NEWS
Auf Datenpunkte von externen Anwendungen zugreifen
-
@asgothian
Hey, danke für die schnelle Antwort.
Ich habe in der Zwischenzeit den MQTT-Broker installiert und verstanden, dass ich die Datenpunkte dort eintragen muss.
Mit dem Mqtt-Explorer kann ich die Datenpunkte bereits sehen.Bei der einen Anwendung habe ich etwas freiere Hand und ich kann vermutlich einen Mqtt-Client verwenden.
Bei der anderen Anwendung kann ich nur PHP und Curl verwenden. Das läuft dann wohl auf die SimpleApi hinaus.
Die Syntax ist mir noch nicht ganz klar. Ich teste mal ein bisschen.Aber doch bitte nur per VPN zugreifen.
Ansonsten hättest du einen Port offen im Internet stehen
und dann zählen wir nur noch den Countdown 10...9...8.....Nachtrag:
ok, irgendwie automatisch impliziert das das von außen sein sollte. Steht so aber gar nicht drin. Dann im LAN ist alles gut. -
Aber doch bitte nur per VPN zugreifen.
Ansonsten hättest du einen Port offen im Internet stehen
und dann zählen wir nur noch den Countdown 10...9...8.....Nachtrag:
ok, irgendwie automatisch impliziert das das von außen sein sollte. Steht so aber gar nicht drin. Dann im LAN ist alles gut.@oliverio sagte in Auf Datenpunkte von externen Anwendungen zugreifen:
Aber doch bitte nur per VPN zugreifen.
Hinter Reverse Proxy mit https, Basic Authentication und Geo-Blocking nur aus Deutschland finde ich auch ok :-)
ioBroker@Ubuntu 24.04 LTS (VMware) für: >260 Geräte, 5 Switche, 7 AP, 9 IP-Cam, 1 NAS 42TB, 1 ESXi 15TB, 4 Proxmox 1TB, 1 Hyper-V 48TB, 14 x Echo, 5x FireTV, 5 x Tablett/Handy VIS || >=160 Tasmota/Shelly || >=95 ZigBee || PV 8.1kW / Akku 14kWh || 2x USV 750W kaskadiert || Creality CR-10 SE 3D-Drucker
-
@oliverio sagte in Auf Datenpunkte von externen Anwendungen zugreifen:
Aber doch bitte nur per VPN zugreifen.
Hinter Reverse Proxy mit https, Basic Authentication und Geo-Blocking nur aus Deutschland finde ich auch ok :-)
Das begrenzt das Risiko, schließt es aber nicht aus.
Zusätzlich würde ich noch fail2ban einsetzen.
Das schränkt dann auch noch das rumprobieren von einer ip ein.Wenn jemand das nutzen kann, setzt er dir direkt ein Skript im JavaScript Adapter rein und startet das. Nur mit der simpleapi
Meine Adapter und Widgets
TVProgram, SqueezeboxRPC, OpenLiga, RSSFeed, MyTime,, pi-hole2, vis-json-template, skiinfo, vis-mapwidgets, vis-2-widgets-rssfeed
Links im Profil -
Das begrenzt das Risiko, schließt es aber nicht aus.
Zusätzlich würde ich noch fail2ban einsetzen.
Das schränkt dann auch noch das rumprobieren von einer ip ein.Wenn jemand das nutzen kann, setzt er dir direkt ein Skript im JavaScript Adapter rein und startet das. Nur mit der simpleapi
@oliverio Ich hatte auch an ein Setup mit Reverse-Proxy und vorgeschalteter Login Seite gedacht ... Dann kriegte meine Kabel - Fritzbox mit einem Update Wireguard VPN, und das war nicht mehr nötig ...
Mit einer vorgeschalteten Login-Seite sollte der Reverse Proxy aber durchaus auch eine recht ordentliche Sicherheit haben ...
Dass ich jetzt über Wireguard VPN gehen kann, hat mir das tiefere Einlesen in die Konfiguration NGINX erspart...Ich wollte nicht einfach ein Youtube-Video zum Thema nachklicken, ohne zu wissen, WAS ich da überhaupt tue.
