Sicherheit Smarthome
-
Ich bin im Forum über diverse Themen zur Sicherheit des Smarthomes gestolpert. Wenn man dann erst einmal anfängt zu googeln möchte man am liebsten den Stecker vom Modem ziehen...
Ich verwende eine aktuelle Fritzbox, verbinde mich von außen ausschließlich über VPN (also keinerlei Portfreigaben), Raspberian, Windows und MacOS sind immer auf aktuellem Stand, meine Synology Diskstation ist mit sicheren Kennwörtern und 2FA geschützt.
Meine Frage ist: Muss ich wirklich weitere Sicherheitsmaßnahmen ergreifen, wie z.B. fail2ban, pfsense, etc?
Wie macht ihr das?
-
Sicherheit und Smarthome ? Da können oder wollen wohl nicht viele was zu sagen
Im allgemeinen kann man wohl sagen das du den Angriffsvektor mit jedem Stück "Smart Home" Hardware, welches Software/Firmware enthält und vernetzt ist grundsätzlich nur erhöhst.
Wie kann man das verstehen? Nun ja, einfaches Beispiel. Früher war dein (Tür)Schloss analog und konnte (nur) mit passenden Schlüssel geöffnet werden oder es mussten analoge (vor Ort, z.B. mittels Lock-picking oder Schlagschlüssel - je nach Zylinder) Angriffe stattfinden. Das gleiche Szenario mit einem "smarten"(Tür)Schloss schafft zusätzlich zu den analogen Angriffsmöglichkeiten vor Ort eine komplett neue Dimension von Angriffen, die digitalen. Der digitale Angriff hat gegenüber den analogen meist den Vorteil das man oft nicht einmal mehr vor Ort sein muss um diese durchzuführen, nebenbei lassen sie sich sogar teilweise noch automatisieren.
Jetzt kann es z.B. so sein, das dem Angreifer keine Sicherheitslücken in deinem "smarten" Türschloss (was z.B. mittels wifi funkt und vernetzt ist) bekannt sind. Trotzdem, oder gerade weil dein Home "smart" ist, kann er sich vielleicht elegant Zugang zu deinem Haus verschaffen, weil er andere, bekannte Sicherheitslücken anderer "smarter" oder auch nicht so smarter Geräte ausnutzen kann. Simsalabim
Gleiches (höherer Angriffsvektor durch mehr "smartness") gilt übrigens auch für Autos, welche z.B. "smarte" keyless Systeme haben. Der Autoklau war wohl noch nie so einfach und billig (Hardware für 20€ macht's möglich). Ein digitaler Angriff machst möglich! Kennt/kann sogar der ADAC! Simsalabim
@Markus84 said in Sicherheit Smarthome:
Ich verwende eine aktuelle Fritzbox, verbinde mich von außen ausschließlich über VPN (also keinerlei Portfreigaben), Raspberian, Windows und MacOS sind immer auf aktuellem Stand, meine Synology Diskstation ist mit sicheren Kennwörtern und 2FA geschützt.
Leider ist keine Software frei von Fehlern. Dein Windows 10 z.B. hatte seit erscheinen 2015 bis zu diesem Monat (wir schreiben das Jahr 2020) eine geradezu apokalyptische Sicherheitslücke die es ermöglichte alle deine verschlüsselten Verbindungen, welche über die interne cryptoAPI abgewickelt wurden (z.B. Chrome oder Firefox), mittels MITM zu brechen.
@Markus84 said in Sicherheit Smarthome:
Meine Frage ist: Muss ich wirklich weitere Sicherheitsmaßnahmen ergreifen, wie z.B. fail2ban, pfsense, etc?
Es ist schlicht ein Wettrüsten und mit solchen Systeme kann man die Hürden/Aufwände für Angreifer schlicht erhöhen. Wenn z.B. deine Fritzbox eine kritische Lücke Aufweist (z.B. so etwas in der Art wie 2014?) dann kann eine pfsense Firewall welche hinter deinem Router steht und Firewallfunktionen übernimmt im besten Fall zumindest dein Netzwerk schützen. Ebenfalls könntest du mit VLANs arbeiten und bestimmte Netzwerksegmente voneinander isolieren. Sollte es einen erfolgreichen Angriff z.B. durch einen "smarten Cloud Kracher" der Firma XY in einem deiner isolierten Netzwerksegmente geben könnte z.B. ein Synology Cryptlocker dein NAS in einem anderen Netzwerksegment nicht automatisch erfolgreich infizieren.
@Markus84 said in Sicherheit Smarthome:
Wie macht ihr das?
- Ich verwende ausschließlich hardware welche sich mit open source software betreiben lässt. Dies ist kein Allheilmittel, wir erinnern uns: Keine Software ist frei von Fehlern, allerdings habe ich so zumindest die Gewissheit meine Geräte lokal (ohne cloud zwang) unter Kontrolle zu haben. Ebenfalls bin ich nicht auf den Goodwill des Herstellers angewiesen, der einfach das "Ende" einer Hardware bestimmt kann in dem er keine software updates mehr liefert. Typischerweise setzte ich so ziemlich alles mittels esp82xx's und esp32's auf basis von esphome um.
- Ich verwende keine "smarten"/vernetzten Gerät für Zugangskontrollen (z.B. "smarte" Türen oder auch motorisierte Fenster/Rollläden) um nicht unnötige digitale Einfallstore (wie oben beschrieben) zu schaffen.
- Mein "smartes" Zuhause ist (so weit wie nur möglich) dezentral aufgebaut. Sprich selbst bei einem WLAN Ausfall (z.b. durch jamming des WLANs durch eine deauth Attacke) funktionieren meine "smarten" Geräte wie z.B. mein Warm Wasser Thermostat (lokal und über einen fallback AP) trotzdem.
Schlussendlich ist ebenfalls die Komplexität moderner Netzwerke und Systeme ein Problem an sich was ebenfalls oft unnötige Gefahren mit sich bringt und sich teilweise nicht einmal mehr beherrschen lässt.
Weniger ist mehr: Keep it safe and simple.
-
@OpenSourceNomad
umfangreiche und sehr informative Antwort!
Jeder Komfort wird eben auch mit Nachteilen erkauft, muss man abwägen.
Ich habe als zusätzliche Sicherheit noch eine analoge, vierbeinige Alarmanlage
-
Wow, besten Dank für die wirklich sehr ausführliche Antwort. Es ist echt nett von dir, dass du dir so viel Zeit für die Antwort genommen hast! Dann werde ich doch mal in VLAN und Firewall investieren.
Da ich alles andere als ein Experte bin was Netzwerktechnik angeht habe ich mir die Unifi Produkte angesehen. Die scheinen mir was das Preis- Leistungsverhältnis und die "einfache" Konfigurierbarkeit angeht alternativlos zu sein. Hat hier noch jemand andere Empfehlungen?
-
@Markus84 said in Sicherheit Smarthome:
Hat hier noch jemand andere Empfehlungen?
Als Open Source Fetischist würde ich zu etwas wie OPNsense oder IPFire tendieren. Was die Hardware angeht bis du dann auch flexibel. Läuft teilweise auch auf schon auf ultra-lowcost (&low power) arm soc's wie z.B. einen raspberry (besser jedoch gleich in ein Gerät mit mehr als einem gigabit port investieren - dann hat man später, wenn das Neulandzeitalter mal da ist, nicht gleich ein bottle-neck
).Im kuketz-blog gibt es u.a. sehr verständliche Anleitungen für IPFire
