Hallo,
nach einigen Tagen erfolglosem Rumprobieren ist es uns (im wesentlichem dem geschätzten User "berndes") gelungen, bei mir den Webserver-Zugang zu installieren.
Als Allersertes muss man sich bei einer Organisation wie "dyndns.com" oder "no.ip.com" eine feste Domain (kostenfrei) einrichten nahc dem Muster:
"<meine domain>.dyndns-home.com"
Dann (und jetzt schlägt berndes' große Stunde)
1. In der WEBUI unter Einstellungen -> Systemsteuerung -> Netzwerkeinstellungen ein Zertifikat erstellen
1a. IP-Adresse der CCU eingeben und email adresse Eingeben
1b. Zertifikat erstellen und abspeichern
1c. Zertifikat auf die CCU laden
1d. CCU neu starten
WICHTIG!!!
Unbedingt den Zugang zur CCU mit Passwort sichern
2. im Router NAT für Port 443 auf die Adresse der CCU einrichten
3. DynDns account erstellen und auf dem Router einrichten
4. im browser von extern https://meinedynamischeadresse.com für Zugriff auf WebUI
oder https://meinedynamischeadresse.com/addo ... Server.ccc für den CLWebserver eingeben.
in diesem Sinne
Gruß
Rhobin
Homeputer Webserver
Moderator: Co-Administratoren
-
erik
- Beiträge: 776
- Registriert: 31.10.2007, 13:32
- Hat sich bedankt: 6 Mal
- Danksagung erhalten: 6 Mal
Re: Homeputer Webserver
Hi,
ich kann NUR ABSOLUT WARNEN, die CCU direkt in's Internet zu hängen. Nutzt VPN!!!
Entweder den Dienst MeineHomematic, oder ein Router der ein VPN besitzt.
BUGs in der CCU oder Teilbereiche (z.B. Email Plugin) werden nicht über eine Session geschützt, somit kann jeder, der die URL kennt kann dann Daten verändern oder die Kontrolle der CCU übernehmen.
Jeder sollte sich also Gedanken über Sicherheit machen und überlegen, was passiert, wenn jemand fremdes die CCU umprogrammiert oder zerstört....
Grüße
Erik
ich kann NUR ABSOLUT WARNEN, die CCU direkt in's Internet zu hängen. Nutzt VPN!!!
Entweder den Dienst MeineHomematic, oder ein Router der ein VPN besitzt.
BUGs in der CCU oder Teilbereiche (z.B. Email Plugin) werden nicht über eine Session geschützt, somit kann jeder, der die URL kennt kann dann Daten verändern oder die Kontrolle der CCU übernehmen.
Jeder sollte sich also Gedanken über Sicherheit machen und überlegen, was passiert, wenn jemand fremdes die CCU umprogrammiert oder zerstört....
Grüße
Erik
Zuletzt geändert von erik am 21.09.2010, 23:57, insgesamt 1-mal geändert.
Re: Homeputer Webserver
Hallo Erik,
die CCU ist also ohne Probleme hackbar?
Nur wenn man Zusatzsoftware drauf hat oder auch im Auslieferungszustand?
Weiterhin muss man die Verschlüsselte Verbindung ja auch erstmal knacken um z.B.: dein Paßwort abzuhören. Port 80 da gebe ich Dir vollkommen recht aber verschlüsselt?
Das Paßwort sollte natürlich auch entsprechend gut sein, damit nicht beim ersten Brut force Angriff mit Hund Katze Maus Deine Hütte offen steht.
Welche Dienste sind denn z.B.: angreifbar?
Gruß
Berndes
die CCU ist also ohne Probleme hackbar?
Nur wenn man Zusatzsoftware drauf hat oder auch im Auslieferungszustand?
Weiterhin muss man die Verschlüsselte Verbindung ja auch erstmal knacken um z.B.: dein Paßwort abzuhören. Port 80 da gebe ich Dir vollkommen recht aber verschlüsselt?
Das Paßwort sollte natürlich auch entsprechend gut sein, damit nicht beim ersten Brut force Angriff mit Hund Katze Maus Deine Hütte offen steht.
Welche Dienste sind denn z.B.: angreifbar?
Gruß
Berndes
--------------------------------------------
173 Kanäle in 73 Geräten:
4x HM-LC-Sw4-SM, 11x HM-LC-Bl1-FM, 2x HM-WDS30-T-O, 5x HM-Sec-SCo, 5x HM-Sec-RHS, 6x HM-Sec-SD-2, 1x HM-Sec-SD-2-Team, 1x HM-PBI-4-FM, 4x HM-CC-TC, 1x HM-ES-TX-WM, 1x HM-RC-Key4-2, 1x HM-Sec-Key, 1x HM-Sec-MDIR-2, 7x HM-LC-Sw1-FM, 3x HM-LC-Sw1PBU-FM, 6x HM-LC-Sw2-FM, 2x HM-LC-RGBW-WM, 2x HM-CC-VD, 5x HM-ES-PMSw1-Pl, 2x HM-PB-4Dis-WM, 1x HM-Sec-WDS, 1x HM-WDS100-C6-O
--------------------------------------------
Homeputer CL Studio
Mediola a.i.o. V2.0 Gateway Creator Pro
--------------------------------------------
...Tendez ? .....steigend!!!
