Xiaomi Mi Home: nicht nach Hause telefonieren

ramses

@crunchip said in Xiaomi Mi Home: nicht nach Hause telefonieren:

@ostseereiter @ramses trägt diese Unterhaltung eurerseits in irgendeiner Weise dazu bei, die ursprüngliche Frage des Themenerstellers zu beantworten, außer das sinnlos über etwas diskutiert wird und mir den Platz auf dem Bildschirm raubt, sinnvolle Lösungsansätze zu finden was letztendlich jeder für sich entscheiden muss, wie gut er sein Heim- und Netzwerk von außen schützt.
Wann und was solche Geräte im einzelnen versenden...oder aber auch mitschicken, beim installieren, sprich... was sich alles in so einer Software verbirgt, weiss wohl ein normal Sterblicher sowieso nicht.
Letztendlich steht es jedem frei, wie er es handhabt.
Ich für meinen Teil, möchte nicht alles und jedem Preis geben, was in meinem Netzwerk passiert, geschweige den, Zugriff auf meinen Rechner zu gewähren und wenn es nötig sein sollte, dann aufs Minimum zu Reduzieren, denn Abgesichert kann man nie genug sein.

Du hast recht ! Ich hab mich von den Schwachsinnsaussagen hinreissen lassen

PS: Eines noch, es geht nich ums außen. Der Feind sitzt dann im inneren

OliverIO

mE die beste und sicherst Möglichkeit wäre es, alle SmartHome-Geräte in ein eigenes Netzwerk-Segment zu stecken und nur für die Geräte statische Routen einrichten, die auch nach draußen telefonieren dürfen.
Aber das ist mit den normalen Consumer-Routern nicht immer möglich.
Dann können evtl "böse" Geräte auch nix mit den anderen PCs, NAS, etc nix mehr anstellen.

OliverIO

@crunchip said in Xiaomi Mi Home: nicht nach Hause telefonieren:

Letztendlich steht es jedem frei, wie er es handhabt.

Leider wissen die meisten ja nicht auf was sie sich da einlassen.
Wenn man es bewusst macht, dann kein Problem, dann darf man auch nicht meckern wenn was passiert.

ramses

@OliverIO said in Xiaomi Mi Home: nicht nach Hause telefonieren:

mE die beste und sicherst Möglichkeit wäre es, alle SmartHome-Geräte in ein eigenes Netzwerk-Segment zu stecken und nur für die Geräte statische Routen einrichten, die auch nach draußen telefonieren dürfen.
Aber das ist mit den normalen Consumer-Routern nicht immer möglich.
Dann können evtl "böse" Geräte auch nix mit den anderen PCs, NAS, etc nix mehr anstellen.

Etwas ähnliches habe ich schon hier beschrieben: https://forum.iobroker.net/topic/6394/adapter-mihome/420
Ist zwar nicht das gleiche aber verhindert auf jeden Fall Außenkommunikation.

Aber wie du schon geschrieben hast ist das mit consumer schwer, ich betreibe hier einen DHCP Server auf Windows-Server Basis.

crunchip

@OliverIO sagte in Xiaomi Mi Home: nicht nach Hause telefonieren:

bewusst macht

schließ ich eher aus, da trifft dann eher

@OliverIO sagte in Xiaomi Mi Home: nicht nach Hause telefonieren:

Leider wissen die meisten ja nicht

ramses

@crunchip said in Xiaomi Mi Home: nicht nach Hause telefonieren:

@OliverIO sagte in Xiaomi Mi Home: nicht nach Hause telefonieren:

bewusst macht

schließ ich er aus, da trifft dann eher

@OliverIO sagte in Xiaomi Mi Home: nicht nach Hause telefonieren:

Leider wissen die meisten ja nicht

ramses

Und das wichtigste wie @OliverIO sagte, kaum einer hat entsprechende Hardware.
Ich vergess immer wieder das nicht jeder Enterprise Hardware zuhause hat. Hab mich so an den Bedienkomfort und Vorteile von Ubiquiti und Cisco gewöhnt.

Ok lass uns das mit folgenden Worten hier beenden:
Dem einen ist Sicherheit scheiss egal, den anderen ist es wichtig. Dem es wichtig ist, beschäftigt sich mit dem Thema und schafft sich entsprechendes Equipment an.

OliverIO

@ramses wenn du keine port von aussen offen hast ist das ok.
Alternativ kann ich openwrt als router betriebssystem empfehlen.
Im Router mit Modem ideal, alternativ auch router an Modem per PPPoE angebunden,
hat man volle Kontrolle über alles was reinkommt und rausgeht.