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 12 on Proxmox 8.4.14)
Linux pve 6.8.12-16-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.03 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
@oliverio Ich hatte auch an ein Setup mit Reverse-Proxy und vorgeschalteter Login Seite gedacht ... Dann kriegte meine Kabel - Fritzbox mit einem Update Wireguard VPN, und das war nicht mehr nötig ...
Mit einer vorgeschalteten Login-Seite sollte der Reverse Proxy aber durchaus auch eine recht ordentliche Sicherheit haben ...
Dass ich jetzt über Wireguard VPN gehen kann, hat mir das tiefere Einlesen in die Konfiguration NGINX erspart...Ich wollte nicht einfach ein Youtube-Video zum Thema nachklicken, ohne zu wissen, WAS ich da überhaupt tue.
jede Software die nicht wirklich dazu gedacht ist frontal im Internet (Webserver,VPN,Firewalls,etc.) zu stehen ist halt ein Risiko.
Ich vergleiche die Adapter immer wieder mal mit Wordpress Plugins. Da gibt es auch immer wieder mal Nachrichten dazu.
Keiner wird euch zum iobroker oder auch Adapter irgendeine Sicherheits garantie geben, das durch irgend eine Schwachstelle nicht doch jemand eindringen kann.
Auch an einer vorgeschalteten Login-Seite könnte man Fehler machen.Auch einen offenen Port in ein System zu führen bei dem gleich das ganze LAN offen steht ohne demilitarisierte Zone, wo dann nochmal ein Firewall zum restlichen System dazwischen steht.
Ich will niemanden das ausreden, aber das Bewusstsein stärken, das man mit einem offenen Port höhere Sorgfaltspflicht an Updates, Software Sicherheit und Software Qualität haben muss und das man nur für sich selbst leise Jammern darf, falls mal doch was passiert.
Sicherheit benötigt Wissen und Aufwand. Ein Port öffnen geht in wenigen Sekunden.
Meine Adapter und Widgets
TVProgram, SqueezeboxRPC, OpenLiga, RSSFeed, MyTime,, pi-hole2, vis-json-template, skiinfo, vis-mapwidgets, vis-2-widgets-rssfeed
Links im Profil -
Das begrenzt das Risiko, schließt es aber nicht aus.
Zusätzlich würde ich noch fail2ban einsetzen.
Das schränkt dann auch noch das rumprobieren von einer ip ein.Wenn jemand das nutzen kann, setzt er dir direkt ein Skript im JavaScript Adapter rein und startet das. Nur mit der simpleapi
@oliverio sagte in Auf Datenpunkte von externen Anwendungen zugreifen:
Zusätzlich würde ich noch fail2ban einsetzen.
Wäre eine Idee.
Hinzu kommt ja noch das ich alles immer unter einer jeweils eigenen Subdomain betreibe. Und nur wenn der Zugriff mit den richtigen DNS-Namen meinsub1728436.meinedomain.de kommt, hat ein Angreifer überhaupt eine Chance was zu probieren.Laut den Zugriffslogs von Apache ist die Fremd-Zugriffsszahl = 0
-
jede Software die nicht wirklich dazu gedacht ist frontal im Internet (Webserver,VPN,Firewalls,etc.) zu stehen ist halt ein Risiko.
Ich vergleiche die Adapter immer wieder mal mit Wordpress Plugins. Da gibt es auch immer wieder mal Nachrichten dazu.
Keiner wird euch zum iobroker oder auch Adapter irgendeine Sicherheits garantie geben, das durch irgend eine Schwachstelle nicht doch jemand eindringen kann.
Auch an einer vorgeschalteten Login-Seite könnte man Fehler machen.Auch einen offenen Port in ein System zu führen bei dem gleich das ganze LAN offen steht ohne demilitarisierte Zone, wo dann nochmal ein Firewall zum restlichen System dazwischen steht.
Ich will niemanden das ausreden, aber das Bewusstsein stärken, das man mit einem offenen Port höhere Sorgfaltspflicht an Updates, Software Sicherheit und Software Qualität haben muss und das man nur für sich selbst leise Jammern darf, falls mal doch was passiert.
