php-Status-Abfrage der drehgriffkontakte

[kaju74]

Hallo!

Das kann wohl am besten dirch beantworten.....@dirch: Hallo...? Bist Du online?

Gruß,
kaju

[dirch]

Wie bekomme ich nun den Patch wieder runter???

Da es ein Patch ist gibt es keinen einfachen Weg ihn wieder zu deinstallieren. Einfach die Firmware neu flashen, dann ist der Patch wieder raus.

Gruss,
Dirch

[kaju74]

Danke...nehme ich mal auf meiner Seite auf...

Gruß,
kaju

[dirch]

Hallo,

mal ne janz wischtische Frage: ich hatte das mit dem XML Patch mal getestet, war aber dann ganz schnell der Meinung, da meine Homatic vom Internet aus erreiczhbar ist, das dass Ganze irgendwie schon durch http Access geschützt sein sollte. Ich hatte durch ein anderes Projekt einen 2. http Server mit http Access auf der Zentrale installiert, möchte also nun schnellstens die Dateien des Patches aus meinem www ordner gelöscht haben, bekomme aber immer die Meldungen das ich wegen read-only filesystem nicht löschen kann. Wie bekomme ich nun den Patch wieder runter???

Ach ja, ich will Dir ja nicht den Spass verderben, aber die CCU vom Internet erreichbar zu machen ist auch ohne den Patch alles andere als zu empfehlen. Es gibt mehrere Seiten die ohne Passwort erreichbar sind mit denen man vollen Zugriff auf die CCU und letztendlich auf Dein ganzes Netz bekommen kann. Da ist der Patch das geringste Risiko weil man dadrueber nur Aktoren schalten bzw. Werte auslesen kann.

Ach ja, fuer Details einfach mal die Forensuche mit dem Suchbegriff "Scheunentor" bemuehen.

Gruss,
Dirch

[chii]

Hallo Dirch,

Ach ja, ich will Dir ja nicht den Spass verderben, aber die CCU vom Internet erreichbar zu machen ist auch ohne den Patch alles andere als zu empfehlen. Es gibt mehrere Seiten die ohne Passwort erreichbar sind mit denen man vollen Zugriff auf die CCU und letztendlich auf Dein ganzes Netz bekommen kann. Da ist der Patch das geringste Risiko weil man dadrueber nur Aktoren schalten bzw. Werte auslesen kann.

Ach ja, fuer Details einfach mal die Forensuche mit dem Suchbegriff "Scheunentor" bemuehen.

Ich habe mal deinen Ratschlag beherzigt und nach dem genannten Begriff gesucht. Dabei ist mir aufgefallen, dass alle "Scheunentore" sich auf nicht Http-Ports beziehen. Ich meine, da gibt es die XML-Ports 2000 bis 2002 und den Script-Port 8181. Darüber kann man so einigen machen, aber die Ports sind vom Internet aus auch nicht erreichbar.

Bezüglich der Ports 80 bzw. 443 habe ich noch von keinem Scheunentor gehört - und nur auf Port 443 kann man vom Internet aus zugreifen. Da braucht man doch immer eine laufende Sitzung, oder? Genau das ändert aber die XML-API, daher kann ich Mediamann2000 irgendwie verstehen.

Ich bin jetzt durch deine Aussage ein wenig verunsichert. Was übersehe ich?

Fragend,
chii

[Mediaman2000]

Also schonmal danke für den Tip mit dem neu Flashen, so bekomm ich das sicherlich raus.
Das mit dem Sicherheitsrisiko sehe ich momentan auch nicht so kritisch, weil die Homematic weiterhin ein Exot im Internet ist, der mit großer Wahrscheinlichkeit schonmal nicht von irgendwelchen Automatismen "gehackt" werden wird. Zudem betreibe ich auf unserer Dyndns Adresse keine weiteren Dienste, die durch eine Indizierung von Suchmaschinen betroffen wären, die so den Bekanntsheitsgrad unserer Adresse erhöhen. Ich habe selbst NATÜRLICH auch nur den http Port offen und mal ehrlich: auch wenn man als Unbekannter vielleicht auf die Anmeldeseite kommen sollte, viel machen kann man da nu wirklich nicht.

