[OT] Externer Zugriff auf CV: Wie absichern

[henfri]

Hallo,

wie handhabt ihr die Sicherheit mit der CV?
Ich habe eine Seite angelegt, die den Zustand der Fensterkontakte zeigt. Diese wäre auch von Extern (vom Smartphone z.B.) interessant zu anzusehen.

Allerdings bin ich etwas zurückhaltend, den Zugriff auf die CV auch von extern freizugeben. Man kann mir dann ja einfach das Licht ausknipsen...

Eine Abhilfe wäre es, eine Config zu erstellen, die nur read-only Elemente benutzt.

Eine andere Möglichkeit wäre eine .htaccess. Aber jedes mal User&Pass angeben?

Ansonsten: Ist es möglich, ein Zertifikat zu erstellen, und wenn dies auf dem Endgerät -z.B. Android- vorhanden ist bekommt man direkt Zugriff -ansonsten nur nach Eingabe von User&Pass?

Wie handhabt ihr das?

Gruß,
Hendrik

[Chris M.]

Zitat von henfri Allerdings bin ich etwas zurückhaltend, den Zugriff auf die CV auch von extern freizugeben. Man kann mir dann ja einfach das Licht ausknipsen... Eine Abhilfe wäre es, eine Config zu erstellen, die nur read-only Elemente benutzt.

Das bringt KEINE Sicherheit!!!

Denn sobald die Verbindung herstellbar ist, kann man auch per Hand einen "w" Befehl absetzen, d.h. Du kannst beliebige Werte an den KNX senden!

Zitat von henfri Eine andere Möglichkeit wäre eine .htaccess. Aber jedes mal User&Pass angeben?

Eine Lösung auf die Schnelle: HTTPS + .htaccess
Bei .htaccess kann man ja auch den User-Namen und das Passwort in die URL codieren.
(Hab's aber noch nicht mit dem Smartphone probiert, nur mit richtigen Browsern - aber wieso sollte das nicht gehen?)

[henfri]

Hallo,

danke für den Tipp. Das war mir nicht bewusst.
User&Pass werden dann aber unverschlüsselt übertragen, oder?

Gruß,
Hendrik

[Chris M.]

Das wissen andere, die da schon mal einen Wireshark haben mitlaufen lassen sicher besser.

AFAIK wird durch das HTTPS bereits die URL verschlüsselt, folglich kann niemand in der Mitte User und Pass mitlesen (so man HTTPS diesbezüglich traut).

Aber sowohl der Client (inkl. History) also auch Server (inkl. Log, so aktiviert) können das dann im Klartext lesen.
Ob das bei Dir relevant ist musst Du wissen.

Sicherheit ist immer nur relativ! Im Grunde sind alle Verschlüsselungen knackbar - der Trick ist die zu nehmen, wo der Angreifer länger zum entschlüsseln braucht als dass die Daten interessant sind.

[swiss]

Wiso nicht einen VPN Tunnel einrichten und so auf die Visu zugreifen? Sicherheit ist nie wirklich komfortabel. Im Gegenteil. Je sicherer desto unkomfortabler wird es. Weil wenn du Zertifikat, User und Password fix im Handy speicherst damit du es einfach hast um von aussen auf die Visu zu kommen, hat es auch der Dieb deines Handys leicht

Ich würde zu Android mit OpenVPN tendieren. funktioniert mit dem WG fast out of the Box und ist bestimmt sicher genug

[fanta2k]

Ich habe bei mir für zugriff von außen einen routerboard mit routerOS und gebe eine VPN Verbindung über asterisk von außen frei wenn ich es benötige.

RouterOS ist ne feine sache, voll über Telnet einstellbar!

[makki]

Zitat von fanta2k RouterOS ist ne feine sache, voll über Telnet einstellbar!

Ja, das WG auch, noob-tauglich per Webif einstellbar

Im Ernst: für "ich verstehs nicht" ist die beste Lösung das integrierte, hochsichere VPN.
Das gibts beim CommunityGate nicht, weil das ist "nur":
- die richtige config
- das erstellen der Keys mit einem HW-RNG - beim Endkunden
- die richtige Benutzung, die auf o.g. basiert..

Dazwischen gibt es bis zum durchschalten von HTTP ohne Auth viele Wege, bei denen man aber wissen muss, was man tut, damit man sich nicht 100.000 Script-Kiddies dazu ins Smarthome unwissentlich mit einlädt
Als Alternativen gibts noch PPTP, Reverse-SSL mit Zertifikaten (hab ich schonmal beschrieben hier) oder sogar mit Time-based OTP-Token; wenn man mit ner Freeradius-config klarkommt und nen Server dafür hat, auch gerne..

In Zeiten wo man selbstverständlich alle 2 Minuten seinen GPS-Standort auf Facebook postet klingt das natürlich total über-spiessig, aber wir habens eben immernoch gerne sicher und privat..

Makki

[henfri]

Hallo,

ich danke euch für eure Tipps.
VPN: Klar, das wäre eine Möglichkeit. Allerdings funktioniert das dann vom Smartphone aus. Nicht aber vom Arbeitsplatz, oder von Tante Hildes PC ("mal eben")

Die SSL-Variante klingt da schon vernünftig.

AFAIK wird durch das HTTPS bereits die URL verschlüsselt, folglich kann niemand in der Mitte User und Pass mitlesen (so man HTTPS diesbezüglich traut).

Kann das jemand bestätigen?

Aber sowohl der Client (inkl. History) also auch Server (inkl. Log, so aktiviert) können das dann im Klartext lesen. Ob das bei Dir relevant ist musst Du wissen.

Naja, den Admin vom Server kenn ich ja ganz gut ;-) Der Client ist halt der PC aufm Job, Tante Hildes, oder der eines Freundes. Das ist vertretbar.
Internetcafe o.ä: Da geht ja die VPN Lösung auch net (außer mit nem Java-VPN-Client, vielleicht. Das gibt's m.W. ja auch.)

Gruß,
Hendrik

[greentux]

Von Tante Hildes PC könnte aber OpenVPN fast problemlos funktionieren. Oder auch ein einfaches ssh mit Portforwarding.

[ctr]

Zitat von henfri Kann das jemand bestätigen?

Ja, zumindestens in der Fragestellung: Man sieht Klartext nur ein CONNECT <RESOURCE>:443 und dann kommt der TLS/SSL handshake und danach erst der GET auf die URL.

Weitere Variante (ich glaube dafür wollte Makki auch mal nen kleines How-to schreiben, ist aber wirklich recht komplex) ist die Nutzung von Client-Zertikaten im zusammenspiel mit HTTPS. Ist speziell nicht so trivial das auf mobile Endgeräte aufzubringen, fürs INet Cafe sowieso nicht, aber dafür läßt es sich (bei richtiger Handhabung!) auch nicht so leicht wie ein Passwort klauen...