DHCP-Konfiguration und ganz wichtig über die Konfiguration des Firewalls kann man fast alle Profi-Einstellungen selbst vornehmen.
Allerdings muss man sich nähers mit der Funktionsweise beschäftigen. Sind aber alles Linux-Services, für die es ausreichend Beschreibung im Internet gibt.
geizhals.de hat ne eigene Suchoption für Router die mit openwrt gehen.

Aber auch nochmal als Ergänzung zu einem anderen Thread. Das gewährleistet nur die Netzwerksicherheit.
Wenn in der Software Schwachstellen vorhanden sind, die ausgenutzt werden können, dann hilft der beste Firewall nix, außer er dämmt den Schaden ein, weil man nicht auf dein PC oder NAS kommt.

Wir sind gerade mit dem SmartHome und dem öffnen der Netze gerade erst am Anfang.
Wenn die 10 Jährigen (keine Diskriminierung, nur exemplarisch) damit anfangen zu spielen in solche Netze reinzugehen, dann wird es lustig. Die ersten großen Bot-Netze gab/gibt es ja schon. Das nutzen dann auch die, die mit sowas Geld verdienen wollen. Und mit einem Nuc am 50Mbit Anschluss kannst du ein paar mehr Päckchen für dDOS versenden, wie von einem müden chip auf einer Überwachungskamera eines chinesischen Herstellers.

ramses

@OliverIO
Doch habe 7 Ports nach außen offen für das OpenVPN Gateway. Denke das geht ok
Aber ich sehe schon, wir ziehen am selben Strang. Man muss sich mit der Sache beschäftigen und nicht so eine "mir doch egal Haltung" an den Tag legen wie einer der Vorredner hier.

Solange man keine Löcher reinreißt ist die Standardkonfiguration zu 99% "zu". Wer sich jetzt keine Löcher mit UPNP und co reinreißt, sollte eigentlich relativ sicher sein. Aber von Fehltritten innerhalb des Netzwerks (z.B. durch China Hardware) ist man damit nicht befreit.
Und ab diesem Punkt wird es für die meisten Standarduser schwer bis unmöglich.
Ich habe auch meine Smarthomes mittlerweile in ein eigenes VLAN gepackt und wie du schon geschrieben hast nur einzelne statische Routen zugewiesen.

De facto kann ich alles unterschreiben was du so sagst. Aber es ist immer das gleiche und war schon vor 20 Jahren so. Unwissenheit der Nutzer, Fehlkonfigurationen oder halt der seltenere Fall zu den ersten beiden, Sicherheitslücken.

PS: OpenWRT ist nice und mir schon ewig bekannt. Glaub damals als ich nen Linksys WRT54GS hatte...oh gott muss 10 Jahre her sein?!

Wäre aber zu Cisco und Ubiquiti für mich ein Rückschritt

OliverIO

OpenVPN ist ok, da wird ja auch peinlichst auf so etwas geachtet und wenn was ist, schnellst möglichst gepatched (was man dann ja auch selbst noch überwachen muss, seine Systeme zu aktualisieren)

Cisco kenn ich nur aus dem Profibereich, Ubiquiti hab ich gehört, kenn aber keine Details.

So jetzt Ende von meiner Seite, jetzt geht es auf die Gass. gute Nacht

ostseereiter

So nun muß ich nochmal. Natürlich ist Sicherheit wichtig. Die Unwissenheit der User birgt natürlich die meiste Gefahr um gehackt zu werden Nochmal was mich halt stört ist ich hole mir ein Gateway aber traue den Chinesen 0,0. Warum dann kein Zigbeestick zb? wenn das die Anfänger hier lesen dann sind diese doch total verunsichert wegen der Sicherheit. Diese werden doch schon genug verrückt gemacht.

crunchip

@ramses meiner einer kennt sich leider mit sowas noch gar nicht aus, Interesse bestünde zwar , jedoch alles zu komplex und umfangreich.
Bei mir läuft noch alles schön brav über die Fritzbox. Pihole mit Unbound.
Von Aussen benutze ich das interne VPN der Fritzbox. Ports sind bei mir sonst keine offen.

ramses

@ostseereiter said in Xiaomi Mi Home: nicht nach Hause telefonieren:

So nun muß ich nochmal. Natürlich ist Sicherheit wichtig. Die Unwissenheit der User birgt natürlich die meiste Gefahr um gehackt zu werden Nochmal was mich halt stört ist ich hole mir ein Gateway aber traue den Chinesen 0,0. Warum dann kein Zigbeestick zb? wenn das die Anfänger hier lesen dann sind diese doch total verunsichert wegen der Sicherheit. Diese werden doch schon genug verrückt gemacht.