--------------------------------------------
173 Kanäle in 73 Geräten:
4x HM-LC-Sw4-SM, 11x HM-LC-Bl1-FM, 2x HM-WDS30-T-O, 5x HM-Sec-SCo, 5x HM-Sec-RHS, 6x HM-Sec-SD-2, 1x HM-Sec-SD-2-Team, 1x HM-PBI-4-FM, 4x HM-CC-TC, 1x HM-ES-TX-WM, 1x HM-RC-Key4-2, 1x HM-Sec-Key, 1x HM-Sec-MDIR-2, 7x HM-LC-Sw1-FM, 3x HM-LC-Sw1PBU-FM, 6x HM-LC-Sw2-FM, 2x HM-LC-RGBW-WM, 2x HM-CC-VD, 5x HM-ES-PMSw1-Pl, 2x HM-PB-4Dis-WM, 1x HM-Sec-WDS, 1x HM-WDS100-C6-O
--------------------------------------------
Homeputer CL Studio
Mediola a.i.o. V2.0 Gateway Creator Pro
--------------------------------------------
...Tendez ? .....steigend!!!
--------------------------------------------
-
Herbert_Testmann
- Beiträge: 11062
- Registriert: 17.01.2009, 11:30
- Danksagung erhalten: 7 Mal
Re: Homeputer Webserver
Halloberndes hat geschrieben:Hallo Erik,
die CCU ist also ohne Probleme hackbar?
Gruß
Berndes
Zumindest ist mir aufgefallen, dass in Verbindung mit Zusatzsoftware nicht immer ein Passwort abgefragt wird. Wenn Du die richtige URL kennst, die bei jeder CCU gleich ist, kannst Du Seiten der Zusatzsoftware öffnen, ohne ein Passwort zu kennen.
Auch das lesen und löschen von Dateien ist möglich.
Das fällt Dir spätestens dann auf, wenn Du zu bestimmten Seiten auf der CCU, die Du oft besuchst ein Lesezeichen in Deinem Browser machst und dann bei nächsten Aufruf feststellst, dass Du ja sofort an die gewünschten Daten kommst.
(ich hoffe Du verstehst, dass ich hier kein konkretes Beispiel bringe. Das kann auch jeder selbst an seiner CCU testen, ohne das hier in der Öffentlichkeit breit zu treten)
-
teddy278
Re: Homeputer Webserver
Dieser Beitrag wurde durch den Autor entfernt.
Zuletzt geändert von teddy278 am 12.06.2011, 02:33, insgesamt 1-mal geändert.
Re: Homeputer Webserver
Clever wäre hier damit man eben keinen PC braucht der unnötig strom frisst
Erstens einen Router mit Hardware und Software Firewall zu besorgen der die No-ip bzw Dyndns Dämonen schon intus hat ( Netgear oder Linksys)
des weiteren wäre es gut das ganze auf anderen Ports laufen zu lassen also nicht die standard ports was mit ein wenig geschick ohne weiteres möglich ist.
Wenn man sich dann für den Linksys entscheidet kann man dem ganzen noch mehr sichherheit geben indem man ein script laufen lässt das bei einmaliger falscher PW eingabe besagten IP raum inklusive mac adresse für zeitraum X ausschließt und besitzter informiert über angriff.
VPN ist nämlich schön und gut aber nicht immer das ideal
Den nicht überall ist gegeben das man eine VPN verbindung aufbauen kann. ZB im urlaub als beispiel. Da die anlagen die ich baue und betreue zu 90% im Internet hängen und ferngewartet/überwacht werden können kenne ich einige der sichherheitstricks. Ein entsprechendes Perl Script zu schreiben ist easy ein mini programm in C++ auch nicht ohne große Probleme zu bekommen.
Vill sollte ich mal ein tutorial schreiben wie man solch eine sichere Verbindung aufbauen kann ohne das ein Hacker es zu einfach hat.
100%igen schutz gibt es nicht und wenn dann nur für viel viel geld ABER und das sei gesagt man kann es dem 0815 Hacker (script kiddie) verdammt schwer machen. Solche angriffe fallen ohnehin unter §303b und dürfen daher getraced werden entsprechende tracingdaten werden dann einfach an polizei weitergegeben. In 90% der fälle erwischen die die jenigen zumal das dann leute sind die nur fertige Programme die von irgendwem geschrieben wurden nutzen.
