Oh, dann habe ich das falsch verstanden ... ja da gebe ich dir völlig recht. Aber KNX ist nunmal die einzige Automationslösung, welche wirklich herstellerübergreifend ist und für mich von daher alternativlos. So lange KNX getrennt als TP-Bus gelaufen ist (und das macht es auch bei mir, mal abgesehen von der IP-Schnittstelle) war das alles kein Problem. Aber mit der zunehmenden Vernetzung muss man sich leider auch Gedanken zur Sicherheit machen.

Das hatte ich bereits (in Teilen) geschrieben, hier nochmal zusammengefasst, was mir spontan dazu einfällt:

1. den IT-Zoo klein halten und Altes/Ungebrauchtes konsequent abschalten/entsorgen
2. Software aktualisieren um sicherheitsrelevante Lücken zu schliessen (@gaert: ja, ich sehe sehr wohl das Risiko, dass man einen Bug gelöst bekommt und 2 neue hinzu ... und das ärgert mich auch immer masslos) ...
3. Lokale Firewalls und System-Nahe IPS nutzen ... gerade für edomi (also im "offenen" Linux-Umfeld) gibt es einiges, wenn es der Vendor gaert denn zulässt, z.B. Snort, iwatch, logwatch, Tiger Audit ... ja ist nicht nur intial mit deutlich mehr Aufwand verbunden als regelmässige Updates
4. IP-Schittstelle(n) in ein separates Segment an eine Firewall und nur noch erlauben, was explizit erwünscht ist ... z.B. den KNX-Tunnel
5. Server (z.B: Home-Server oder auch Edomi) können gerne mit in dieses Segment, aber auch in eigenen Segmenten platziert werden ... ebenfalls wieder alles zu machen und nur offen lassen, was es wirklich braucht ... z.B. http/s.
6. die Firewall darf ein IPS haben, ein IPS macht aber nur wirklich Sinn, wenn:
   1. die Signaturen des IPS aktuell gehalten werden (und hier geht es leider kaum ohne kostenpflichtige Subscription, da die freien Signaturen nur auf "frei verfügbaren" Informationen basieren und nein, ich verkaufe die nicht, habe also keinen Gewinn daraus)
   2. der Traffic unverschlüsselt ist (ja richtig gelesen "unverschlüsselt") weil im verschlüsselten Traffic kann auch eine Firewall/IPS nicht mitlesen und nur noch aufgrund von Traffic-Mustern analysieren (also z.B. wenn der durchschnittliche Traffic 100kBit/s ist und plötzlich ist der Link voll ausgelastet, wird das IPS das als Bedrohung erkennen, ein Update könnte aber auch diesen Datenverkehr auslösen und dann als "false positive" gewertet werden, muss man halt entsprechend anschauen und tunen
   3. alternativ die Firewall/IPS auch als Applikations-Proxy fungiert und den verschlüsselten Traffic entschlüsseln kann (aka SSL-Interception)
7. Smart-Phones sind "böse" ... und zwar schlimmer als der Laptop/PC mit Windows drauf, der immer zu Hause steht und mehr oder weniger regelmässig seine Updates macht. Vor allem Android entwickelt sich aufgrund der Vernachlässigung bei der Software-Pflege durch die Hardware-Hersteller zum Problem und die Dinger schwirren ja auch schonmal "ungeschützt" im Internet, je nach Provider sogar mit einer offiziellen IP ... den einen freut's der andere weiss nix davon und wird zum Opfer --> einsperren und nur durch eine Firewall kommunizieren lassen.
8. VPN-Clients ebenfalls nicht ungehindert in's LAN und zu den Servern lassen, ist der Tunnel erstmal offen, kann ungehindert der Traffic reinkommen. Hey und wenn ihr schon VPN macht, dann könnt ihr das auch als Internet-Access nutzen und eure Firewall/IPS schützt euch nit ... that's a give away ...
9. regelmässige Backups für den Fall dass ...

Ja ich weiss, klingt alles sehr aufwändig und auch ich setze davon (privat) nicht alles konsequent genug um, weil es wirklich Aufwand bedeutet. Aber gerade die kleinen Dinge wie "Aufräumen", Updates, Segmentierung & Backups bringen den grössten Nutzen, weil sie das Risiko direkt verringern.

Aber das kann man sicher in den Weiten des Internets alles viel besser zusammenfinden, mir ging es intitial um das Thema Updates des CentOS, was gaert ja vorsichtig positiv beantwortet hat (ja auch Updates bergen Gefahren).

Gruss

fasi

Ich frage mich inzwischen, wann hier mal vom Bedenkenträger-Modus in den Lösungs-Modus umgeschaltet wird. In jedem Post lese ich von neuen Bedrohungsszenarien, Vulnerability-Lists, Exploits, Wahrscheinlichkeiten, Botnetzen, etc.
Wenn es nur um die Frage geht, ob regelmäßige Updates sinnvoll sind, dann kann das doch jeder für sich entscheiden.
fasi Mich würde mehr interessieren welche weiteren praktikablen Maßnahmen zur Erhöhung der Sicherheit es aus deiner Sicht gibt als jede mögliche oder unmögliche Bedrohung zu kennen?

