Ankündigung

Einklappen
Keine Ankündigung bisher.

[OT] Externer Zugriff auf CV: Wie absichern

Einklappen
X
Einklappen
 
  • Seite von 3
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 3 template Weiter
    #1

    [OT] Externer Zugriff auf CV: Wie absichern

    Hallo,

    wie handhabt ihr die Sicherheit mit der CV?
    Ich habe eine Seite angelegt, die den Zustand der Fensterkontakte zeigt. Diese wäre auch von Extern (vom Smartphone z.B.) interessant zu anzusehen.

    Allerdings bin ich etwas zurückhaltend, den Zugriff auf die CV auch von extern freizugeben. Man kann mir dann ja einfach das Licht ausknipsen...

    Eine Abhilfe wäre es, eine Config zu erstellen, die nur read-only Elemente benutzt.

    Eine andere Möglichkeit wäre eine .htaccess. Aber jedes mal User&Pass angeben?

    Ansonsten: Ist es möglich, ein Zertifikat zu erstellen, und wenn dies auf dem Endgerät -z.B. Android- vorhanden ist bekommt man direkt Zugriff -ansonsten nur nach Eingabe von User&Pass?

    Wie handhabt ihr das?

    Gruß,
    Hendrik
    Stichworte: -
    #2
    Zitat von henfri Beitrag anzeigen
    Allerdings bin ich etwas zurückhaltend, den Zugriff auf die CV auch von extern freizugeben. Man kann mir dann ja einfach das Licht ausknipsen...

    Eine Abhilfe wäre es, eine Config zu erstellen, die nur read-only Elemente benutzt.
    Das bringt KEINE Sicherheit!!!

    Denn sobald die Verbindung herstellbar ist, kann man auch per Hand einen "w" Befehl absetzen, d.h. Du kannst beliebige Werte an den KNX senden!
    Zitat von henfri Beitrag anzeigen
    Eine andere Möglichkeit wäre eine .htaccess. Aber jedes mal User&Pass angeben?
    Eine Lösung auf die Schnelle: HTTPS + .htaccess
    Bei .htaccess kann man ja auch den User-Namen und das Passwort in die URL codieren.
    (Hab's aber noch nicht mit dem Smartphone probiert, nur mit richtigen Browsern - aber wieso sollte das nicht gehen?)
    TS2, B.IQ, DALI, WireGate für 1wire so wie Server für Logik und als KNX Visu die CometVisu auf HomeCockpit Minor. - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!

    Kommentar

      #3
      Hallo,

      danke für den Tipp. Das war mir nicht bewusst.
      User&Pass werden dann aber unverschlüsselt übertragen, oder?

      Gruß,
      Hendrik

      Kommentar

        #4
        Das wissen andere, die da schon mal einen Wireshark haben mitlaufen lassen sicher besser.

        AFAIK wird durch das HTTPS bereits die URL verschlüsselt, folglich kann niemand in der Mitte User und Pass mitlesen (so man HTTPS diesbezüglich traut).

        Aber sowohl der Client (inkl. History) also auch Server (inkl. Log, so aktiviert) können das dann im Klartext lesen.
        Ob das bei Dir relevant ist musst Du wissen.

        Sicherheit ist immer nur relativ! Im Grunde sind alle Verschlüsselungen knackbar - der Trick ist die zu nehmen, wo der Angreifer länger zum entschlüsseln braucht als dass die Daten interessant sind.
        TS2, B.IQ, DALI, WireGate für 1wire so wie Server für Logik und als KNX Visu die CometVisu auf HomeCockpit Minor. - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!

        Kommentar

          #5
          Wiso nicht einen VPN Tunnel einrichten und so auf die Visu zugreifen? Sicherheit ist nie wirklich komfortabel. Im Gegenteil. Je sicherer desto unkomfortabler wird es. Weil wenn du Zertifikat, User und Password fix im Handy speicherst damit du es einfach hast um von aussen auf die Visu zu kommen, hat es auch der Dieb deines Handys leicht

          Ich würde zu Android mit OpenVPN tendieren. funktioniert mit dem WG fast out of the Box und ist bestimmt sicher genug
          Gruss Patrik alias swiss

          Kommentar

            #6
            Ich habe bei mir für zugriff von außen einen routerboard mit routerOS und gebe eine VPN Verbindung über asterisk von außen frei wenn ich es benötige.

            RouterOS ist ne feine sache, voll über Telnet einstellbar!

            Kommentar

              #7
              Zitat von fanta2k Beitrag anzeigen
              RouterOS ist ne feine sache, voll über Telnet einstellbar!
              Ja, das WG auch, noob-tauglich per Webif einstellbar

              Im Ernst: für "ich verstehs nicht" ist die beste Lösung das integrierte, hochsichere VPN.
              Das gibts beim CommunityGate nicht, weil das ist "nur":
              - die richtige config
              - das erstellen der Keys mit einem HW-RNG - beim Endkunden
              - die richtige Benutzung, die auf o.g. basiert..

              Dazwischen gibt es bis zum durchschalten von HTTP ohne Auth viele Wege, bei denen man aber wissen muss, was man tut, damit man sich nicht 100.000 Script-Kiddies dazu ins Smarthome unwissentlich mit einlädt
              Als Alternativen gibts noch PPTP, Reverse-SSL mit Zertifikaten (hab ich schonmal beschrieben hier) oder sogar mit Time-based OTP-Token; wenn man mit ner Freeradius-config klarkommt und nen Server dafür hat, auch gerne..

