Sicherheitsrisiko meine-homematic.de

[leknilk0815]

...schon interessant...
einerseits wird von den Profis vor einer Portweiterleitung über dyndns & Co gewarnt, andererseits zahlen die Leute dann für Sicherheit und es passiert genau das, wovor gewarnt wurde...
Bei einem DDNS- Dienst könnte natürlich genau das selbe passieren; ist es aber noch nicht... (zumindest hab ich noch nichts davon gehört)

[ayngush]

Naja... als Profi, aus rein technischer Sicht, rate ich dazu einen eigenen VPN Server zu betreiben, einfach über eine Fritzbox, am besten jedoch über openVPN auf einen Raspberry PI oder ähnlichen (einer Home-NAS z.B.)

Einfach so die Ports auf die CCU weiter zu leiten birgt das Problem der Absicherung und des Patch Managements. Die Addons und die RPC Schnittstellen abzusichern ist dabei das größte Problem. Von der Performance und dadurch sehr leicht möglichen Angriffen auf die Services (finden automatisiert statt, keine Panik, trifft jeden mal...), fehlender Firewall um das zu verhindern usw. ganz abgesehen.

Ein eigener Reverse Proxy, wie er hier im Forum beschrieben ist, wäre ein aus meiner Sicht noch vertretbarer Kompromiss, sofern er richtig konfiguriert und regelmäßig aktualisiert wird.

Ein gehosteter Reverse Proxy, wie meine-HomeMatic.de, ist zwar sehr einfach eingerichtet, in der Theorie, was den Netzwerkdurchgriff angeht, auch pro Segment sicher, jedoch ist der Dienstleister wie ein "man in the middle" Konzept zu betrachten. In der Mitte ist der Datenverkehr eben nicht mehr integer. Muss ein jeder für sich entscheiden aber aus meiner Sicht ist das nicht sicher, nur komfortabel, da sehr zugänglich.
Letztlich hat der Dienst dasselbe Problem wie alle Cloud Services: Der Benutzer muss dem Dienst vertrauen. Vertrauen ist jedoch schwer aufgebaut und schnell vernichtet.

Wer also wirklich ernsthafte Sicherheitsbedenken hat, dem kann ich nur zu einer Lösung Raten, die man selber versteht und unter Kontrolle hat, ansonsten: Finger weg von Experimenten.
Allen anderen bleibt nur: Vertrauen in den Dienstleister zu haben oder auf den Zugriff aus dem Internet heraus verzichten. Auf gar keinen Fall würde ich die CCU ins Netz hängen, das sieht dann nämlich so aus: http://www.shodanhq.com/search?q=HomeMatic

Grüße

[klassisch]

rate ich dazu einen eigenen VPN Server zu betreiben, einfach über eine Fritzbox,
am besten jedoch über openVPN auf einen Raspberry PI oder ähnlichen (einer Home-NAS z.B.)

Was ist an der Fritzbox-Lösung schlechter als an OpenVPN? Ernste Frage, nicht polemisch gemeint. Hatte vor etlichen Jahren OpenVPN aif NSLU2 eingerichtet. Damals konnten die Fritzboxen das noch nicht, denke es gab noch nicht mal die 7170. War damals ein ziemlicher Aufwand, OpenVPN zu konfigurieren. Ganz durchdrungen hatte ich die Sache nicht, hat aber funktioniert bis die NSLU2 starb. Das Wiederaufsetzen war mir zu kompliziert, eine gebrauchte 7170 macht das viel einfacher und ggf. gibt es ein FW-Update (und nach einigen Jahren ein neues Netzteil). AVM lebt von den FB und ich nehme an, daß sie sich vor einem Backdoor hüten.
OpenVPN hatte ja auch das Herzbluten...

Wer also wirklich ernsthafte Sicherheitsbedenken hat, dem kann ich nur zu einer Lösung Raten, die man selber versteht und unter Kontrolle hat

Ich kenne jetzt keine Lösung, die ich wirklich ganz verstehe und ganz unter Kontrolle hätte. Auch bei der OpenVPN-Lösung muß ich auf den Code vertrauen - ich selbst werde ich ihn nicht qualifiziert analysieren können. Aber die FB-Lösung läßt sich nachvollziehbar konfigurieren und spielt mit dem VPNZilla auf dem Android gut zusammen. Mit dem PC sowieso und ich kann zusätzlich 2 FB an 2 Standorten koppeln - und damit die beiden Netze. Aus den beiden Netzten wird dann eines mit erweitertem Adressraum. Mache ich schon seit Jahren und unabhängig von der HM so. Nachdem DynDNS zickt, geht es mit no-ip weiter. Läuft eh stabiler.
Mails schickt das Mail-Plugin und ein GMX-Account kann aus Mails SMS machen. Mag jetzt alles etwas unelegant und hausbacken sein, funktioniert aber und ich habe zumindest das Gefühl, daß ich die Sache konfigurieren und notfalls abschalten kann. Deshalb habe ich mich auch nie mit meine-homematic nie beschäftigt. Und wenn ich das hier lese, brauche ich das auch nicht nachholen.