Nein, das war nicht böse gemeint - ich wollte nur spitzfindig andeuten, dass KNX i.d.R. vollkommen unsicher ist (bzw. der IP-Router/Schnittstelle).

Natürlich hast Du theoretisch nicht unrecht, aber praktisch sehe ich da einfach keine relevante Gefahr. Ich (persönlich) lade keine komischen Taschenlampen- und Gratis-Irgendwas Apps herunter. Bin ja keine 15 mehr...

Full ACK ... für Edomi selber sehe ich derzeit keine ausreichende Installationsbasis, sodass das für irgendeinen Hacker interessant sein könnte.

NACK ... hier ist die Installationsbasis wiederum eine ganz andere, zumal sich die

Dienste nicht nur auf CentOS-Installationen befinden dürften, sondern auch auf vielen anderen Distributionen, z.B: RedHat, SuSe, Debian, Ubuntu, Mint, ...
Klar haben nicht alle identische Versionen, aber es gibt oft genug Exploits, die nicht nur eine sondern eine ganze Liste von Versionen betreffen ...

Müssen Sie auch nicht ...
Damit wäre
wiederlegt und
(N)ACK ... kein Problem von Edomi, wohl aber für das
und um dessen Updates ging es ja ...

Ja leider beginnen die meisten Exploits mit reiner Theorie, bevor Sie in die Praxis umgesetzt werden

Das schrieb ich schon in Post #16 bevor mir grosszügig der
angeboten wurde ...
Und an meiner Eignung für KNX gezweifelt worden ist, weil ich die unbekümmerte Meinung bzgl. Updates nicht teile ...

Gruss

fasi

Glaub was du glauben willst, aber alles was du da an Szenario aufmachst hat nichts mit edomi zu tun oder einem Cent OS beliebiger Version, da diese Systeme nicht offen im Internet stehen. Und wenn ein Trojaner per Android in den Haushalt geschleppt wird, dann ist das nicht das Problem von edomi und ich bleibe bei meiner Aussage, dass sich dieser auch nicht für edomi interessieren wird. Aber mir wird das zu theoretisch hier, lass uns einfach einigen das jeder seine Sicht der Dinge hat

Dieses Szenario ist also nicht realistisch? Smartphones, welche sich zufällig Trojaner einfangen, die sich beim Connect im WLAN versuchen weiter zu verbreiten? Glaubt Ihr echt, dass alle Viren/Würmer/Trojaner nur eure
wollen?

Schonmal was von Botnetzen gehört?

Wie gross ist die installierte Basis für:
---snip---
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.2
22/tcp open ssh OpenSSH 7.4 (protocol 2.0)
80/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/7.2.24)
3306/tcp open mysql MySQL 5.5.64-MariaDB
8080/tcp open http-proxy?
---snap---
?
Abbildung-1-13.png

Hier die passenden Vulnerability-Lists:
https://www.cvedetails.com/vulnerabi...db-5.5.47.html
https://www.cvedetails.com/vulnerabi...8/PHP-PHP.html
https://www.cvedetails.com/vulnerabi...ver-2.4.6.html
https://www.cvedetails.com/vulnerabi...d-Openssh.html

Aufwand um das zusammen zu suchen ... 10 Minuten. Da geht es nicht um Edomi sondern um die darunter liegende Software ... und diese Software läuft nicht nur auf Edomi-Installationen.

Also für mich sieht das grundsätzlich nach einem lohnenden Ziel aus ...

Klar bist du Beifang ... und ich auch. Aufräumen müssen möchte ich das aber hinterher trotzdem nicht ...

Wie viele Web-Präsenzen werden heutzutage (glücklicherweise) bei Hosting-Providern gemacht?

Es geht auch nicht um
sondern um:
Gruss

fasi

Sehr schön und m.E. absolut korrekt!

Also das ganze ist dann doch ziemlich arg konstruiert und völlig am Ziel vorbei, wenn es wie hier ums Beispiel aktuelles Linux-System geht. Glaubst du wirklich, dass jemand der einen Trojaner baut der spezifisch auf lokal installierte PHP-Applikationen lauscht? Dann auch noch über den Weg iOS? Davor passieren eine ganze Menge anderer Dinge, welche wesentlich einfacher und viel lukrativer sind.

Deine Lücke interessiert absolut niemanden, siehe oben, die China-Lampe ist weltweit 1 Mio mal im Einsatz, die ist attraktiv. Aus IT-Sicherheit-Sicht bewegst du dich mit deiner Argumentation in unrelevanten Bereichen.

Was keinen interessiert, muss man auch nicht abschotten im lokalen Lan! Du tust so, als hättest du in edomi deine Bankdaten hinterlegt. Hier ist im lokalen LAN dein PC/Handy wesentlich interessanter. Aber da drehen wir uns echt Kreis! Wenn man sich mit IT-Sicherheit beschäftigt, sollte man auch relevante KPIs beachten, und das ist mindestens eine Risikoanalyse vorab.

