Denke aber das dies einige Nutzer komplett überfordert wenn dann auf einmal andere Dienste, welche auf dem PI (Host) laufen nicht mehr funktionieren.
- blackhole
- Beiträge: 3730
- Registriert: 21.07.2015, 14:03
- System: CCU
- Hat sich bedankt: 184 Mal
- Danksagung erhalten: 587 Mal
Re: CCU-Protect v2.92 - Lokale Firewall für die CCU2
Ja, zum Beispiel. Es reicht ja durchaus der Hinweis, dass unter YAHM CCU-Protect alleine nicht ausreicht und zur Absicherung des Raspis (und damit des Containers) weitere Absicherungen (ja, z.B. mittel IPtables) nötig sind. Ich denke, viele YAHM-Betreiber sind sich dessen nicht bewusst. Ich würde da auch nicht zu sehr ins Detail gehen, es ist Aufgabe des Raspi-Admins sich damit auseinanderzusetzen (nur er weiß ja, was sonst noch alles auf dem Pi läuft).GasCan hat geschrieben:Wie meinst du das genau?IPTables auf dem Host?
Ich denke, Du findest da schon die richtigen Worte, YAHM-User ein wenig mehr zu sensibilisieren als sie es jetzt sind.
-
- Beiträge: 33
- Registriert: 17.08.2015, 22:37
Re: CCU-Protect v2.92 (stable) - Lokale Firewall für die CCU
Firmware 2.27.7
unterstützt wohl nur IP-Adressen (und keine MAC)
Als zufriedener Nutzer von CCU_Protect v.2.92:
ergibt es irgendeinen Sinn die nunmehr in der Firmware eingebaute Firewall zu konfigurieren ?
Mit der Installation der neuen Firmware wurden automatisch
und
auf Vollzugriff eingestellt
IPADRESSE X 192.168.xx.1/254; [CCU2 in diesem Adressbereich]
IPADRESSE Y 192.168.yy.1/254 [nur in Datei firewall.conf enthalten]
Danke
Paul
unterstützt wohl nur IP-Adressen (und keine MAC)
Als zufriedener Nutzer von CCU_Protect v.2.92:
ergibt es irgendeinen Sinn die nunmehr in der Firmware eingebaute Firewall zu konfigurieren ?
Mit der Installation der neuen Firmware wurden automatisch
und
auf Vollzugriff eingestellt
IPADRESSE X 192.168.xx.1/254; [CCU2 in diesem Adressbereich]
IPADRESSE Y 192.168.yy.1/254 [nur in Datei firewall.conf enthalten]
Danke
Paul
Mit Mut und Entschlossenheit gegen Intoleranz
- blackhole
- Beiträge: 3730
- Registriert: 21.07.2015, 14:03
- System: CCU
- Hat sich bedankt: 184 Mal
- Danksagung erhalten: 587 Mal
Re: CCU-Protect v2.92 (stable) - Lokale Firewall für die CCU
Das kommt auf die jeweiligen Gegebenheiten an. Eine pauschale Antwort gibt es nicht, da beide unterschiedliche Ansätze verfolgen und unterschiedliche Techniken verwenden.PaulMerkelbach hat geschrieben:Als zufriedener Nutzer von CCU_Protect v.2.92:
ergibt es irgendeinen Sinn die nunmehr in der Firmware eingebaute Firewall zu konfigurieren ?
Solange eQ-3 die (seit langem mitgelieferte) Firewall (Netfilter/IPtables) komplett links liegen lässt (sic!) und statt dessen den Schwerpunkt auf die (ebenfalls seit langem mitgelieferte und nun per Default aktivierte) "GUI-Firewall" mit Voodoo-Technik legt, ist die GUI-Lösung für mich allenfalls eine wackelige Ergänzung, der ich persönlich wenig Vertrauen schenke.
Unterm Strich muss immer das Gesamtpaket betrachtet werden und dazu gehört eben nicht nur die beteiligte Technik (Router/Firewall, CCU/Firewall, Clients/Betriebssysteme, Netzwerkkomponenten/Peripherie), sondern auch die Leute, die sie einrichten, bedienen und Zugriff darauf haben (und, völlig krank, den Zugriff zudem noch Dritten/Firmen/Kraken gewähren).
Solange Sicherheitstechniken propagiert werden, die auf komplexe Daemons und Dritte/"Mitwisser" basieren ("sicheres Portforwarding", Reverse-Proxy, Cloud-basierte VPN-Lösungen etc.), sehe ich schwarz was die Sicherheit von HomeMatic/Heimautomation angeht.
"KISS" ist das Zauberwort und mit VPN (Ende-zu Ende verschlüsselt) und Netfilter/IPtables wird eine Runde Sache daraus.
Verbesserungspotential sehe ich noch im leider nicht unterstützen SPI (Hey, eQ-3! Aufwachen!).
-
- Beiträge: 33
- Registriert: 17.08.2015, 22:37
Re: CCU-Protect v2.92 (stable) - Lokale Firewall für die CCU
Danke für die Erläuterungen.
Ich bleibe damit bei CCU-Protect und (soweit externer Zugriff nötig) VPN.
Neugierige Frage:
was hat es mit dem "Zauberwort KISS" auf sich (auf die Schnelle habe ich mit der Internet-Suche nichts Einschlägiges gefunden) ?
Gruß
Paul
Ich bleibe damit bei CCU-Protect und (soweit externer Zugriff nötig) VPN.
Neugierige Frage:
was hat es mit dem "Zauberwort KISS" auf sich (auf die Schnelle habe ich mit der Internet-Suche nichts Einschlägiges gefunden) ?
Gruß
Paul
Mit Mut und Entschlossenheit gegen Intoleranz