Da hier das Thema komplett vorbeidrifted, nutze ich das um die auch diese Frage noch zu beantworten.
Und die Antwort ist simpel. Als ich mir das Gateway geholt habe war der Zigbee Adapter im Aufbau und mehr als instabil. Und wenn du dir mal die Massen an Beiträgen anguckst, war er es bis zur "max_stable" Firmware vom März dieses Jahres immer noch.
Eine Alternative ist nur eine Alternative wenn sie genau so gut läuft und das tat sie nicht.
Mittlerweile hängt das Gateway nur noch am Strom als "Nachtlicht". Meine Tochter liebt das blaue Licht.

EDIT: Schuld war nicht der Adapter sondern die Firmware des Sticks in kombi mit dem Adapter.
EDIT2: Ach ja, und der Gas (CO-Melder) war ewig nicht unterstützt beim Zigbee Stick. Bei jemandem mit Gas Heizung und Gas-Ofen ist das ein NO-GO

ramses

@crunchip said in Xiaomi Mi Home: nicht nach Hause telefonieren:

@ramses meiner einer kennt sich leider mit sowas noch gar nicht aus, Interesse bestünde zwar , jedoch alles zu komplex und umfangreich.
Bei mir läuft noch alles schön brav über die Fritzbox. Pihole mit Unbound.
Von Aussen benutze ich das interne VPN der Fritzbox. Ports sind bei mir sonst keine offen.

Das ist vollkommen ok. Ich bin auch manchmal ein wenig überheblich und vergesse das ich als Informatiker mehr weiss als andere. Fritzbox nutze ich auch. Sind super Geräte. Die Kindersicherung ist der hammer und toll zu nutzen um auch Geräten den Internetzugang zu sperren. Gesperrt ist gesperrt und macht dann nix anderes als teure andere Hardware auch (nur auf eine andere Art).
Wichtigste bei der Fritzbox UPNP ausschalten. Dann kann nix mehr schief gehen.

crunchip

@ramses sagte in Xiaomi Mi Home: nicht nach Hause telefonieren:

Fritzbox UPNP ausschalten

da geht es ja schon los, dann fehlen mir ja die Daten, die ich übertragen bzw einlese.
upnp der Fritzbox wird ja für das ein oder andere benötigt in Iobroker

ostseereiter

dann lasst uns mal diese Diskussion mit einen Chinesischen Sprichwort beenden.
" Der Kluge lernt nach dem ersten Fehler, der Dumme nach dem x-ten Fehler, der Weise lernt nie aus."
Gute Nacht

ramses

@crunchip said in Xiaomi Mi Home: nicht nach Hause telefonieren:

@ramses sagte in Xiaomi Mi Home: nicht nach Hause telefonieren:

Fritzbox UPNP ausschalten

da geht es ja schon los, dann fehlen mir ja die Daten, die ich übertragen bzw einlese.
upnp der Fritzbox wird ja für das ein oder andere benötigt in Iobroker

Ehrlich gesagt, nicht wirklich. UPNP macht Ports auf. Das kannst du einmal von hand machen und gut ist.
Wenn du UPNP an lässt kann dir folgendes passieren:
Du kaufst dir beim Chinahändler eine schöne neue Webcam, hängst die ans Netzwerk und das erste was die macht ist die Ports zum Internet öffnen bevor du einen Chance hattest das Passwort zu ändert.
Klingt dramatisiert, ist aber Realität.
Also, ich habe ca 20 Iobroker Adapter am laufen und UPNP nie vermisst. UPNP im Router zu sperren heisst auch NICHT das UPNP im Netzwerk nicht mehr funktioniert.

EDIT: Wenn du jetzt nicht mit Emule oder wie die P2P Tauschbörsen heissen nutzt, kannst du das mit gutem gewissen ausschalten (und solltest du).

ramses

@crunchip
PM

ramses

Oberste IoBroker und Media

Sorry, war gepostet da im Chat keine Bilder übertragen werden können.

@Bluefox Wie wärs mal mit Dateiübertragung im Chat?

Superdad

@ramses
Vielleicht kannst du ja mal beschreiben, wie du den Xiaomi im Unifi gesperrt hast?