RFC: Kommende XML-API CCU Addon 2.0 Version

[jmaus]

Als Schnellschuß die Firewall Lödung würde genauso helfen.

Welche "Firewall Lösung" meinst du genau?

Diese hier, die du bereits selbst kommentiert hast:

Wäre es nicht einfacher und eigentlich ausreichend sicher, wenn man die XML-Api mit hinter die Firewall packt und nur die dort freigegebenen Adressen für den Zugriff zulässt?
Das würde auch den Umbau der Apps ersparen, die auf die XML-Api zugreifen.

Nun, die Firewall der CCU/RaspberryMatic weiss ja nichts von der xml-api bzw. dessen URLS und agiert ja auch einer anderen Schicht und die Abfragen gehen ja über Port 80/443 und nicht über einen speziellen Port. Insofern ist das mit der Standard-Firewall der CCU/RM AFAICS nicht zu leisten. Man könnte nur überlegen ob man ggf. alle /addons/ URLS in der Webserver config ggf. von Zugriffen von außen sperrt. D.h. für alles was nicht auf dem lokalen Netzwerk stammt. Oder man weitet das gleich dahingehend aus das der gesamte Port 80/443 nur für IPs aus dem lokalen Netzwerk bzw. dem konfigurierten Range erlaubt ist. Und dann baut man was ein was per default erkennt in welchem lokalen Subnetz sich die CCU Zentrale befindet und lässt nur dieses als Zugriff für Port 80/443 zu. Das sollte dann ein normales Port-Forwarding verhindern soweit ich das verstehe. Aber auch dafür bräuchte man dann eine Konfigurationsmöglichkeit bzw. ein Fallback für leute die komplexere Netzwerkkonstrukte mit mehr als einem lokalen Subnetz haben.

[Hugo Oberstein]

Hallo Zusammen,
in diesem Zusammenhang noch mal eine Frage an die Profis:

Ich habe in der ccu firewall folgende Ports freigegeben, wobei ich iobroker, tinymatic (xml-api) und cuxd als addons nutze:

8082;
8701;
8081;
2001;
2010

Habe ich zuviele offen bzw. Macht es Sinn, diese offenen Ports im Lan weiter einzuschränken? Vielen Dank schon mal dafür.

Mir wäre wichtig, dass man Zugriff auf die ccu auch über eine externe vpn Verbindung erhält. Da bekomme ich eine ip, die nicht direkt aus meinem privaten Netz kommt, sondern sich im dritten Teil des privaten Adressereichs unterscheidet....

Vielen lieben Dank

Hugo

[deimos]

Hi,

einfache 95% Lösung: Alles sperren, was nicht aus den privaten Bereichen kommt. Kann man statisch einrichten und dürfte auch bei komplexen Setups reichen. Alles öffentlich geroutete wird damit verhindert und wer ein Setup mit mehreren Subnets im privaten Netz betreibt, dürfte genug Ahnung haben um sich ggf. anderweitig zu schützen. Braucht keine Anpassung der API Consumer und dürfte sogar mit Cloudmatic&Co. funktionieren.

Viele Grüße
Ale,

[GoSh]

Ich verwende die XML-API 1.22 über Aufrufe im Neo-Creator per http-Befehl, um Systemvariable auf bestimmte Werte zu setzen. Dort kann ich keinen mehrzeiligen Code eintragen. Wüsste momentan nicht wie ich das dann künftig mache.

Verstehe ich das richtig, dass mit der Version 2.0 nun mehrzeiliger Code notwendig wird (1.für Login, 2.Nutzung XML-API2.0, 3.Logout)? Ein Code-Beispiel der aktuellen Betaversion wäre hier wünschenswert und beantwortet evt. meine Frage.

[Fonzo]

Ich verwende die XML-API 1.22 über Aufrufe im Neo-Creator per http-Befehl, um Systemvariable auf bestimmte Werte zu setzen. Dort kann ich keinen mehrzeiligen Code eintragen. Wüsste momentan nicht wie ich das dann künftig mache.

Einfach das XML API Add on deinstallieren, dies erzeugt in der Version nur Sicherheitslücken auf der CCU und ist in dem Kontext zum setzen der Systemvariable aus NEO überflüssig. Die Systemvariable kann direkt ohne das XML API Add On über das NEO Plugin HomeMatic CCU aus NEO gesetzt werden. Dann braucht man auch keinen HTTP Request mehr, sondern kann das direkt auf ein Button Element oder ein Eingabeelement legen, um den Wert der Systemvariable zu ändern.

[GoSh]

Die Systemvariable kann direkt ohne das XML API Add On über das NEO Plugin HomeMatic CCU aus NEO gesetzt werden. Dann braucht man auch keinen HTTP Request mehr, sondern kann das direkt auf ein Button Element oder ein Eingabeelement legen, um den Wert der Systemvariable zu ändern.

In einer früheren Version hatte ich aus NEO heraus Probleme komplexere Zeichenketten mit Sonderzeichen in Systemvariablen zu verwenden. Deswegen hab ich das damals mit XML API gemacht. Nun scheint das wie von dir beschrieben zu funktionieren.

Auch wenn ich die Sicherheitsbedenken teile und z.B. von aussen nur per VPN auf mein System gehe, finde ich eine Lösung die lokale IP zulässt oder ein PW besser, als ein Addon, für das mehrere Zeilen Code notwendig sind um eine neue gültige Session-ID zu holen und es damit zu nutzen. Dabei werden Fehler entstehen - sei es durch Programmierer oder (warum auch immer) systembedingt.

[roe1974]

Hallo zusammen
Da meine Frage von Seite 4 untergegangen ist
So ein Aufruf

Code: Alles auswählen

wget -q --timeout=10 -O /dev/null 'http://xxx.xxx.xxx.xxx:80/config/xmlapi/statechange.cgi?ise_id=2635&new_value=true'

ist dann mit 2.0 nicht mehr möglich ... richtig ?
lg Richard
PS: Ja ich weiss ich könnte alles auf CCU Boardmitteln umbauen wie jp112sdl bereits ebenfalls auf Seite 4 geschrieben hat.
PSS: Mein Netzwerk ist dicht, solche Aufrufe passieren nur im LAN, nach aussen alle Ports zu.

[jmaus]

So ein Aufruf

Code: Alles auswählen

wget -q --timeout=10 -O /dev/null 'http://xxx.xxx.xxx.xxx:80/config/xmlapi/statechange.cgi?ise_id=2635&new_value=true'

ist dann mit 2.0 nicht mehr möglich ... richtig ?

So wäre das, ja. Denn man braucht dann immer eine valide sessionID (d.h. ein &sid=XXXXX parameter in der URL).

[roe1974]

Alles klar ... danke für die klare Antwort .
Dann muss ich auf der alten Version bleiben oder auf CCU Boardmitteln umbauen.

[AnZa]

Ich kann von meiner AppleWatch mit dem App iControlWeb direkt das Garagentor öffnen/schliessen.
Ausgelöst wird es mit einem Befehl über Cloudmatic.

Ferner melde ich der CCU meinen Handy-Standort über Geofency mit einem Webhook.
https://User:Passwort@1234.9.meine-home ... ew_value=6

Kann ich mit der neuen Version wohl beides vergessen?