NEWS
Sicherheit - Portforwarding
-
Ich habe alles nur im lokalen Netz, nix von außen!
Aber portforwarding ist Harakiri!
Eine vernünftige vpn-verbindung sollte schon Basis eines externen Zugriffs sein.
Gruß
Rainer
-
Hallo Rainer,
VPN: Ok, ist halt nicht ganz ohne Aufwand…
Ich dachte an einfachere (klar nicht 1000%-ig :shock: ) Lösung, da ich nur Zustände anzeigen möchte und eh keine Steuerung:
Vielleicht so in Richtung unterschiedliche Ports zum Editieren und für den Live-Auftritt...
Danke für eure Tipps und Erfahrungen
-
Ich bin nicht der Experte für Netzwerksicherheit.
Aber wenn du portforwarding betreibst, kommt jeder in dein Netzwerk.
Wenn du eine Fritzbox hast gibt es myfritz
Und bei ioBroker gibt es den Cloud Adapter
Beides kenne ich nur vom Hörensagen, genaue Informationen über die jeweilige Sicherheit habe ich nicht.
Gruß
Rainer
-
Reverse Proxy sollte da das richtige Stichwort sein, damit müsstest du auch nur einen bestimmten View sichtbar machen können. Ich glaube aber trotzdem, dass dies sehr gefährlich ist, auch wenn du "nur" Widgets zum Sachen anzeigen nutzt heißt das nicht, dass ein Angreifer sich an deine Widgets halten muss.
Ganz andere und vermutlich viel sicherere Idee: Lass irgendwo im Web einen SSL-gesicherten MQTT-Broker (z.B. Mosquitto) laufen, auf den man nur mit Passwort oder Client-Zertifikat kommt. Du kannst von ioBroker dann nur ganz bestimmte States an diesen Broker senden und je nach Wunsch den Rückweg einfach weg lassen. Alles in Allem hast du so ein sehr klar definiertes und sicheres Interface ins Internet, ganz ohne dass du Lokal irgendwelche Ports freigeben müsstest.
Diesen Broker hier habe ich selber noch nie getestet, aber zum Einstieg und Testen sicher ausreichend in der kostenlosen Variante:
https://www.cloudmqtt.com/plans.html
Auf Clientseite gibt es z.B. verschiedene Android Apps die zu einem MQTT-Broker verbinden und eine Art Dashboard erstellen können, um Daten anzuzeigen oder zu steuern:
-
ich mache immer alles per VPN ist meiner Meinung nach die sicherste Lösung.
State update und wichtige Sachen werden per push message gesendet.
Wen ich allgemein werte auslesen möchte setzte auch ich dafür MQTT ein um die stats read-only zu übertragen.
Komt halt immer drauf an was man genau erreichen möchte.
Port forward is auch OK, aber dan bitten nur mit SSL under username/pass!
Bin slobber Sicherheit Specialist bei einer bank, und glaub mir ein offnere unprotected pro is schnell gefunden also Vorsicht geboten !
-
Ich schließe mich der VPN-Fraktion an. Das ist ein guter Weg in Sachen Sicherheit und Komfort. Außerdem kann das heute jeder einfach auf der Fritzbox einrichten. Nix mit extra Server oder so…
Ports zu öffnen oder gar Webinterfaces online verfügbar zu machen ist absolut grenzwertig, ohne entsprechende Sicherheitsmechanismen... Und wer hat schon eine DMZ zuhause
Wenn du dann noch einen dynamischen DNS Service nutzt, dann stehen bald die crawler von Google und co auf der Türschwelle. Mit den richtigen Suchbegriffen findet man dann unter Umständen auch die eigene Haussteuerung direkt mit der Google Suche...
Wichtig ist meines Erachtens auch immer zu wissen was im eigenen Netz überhaupt los ist. Beim neuen Fritz OS kann man sich dazu z.B. Benachrichtigungsmails schicken lassen. Sobald ein neues Netzwerkdevice festgestellt wird, oder ein Portforwarding eingerichtet wird, pling, E-Mail.