[ayngush]

... die Kompatibilität und die Komplexität.
Die Fritzbox verwendet IPSec anstelle von TLS (OpenVPN wäre TLS). Sicherheitstechnisch sind beide Lösungen aus meiner Sicht aktuell gleichwertig zu betrachten. IPSec jedoch ist so sau komplex aufgebaut, dass nur gestandene Kryptologen da überhaupt etwas überblicken können. Das ist in Zeiten von NSA und ihren "elliptischen Kurven" natürlich eine Sache, die man bedenken muss... Kompatibel ist es auch nicht einfach so. Unter Android kann man zum Beispiel nur mit Zusatzsoftware eine IPSec VPN-Verbindung aufbauen. Ich benutze es allerdings auch, VPNZilla ist da auch eine feine Sache

Jedoch habe ich, Firmen-Firewall sei dank, keine Verbindung von meinen Firmenrechner ins Heimnetz aufbauen können...

Grüße

[JPS]

Unter Android kann man zum Beispiel nur mit Zusatzsoftware eine IPSec VPN-Verbindung aufbauen.

Das ist so nicht ganz richtig. Zumindest bei den neueren Versionen funktioniert das auch mit Bordmitteln. Ich mache das z.B. mit Android 4.4.3 auf einem HTC One (M8), klappt zur FB tadellos.

[raetsch]

Klappt auch unter 4.2 schon.
Ältere version hab ich momentan nicht im einsatz (Galaxy s4).

[-=FuF=-]

Was ist an der Fritzbox-Lösung schlechter als an OpenVPN? Ernste Frage, nicht polemisch gemeint.

Ist nicht schlechter, IPSec ist normalerweise komplexer im handling, mit der fritz-Software aber in diesem Fall sehr komfortabel einzurichten. iOS devices können theoretisch nativ VPN on demand damit, also starten des Tunnels beim Start von z.B. Pocket Home - das habe ich allerdings noch nicht hinbekommen.
OpenVPN läuft hier übrigens auch auf der fritzbox, dazu muss man sie modifizieren (freetz.org)

[klassisch]

Vielen Dank für die Hinweise.
Mit freetz und davor danisowiso?? habe ich mich auch mal rumgeschlagen. Da ist mir das VPN ab 7170 schon angenehmer.
Ob irgendetwas vor NSA oder früher echelon sicher ist? Ich rechne nicht damit.
Mein Android 4.2 konnte leider nicht genuin mit der FB reden. Zumindest nicht auf Anhieb. VPNZilla hat mir Zeit gespart und nicht arm gemacht. So wurde IPSec auch für mich handelbar.
Zu Zeiten von OpenVPN auf NSLU2 habe ich noch eine Portweiterleitung gebraucht. Das wird mit OpenVPN auf dem RasPi auch so sein. Auch das brauche ich jetzt nicht mehr. Bei Null (0) Portweiterleitungen verliert man auch nicht den Überblick
Ich konstatiere für mich: VPN via FB mag nicht die beste und sicherste VPN-Lösung sein. Aber sie ist auch vom interessierten Laien handelbar, bisher war sie für mich hinreichend sicher und stabil. Mutmaßlich sicherer und verfügbarer als manch andere Lösung.
Ich habe so auch keine monatliche Kosten, muß keine Verträge abschließen und niemandem das Zugangsrecht in mein Netzwerk einräumen - ähnlich wie das auch bei einer OpenVPN-Lösung ist.
Und beim letzten Hackerangriff auf die FB-Firmware hat sich die Mainstream-Lösung für mich auch bewährt. Mit der üblichen Nachrichtenlektüre bekam ich davon Kenntnis und innerhalb kurzer Zeit gab es auch noch für die alte 7170 ein update.

[ayngush]

Nicht falsch verstehen: IPSec gilt (Stand 07/2014) als sicher. TLS ist ebenfalls als sicher eingeschätzt.

Was nicht (mehr) sicher ist, ist PPTP!

Grüße

[wuscheltuschel]

was wäre jetzt eigentlich das schlimmste gewesen was hätte passieren können?

klar, man kann Geräte einschalten und Strom verbrauchen.

man kann Türen öffenen, dann kann jeder ins Haus. aber nur wenn man sowas wie Keymatic im Einsatz hat.

man könnte den Rollo mit einem Programm ständig auf und ab fahren lassen.


aber was wirklich fies gewesen wäre:

in jede Homematic Komponente einen Sicherheitsschlüssel setzen und danach in der Homematic Zentrale
die gesamte Konfiguration löschen, natürlich mit dem Schlüssel.

sehe ich dass richtig dass dann der Zentralenbesitzer jede Komponente zu EQ-3 hätte schicken dürfen?
besondern haarsträubend bei eingebauten Schaltern/Dimmern etc.

falls sowas passiert wäre hätte mich interessiert ob meine-homematic.de für die Kosten und den Aufwand (eigene Zeit, Ausbau durch Elektriker) aufgekommen wäre?