Ich habe gerade mal etwas bei Youtube rumgestöbert und diese hier gefunden:
So ab 47:46 wird es sehr interessant.
Google das mal was er beschreibt…Hammer was man alles findet.
Also das ist sehr schockierend was man alles finde…
Nun gut… Wer so was direkt ins Netz bringt ist selbst schuld 
in der c’t waren da auch schon einige Berichte über „Steuerungen“ die direkt im Netz hängen.
Aber der gesamte Vortrag war recht amüsant anzuschauen.
Da wird sicher noch einiges folgen :-)… Bald soll ja jedes Haushaltsgerät ins Netz… Warum auch immer…
Wer so was direkt ins Netz bringt ist selbst schuld
Stimmt schon … aber ich erinnere auch mal, dass nach einem Update hier auch auf einmal die Webfronts aus dem Internet ohne Passwort erreichbar waren.
Ich persönlich fand die Aktion nicht sehr toll. :mad:
Das Thema macht mich auch nervös.
OK man kann das alles über VPN laufen lassen aber da wird es schon etwas anspruchsvoll den ganzen Zoo der Betriebssysteme diverser Endgeräte richtig einzubinden.
Vielleicht wäre das ja mal ein Thema für unser WIKI (für jemanden unter uns der sich mit Zugangssicherheit auskennt) genau zu beschreiben was man in Summe tuen muss um das System dicht zu bekommen bzw. die noch vorhandenen Schwachstellen aufzuzeigen.
Alls Amateur der etwas mit PHP spielt bin ich letztendlich ehrlich gesagt mit dem Thema überfordert so das ich mich nur auf den Hersteller verlassen kann
VPN ist heute doch kein Aufwand mehr…
Einfachste Lösung fritzbox kaufen, VPN Assistent durchklicken , fertig… Aufwand 5 Minuten… Gibt natürlich noch „bessere“ Lösungen ( Sophia utm, openvpn auf nem raspi oder oder)…
Und Die vpns sind heut unter Windows, Android, IOS gar kein Thema mehr… Das gibst ja schon ne onboard unterstützung… D.h. auf dem handy gibt man die ipadresse/dyndns Adresse/ myfritzadresse an + Name und Passwort,fertig. Aufwand nochmals 5 Minuten… Es ist echt nicht mehr kompliziert…
Und WG. Dem webfrontthema kann man die webfront IP aussen ja sperren…
Ja ein Passwort verhinder ja schon mal das jemand ohne aufwand was verändern kann.
Einige Leute verbreiten ja auch ihre DynDNS Adresse wie nix gutes…Hab da mal ein paar druchgeklickt und viele haben Ihre Website per DynDNS zu Hause gehostet, was natürlich die Adresse google bekannt macht.
Mastermind hat völlig recht, VPN kann man über viele Wege realisieren, z.B. auch mit besseren NAS Systemen.
Jeder „offene“ Verbindung ist ein Angriffspunkt und Passwörter sind häufig nur rudimentärer Grundschutz. Oder wer verwendet mehr als 8 Zeichen mit mindestens 4 aus 4?
Ja, mich auch.
Sehr gute Idee, nur derjeneige der das schreiben könnte ist mit dem Thema durch und hat dann bestimmt keine lust mehr auch noch Text zusammen zu dichten. Wenn es dann doch jemand machen wird ist es hoffentlich so, dass es für die im nächsten Satz beschriebenen Personen verständlich ist.
Ja, muss ich leider auch zugeben:o Auch wenn es sich bei einigen Vorrednern einfach anhört…
Jan
Ich denke, hier sind mindestens 2 Parteien gefordert: 1x der Hersteller und 1x der Nutzer.
Schließlich kann der hersteller nichts dafür, wenn der Nutzer seine Scheunentore aufmacht. Wo ich aber auch den Hersteller in der Pflicht sehe: sein Produkt nicht nur (nach menschlichem Ermessen und unter definierten Einsatzbedingungen) „sicher“ zu machen. Weiterhin sollte der Hersteller es dem Anwender erleichtern, seine eigene Sycurity auf das hier besprochene HA-System anzupassen.
Dazu muss er den Anwender in die Lage versetzen, dies auch zu können.
Dies tut man gehöhnlich mit Informationen, Spezifikationen, Rahmenbedingungen und Dokumentation.
Was der Anwender dann daraus macht => sein Problem.
Und genau bei dieser Transparenz bezgl. Produktsicherheit und deren Transparenz sehe ich in diesem Kontext noch deutlich Nachholbedarf. Schließlich reden wir hier über Software, mit deren Hilfe größere Investitionen automatisiert werden. Und unter Umständen hängt auch davon die Sicherheit von Personen ab.
Wie gesagt: ich würden den Hersteller nicht in der Allein-Haftung sehen (schon gar nicht im jur. Sinne, dazu bin ich nicht qualifiziert), jedoch mit einer nicht unerheblichen Mitwirkungspflicht. Und wie die immer mal wieder aufkommenden Diskussionen der verg. Monate/Jahre zeigen, gibts hier noch Nachholbedarf. Schweigen ist hier weniger zielführend 
Gebe dir in allen Punkten Recht.
Die hitzige Diskussion war ja mal dadurch entstanden, daß auf einmal obwohl man SSL und ein Passwort hinterlegt hatte man ohne Probleme auf die Webfronts kam. (da für die einzelnen Fronts kein PW hinterlegt war - war bis dahin auch nicht notwendig)
–> genau diese Lücke hat aber der Hersteller aufgemacht!
