Es geht mir nicht um Wahrscheinlichkeiten, sondern um effektiv verfügbare Möglichkeiten ...

Auf mich selbst bezogen schätze ich dieses Risiko als überschaubar ein, aber ausschliessen kann ich es nicht. Jetzt darf jeder für sich selbst entscheiden, was er damit macht ... ich für meinen Teil beuge mich nach vorn, bevor ich mir auf die Schuhe kotze
...

Gruss

fasi

Ok... Du glaubst also wirklich, dass sich ein EDOMI-Nutzer eine App besorgt, die im LAN/WLAN nach "PHP-Servern" sucht und dann auf diesen einen pösen PHP-Trojaner installiert? Scheint mir etwas weit hergeholt... Zudem ist es auch in älteren PHP-Versionen nicht soooo einfach möglich, ausführbare Scripte mal eben so zu injizieren - sonst wäre das Internet wohl vollkommen verseucht (also beliebige Webseiten - nicht explizit zu diesem Zweck aufgesetzte Seiten).

mfd
<Ironie>Sehr genau du gelesen meine Ausführungen hast ... </Ironie>
Ich habe explizit das Thema VPN umgangen ...

Wenn du Edomie abschotten willst, dann musst du das einfach sehr Konsequent betreiben, was nur zu Lasten der Usability geht. Dann musst du ein eigenes Netzwerk dafür aufbauen und das darf keinen Weg in's Inter-Netz haben ... keinen, auch nicht via vagbundierenden Smart-Phones und auch nicht via VPN.
Dann und nur dann, sind Angriffe auf Edomi auszuschliessen.

Als es noch kein (weit verbreitetes) Internet gab, haben sich dazumal Viren noch via Disketten verbreitet ... (der Link ist für das jüngere Publikum ). Die Infektionsraten waren lange nicht so hoch wie heute, aber es hat auch schon funktioniert ... heute geht es eben etwas schneller ...

Edomi ist aufgrund seiner Verbreitung sicher nicht ein Hauptangriffsziel, aber einem Virus/Worm/Trojan ist das egal, wenn er einen Server mit http/php findet, dann wird er versuchen sich dort "einzunisten".

Und bitte nicht immer vom Thema ablenken. Wir müssen uns im Edomi-Forum nicht um die China-Lampe, den T-Router, Switches oder so kümmern. Ja, das sind auch potentielle Einfallstore, aber eine ungepatchte Lücke im PHP eben auch und um die geht es hier ...

Gruss

fasi

Fortführung von hier

Auch wenn das sicher nicht persönlich auf mich gemünzt ist, fühle ich mich irgendwie angesprochen, schon weil ich das Thema nach
jetzt schon im Januar 2020 erneut auf's Trapez gebracht habe ... und es ein Teil meines Jobs ist für Sicherheit im Netzwerk zu sorgen.

Ich konstruiere hier jetzt mal ein mögliches Angriffscenario auf Edomi ... nur mit ganz kurzen Stichworten. Wir müssen mMn hier nicht über Wahrscheinlichkeiten diskutieren, aber das Risiko ist einfach da:
1. Edomi mit Visu für's Mobile
2. User holt sich eine "coole" App auf's Mobile, welche einen Trojaner mitbringt (nein, weder Android, noch iOS sind wirklich Bullit-Proof und dank immer steigender Beliebtheit im Unterschied zu Linux Desktop-Varianten immer mehr im Focus der Hacker/Script-Kiddies)
3. Trojaner "lauscht mal ein bisschen den Netzwerkverkehr mit", erkennt PHP-Aufrufe und holt sich ein paar PHP-Injections um mal ein bisschen den Web-Server mit PHP zu stressen ... BANG

Ich verstehe den Ansatz von gaert, aber ich denke er ist heute nicht mehr so ganz praktikabel und ich mache mir durchaus auch ein paar Gedanken bzgl. der IP-Schnittstellen/-Gateways ...

Für eine Visu braucht es nunmal leider irgendwie einen Zugang/Zugriff auf den Visu-Server. Da braucht es gar keine Default-Passwörter oder grossartigen VPN-Zugriff, da reicht das Mobile im LAN völlig aus. Jetzt kann man vllt. hergehen und das Visu-Frontend mitsamt dem Edomi einsperren ... aber dann ist's wieder Essig mit der "Useability" ... es braucht dann entweder einen extra Screen an der Wand (mit abgeschotteten Netzwerk natürlich) oder ein extra Tablet mit extra SSID im WLAN ... wirklich sicher wird es nur, wenn ich garkein Netzwerk mehr dran habe und dann brauchen vermutlich die wenigstens Edomi ...

