UPDATE 31.10.: Amazon Alexa - ioBroker Skill läuft aus ?

BenjaminBuch

@hagst wie greift denn der vServer auf euer W-Lan Netzwerk zu?

hagst

@benjaminbuch
Ich hab bei https://selfhost.de/ einen kostenlosen dyndns Account erstellt, und dann halt z.B. mit
accountname.selfhost.de:PORT

So kann ich dann vom iobroker auf dem VServer auf mein lokales Netzwerk zugreifen.

UncleSam

@hagst sagte in ioBroker auf vServer nutzen?:

@benjaminbuch
Ich hab bei https://selfhost.de/ einen kostenlosen dyndns Account erstellt, und dann halt z.B. mit
accountname.selfhost.de:PORT

So kann ich dann vom iobroker auf dem VServer auf mein lokales Netzwerk zugreifen.

Und wie hast du den Port abgesichert? Das kann eine riesige Sicherheitslücke sein, wenn da was falsch konfiguriert ist!

hagst

@unclesam sagte in ioBroker auf vServer nutzen?:

riesige Sicherheitslücke

Kannst Du mir diese "riesige Sicherheitslücke" erklären, wenn ich von außen einen weiteren Port, neben den vielen anderen geöffneten, öffne? Dann kommt man z.B. auf meinen Stromzähler so what?

Homoran

@hagst sagte in ioBroker auf vServer nutzen?:

neben den vielen anderen geöffneten

da sollten eigentlich nicht viele nach draußen geöffnet sein.

hagst

@homoran

Die meisten sollten zu sein, aber welche "riesige Sicherheitslücke" entsteht, wenn ich von außen einen Port erreichbar habe und man dann auch meinen z.B. Stromzähler kommt. So geheim ist ja nicht, dass ich im Moment 274W verbrauche oder dass meine Solaranlage gerade nur noch 45W erzeugt. Ich glaube kaum, dass mir durch einen geöffneten Port Watts und Ampere geklaut werden ;-) Ich sehe da zumindest kein Risiko oder eine Gefahr.

Homoran

@hagst sagte in ioBroker auf vServer nutzen?:

aber welche "riesige Sicherheitslücke" entsteht, wenn ich von außen einen Port erreichbar habe

weil man dann "erst einmal" in deinem Netz ist

deswegen die Frage von @UncleSam :

@unclesam sagte in ioBroker auf vServer nutzen?:

Und wie hast du den Port abgesichert?

und dann die Aussage:

@unclesam sagte in ioBroker auf vServer nutzen?:

Das kann eine riesige Sicherheitslücke sein, wenn da was falsch konfiguriert ist!

hagst

@homoran sagte in ioBroker auf vServer nutzen?:

weil man dann "erst einmal" in deinem Netz ist

Ja, auf dem Webserver vom Stromzähler, was soll denn da abgesichert werden? Https ist überflüssig, da da keine vertraulichen Daten (die ICH geheim halten muss) übertragen werden.

wendy2702

@hagst sagte in ioBroker auf vServer nutzen?:

Ja, auf dem Webserver vom Stromzähler, was soll denn da abgesichert werden? Https ist überflüssig, da da keine vertraulichen Daten (die ICH geheim halten muss) übertragen werden.

Also hier wird doch die ganze Zeit davon gesprochen iobroker auf einem vServer zu betreiben. Hast du jetzt iobroker auf einem vServer laufen und iobroker hat nur Zugang auf den Webserver von deinem Stromzähler oder wie?

hagst

@wendy2702 sagte in ioBroker auf vServer nutzen?:

iobroker hat nur Zugang auf den Webserver von deinem Stromzähler oder wie?

Jepp, auf den Stromzähler. Mit dem Parser greife ich vom iobroker, welcher auf einem V-Server läuft auf accountname.selfhost.de:40 (Beispiel Account) zu und lese da meinen Stromverbrauch / Stromerzeugung aus. Welche Gefahr oder welche riesige Risikolücke besteht jetzt?

wendy2702

@hagst sagte in ioBroker auf vServer nutzen?:

Welche Gefahr oder welche riesige Risikolücke besteht jetzt?

Naja, unabhängig davon das ein geöffneter Port immer eine Sicherheitslücke darstellt geht es glaube ich eher darum das die meisten Ihren ioBroker auch zum Steuern ihrer Häuser/Wohnungen verwenden. Rollladen/Türen/Garagen.... das ist dann bei vServer Betrieb schon etwas risiko reicher.

hagst

@wendy2702 sagte in ioBroker auf vServer nutzen?:

zum Steuern ihrer Häuser/Wohnungen verwenden. Rollladen/Türen/Garagen.... das ist dann bei vServer Betrieb schon etwas risiko reicher.

Das mag sein, aber bei meiner Konfiguration sehe ich kein Risiko oder gar eine Gefahr. Da ich aber gefragt worden bin, wie ich den geöffneten Port "abgesichert" habe, stellt sich mir natürlich die Frage, wie das gehen soll.

wendy2702

@hagst Port geöffnet oder port weitergeleitet ist da schon die erste Frage. Gehört aber nicht in diesen Thread und wurde hier auch schon mehrfach diskutiert.

Am Ende muss jeder selber wissen was er wie ins Netz stellt und Zugänglich macht und wenn du dich sicher fühlst ist das OK nur wenn wie gesagt mehr als "nur" der Stromzähler dahinter hängt wird es schnell mal noch unsicherer.

hagst

@wendy2702
Ich habe seit über 20 Jahren verschiedene Server am Laufen, damit meine ich nicht hier local sondern in Rechenzentren. In den ganzen Jahren wurde ich einmal (2007) "Opfer" einer sql-Injection und habe daraus gelernt. Wenn mir aber gleich jemand "riesige Sicherheitslücke" bei falscher Konfiguration und Port abgesichert um die Ohren wirft, ohne überhaupt genau zu wissen, was ich hier gemacht habe, frage ich halt mal genauer nach.

Btw. Am Stromzähler ist der Port geöffnet und ich leite den Port mit einer Fritzbox weiter :-)

UncleSam

@hagst Ich will die Diskussion hier nicht in die länge treiben, aber folgendes möchte ich doch noch loswerden:
Mehrmals pro Monat gibt es in den Medien einen Aufschrei, ein IoT Gerät sei gehackt worden. Oft sind es Lücken in schlecht programmierten Geräten. Dazu zähle ich auch deinen Stromzähler. Ein Hackerangriff auf einen einigermassen abgesicherten Server ist aufwändig. Mit Shodan alle öffentlich zugänglichen IoT Geräte eines Herstellers zu finden ist dagegen ganz einfach. Kannst gerne mal schauen, was man da so alles findet. Also muss ein Skript-Kiddie (und ich sprche da nicht von professionellen Hackern!) nur mal etwas rumschauen, die Sicherheitlücke ausnützen und schon ist er bei dir im Netz. Ich nehme ja nicht an, dass dein Stromzähler in einer DMZ ist. Damit ist der Hacker via Stromzähler in deinem kompletten Heimnetz.

Fazit: wer nicht ganz genau weiss, was er tut, sollte niemals einen Port nach innen öffnen. Insbesondere nicht auf ein IoT Gerät.