Beiträge: 436
Themen: 80
Registriert seit: Aug 2013
Bewertung:
6
wie man bei Wiso gesehen hat (siehe Link), ist die Verbindung über den Port 80, auch dann von anderen möglich das Haus zu steuern.
Gibt es da nicht eine andere möglichkeit das Haus zu steuern, mit einer sicheren Verbindung.
Link:https://www.youtube.com/watch?v=u3gPZY4WIt0
Mit freundlichen Grüßen aus Baden
Jürgen
Beiträge: 154
Themen: 13
Registriert seit: Jun 2016
Bewertung:
2
Über welchen Port das erfolgt, ist ziemlich egal, auch wenn die Kommunikation via Port 443 und mit einer TLS Transportverschlüsselung erfolgt, ist ein Serverzugang keineswegs sicher, nur der Transportweg ist verschlüsselt.
Der Zugang zur GVS ist mit Nutzername und Passwort geschützt. Das Passwort kann man untrivial machen, aber wie die GVS auf Falscheingaben reagiert, weiß das LCN Team besser.
Aber der Schwachpunkt ist ein anderer: der exposed host (nein, einfache Router haben keine DMZ). Mit Übernahme irgendetwas auf dem exposed host, z.B. über eine ungefixte Lücke des Betriebssystems des PC/Servers auf dem die GVS läuft, ist das gesamte LAN in Gefahr.
Warum kein (Einwahl-)VPN? Eine Fritzbox als VPN Server dafür kann bereits ausreichend sein. Man benötigt nur eine öffentlich erreichbare IPv4 (also kein dual stack lite) am Standort der Fritzbox. Anleitungen wie man den VPN Client bei iOS, Android, Windows und Linux einrichtet, gibt es bei AVM.
VG Thomas
___________________________________________________________
LCN seit 2001
Beiträge: 1.711
Themen: 156
Registriert seit: Jul 2013
Bewertung:
18
Moin Jürgen
Dieser Wisobeitrag ist totaler Schwachsinn. Sorry.
Hab damals auch drunter ausführlich kommentiert... Was dort gezeigt wird hat nix mit Hacken zu tun. Einen Hacker bemerkst du gar nicht...
mfg Carsten
Beiträge: 436
Themen: 80
Registriert seit: Aug 2013
Bewertung:
6
Na wie macht man es dann sicherer. Die GVS geht ja ohne sie Ports nicht.
Ein VPN Tunnel zu öffnen um was zu steuern ist sicher aber sehr umständlich.
Ob ich dann vom Geschäft PC mal daheim nach dem Rechten sehen kann ohne VPN rechte naja.
Ich weis kein einfaches Thema, aber man kann ja mal fragen wie es dieanderen machen.
Mit freundlichen Grüßen aus Baden
Jürgen
Beiträge: 1.175
Themen: 7
Registriert seit: Jul 2013
Bewertung:
19
Also, dann schauen wir mal, was die Kollegen von WISO dort sagen.
Im ersten Fall wurde es als das Riesenproblem dargestellt, dass Port 80 freigegeben wurde. Im Nachhinein war aber eigentlich das Problem, dass der Kunde ausdrücklich die Passwortabfrage abgeschaltet hatte. Damit war natürlich für jedermann der Zugriff frei. Nach Aktivieren der Passwortabfrage war laut WISO alles Ok.
Bauen Sie eine Tür in ein Haus (Port 80 öffnen) und sehen dann in der Tür kein Schloss vor (Passwort abfrage abschalten) ? Dann wundern Sie sich sicher nicht über ein leer geräumtes Haus, oder ?
Im zweiten Fall wurde als Schutzmaßnahme der Port 80 wieder gesperrt, stattdessen die App benutzt, welche dann über eine Cloud zugreift. Der Zugriff über Port 80 war angeblich so unsicher, weil nicht verschlüsselt, die App dagegen greift verschlüsselt zu. Eine Passwortabfrage war hier offenbar garnicht möglich. Ob verschlüsselt oder nicht, spielt aber keine Rolle, solange kein Passwort genutzt wird. Auch wenn ich eine verschlüsselte Verbindung (z.B. https) über den Browser nutze, bietet das keinen Schutz, wenn es keine Passwortsicherung gibt. Und ob die Sicherheit nun wirklich größer ist, wenn das System im Haus nun nicht wartet, dass eine Verbindung von außen kommt, sondern stattdessen selber aktiv eine Verbindung nach außen (eben zur Cloud) aufbaut, sei mal dahingestellt.
Dass es in den genannten Beispielen möglich war, anhand der IP-Adresse das Haus zu finden, ist ebenfalls sehr unwahrscheinlich. Die IP-Adressen werden heutzutage doch recht global verteilt. In Hannover wurde ich schon öfter laut IP-Adresse in Hamburg verortet...
Grundsätzlich ist der Ansatz des Berichtes natürlich sinnvoll, das Bewusstsein für mögliche Gefahren zu wecken, bedauerlich ist es aber, dass der Benutzer ziemlich ratlos zurückgelassen wird, worauf er wirklich achten sollte.
Im Falle der LCN-GVS sieht es letztlich so aus:
- Für den LCN-GVS Server wird der Port 80, ggf. der Port 443 freigegeben. Möchte man den Port 443 nutzen, muss man ein Zertifikat anlegen, hat dafür eine verschlüsselte Verbindung.
- Es sollte keinesfalls ein nicht benötigter Port freigegeben werden (z.B. der 5220, was wir bei Kunden schon gesehen haben).
- Die LCN-GVS erlaubt ein Abschalten der Passwortabfrage überhaupt nicht, wie es bei den Systemen von WISO dargestellt möglich war.
- Selbstverständlich sollte es sein, das Standardpasswort zu ändern.
Für einen sicheren Betrieb der LCN-GVS gibt es also folgende Möglichkeiten:
1. Auf alle Fälle das Standardpasswort ändern.
2. Nach außen nur die Ports freigeben, die wirklich gebraucht werden.
a) entweder Port 80. Zugriff dann über http://
b) oder für mehr Sicherheit Port 443, wenn ein Zertifikat angelegt wurde, (bei der LCN-GVS Home standardmäßig vorhanden), Zugriff dann über https:// (nicht möglich bei der iOS App)
3. Wer es noch sicherer haben möchte, baut einen VPN-Tunnel auf, z.B. über die eigenen Funktionen der Fritz.box)
Hier muss eben jeder selber abwägen, wie weit er gehen möchte. Je mehr Sicherheit, je unkomfortabler wird es. So wie ein Haus ohne Fenster und Türen maximal sicher ist, aber nicht mehr zugänglich, ein Haus mit Fenster und Türen ohne Schloss problemlos zugängig ist, aber eben auch maximal unsicher.
Mit freundlichen Grüßen vom LCN-Team
H.Szlopsna