Jetzt könnte man vor Edomi ein IPS stellen, welches PHP-Injections dank aktueller Definitions (hoffentlich) erkennt ... eine einfache Firewall reicht zum erkennen solcher Angriffe leider nicht aus ... das würde ich im Profi-Umfeld sogar so machen, mit einer entsprechenden kostenpflichtigen Update Subscription. Aber für zu Hause ist das aktualisieren zwecks Bug-Fixing vllt. erstmal die einfachere Methode und auch weitestgehend zielführend.

Die nächste spannende Frage ist dann sicher, was kann der Hacker mit der Maschine anfangen, aber vllt. reicht es ja schon um den Trojaner auf weitere Mobiles zu übertragen und so zur weiteren Verbreitung beizutragen ... das möchte ich eigentlich nicht in meinem Netz haben ...

Bislang bin ich perönlich scheinbar irgendwie von so Dingen wie Viren, Würmern, Trojanern verschont geblieben und wenn ich mir so die E-Mail-Folder diverser Verwandter & Bekannter anschaue, dann wundere ich mich immer, dass ich mich immer nur selber zuspamme mit Info's meiner eigenen IT-Infrastruktur und weitestgehend von externem Spam verschont bleibe ... vllt. Glück, vllt. habe ich sowas und weiss es nur noch nicht oder vllt. passt meine persönliche Strategie alles zu Verriegeln und Verrammeln plus Open-Source wo möglich, plus Updates, plus Augen offen halten, plus ...

Gruss

fasi

Ok,hab ich mir schon fast so gedacht. Wie immer gesunder Menschenverstand und etwas misstrauen dann fährt man ganz gut.
Ne Sprachassis will ich keine mit cloud, schon gar nicht seitdem man mit Laser über Alexa die Türen öffnen kann. Ich hab bei Bekannten zuviel dubiose Sachen mit den Dingern erlebt.
Wie du schon sagst saegefisch, wenn einer wirklich will dann kommt er auch rein, das ist bei Haustüren und Fenster genauso.
Wollte nur wissen ob es einfach ist oder schon mit etwas Aufwand verbunden ist. Auch ob man evtl. es etwas schwieriger machen kann.
Danke euch.

Dem gibt es eigentlich nichts hinzuzufügen.

Wer sich mit dem genannten nicht auseinandersetzen mag, kann seine KNX-Installation klassisch ohne IP-Anbindung betreiben (mit entsprechend weniger Komfort). Dann ist diese auch sehr schwer übers Netzwerk zu "hacken"...

Für die meisten Heimnutzer wird es so sein, dass eine FritzBox oder ähnliches den Schutz von außen machen. Schutz von innen (Trojaner, Wurm,...) ist erheblich schwerer zu lösen und für viele kaum leistbar. Ja, selbst mein gesamter innerer Traffic läuft verschlüsselt (außer edomi), ich habe mehrere VLAN-Schichten, zwei FW mit echter DMZ, etc., aber das ist nicht der Durchschnitt. Und vor allem habe ich ein tägliches Backup...

edomi ist der einzige unverschlüsselte http-Dienst, den ich noch habe und zum anderen hat Christian das BS dem edomi untergeordnet und rechne nicht damit das das CentOS da noch viel ausrichtet, wenn jemand in meinem heim-VLAN ist. Ich hätte auch lieber was mit AppArmor, etc - aber das Leben ist Kompromiss und ich will edomi. Also muss man die Sicherheit davor sicher stellen....und bin mir sicher, dass wenn jemand bei mir wirklich rein will, er es auch schafft.

Um Dein Licht zu schalten, müsste ein Angreifer schon eine Menge über Deine GA wissen (ok, ok, die DB ist im default nicht wirklich gut geschützt in edmi...). Die meisten Angreifer, die etwas erbeuten wollen und nicht genau DICH haben wollen, werden Dich erpressen (z.B. emotet) oder Dich um Deine Passwörter bringen wollen - denn beides bringt Geld. Sinnvoller Angriffsvektor dürfte im Heimbereich vielleicht noch eine elektronisch zu öffnende Tür sein für einen spurlosen Zugang. Ich persönlich würde ergänzen: Keinesfalls Alexa und Co ins Haus holen und keine Iot-Technik, die raus telefoniert und Cloud will - oder man hat ein komplett dichtes IoT-VLAN.