Hier muss eindeutig mehr Transparenz her!
P.S.
Mir hat die alte Variante auch viel besser gefallen – Eingabe Nutzer und PW. Man hat von Aussen überhaupt nicht gesehen, dass es sich um eine Haussteuerung bzw IPS handelt. Das ist jetzt anders.
René
Aber auch schon in der alten Variante war in den Einstellungen der Webserver Instanz der Hinweis dass die Authentifizierung nicht zum Absichern der Webfronts genutzt werden soll. Hat aber wohl keinen Interessiert hat, da die Funktionen noch gegeben war.
Ansonsten, gerade was etwas mehr Informationen z.b. bzgl. verwendete Ports oder Passwortschutz WebFront betrifft, sehe ich das auch so wie Raktenschnecke.
Michael
Hab nginx auf einer archlinux virtuellen Box als reverse Proxy eingerichtet, mit SSL etc. Die webfront selbst ist ungeschützt. Das hat auch viele andere Vorteile. Vielleicht kann man das hacken, es wäre aber ein großer Aufwand um ein paar Lichtschalter bei mir an- und auszumachen.
Bei vielen sind es ja nicht nur die Lichtschalter. Es wäre schon nicht so prall wenn man im Winter für ein Paar Tage in Skiurlaub fährt, bei der Rückkehr feststellen muss das alle Heizkörper abgedreht sind und im schlimmsten Fall die Bude schon unter Null ist, mit eingefrohrenen Rohren - ein Beispiel.
Jan
… und wer einen solchen Aufwand treibt, (nur) um am Ende sein Licht fernsteuerbar zu machen, dem braucht man mit logischen Argumenten auch nicht mehr zu kommen 
Also, für mich stimmt das Verhältnis von Aufwand zu Ertrag. SSL mit einem langen key ist ja nicht so einfach zu knacken. Und nginx verwenden auch viele grosse Firmen, nicht ohne Grund.
Und Sticheleien über meine Logik sagen wohl mehr über deren Urheber als über mich, vor allem weil sie immer von der gleichen Person kommen.
Als Alt-User mische ich mich auch mal kurz ein.
Einige Jahre hatte ich auch den WF Port offen und das WF war nur durch ein ganz simples Passwort geschützt. Passiert ist nie was.
Irgendwann hab ichs dann doch abgedreht und mich aufgrund der diversen Ungereimtheiten nicht mehr getraut zu öffnen.
Auch jetzt noch ist mir eine nach extern halbwegs akzeptable Konfiguration zu undurchsichtig.
Darauf folgten diversen Versuche mit softwareseitigen VPN (am IPS Server, bzw. auch mit Raspberry) so richtig zum funktionieren hab ich keine gebracht. Als Hobby Admin ist man mit den ganzen Begriffen und und den Zertifikaten ect. einfach überfordert.
Schließlich hab ich mich dann dazu durchgerungen 150€ in eine Fritzbox zu investieren. Was soll ich sagen, -
VPN Konfiguration war in wenigen Minuten erledigt und nun fliegt das ganze.
Über jedwelige Sicherheitsgeschichten in IPS muß ich mir nun keinen Kopf mehr machen. Das waren mir die 150€ locker wert.
gruß
bb
Da wir (noch?) kein Beitrags-Bewertungs-System haben mache ich das mal manuell und von Hand denn dem ist nichts mehr hinzu zu fügen.
Tonic1024 dankt bbernhard für diesen Beitrag
Das würde mir auch gefallen :).
Und bezüglich VPN kann das heute jedes „bessere“ NAS mit einfacher Konfiguration.
Wer „egal was“ offen ins Internet stellt, handelt aus meiner Sicht grob fahrlässig!
Bitte relativierte ‚egal was‘.
Weil wenn ich eine Website ins Netz stelle, dann sollte sie schon offen für die Allgemeinheit sein. Sonst bringt das ja nix.
(Ich rede jetzt nicht vom Webfront oder anderen Sicherheitskritischen Sachen).
Und das eine Verschlüsselung keinen Zugangsschutz/Passwort/ Authentifizierung ersetzt oder ohne extra Arbeit beinhaltet, sollte auch klar sein.
Michael
Abend allerseits!
Ich hatte ja an anderer Stelle in einem Thread schon mal etwas zum Thema Sicherheit bei IPS geschrieben…
…und ich muss sagen, so toll wie ich IPS allgemein finde, so schlecht finde ich den Umgang mit dem Thema Sicherheit!
Auf Anfragen bekommt man eher eingeschränkt antworten, keine klaren/verbindlichen Aussagen und es wird nicht klar und deutlich kommuniziert wie wo was wie abgesichert ist oder Best Practice oder sowas in der Richtung…das ist das einzige was mit bei IPS doch arg stört!
Klar, VPN einrichten, fertig. > ABER es ginge auch anders! Thema „Connector“ oder ein eigenes Zertifikat im IPS einbauen, Verschlüsselung allgemein, bessere/andere Absicherung des WebFront, … Finde ich so wie es ist alles ziemlich suboptimal.
Also entweder klar sagen >> das ist ein Kundenproblem, macht euch das mit VPN oder sonstwie. Oder aber das Thema Sicherheit im IPS richtig umsetzen und offen kommunizieren! Denn bzgl. Sicherheit traue ich dem IPS genau NULL.
Grüße,
Chris