[dirch]

Bezüglich der Ports 80 bzw. 443 habe ich noch von keinem Scheunentor gehört - und nur auf Port 443 kann man vom Internet aus zugreifen. Da braucht man doch immer eine laufende Sitzung, oder? Genau das ändert aber die XML-API, daher kann ich Mediamann2000 irgendwie verstehen.

Ich bin jetzt durch deine Aussage ein wenig verunsichert. Was übersehe ich?

Ich denke du hast so gesehen nichts uebersehen, zumindests nix was mir spontan einfaellt. Wobei die Aussage dass man vom Internet nur ueber 443 auf die CCU zugreifen kann nicht korrekt ist, haengt halt davon hab welche Ports man auf dem Router forwarded. Wenn man den Fehler begeht und die CCU in die DMZ stellt dann sind durchaus auch alle anderen - von Dir richtig aufgezaehlten - Ports ein Problem.

Aber auch wenn die CCU nur ueber Port 80 oder 443 erreichbar ist dann ist doch die einzige Absicherung das CCU interne Session Handling. Ich will nicht sagen dass es unsicher ist, aber ich werde auch nicht das Gegenteil behaupten.

Also schonmal danke für den Tip mit dem neu Flashen, so bekomm ich das sicherlich raus.
Das mit dem Sicherheitsrisiko sehe ich momentan auch nicht so kritisch, weil die Homematic weiterhin ein Exot im Internet ist, der mit großer Wahrscheinlichkeit schonmal nicht von irgendwelchen Automatismen "gehackt" werden wird. Zudem betreibe ich auf unserer Dyndns Adresse keine weiteren Dienste, die durch eine Indizierung von Suchmaschinen betroffen wären, die so den Bekanntsheitsgrad unserer Adresse erhöhen. Ich habe selbst NATÜRLICH auch nur den http Port offen und mal ehrlich: auch wenn man als Unbekannter vielleicht auf die Anmeldeseite kommen sollte, viel machen kann man da nu wirklich nicht.

Sehe ich aehnlich. Insbesondere weil der Patch von sich aus nichts offenbart oder potentiell sicherheitsrelevante Schnittstellen publiziert. Nichts destro trotz ist es natuerlich richtig dass hier Schnittstellen ohne Authentisierung geschaffen werden. Ich habe auch in meinem Post noch einmal explizit darauf hingewiesen - trotzdem muesste ein Angreifer schon hier im Forum mitlesen und koennte dann maximal bei dir irgendwas schalten. Selbst wenn du eine Winmatic eingebunden hast muesste der Angreifer noch Deine Adresse kennen . . . .
Trotz allem wuerde ich generell nicht empfehlen die CCU auf irgendeine Art direkt aus dem Internet zugaenglich zu machen. Ich denke es gibt heutzutage genuegend Mechanismen (VPN, ssh tunnel, Port knocking, u.s.w.) wie man Geraete nicht direkt von Extern zugaenglich macht. Wer irgendwie um Sicherheit besorgt ist wird imho die CCU nie direkt von aussen angreifbar bzw zugreifbar machen.

Gruss,
Dirch

PS: nur am Rande, bei mir darf die CCU nichtmals ausgehend direkt mit dem Internet kommunizieren. Zumindest nicht so lange ich es nicht explizit erlaube
PSS: eine der neun Stimmen sagt ich waere paranoid, aber das glauben die anderen 8 nicht Ein Hoch auf die Demokratie

[Mediaman2000]

Jeder soll seine eigene Sicherheitsphilosophie vertreten. Da ich ansich auch immer weiß was ich tue, bin ich eher der experimentierfreudige Mensch, da ich bisher nie irgendwelche Probleme durch Angreifer hatte.