Ich selbst scanne mein Netz rund um die Uhr mit einer Bastelei auf nem Raspberry. Sobald sich Änderungen ergeben (neue MAC, neue IP, neuer offener Port) gibt es eine Alarmmail. Sollte sich also mal jemand Zugang zum Netz verschaffen, hoffe ich sofort Bescheid zu bekommen
Aber vielleicht bin ich da auch ein wenig paranoid...MfG,
Andre
Geschrieben mit Tapatalk
-
Außerdem kann das heute jeder einfach auf der Fritzbox einrichten. Nix mit extra Server oder so… `
Welches VPN protocol bietet die Fritzbox (in Holland hab ich nen router hinter Glasfaser 8-) ), ich benutze openvpn.
PPTP ist ja auch nicht gerade sicher…..
Aber vielleicht bin ich da auch ein wenig paranoid…
MfG,
Andre `
Dan bin ich es auch :lol:
-
… Na, das hört sich doch schon gut an!
Danke an alle!
Dann werde ich mich mal mit MQTT näher auseinandersetzten.
Mich wundert es, dass man bei der ersten Berührung mit ioBroker-vis über dieses Thema nicht mehr erfährt - auch hier im Forum findet man (so meine Erfahrung) nicht so viel darüber.
-
Mich wundert es, dass man bei der ersten Berührung mit ioBroker-vis über dieses Thema nicht mehr erfährt - auch hier im Forum findet man (so meine Erfahrung) nicht so viel darüber. `
Ich denke mal die meisten hier nutzen Vis hauptsächlich lokal, wie ich auch. Wer es von unterwegs nutzen will ist mit VPN praktisch wieder lokal. Ich brauche dieses ganze "mach von unterwegs die Heizung an" nicht, bei mir steht eher die Automatisierung im Vordergrund und nicht das Fernsteuern. Daher reicht mir MQTT, um notfalls 2-3 Werte überwachen zu können, einfach nur als Sicherheitsfeature. Sicherheitsfeatures werden in einem späteren Stadium der Entwicklung bestimmt noch eine Rolle spielen, zuletzt ist ja letsencrypt support hinzugekommen. Ich persönlich würde ioBroker trotz Authentifizierungsmechanismus und SSL nicht direkt ans Netz lassen, aber das muss jeder für sich entscheiden.
-
Welches VPN protocol bietet die Fritzbox (in Holland hab ich nen router hinter Glasfaser 8-) ), ich benutze openvpn.
PPTP ist ja auch nicht gerade sicher….. `
Also bei mir ist es IPSec. Weiß nicht was das Ding noch alles kann. Aber mittlerweile (FB 7390 mit FritzOS 6.51) lässt es sich wirklich kinderleicht einrichten… (https://avm.de/service/vpn/uebersicht/)...Im Übrigen nutze ich das Ganze nicht nur für SmartHome, sondern auch um über öffentliche Hotspots (Bahnhof, Flughafen, Hotel) online zu gehen. Leite bei aktiver VPN-Verbindung sämtlichen Traffic über meinen Hausanschluss...
Ich denke mal die meisten hier nutzen Vis hauptsächlich lokal, wie ich auch. Wer es von unterwegs nutzen will ist mit VPN praktisch wieder lokal. Ich brauche dieses ganze "mach von unterwegs die Heizung an" nicht, bei mir steht eher die Automatisierung im Vordergrund und nicht das Fernsteuern. Daher reicht mir MQTT, um notfalls 2-3 Werte überwachen zu können, einfach nur als Sicherheitsfeature. Sicherheitsfeatures werden in einem späteren Stadium der Entwicklung bestimmt noch eine Rolle spielen, zuletzt ist ja letsencrypt support hinzugekommen. Ich persönlich würde ioBroker trotz Authentifizierungsmechanismus und SSL nicht direkt ans Netz lassen, aber das muss jeder für sich entscheiden. `
Dem stimme ich zu. Bei mir ist es ähnlich. Habe nicht den Anspruch rund um die Uhr mit meinem Haus in Verbindung zu stehen. Wichtige Ereignisse kommen per Push oder Mail… Alles Andere passiert rein im lokalen Netz... Ans Internet würde auch mit SSL und Zertifikaten nichts kommen....MfG,
André
Support us
251
Online32.4k
Users81.4k
Topics1.3m
Posts