Offene CCUs

[Fonzo]

ich bin ja ernsthaft am überlegen, ob ich mal einen Honeypot aufsetzen sollte. Einfach um zu schauen, wie oft da ein Angriff passiert und welcher Art diese sind.

Da reicht es ein Enterprise Security Gateway mit Deep Packet Inspektion nutzten, da kannst Du im Threadmanagement generell sehen wie häufig solche Anfragen insgesamt auflaufen. Das sind immer mal wieder welche, überwiegend kommen so Anfragen aus dem asiatischen Raum. Die meisten Nutzer bekommen nur von laufenden Threads gar nichts mit, nach dem Motto wenn ich davon nichts weis, muss ich mir auch keine Sorgen machen.
IOT und Security ist ein Thema für sich und für die meisten Nutzer ein Buch mit sieben Siegeln, deshalb findet man ja immer wieder solche CCUs. Da werden dann auch immer mal wieder laufende Fernsehreportagen nicht daran ändern, in denen dann ein Reporter bei einem der betroffenen Nutzer im Haus steht.

[chka]

leider können das die gängigen router auch nicht, out of the box. wenn man so was dann mal sieht wer und was bei einem an der Tür klopft dann hat man auch ein anderen Blickwinkel.

[deimos]

Hi,

erkennen eines Portscans ist easy, klar. Aber für die gezielte Analyse von Angriffen auf eine CCU braucht es vermutlich schon ein System, welches entsprechend antwortet. Da könnte man z.B. auch erkennen, ob mittlerweile Bots existieren, welche auf die CCU spezialisiert sind oder ob es "nur" manuelle Angriffe sind und generell welches Ziel die Angriffe verfolgen. Nur mit einem IDS wirst du das nicht erkennen, weil der Angriff km Zweifel garnicht vollständig ausgeführt wird, daher der Honeypot.

Die entsprechende Hardware hätte ich dafür da, einzig habe ich bis jetzt noch nicht die Muse dazu gehabt, es wirklich umzusetzen.

Viele Grüße
Alex

[Fonzo]

ob mittlerweile Bots existieren, welche auf die CCU spezialisiert sind oder ob es "nur" manuelle Angriffe sind und generell welches Ziel die Angriffe verfolgen.

Ich gehe mal eher davon aus das ein Gelegenheitseinbrecher so oder so keinen Plan von IT hat, sonst könnte er auch auf vernünftige und rechtmäßige Weise Geld verdienen. Was anderes sind die organisierten Einbrecherbanden, aber auch da denke ich ist zumindest eine CCU nicht die erste Priorität, weil Nutzer die Homematic nutzten, in der Regel nicht die gleichen Nutzer sind, die besonders wertvolle oder schützenswerte Immobilien besitzen.
Da ist KNX ohne KNX Secure ein deutlich attraktiveres Ziel und das wird wird leider auch da genutzt wo zumindest in der Theorie auch Werte zu holen sind, bis hin zu gewerblichen Objekten bei denen der Bus unverschlüsselt zugänglich ist. Das alles sicher zu bekommen wird sicher eines der primären Aufgaben der nächsten Jahre sein. So lange kann man nur hoffen das aus dem gewöhnlichen Einbrecher keine IT Spezialisten werden. Und ausländische Dienste haben so oder so das Know How so was zu nutzten, die interessieren sich aber in der Regel nicht für Lieschen Müller, die mit Homematic ihr Licht einschaltet.

[MillenChi]

"lustiger" finde ich, dass man auch die ein oder andere RaspberryMatic darunter findet.
Also etwas das nicht zwingend Stangenware ist. Und damit also aus meiner Perspektive etwas an IT Verständnis voraussetzt.

[Black]

Eine raspel kannst du in ready to Use bei einem Shop beziehen. Das setzt jetzt nicht das großen IT Hintergrundwissen voraus

Black

[lxuser]

"lustiger" finde ich, dass man auch die ein oder andere RaspberryMatic darunter findet.
Also etwas das nicht zwingend Stangenware ist. Und damit also aus meiner Perspektive etwas an IT Verständnis voraussetzt.

Eine RaspberryMatic aufzusetzen benötigt jetzt nicht zwingend tiefere IT-Kenntnisse. Da reicht schon das gefährliche Halbwissen ähnlich wie beim Portforwarding.

[MichaelN]

Eben

Zum Thema Halbwissen: ich habe kein Portforwading in der FritzBox eingerichtet, Netzwerk-Check von heise sagt, alles wäre fein. Also bin ich safe?

Was ich aber nicht verstehe: in der CCU3 ist unter Firewall "ab Werk" unter Portfreigabe folgendes eingetragen:

Code: Alles auswählen

192.168.0.1;
192.168.0.0/16;
fc00::/7;

Die ersten 2 Zeilen verstehe ich noch. Aber was bedeutet die Dritte?
UND - warum ist das eingetragen? Die IP meiner FritzBox ist 192.168.178.1
Nach meinem Verständnis müsste es daher vollkommen reichen, wenn unter Port-Freigabe ausschließlich

Code: Alles auswählen

192.168.178.0/24

eingetragen wird.

Oder wo ist mein Denkfehler? Bzw. meine Wissenslücke?

[chka]

der heise scannt nur "Standartports" es gibt aber viele die auch gerne die Ports 1234 nehmen oder sonstiges. und das ist kein Standart Port


zum Thema Netzmaske, nur weil du eine Fritte hast heißt das nicht das andere ccu Nutzer den 192.168.178 Bereich haben.
Keine Ahnung was speedport hat aber es gibt auch im privatenbereich noch 10.X.X.X und der 172.X.X.X alles privat

[MichaelN]

Danke, aber irgendwie klärt das meine konkreten Fragen nicht.