CCU3 sicher genug für Türschlösser?
Moderator: Co-Administratoren
-
- Beiträge: 385
- Registriert: 19.06.2017, 09:24
- Hat sich bedankt: 20 Mal
- Danksagung erhalten: 67 Mal
CCU3 sicher genug für Türschlösser?
Hallo zusammen,
ich erwäge gerade die Anschaffung eines Türschlossantriebs HmIP-DLD für die Haustüre. Die Antriebe haben ja die Möglichkeit, die Türe nach dem Aufschließen zu öffnen, indem der Schlüssel kurz in Öffnen-Richtung weiter gedreht wird. Jeder, der auf die CCU zugreifen kann, könnte also die Türe öffnen und damit ins Haus gelangen.
Ohne Portforwarding muss man dafür ins Netzwerk gelangen, und genau da kommt mein Problem. Es gibt hier in einem Bereich des Hauses, der, sagen wir mal prinzipbedingt nicht allzu gut gegen unbefugten Zutritt gesichert ist, die Möglichkeit an einen Netzwerkanschluss zu gelangen. Mehr möchte ich nicht verraten
Meine Frage wäre deshalb, wie sicher die CCU mittlerweile gegen Eindringen gesichert ist.
Anders gefragt, was man tun müsste um sie wirklich dagegen zu schützen. Im Internet finden sich zwar Artikel dazu, aber natürlich keine genaue Beschreibung, welche Wege für Angriffe ausgenutzt werden. Mein Plan wäre, PivCCU in einem VLAN zu verstecken und den Zugriff über einen Reverse Proxy zu realisieren. Über diesen könnte man in meiner Vorstellung die Angriffsvektoren gezielt sperren.
Damit hier niemand öffentlich die Lücken ausplaudern muss, wäre die Frage daher an die Experten, ob mir jemand über privaten Schriftverkehr erklären möchte, was man genau blockieren müsste, damit die CCU gegen Feinde gesichert ist, die es ins Netzwerk geschafft haben.
Mir ist klar, dass es keine 100%ige Sicherheit geben kann. Trotzdem wäre mir wohler zu wissen, dass man wenigstens ausreichend Know-How mitbringen muss, um in mein Haus zu kommen.
Installiert sind derzeit:
CCU3 (Pivccu3) Firmware 3.73.9
hm_pdetect 1.16
CUxD 2.11
Programme Drucken 2.6
XML-API 2.3
Alternativ wäre die Frage, hat jemand eine Idee, das Öffnen mechanisch im DLD zu unterbinden?
ich erwäge gerade die Anschaffung eines Türschlossantriebs HmIP-DLD für die Haustüre. Die Antriebe haben ja die Möglichkeit, die Türe nach dem Aufschließen zu öffnen, indem der Schlüssel kurz in Öffnen-Richtung weiter gedreht wird. Jeder, der auf die CCU zugreifen kann, könnte also die Türe öffnen und damit ins Haus gelangen.
Ohne Portforwarding muss man dafür ins Netzwerk gelangen, und genau da kommt mein Problem. Es gibt hier in einem Bereich des Hauses, der, sagen wir mal prinzipbedingt nicht allzu gut gegen unbefugten Zutritt gesichert ist, die Möglichkeit an einen Netzwerkanschluss zu gelangen. Mehr möchte ich nicht verraten
Meine Frage wäre deshalb, wie sicher die CCU mittlerweile gegen Eindringen gesichert ist.
Anders gefragt, was man tun müsste um sie wirklich dagegen zu schützen. Im Internet finden sich zwar Artikel dazu, aber natürlich keine genaue Beschreibung, welche Wege für Angriffe ausgenutzt werden. Mein Plan wäre, PivCCU in einem VLAN zu verstecken und den Zugriff über einen Reverse Proxy zu realisieren. Über diesen könnte man in meiner Vorstellung die Angriffsvektoren gezielt sperren.
Damit hier niemand öffentlich die Lücken ausplaudern muss, wäre die Frage daher an die Experten, ob mir jemand über privaten Schriftverkehr erklären möchte, was man genau blockieren müsste, damit die CCU gegen Feinde gesichert ist, die es ins Netzwerk geschafft haben.
Mir ist klar, dass es keine 100%ige Sicherheit geben kann. Trotzdem wäre mir wohler zu wissen, dass man wenigstens ausreichend Know-How mitbringen muss, um in mein Haus zu kommen.
Installiert sind derzeit:
CCU3 (Pivccu3) Firmware 3.73.9
hm_pdetect 1.16
CUxD 2.11
Programme Drucken 2.6
XML-API 2.3
Alternativ wäre die Frage, hat jemand eine Idee, das Öffnen mechanisch im DLD zu unterbinden?