              In Zeiten wo man selbstverständlich alle 2 Minuten seinen GPS-Standort auf Facebook postet klingt das natürlich total über-spiessig, aber wir habens eben immernoch gerne sicher und privat..

              Makki
              EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
              -> Bitte KEINE PNs!

              Kommentar

                #8
                Hallo,

                ich danke euch für eure Tipps.
                VPN: Klar, das wäre eine Möglichkeit. Allerdings funktioniert das dann vom Smartphone aus. Nicht aber vom Arbeitsplatz, oder von Tante Hildes PC ("mal eben")

                Die SSL-Variante klingt da schon vernünftig.

                AFAIK wird durch das HTTPS bereits die URL verschlüsselt, folglich kann niemand in der Mitte User und Pass mitlesen (so man HTTPS diesbezüglich traut).
                Kann das jemand bestätigen?

                Aber sowohl der Client (inkl. History) also auch Server (inkl. Log, so aktiviert) können das dann im Klartext lesen.
                Ob das bei Dir relevant ist musst Du wissen.
                Naja, den Admin vom Server kenn ich ja ganz gut ;-) Der Client ist halt der PC aufm Job, Tante Hildes, oder der eines Freundes. Das ist vertretbar.
                Internetcafe o.ä: Da geht ja die VPN Lösung auch net (außer mit nem Java-VPN-Client, vielleicht. Das gibt's m.W. ja auch.)

                Gruß,
                Hendrik

                Kommentar

                  #9
                  Von Tante Hildes PC könnte aber OpenVPN fast problemlos funktionieren. Oder auch ein einfaches ssh mit Portforwarding.
                  Derzeit zwischen Kistenauspacken und Garten anlegen.
                  Baublog im Profil.

                  Kommentar

                    #10
                    Zitat von henfri Beitrag anzeigen
                    Kann das jemand bestätigen?
                    Ja, zumindestens in der Fragestellung: Man sieht Klartext nur ein CONNECT <RESOURCE>:443 und dann kommt der TLS/SSL handshake und danach erst der GET auf die URL.

                    Weitere Variante (ich glaube dafür wollte Makki auch mal nen kleines How-to schreiben, ist aber wirklich recht komplex) ist die Nutzung von Client-Zertikaten im zusammenspiel mit HTTPS. Ist speziell nicht so trivial das auf mobile Endgeräte aufzubringen, fürs INet Cafe sowieso nicht, aber dafür läßt es sich (bei richtiger Handhabung!) auch nicht so leicht wie ein Passwort klauen...

                    Kommentar

                      #11
                      Zitat von greentux Beitrag anzeigen
                      Von Tante Hildes PC könnte aber OpenVPN fast problemlos funktionieren. Oder auch ein einfaches ssh mit Portforwarding.
                      oder putty am usb stick

                      Kommentar

                        #12
                        SMART-phone und dann bei Tante Hilde vergessen haben?

                        Hoffentlich hilft smart-home, falls das smart-phone bei "Bewohner-Abwesend" noch anwesend ist und verhindert, dass der SMART startet.

                        Oder einfach warten bis die Kleidung mit Telefonfunktion auf den Markt kommt, die vor ca 15 Jahren auf der Cebit vorgestellt wurde.

                        sorry-spass muss sein.

                        Grüße,
                        Lio

                        Kommentar

                          #13
                          Nun, wir machen eben nicht "Tante Hilde", wir sind eine security-Firma..
                          Es geht in richtig, das ist aus der Box drauf. Es geht mit PPTP, ebenfalls hier beschrieben und recht einfach - und sicherer als von Laien eingerichtetes SSL/HTTP-Auth. Es geht via Reverse-SSL, ebenfalls hier beschrieben, da muss man schon eher wissen was man tut.. Also viele Möglichkeiten..

                          Wer meint es besser zu können kann das ja ganz frei machen aber wie sagt man so schön: "your milage may vary"

                          Makki
                          EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                          -> Bitte KEINE PNs!

                          Kommentar

                            #14
                            Der Anwendungsfall war aber Tante Hildes PC... Und da ist OpenVPN gar nicht die schlechteste Idee. Ggf. auch live gebootet vom USB Stick.
                            Derzeit zwischen Kistenauspacken und Garten anlegen.
                            Baublog im Profil.

                            Kommentar

                              #15
                              Das hab ich ja auch nicht angezweifelt bzw. ist der Life-USB-Stick mit OpenVPN sogar eine extrem gute Lösung, weil man auch nicht die 27 Backdoors und Trojaner von Tante hilde mit ins Heimnetzwerk bringt
                              Worum es mir ging: ohne VPN ist (mal abgesehen von wirklich extrem komplexen Lösungen) einfach nichts, also warum wehrt man sich dagegen und versucht das Rad neu zu erfinden..

                              Makki
                              EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                              -> Bitte KEINE PNs!

                              Kommentar

                              Vorherige 1 2 3 template Weiter
                              Lädt...
                              X

                              Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                              Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                              Ich stimme zu