Sicherheit benötigt Wissen und Aufwand. Ein Port öffnen geht in wenigen Sekunden.
@oliverio Ich war durchaus erleichtert, dass das mit wireguard so gut geklappt hat ...
Zu Deinem Post
jede Software die nicht wirklich dazu gedacht ist frontal im Internet (Webserver,VPN,Firewalls,etc.)
Das, was in Klammern geschrieben ist, sollen Beispiele sein für Software, die dafür gedacht ist frontal im Internet zu stehen, oder?
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 12 on Proxmox 8.4.14)
Linux pve 6.8.12-16-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.03 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
@oliverio Ich war durchaus erleichtert, dass das mit wireguard so gut geklappt hat ...
Zu Deinem Post
jede Software die nicht wirklich dazu gedacht ist frontal im Internet (Webserver,VPN,Firewalls,etc.)
Das, was in Klammern geschrieben ist, sollen Beispiele sein für Software, die dafür gedacht ist frontal im Internet zu stehen, oder?
-
@oliverio Naja, die Basis von vielen Reverse Proxies ist NGINX, und der ist definitiv dafür gedacht, frontal im Internet zu stehen.
Ob er aber auch dafür gedacht ist, von Laien konfiguriert zu werden und dann ins Internet gestellt zu werden ...
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 12 on Proxmox 8.4.14)
Linux pve 6.8.12-16-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.03 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
@oliverio Naja, die Basis von vielen Reverse Proxies ist NGINX, und der ist definitiv dafür gedacht, frontal im Internet zu stehen.
Ob er aber auch dafür gedacht ist, von Laien konfiguriert zu werden und dann ins Internet gestellt zu werden ...
das problem liegt meist nicht am webserver. bzw wenn da was entdeckt wird, wird das auch schnell behoben.
Das Problem liegt an der "anderen" Applikation, die durch den Reverse Proxy ins Internet stellst.
Da haben wir dann bei iobroker 2 Spieler: einmal node und einmal iobroker selbst.
Wenn du dir sicher bist, das es da keine Probleme gibt, dann alles gut.Wie gesagt jede einzelne Maßnahme mindert die Chance, das jemand zugriefen kann.
Also:- reverse Proxy, sorgt dafür, das nur ein ganz bestimmter Ausschnit einer Applikation überhaupt im Internet vereitsteht
- Irgendeine Authentifizierung am reverse Proxy
- zufällige Subdomain oder Pfad (also ggfs mit gewürfelten ascii-Zeichen)(erhöht die Chance, das jemand den Zugriffspunkt überhaupt findet.(Hatte ich bisher selbst noch nicht daran gedacht)
- keine Standardports
- Fail2Ban (minimiert die Anzahl der fehlerhaften Versuche, bis eine IP gebannt wird.
Erst jetzt sind wir überhaupt an der Stufe das ein request an die Applikation weitergeleitet wird.
- Optionale Authentifizierung an der Applikation (ff. hab ich jetzt auch nicht)
- separater Nutzer
- maximale Einschränkung des Applikationsusers / Betriebssystemusers
- für iobroker ggfs auch über iobroker slave-Installation, die nur genau die Funktionen/Daten anbietet die notwendig sein sollten.
Auch muss man immer mal sehen wie interessant aktuell die Umgebung für jemanden ist.
Problem wird der weitere Einsatz von KI. Damit werden dann vollautomatisiert Angriffe auf individuellere Infrastrukturen möglich und wenn auch nur als Spam-Mail-relay,DDos-Client, aber auch ein im Netz erreichbarer Mail-Server zum durchsuchen von Account-Informationen oder ein nachgeladenes wirkeshark zum aufzeichnen der netzwerkaktivität (der traffik kann per arp spoofing über das eroberte gerät umgeleitet werden)node und iobroker sieht jetzt in der cve datenbank nicht so schlecht da.
https://www.cvedetails.com/vendor/22054/
https://www.cvedetails.com/vendor/12113/Nodejs.html
485
Online32.6k
Benutzer82.2k
Themen1.3m
Beiträge