- Roland M.
- Beiträge: 9855
- Registriert: 08.12.2012, 15:53
- System: CCU
- Wohnort: Graz, Österreich
- Hat sich bedankt: 255 Mal
- Danksagung erhalten: 1403 Mal
Re: CCU3 sicher genug für Türschlösser?
Hallo!
Oder diesen LAN-Anschluss in ein eigenes VLAN setzen.
Oder versperrbare Dose verwenden.
Aber ich habe auch noch nie gehört, dass sich Einbrecher auf CCUs spezialisiert haben.
Wie hoch sind die Erfolgsaussichten, dass jemand ein Haus mit Homematic findet (ok, mit EQ3-RFA herumfahren), dann versucht, über ein schwach gesichertes WLAN oder eine außenliegende LAN-Buchse softwaretechnisch einzudringen, hoffen, dass man eine CCU findet und keinen AP und dann noch hoffen eine Keymatic zu finden. Kalle mit dem 5-kg-Universalschlüssel ist da längst schon im Haus drinnen und wieder draußen.
Roland
Kleinen Switch dazwischen setzen und den mit einem Schaltaktor nach Bedarf ein- und ausschalten.
Oder diesen LAN-Anschluss in ein eigenes VLAN setzen.
Oder versperrbare Dose verwenden.
Oder einfach ein VPN einrichten.Mein Plan wäre, PivCCU in einem VLAN zu verstecken und den Zugriff über einen Reverse Proxy zu realisieren.
Die offenen Scheunentore sind lang keine Geheimnisse mehr. Autologin und Port 8181.Damit hier niemand öffentlich die Lücken ausplaudern muss, wäre die Frage daher an die Experten, ob mir jemand über privaten Schriftverkehr erklären möchte, was man genau blockieren müsste,
Access Point verwenden. Dort ist das Öffnen der Tür aus Sicherheitsgründen überhaupt nicht möglich!Alternativ wäre die Frage, hat jemand eine Idee, das Öffnen mechanisch im DLD zu unterbinden?
Aber ich habe auch noch nie gehört, dass sich Einbrecher auf CCUs spezialisiert haben.
Wie hoch sind die Erfolgsaussichten, dass jemand ein Haus mit Homematic findet (ok, mit EQ3-RFA herumfahren), dann versucht, über ein schwach gesichertes WLAN oder eine außenliegende LAN-Buchse softwaretechnisch einzudringen, hoffen, dass man eine CCU findet und keinen AP und dann noch hoffen eine Keymatic zu finden. Kalle mit dem 5-kg-Universalschlüssel ist da längst schon im Haus drinnen und wieder draußen.
Roland
Zur leichteren Hilfestellung bitte unbedingt beachten:
-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...
- Bezeichnung (HM-... bzw. HmIP-...) der betroffenen Geräte angeben (nicht Artikelnummer)
- Kurzbeschreibung des Soll-Zustandes (Was soll erreicht werden?)
- Kurzbeschreibung des Ist-Zustandes (Was funktioniert nicht?)
- Fehlermeldungen genau abschreiben, besser noch...
- Screenshots von Programmen, Geräteeinstellungen und Fehlermeldungen (direkt als jpg/png) einstellen!
-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...
- Henke
- Beiträge: 1536
- Registriert: 27.06.2022, 20:51
- System: CCU
- Hat sich bedankt: 144 Mal
- Danksagung erhalten: 309 Mal
Re: CCU3 sicher genug für Türschlösser?
Jemand der die Kenntnisse hat ein Netzwerk zu hacken und die Kontrolle dann über dein Türschloss zu übernehmen kann, steht mit an Sicherheit grenzender Wahrscheinlichkeit nicht vor deiner Tür, sondern ist am Arbeiten oder im Urlaub.
Die "Einbrecher" sind nicht gerade die hellsten Leuchten und nehmen schnelle, schwache Angriffspunkte. Das sind eher Kellerfenster, Fenster, Teerassentüren und Türen die sich aushebeln lassen. Auch die Schlösser sind mit entsprechendem Werkzeug innerhalb von 2 Minuten erledigt. Unangenehm ist dabei der entstandene Schaden.
Zum Netzwerk:
Ob es nun ein W-Lan oder der Zugang über ein Kabel ist, macht keinen großen Unterschied. Beide sind schließlich durch ein vernünftiges Passwort geschützt. Wink mit dem Zaunpfahl...