Also: Aktuelle Fritz und aktuelle Clients im Netz (PC,...) sind schon mal ein guter Start. Für innere Angriffe ist es vor allem der Mensch VOR dem PC (gilt für die ganze Familie), der durch sein Handeln ("oh, ein Link in einer komischen Mail, was das wohl ist...?") entscheidend ist. Und der Admin, der bei jeder neuen Technik abwägen sollte, ob sie ein Risiko ist und ob es das Wert ist (siehe oben: Alexa, billigen IoT-Mist statt ordentlicher Lösungen,...)

Wie viel Paranoia man pflegen will, muss dann jeder für sich so fühlen - und leisten können und wollen. Denn das macht auch Mühe: z.B. VLAN ist klasse - bis Du es mit Multicast zu tun bekommst. Dann macht es halt auch Arbeit.

Naja, mit Perimetersicherung wirst Du einen speziellen Wurm, der sich beispielsweise auf Amazon Echos spezialisiert hat, und der über einen Windows-Browser eindringt, nicht aufhalten. Wenn Du nicht willst, dass der dann dein Licht ein- und ausschaltet, hilft nur Netzwerksegmentierung (z.B. VLANs).

Die Sicherheit Deines Hauses gewärst Du vor allem nicht in Deinem inneren Heimnetzwerk, sondern davor!
Innerhalb macht man im Heimbereich meist „nur“ noch Zugriffsschutz.

Das ist mir soweit alles klar und auch einfach zu verstehen. Damit ist eine mögliche Kontrolle genauso zu bewerten wie die die man auch für alle anderen Komponenten in einem Netzwerk hat. Gebe es eine Möglichkeit hier das System etwas mehr ab zu sichern? Ich denke ich bin kein potenziell interessanter Angriffspunkt aber man weiß ja nie.
Aktuell ist es so das ich eine Fritzbox habe die immer aktuell gehalten wird und danach einen Switch mit dem dann der Rest verbunden ist.

Ich möchte mich meinen Vorrednern anschliessen. Ergänzend ist zu sagen, dass ein CentOS System sehr sicher konfiguriert werden kann, wie übrigens jedes OS, dies bedingt jedoch zwei Punkte: Saubere Einbettung in das Sicherheitskonzept (Netzwerkzonen) und eine korrekt konfigurierte Firewall.
Zudem ist es wichtig, ein OS zu benutzen für welches aktiv Sicherheitsupdates zur Verfügung gestellt werden, daher ist CentOS 7 schon mal eine gute Wahl.

Wenn man sich das richtig überlegt, ist es garnicht möglich, sich in ein Netzwerk zu hacken, sondern nur in einen (oder mehrere) Computer oder andere aktive Komponenten (z.B. switches), die an ein Netzwerk angeschlossen sind. Die Frage ist, kann man von den aktiven Komponenten deines Netzwerkes auf den Bus oder nicht? Und ja, Edomi läuft natürlich auf einem Computer im Netz und der hat zumindest Zugriff auf den Bus. Je nach verwendeter Busschnittstelle (USB, IP-Tunnel, IP-Router) und Netz-Topologie (VLAN) haben nur wenige oder alle Computer Zugriff auf den Bus.

Ausserdem st EDOMi genauso sicher wie ein Homeserver, X1 etc. (Obwohl erfahrungsgemäß das OS vom Homeserver schon bei Veröffentlichung EOL ist)

Na wenn er schon mal in deinem Heimnetz ist, würd ich mir über Edomi keine Sorgen machen...
Wenn der Typ halbwegs Ahnung hat, kommt er dann auch ohne Edomi (IP Schnittstelle, IP Router) auf deinen Bus..

Zur Sicherheit von CentOS7 kann ich allerdings sonst nichts beitragen.. sorry ..

Gruß Martin

EDIT: Vento66 war da ein Sekündchen schneller

Wenn ich bei Dir im Heimnetz bin, und Du eine IP Schnittstelle, oder einen IP Router hast, brauch ich kein EDOMI, um mit deinem Bus zu spielen... Welche Rolle soll EDOMI genau in diesem Szenario spielen?