Solange edomi von aussen nur per VPN (also im Prinzip von aussen GAR nicht) erreichbar ist, und man eine grundabsicherung mit vernünftigem Router/Firewall gemacht hat und sonst keine zweifelhaften Geräte im LAN betreibt, sehe ich kein Thema hier. Und wenn, ist das keine Gefahr für edomi, sondern eher für eure privaten Daten auf den Endgeräten.

Offen gesagt: ich finde, dieses Thema nimmt einen Weg, der dem bisherigen Umgang miteinander hier nicht gerecht wird. Das empfinde ich als schade.

inhaltlich fand ich die Ausgangsfrage und ergänzende Fragen und Gedanken doch valide. Genauso valide, wie zB die Frage, wie man sein erstes UE klickbar macht. Völlig wertfrei kann man wohl feststellen, dass edomi im aktuellen default im Vergleich zu anderen Diensten (beispielsweise nextcloud, mediawiki, NAS, ...) konzeptionell eine geringe Hürde hinsichtlich Sicherheit darstellt. Dafür bekommt man eine unschlagbare, hochklassige KNX-Lösung. Es ist ja niemand auch gezwungen, edomi zu nutzen. Das Leben ist voller Kompromisse...

Dennoch sehe ich die Frage danach und die offene Diskussion und Abwägung als gut und richtig an. Das ist weder ein Angriff auf Kompetenz bei der Entwicklung, noch ist es eine „blöde Frage“, die einen Seitenschneider verdient.

Ja, definitiv muss man diese Frage im Gesamtkontext seines Netzwerks sehen. Und ja, wenn man Alexa, seinen Nas und diverse ungeschützte wlan-Kameras offen in Clouds plappern lässt, dann ist die Frage nach der Sicherheit von edomi sicher - fragwürdig... .
Aber ich denke, es gibt hier genug, die durchaus überlegt ihr Netz gestalten - und ja, das kann auch „nur“ eine Fritzbox sein. Wenn derjenige sonst keine offenen Scheunentoren unbedacht aufreißt, dann darf man das genauso offen im geiste des KNX UF diskutieren, wie edomi auf einem rPi oder eine Kaffeemaschine an KNX zu bringen oder oder oder sonstige schöne und manchmal ungewöhnliche Dinge hier, die auch nicht jeden betreffen...

es geht hier einerseits um die Diskussion, ob und wie edomi von Hause aus sicherer werden kann (wobei Christian hier eine klare und faire Meinung zu hat und klar kommuniziert). Hier entwickelt sich die Welt ja auch weiter. Und abseits unterschiedlicher Ansichten dazu: das könnte zB irgendwann https statt http sein. Oder wie man das centOS etwas Härten kann - falls das überhaupt sinnvoll ist (mir persönlich fehlt dazu das tiefere Fachwissen)

aber auch, wie man das gegebene edomi Sicherheitstechnisch sinnvoll in sein Netzwerk einbetten kann, um das eine oder andere realistische Angriffsszenario zu vermeiden oder diese auf Realitätsbezug abzuklopfen.

eine offen und fachlich fundierte Diskussion dient doch allen.

Und eure Kinder lasst ihr auch nicht impfen ... es trifft ja nur eines von 100000 ...

Aber gemäß euren Aussagen habt ihr ja keine ... Seitenschneider ...

Ungefähr so erstrebenswert wie der "Weltspartag" In Zeiten von "Verwahrentgeld"...

Die Seitenschneider-Methode halte ich auch für sehr sicher. Wobei einfach Abstecken wohl schon reichen würde. Neben der maximalen Sicherheit hätte das wohl auch einen immensen Zugewinn an Lebenszeit / Freizeit / Erholung zur Folge.
Vielleicht sollte man mal einen *Stecker aus der Fritzbox Tag* pro Woche einführen... klingt sehr erstrebenswert.

Wie ketzerisch. Genau mein Geschmack, gefällt mir!

fasi Ich leih dir gern meinen Seitenschneider zum Durchtrennen deines LAN-Kabels zu deiner FlitzpiepeBox oder was auch immer...

Allerdings, da wären wir wieder beim grünen Kabel, das außen am Haus irgendwo erreichbar ist, und erst recht das Cat.5/7 von der installierten Kamera. Ganz zu schweigen von dem WLAN, das sich schlecht innerhalb der 4 Wände begrenzen lässt. Wo war gleich wieder das Thema mit den vorm Haus campenden KNX-Hackern?

Und blöderweise ist es am Ende dann doch der böse Bube, der einfach das Fenster aufhebelt

Gut gut - aber man kann sich natürlich auch beliebige Szenarien konstruieren, um dann in Panik zu verfallen... Wohin würde das führen...? Vielleicht ist dann KNX grundsätzlich nix für Dich?!