Das CCU Netz dahinter nochmals mit einer VPN zu trennen erweitert zwar den Schutz, aber kann durch installierte Software auch ausgehebelt werden. Nutzen und Aufwand stehen da für mich in keiner Relation. Es muss verhindert werden, das überhaupt jemand in eines der Netze kommt.
Was jedoch recht einfach ist, ist den Zugang zur CCU auf bestimmte Netzwerkadressen zu beschränken. Stichwort: CCU-Firewallregeln. Ich kann z.B. nur von meinem PC und meinem Handy, wenn es im W-Lan ist, auf die CCU.
Das kann natürlich auch auf den DHCP-Server angewandt werden, wenn man dort nur feste Adressen vergibt für das lokale Netz und den Rest ausschließt.
Wo ich mir etwas mehr Gedanken machen würde, ist die Ansteuerung des Schlosses. Hier muss ausgeschlossen werde, das es nicht durch Fehler in der Programmierung die Tür am 2. Urlaubstag öffnet.
Die "Einbrecher" sind nicht gerade die hellsten Leuchten und nehmen schnelle, schwache Angriffspunkte. Das sind eher Kellerfenster, Fenster, Teerassentüren und Türen die sich aushebeln lassen. Auch die Schlösser sind mit entsprechendem Werkzeug innerhalb von 2 Minuten erledigt. Unangenehm ist dabei der entstandene Schaden.
Zum Netzwerk:
Ob es nun ein W-Lan oder der Zugang über ein Kabel ist, macht keinen großen Unterschied. Beide sind schließlich durch ein vernünftiges Passwort geschützt. Wink mit dem Zaunpfahl...
Das CCU Netz dahinter nochmals mit einer VPN zu trennen erweitert zwar den Schutz, aber kann durch installierte Software auch ausgehebelt werden. Nutzen und Aufwand stehen da für mich in keiner Relation. Es muss verhindert werden, das überhaupt jemand in eines der Netze kommt.
Was jedoch recht einfach ist, ist den Zugang zur CCU auf bestimmte Netzwerkadressen zu beschränken. Stichwort: CCU-Firewallregeln. Ich kann z.B. nur von meinem PC und meinem Handy, wenn es im W-Lan ist, auf die CCU.
Das kann natürlich auch auf den DHCP-Server angewandt werden, wenn man dort nur feste Adressen vergibt für das lokale Netz und den Rest ausschließt.
Wo ich mir etwas mehr Gedanken machen würde, ist die Ansteuerung des Schlosses. Hier muss ausgeschlossen werde, das es nicht durch Fehler in der Programmierung die Tür am 2. Urlaubstag öffnet.
-
- Beiträge: 385
- Registriert: 19.06.2017, 09:24
- Hat sich bedankt: 20 Mal
- Danksagung erhalten: 67 Mal
Re: CCU3 sicher genug für Türschlösser?
Der Anschluss soll insbesondere dann aktiv sein, wenn ich nicht zuhause bin. Aber Du bringst mich auf eine Idee, ich könnte die angeschlossenen Geräte über CUxD Ping überwachen und die Leitung trennen, wenn eins davon abgesteckt wird. Muss ich nochmal überdenken, Voraussetzungen dafür wären eigentlich gegeben.
Es geht mir tatsächlich um die Sicherheit innerhalb des Netzwerks. Aus dem Internet ist die CCU sowieso nicht erreichbar, bzw. nur über VPN. Den Reverse Proxy möchte ich intern verwenden, analog dem Betrieb von PiVCCU über WLAN, weil Apache doch nochmal mehr Möglichkeiten zur Filterung bietet. Mein Ansinnen war, die Sicherheitslücken der CCU über Apache abzufangen, nur habe ich eben keine brauchbaren Anhaltspunkte gefunden, welche das wären.
Ich habe nicht wirklich was genaueres dazu gefunden, oder falsch gesucht, deshalb dieser Thread. Nachdem was man hier im Forum immer so mitbekommen hat ("Happy Hacking"), hat sich das für mich so angehört, als könnte jeder Depp, der weiß nach was er googeln muss, jeglichen Kennwortschutz umgehen und eine CCU übernehmen.
Wenn das schwer bis unmöglich wird, sofern Autologin aus- und RemoteSkriptAPI Authentifizierung eingeschaltet sind, beruhigt mich das schon mal.
Wie gesagt, ist mir durchaus bewusst und darüber möchte ich auch nicht diskutieren. Mir war halt einfach nicht wohl bei dem Gedanken, dass ich mir ausgerechnet mit einem Türschlossantrieb, der eigentlich für mehr Schutz sorgen soll, weil das Haus dann für mich ans Abschließen denkt, stattdessen eine noch größere Lücke einbaue.
