Aufruf an alle ioBroker Benutzer bzgl. Portöffnungen
-
Moin,
Das ganze Problem tritt erst auf wenn ihr selber an eurem Router die Ports frei gebt!
Bitte wie Jeeper.at geschrieben hat VPN benutzen oder wissen was man tut.
ich möchte euch in dem Beitrag einfach nochmal auf das Thema IOT Sicherheit hinweisen.
Ich bin selber gerade dabei mich selber besser zu schützen da sind mir doch durch zufall einige ioBroker Installationen aufgefallen die vollkommen ungeschützt im Internet hängen!
An die Leute die eine Portfreigabe für ioBroker eingerichtet haben checkt mal eure Portfreigaben und sichert ioBroker besser ab.
-
Portfreigaben sind böse. Bitte immer VPN verwenden.
Lg
Günther
-
Das kann man nie oft genug sagen. Wenn man sieht wie viele SmartHomes einfach frei zugänglich online sind, ist es echt erschreckend. Und es ist soo einfach so ein Haus zu finden… :shock:
Echt traurig...Grüße,
ldittmar
-
Ich habe mal die Ressourcen recherchiert und sehe, dass meistens das sind die Systeme mit default SSL (ioBroker) Zertifikat. Das ist nicht SO schlimm, aber es muss bewusst sein, dass die Kommunikation kann entschlüsselt werden, weil private Zertifikat auf dem github eingecheckt ist und für alle zugänglich ist.
Also:
-
wer ioBroker über HTTP aus dem Internet ohne password benutzt bitte sofort ioBroker ausschalten.
-
wer ioBroker über HTTP aus dem Internet mit dem password benutzt… Schlimm
-
wer ioBroker über HTTPS mit default SSL Zertifikat und password benutzt, dem muss es bewusst sein, dass es ist nicht sicher ist ob man tatsächlich mit eigenem Zuhause sich verbindet und der Trafik kann vom "man in the middle" entschlüsselt werden.
-
wer ioBroker über HTTPS mit Let's Encrypt Zertifikat und password benutzt (und z.B. DynDns) der ist sicher.
-
wer ioBroker über VPN benutzt, der ist auch sicher. Egal ob mit dem Password oder ohne
-
-
Und Redis-Ports sollte man auch nie offen haben …. hab ich auch beim recherchieren gesehen
-
Hmm… wir brauchen mal eine Doku wie man es richtig einrichtet. Und zwar Schritt für Schritt, denn nicht nur IT-Profis nutzen ioBroker. Gibt es sowas?
Grüße,
ldittmar
-
Hmm… wir brauchen mal eine Doku wie man es richtig einrichtet. Und zwar Schritt für Schritt, denn nicht nur IT-Profis nutzen ioBroker. Gibt es sowas?
Grüße,
ldittmar `
Hmm nein nicht wirklich, Informationen sind überall verbreitert aber…
Können wir nicht mit einer kleine Gruppe diese docu machen, aber dann keine halben Sachen [emoji6]
How to Connect ioBroker external:
-
per Cloud
-
SSL & Zertifikate
-
vpn ( was/warum/Unterschiede)
–- openvpn
--- dyndns
--- andere vebreitete "secure" vpn Möglichkeiten
- einrichten (weiter linken bestehende how to)
--- synonology
--- Fritzbox
--- allgemeine Router
- IFTTT kupplung und usecases
--- Geofancy
--- others ?
Warum nicht per port Weiterleitung, vorbund Nachteile der unterschiedlichen Lösungen.
Dann ist das einfach Mal übersichtlich und auch verschiedene Möglichkeiten [emoji6]
~Dutch
Edit 07-06: added IFTTT
–-----------------------
Send from mobile device
-
-
Und es wird noch komplexer:
Was machst Du z.B. mit Geofency?
Einerseits muss der Adapter von Aussen erreichbar sein, aber andererseits steht in der Adapter-Doku "machs nicht" … wenn dem so wäre, wäre der Adapter Nutzlos.
Also sind wir im Worstcase noch bei "Reverse-proxy" bzw Proxy-Adapter in Kombi mit Was-auch-immer.Oder wir sind wieder bei der Idee die ich immer noch ausprobieren muss: Geofency->IFTTT->Telegram->ioBroker (indirekt per polling). Keine Ahnung welchen Verzug das bringt
-
Hi apollon27,
Stimmt denn habe ich nicht mitgenommen in meiner Liste.
Geschichten wie Proxy sind wiederum eher für fortgeschrittene, ziemlich komplex und nicht klikbar zusammen zu setzen.
In deinem Beispiel würde ich den Ifttt Weg gehen wen möglich.
Mache es vergleichbar mit MQTT:
-
einen Server in Cloud, mein externer MQTT
-
ioBroker verbindet secure mit dem
Wiederum keine 1:1 durchgabe (risico) sondern zwischen Schritte für Security
–-----------------------
Send from mobile device
-
-
Am Ende braucht man ja eigentlich den Umweg über Telegram nicht, jetzt wo man per Cloud-Adapter direkt von IFTT WEbhooks angesteuert werden kann …
-
Am Ende braucht man ja eigentlich den Umweg über Telegram nicht, jetzt wo man per Cloud-Adapter direkt von IFTT WEbhooks angesteuert werden kann …
`ich schreib das mal in die liste rein, worauf ich eigentlich gern auskommen wuerde ware eine kleine gruppen von leuten womit wir zusammen eine derartige How-To schreiben in DE/EN.
Das in combination mit der neue seite dan die frage wie wir es daarstellen wollen (@homoran ?).