Erstens einen Router mit Hardware und Software Firewall zu besorgen der die No-ip bzw Dyndns Dämonen schon intus hat ( Netgear oder Linksys)
des weiteren wäre es gut das ganze auf anderen Ports laufen zu lassen also nicht die standard ports was mit ein wenig geschick ohne weiteres möglich ist.
Wenn man sich dann für den Linksys entscheidet kann man dem ganzen noch mehr sichherheit geben indem man ein script laufen lässt das bei einmaliger falscher PW eingabe besagten IP raum inklusive mac adresse für zeitraum X ausschließt und besitzter informiert über angriff.
VPN ist nämlich schön und gut aber nicht immer das ideal
Den nicht überall ist gegeben das man eine VPN verbindung aufbauen kann. ZB im urlaub als beispiel. Da die anlagen die ich baue und betreue zu 90% im Internet hängen und ferngewartet/überwacht werden können kenne ich einige der sichherheitstricks. Ein entsprechendes Perl Script zu schreiben ist easy ein mini programm in C++ auch nicht ohne große Probleme zu bekommen.
Vill sollte ich mal ein tutorial schreiben wie man solch eine sichere Verbindung aufbauen kann ohne das ein Hacker es zu einfach hat.
100%igen schutz gibt es nicht und wenn dann nur für viel viel geld ABER und das sei gesagt man kann es dem 0815 Hacker (script kiddie) verdammt schwer machen. Solche angriffe fallen ohnehin unter §303b und dürfen daher getraced werden entsprechende tracingdaten werden dann einfach an polizei weitergegeben. In 90% der fälle erwischen die die jenigen zumal das dann leute sind die nur fertige Programme die von irgendwem geschrieben wurden nutzen.
-
teddy278
Re: Homeputer Webserver
Dieser Beitrag wurde durch den Autor entfernt.
Zuletzt geändert von teddy278 am 12.06.2011, 02:33, insgesamt 1-mal geändert.
Re: Homeputer Webserver
Habe ich mittlerweile getan. Es war auch nur ein Vorschlag und ich wollte keines wegs behaupten das es nicht schon entsprechende Lösungsansätze hier gäbe.
Bei den meisten sehe ich allerdings einen Server im Haus eingesetzt sei es mit XAMPP oder ähnlichen systemen. Dies ist meiner Meinung nach nicht notwendig es geht auch einfacher und billiger vor allem was den Stromverbrauch angeht.
mit sonnigen Grüßen
Bei den meisten sehe ich allerdings einen Server im Haus eingesetzt sei es mit XAMPP oder ähnlichen systemen. Dies ist meiner Meinung nach nicht notwendig es geht auch einfacher und billiger vor allem was den Stromverbrauch angeht.
mit sonnigen Grüßen
-
der_heizer
- Beiträge: 2
- Registriert: 17.03.2011, 22:21
Re: Homeputer Webserver
Hallo Erik,
die CCU ist also ohne Probleme hackbar?
bereits im Auslieferungszustand in nicht mal hacken nötig.Nur wenn man Zusatzsoftware drauf hat oder auch im Auslieferungszustand?
es reicht der entsprechende Link, wenn man zum Beispiel andere Seiten ansurft und die sehen die letzten Seite zuvor im Log.
so habe ich es gemacht.des weiteren wäre es gut das ganze auf anderen Ports laufen zu lassen also nicht die standard ports was mit ein wenig geschick ohne weiteres möglich ist.
Desweiteren hängt mein Router an einer Telefonsteckdose.
Somit schalte ich den Router nur ein wenn ich auf die Homematic zugreifen möchte.
Re: Homeputer Webserver
Ich habe hier gepostet dass ich inzwischen den Webserver neu kompiliert habe und die Authentifizierung aktivieren konnte. Läuft bei mir seitdem ohne Probleme. Ich habe sogar das automatische Login für das WebUI wieder aktiviert, weil das dadurch im Grunde überflüssig wird.
Die einzige bisherige Auffälligkeit: wenn man während eines Neustarts auf die CCU zugreift bekommt man statt des "bitte warten..."-Screens nun einen "Internal Server Error", sehr unschön, aber nach dem reboot ist alles wie gewohnt...
Wer auch Betatesten möchte kann sich bei mir melden (bitte keine "noobs", es sollten sich zunächst nur Linux- und CCU-Erfahrene melden (müssen aber auch keine "Pro"s sein
))
Die einzige bisherige Auffälligkeit: wenn man während eines Neustarts auf die CCU zugreift bekommt man statt des "bitte warten..."-Screens nun einen "Internal Server Error", sehr unschön, aber nach dem reboot ist alles wie gewohnt...
Wer auch Betatesten möchte kann sich bei mir melden (bitte keine "noobs", es sollten sich zunächst nur Linux- und CCU-Erfahrene melden (müssen aber auch keine "Pro"s sein
))