Ich mag mich täuschen, das gilt doch nur für die APIs, nicht für das WebUI. Zumindest verhält sich meine PiVCCU so.
- Roland M.
- Beiträge: 9855
- Registriert: 08.12.2012, 15:53
- System: CCU
- Wohnort: Graz, Österreich
- Hat sich bedankt: 255 Mal
- Danksagung erhalten: 1403 Mal
Re: CCU3 sicher genug für Türschlösser?
Hallo!
Ich habe im Wochenendhaus meine Kameras (*) ganz bewusst auf Basis WLAN integriert, weil ich das WLAN besser sichern kann, als (physikalisch) LAN-Buchsen.
Auch interne IPs kann man faken, also wäre mein erster Gedanke, den Zutritt zum LAN von vornherein zu verhindern. Allem voran mechanisch.
Nein, ein Türschlossantrieb bietet gleich wie die ganze Homematic nicht mehr Sicherheit, sondern nur mehr Komfort. Mehr nicht.
Für mich persönlich stellt sich die Frage nach Türschlossantrieben gar nicht. Meine Türen, die dafür prädestiniert wären, sind die jeweils einzigen Zugänge zu Wohnungen bzw. Bereiche des Hauses. In Kombination mit Schlössern ohne Notfallfunktion könnte schon ein blockierendes Getriebe ungeahnte Folgen bereiten...
Roland
(*) ganz abgesehen von der österreichischen Rechtslage, in dessen Graubereich ich mich bewusst aufhalte...
Also könnte ein Anwendungsfall gaaanz zufällig Web-Kameras sein.
Ich habe im Wochenendhaus meine Kameras (*) ganz bewusst auf Basis WLAN integriert, weil ich das WLAN besser sichern kann, als (physikalisch) LAN-Buchsen.
Was soll das bringen?Es geht mir tatsächlich um die Sicherheit innerhalb des Netzwerks. Aus dem Internet ist die CCU sowieso nicht erreichbar, bzw. nur über VPN. Den Reverse Proxy möchte ich intern verwenden,
Auch interne IPs kann man faken, also wäre mein erster Gedanke, den Zutritt zum LAN von vornherein zu verhindern. Allem voran mechanisch.
Na ja, YouTube-Videos als Ersatz für das Studium der vorhandenen Dokumentation gibt es - je nach Sichtweise Gott sei Dank oder leider - noch nicht, ich möchte aber auch nicht @Black, der sich dankenswerterweise um Hacking-Opfer kümmert, als "Depp" darstellen, nachdem er auch nur das umsetzt, was auch Hacker (im besten Fall... ) beherrschen.Nachdem was man hier im Forum immer so mitbekommen hat ("Happy Hacking"), hat sich das für mich so angehört, als könnte jeder Depp, der weiß nach was er googeln muss, jeglichen Kennwortschutz umgehen und eine CCU übernehmen.
Mir war halt einfach nicht wohl bei dem Gedanken, dass ich mir ausgerechnet mit einem Türschlossantrieb, der eigentlich für mehr Schutz sorgen soll,
Nein, ein Türschlossantrieb bietet gleich wie die ganze Homematic nicht mehr Sicherheit, sondern nur mehr Komfort. Mehr nicht.
Für mich persönlich stellt sich die Frage nach Türschlossantrieben gar nicht. Meine Türen, die dafür prädestiniert wären, sind die jeweils einzigen Zugänge zu Wohnungen bzw. Bereiche des Hauses. In Kombination mit Schlössern ohne Notfallfunktion könnte schon ein blockierendes Getriebe ungeahnte Folgen bereiten...
Roland
(*) ganz abgesehen von der österreichischen Rechtslage, in dessen Graubereich ich mich bewusst aufhalte...
Zur leichteren Hilfestellung bitte unbedingt beachten:
-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...
- Bezeichnung (HM-... bzw. HmIP-...) der betroffenen Geräte angeben (nicht Artikelnummer)
- Kurzbeschreibung des Soll-Zustandes (Was soll erreicht werden?)
- Kurzbeschreibung des Ist-Zustandes (Was funktioniert nicht?)
- Fehlermeldungen genau abschreiben, besser noch...
- Screenshots von Programmen, Geräteeinstellungen und Fehlermeldungen (direkt als jpg/png) einstellen!
-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...
-
- Beiträge: 385
- Registriert: 19.06.2017, 09:24
- Hat sich bedankt: 20 Mal
- Danksagung erhalten: 67 Mal
Re: CCU3 sicher genug für Türschlösser?