Ich wuerde gern in zusammenarbeit die initiatieve nemen, nur alleine komt man nicht weit (bei mir auch zeit mangel) und nur drueber reden und viele post helen unseren neulingen nicht
Fliegen wir sowas per trello oder Forum an ?
~Dutch
-
Hallo,
ich setze auf VPN. Die Verbindung wird auf iOS automatisch aufgebaut, wenn eine App eine Adresse aus meinem internen Netzwerk aufruft, das Gerät aber nicht darin eingeloggt ist (zB unterwegs oder im fremden WLAN). Somit funktionieren auch die Geofency Webhooks.
Die Anleitung ist hier im Forum verlinkt und kommt aus dem HM-Forum. Ist kein Hexenwerk, aber auch nicht einfach.
Pix
EDIT
Hier der Link: https://homematic-forum.de/forum/viewto … 65#p213447
-
Das in combination mit der neue seite dan die frage wie wir es daarstellen wollen (@homoran ?). `
Ich ringe schon sehr lange mit diesem Thema. Habe es immer weiter aufgeschoben weil ich zum einen viel zu wenig von dieser Materie verstehe, und zum anderen nicht nur eine Liste von Angriffsmöglichkeiten für irgendwelche Skriptkiddies erstellen wollte.Imho gibt es davon in der IoT reichlich.
Weiterhin ist es ein brisantes Thema, wenn man eine Anleitung für eine sichere IoT Umgebung erstellt und dann passiert doch etwas.
Vielleicht sollten wir ins mal treffen, Dutch!
Gruß
Rainer
-
… und zum anderen nicht nur eine Liste von Angriffsmöglichkeiten für irgendwelche Skriptkiddies erstellen wollte.
Imho gibt es davon in der IoT `
Glaub mir: die Kiddies brauchen keine Anleitung von uns! Die haben schon Sicherheitslücken gefunden, noch bevor die Entwickler es "eingebaut" haben :lol: … aber der Otto-Normalverbraucher, der eigentlich kein IT-ler ist und durch SmartHome sich nur etwas Komfort wünscht, wäre super dankbar, wenn er wüsste wie er sich schützen kann.Grüße,
ldittmar
-
Wäre es nicht besser ioBroker per default mit einem User und Passwort auszustatten (Admin Instanz/Adapter) Optional muss der User dann beim ersten Anmelden das Passwort ändern.
Wäre es möglich die ioBroker Installation auf Lücken checken zu lassen?
iobroker.net Webscript was die gängigen ports der adapter nach ip Adresseingabe durch den User checkt?
Sowas in der Art? Bin da aber auch kein Profi :lol:
Wäre ja eh nur "oberflächlich" aber einfach für die Leute die eh kaum Ahnung haben.
-
Wäre es nicht besser ioBroker per default mit einem User und Passwort auszustatten (Admin Instanz/Adapter) Optional muss der User dann beim ersten Anmelden das Passwort ändern.
Wäre es möglich die ioBroker Installation auf Lücken checken zu lassen?
iobroker.net Webscript was die gängigen ports der adapter nach ip Adresseingabe durch den User checkt?
Sowas in der Art? Bin da aber auch kein Profi :lol:
Wäre ja eh nur "oberflächlich" aber einfach für die Leute die eh kaum Ahnung haben. `
Da muss man nicht viel untersuchen. Es gibt 4 Ports:9000 offen Web socket
9001 offen Web socket
8081 offen http
8082 offen http
Und 8083 Sonos und so weiter.
Also man muss wissen, dass default ioBroker ist nicht für Internet geeignet.
Aber wenn man https einschaltet und password setzt und redis auf localhost einstellt, dann ist ioBroker sicher.
-
hat einer eine gute dyndns adresse?
die anbieter kannst ja alle vergessen.
Ich habe ein eigenes Script (leicht abgeändet von dem unten stehenden Link) was eine Subdomain auf meiner Homepage zu meiner aktuellen ip weiterleitet.
Falls das einen Interessiert:
http://nicht-traeumen-sondern-machen.de … itzbox.php
Weiß aber nicht ob das mit VPN so funktioniert.
-
hat einer eine gute dyndns adresse?
die anbieter kannst ja alle vergessen.
Ich habe ein eigenes Script (leicht abgeändet von dem unten stehenden Link) was eine Subdomain auf meiner Homepage zu meiner aktuellen ip weiterleitet.
Falls das einen Interessiert:
http://nicht-traeumen-sondern-machen.de … itzbox.php
Weiß aber nicht ob das mit VPN so funktioniert. `
Ich nutze schon einige Jahre den Dienst bei spdyn.de. Sehr zuverlässig und kostenlos.
Gesendet von iPhone mit Tapatalk
-
Wenn man "kryptische" DynDNS-Namen nicht mag kann ich "goneo.de" empfehlen. Mit dem "E-mail Plus" Paket dort (0,85EUR/Monat) hat man eine Domain, E-mails und kann auch Subdomains mit eigenem C-Record (= der kryptischenDynDNS-Adresse) anlegen. Ein "home.meinedomain.de" war mit das wert
-
Ich möchte hier mal ein Statement pro VPN abgeben.
Für Anfänger, welche keine Ahnung haben, was Ports und Zertifikate sind, ist VPN die beste Lösung, viele Router können mit wenigen Klicks einen VPN-Zugang bereitstellen. VPNs gibt es nun schon sehr lange und diese haben sich als sichere Verbindung über einen unsicheren Kanal etabliert.
