CCU-Protect v3.01 (obsolete) - Lokale Firewall für die CCU3

[blackhole]

Erledigt. Es gibt jetzt einen Abschnitt "CCU-Protect und YAHM".

[GasCan]

Erledigt. Es gibt jetzt einen Abschnitt "CCU-Protect und YAHM".

Super! Danke für deine Arbeit!

[blackhole]

Super! Danke für deine Arbeit!

Gerne geschehen.

[GasCan]

Super danke das wars

Was ich dazu noch vergessen habe ist, dass du das laden des ip_table Kernel Modules noch in den "Autostart" packen musst. Ansonsten wird es nach einen Reboot nicht mehr laufen.

Code: Alles auswählen

sudo sh -c "echo 'ip_tables' >> /etc/modules"

[blackhole]

Was ich dazu noch vergessen habe

Vielleicht wäre ein kompaktes How-To im YAHM-Thread/Bereich noch ganz sinnvoll. Dazu würde dann (dort) aber auch noch eine Absicherung des Raspis selbst gehören. Aus meines Sicht gehen viele (alle?) YAHM-User die Sache viel zu blauäugig an. Du kannst ja mal schauen, ob Du motiviert bist, das dort im Thread in Hand zu nehmen.

[GasCan]

Vielleicht wäre ein kompaktes How-To im YAHM-Thread/Bereich noch ganz sinnvoll.

Gute Idee... Werde mal darüber nachdenken und etwas zusammen schreiben.

Dazu würde dann (dort) aber auch noch eine Absicherung des Raspis selbst gehören. Aus meines Sicht gehen viele (alle?) YAHM-User die Sache viel zu blauäugig an.

Wie meinst du das genau?IPTables auf dem Host?

So lange der Pi im lokalen Netz und von außen nicht direkt erreichbar ist sehe ich da keine bedenklichen Sicherheitslücken. Es sollten sicher die grundlegenden Sachen wie sichere Passwörter, keine Portweiterleitungen und kein SSH-Root Zugriff verwendet werden.

Es ist ja nicht so wie bei dem CCU-Container das dort von Haus aus der Zugriff ohne jegliche Sicherheitsabfrage funktioniert. Aber du hast schon recht, sobald man beim Host das Kernelmodul iptables lädt kann man diese dort auch drauf starten und alles zunageln. Denke aber das dies einige Nutzer komplett überfordert wenn dann auf einmal andere Dienste, welche auf dem PI (Host) laufen nicht mehr funktionieren.

[blackhole]

Wie meinst du das genau?IPTables auf dem Host?

Ja, zum Beispiel. Es reicht ja durchaus der Hinweis, dass unter YAHM CCU-Protect alleine nicht ausreicht und zur Absicherung des Raspis (und damit des Containers) weitere Absicherungen (ja, z.B. mittel IPtables) nötig sind. Ich denke, viele YAHM-Betreiber sind sich dessen nicht bewusst. Ich würde da auch nicht zu sehr ins Detail gehen, es ist Aufgabe des Raspi-Admins sich damit auseinanderzusetzen (nur er weiß ja, was sonst noch alles auf dem Pi läuft).

Ich denke, Du findest da schon die richtigen Worte, YAHM-User ein wenig mehr zu sensibilisieren als sie es jetzt sind.

[PaulMerkelbach]

Firmware 2.27.7
unterstützt wohl nur IP-Adressen (und keine MAC)

Als zufriedener Nutzer von CCU_Protect v.2.92:

ergibt es irgendeinen Sinn die nunmehr in der Firmware eingebaute Firewall zu konfigurieren ?

Mit der Installation der neuen Firmware wurden automatisch

[*]HomeMatic XML-RPC API
und

[*]Remote HomeMatic-Script API
auf Vollzugriff eingestellt

[*]die beide kompletten Adressbereiche (die nur teilweise über CCU-Protect freigegeben sind) eingetragen als IP-Adressen für den eingeschränkten Zugriff

IPADRESSE X 192.168.xx.1/254; [CCU2 in diesem Adressbereich]
IPADRESSE Y 192.168.yy.1/254 [nur in Datei firewall.conf enthalten]


Danke
Paul

[blackhole]

Als zufriedener Nutzer von CCU_Protect v.2.92:
ergibt es irgendeinen Sinn die nunmehr in der Firmware eingebaute Firewall zu konfigurieren ?

Das kommt auf die jeweiligen Gegebenheiten an. Eine pauschale Antwort gibt es nicht, da beide unterschiedliche Ansätze verfolgen und unterschiedliche Techniken verwenden.

Solange eQ-3 die (seit langem mitgelieferte) Firewall (Netfilter/IPtables) komplett links liegen lässt (sic!) und statt dessen den Schwerpunkt auf die (ebenfalls seit langem mitgelieferte und nun per Default aktivierte) "GUI-Firewall" mit Voodoo-Technik legt, ist die GUI-Lösung für mich allenfalls eine wackelige Ergänzung, der ich persönlich wenig Vertrauen schenke.

Unterm Strich muss immer das Gesamtpaket betrachtet werden und dazu gehört eben nicht nur die beteiligte Technik (Router/Firewall, CCU/Firewall, Clients/Betriebssysteme, Netzwerkkomponenten/Peripherie), sondern auch die Leute, die sie einrichten, bedienen und Zugriff darauf haben (und, völlig krank, den Zugriff zudem noch Dritten/Firmen/Kraken gewähren).

Solange Sicherheitstechniken propagiert werden, die auf komplexe Daemons und Dritte/"Mitwisser" basieren ("sicheres Portforwarding", Reverse-Proxy, Cloud-basierte VPN-Lösungen etc.), sehe ich schwarz was die Sicherheit von HomeMatic/Heimautomation angeht.

"KISS" ist das Zauberwort und mit VPN (Ende-zu Ende verschlüsselt) und Netfilter/IPtables wird eine Runde Sache daraus.
Verbesserungspotential sehe ich noch im leider nicht unterstützen SPI (Hey, eQ-3! Aufwachen!).

[PaulMerkelbach]

Danke für die Erläuterungen.

Ich bleibe damit bei CCU-Protect und (soweit externer Zugriff nötig) VPN.

Neugierige Frage:
was hat es mit dem "Zauberwort KISS" auf sich (auf die Schnelle habe ich mit der Internet-Suche nichts Einschlägiges gefunden) ?

Gruß
Paul