Das habe ich auch nie behauptet! Da möchte ich mir bitte nicht das Wort im Mund verdrehen lassen.
Da wir in meinem Fall konkret von PiVCCU reden, kann ich die Bridge vom physischen Netz trennen und
Code: Alles auswählen
RewriteRule ccu-schwachstelle - [F,L]
ProxyPass /ccu/ http://192.168.253.2/
ProxyPassReverse /ccu/ http://192.168.253.2/
Wie auch immer, ich werde
- Roland M.
- Beiträge: 9855
- Registriert: 08.12.2012, 15:53
- System: CCU
- Wohnort: Graz, Österreich
- Hat sich bedankt: 255 Mal
- Danksagung erhalten: 1403 Mal
Re: CCU3 sicher genug für Türschlösser?
Hallo!
Roland
Sorry, falls du meine Worte so aufgefasst hast, es war nie meine Absicht, dir etwas zu unterstellen.
Roland
Zur leichteren Hilfestellung bitte unbedingt beachten:
-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...
- Bezeichnung (HM-... bzw. HmIP-...) der betroffenen Geräte angeben (nicht Artikelnummer)
- Kurzbeschreibung des Soll-Zustandes (Was soll erreicht werden?)
- Kurzbeschreibung des Ist-Zustandes (Was funktioniert nicht?)
- Fehlermeldungen genau abschreiben, besser noch...
- Screenshots von Programmen, Geräteeinstellungen und Fehlermeldungen (direkt als jpg/png) einstellen!
-----------------------------------------------------------------------
1. CCU2 mit ~100 Geräten (in Umstellung auf RaspberryMatic-OVA auf Proxmox-Server)
2. CCU2 per VPN mit ~50 Geräten (geplant: RaspberryMatic auf Charly)
3. CCU2 per VPN mit ~40 Geräten (geplant: RaspberryMatic auf CCU3)
CCU1, Test-CCU2, Raspi 1 mit kleinem Funkmodul, RaspberryMatic als VM unter Proxmox, Access Point,...
-
- Beiträge: 13
- Registriert: 11.01.2015, 10:23
Re: CCU3 sicher genug für Türschlösser?
Moin, leider sind sie für mich noch ein Geheimnis, kannst du mir sagen oder einen Link geben wo steht was es damit auf sich hat, ich kann jetzt gerade nur zwischen den Zeilen erahnen, dass die CCU Sicherheitslücken hat?!?Roland M. hat geschrieben: ↑24.03.2024, 19:07Die offenen Scheunentore sind lang keine Geheimnisse mehr. Autologin und Port 8181.Damit hier niemand öffentlich die Lücken ausplaudern muss, wäre die Frage daher an die Experten, ob mir jemand über privaten Schriftverkehr erklären möchte, was man genau blockieren müsste,
Bislang bin ich davon ausgegangen, dass mit vernünftigem User/Passwort die CCU sicher wäre gegen missbräuchliche Verwendung/Zugriff auch wenn jemand im selben Netz ist?!?
-
- Beiträge: 329
- Registriert: 25.11.2016, 19:52
- Hat sich bedankt: 4 Mal
- Danksagung erhalten: 20 Mal
Re: CCU3 sicher genug für Türschlösser?
Hallo, Suchbegriff "Happy Hacking".
z.Bsp.:
viewtopic.php?f=26&t=76888&hilit=Happy+Hacking#p745581
viewtopic.php?f=26&t=80624&hilit=Happy+Hacking#p785078
Gruss AF
z.Bsp.:
viewtopic.php?f=26&t=76888&hilit=Happy+Hacking#p745581
viewtopic.php?f=26&t=80624&hilit=Happy+Hacking#p785078
Gruss AF
-
- Beiträge: 3652
- Registriert: 14.07.2019, 20:49
- System: CCU
- Hat sich bedankt: 852 Mal
- Danksagung erhalten: 551 Mal
Re: CCU3 sicher genug für Türschlösser?
Was ist schon wirklich sicher gegen mißbräuchliche Verwendung? Ich lasse niemanden in mein Netz, dem ich nicht vertraue! Und das nicht nur wegen der CCU!Hagbard235 hat geschrieben: ↑27.03.2024, 12:05Bislang bin ich davon ausgegangen, dass mit vernünftigem User/Passwort die CCU sicher wäre gegen missbräuchliche Verwendung/Zugriff auch wenn jemand im selben Netz ist?!?
Die CCU hat einen nicht wirklich gehärteten Webserver auf einem nicht gerade taufrischen OS-Stand. Sicher geht sicher anders!
Sicherheit ist zudem relativ und ganz sicher nicht transitiv!