Was auch immer eine Firma Gira da schreiben mag...

Mein Netzwerk-Setup mit freier Software:
Zugang von extern nur via VPN. Restriktive Firewallregeln (insbesondere auch OUTGOING) für alle Sicherheitszonen, in denen proprietäre Devices stehen.

Hand hoch - zumindest etwa 7/8 hoch

Ich glaube dass das größte Problem das Unwissen des Users selbst ist. Der Laie freut sich, dass alles läuft und macht sich über Sicherheitslücken keine Gedanken, bzw. nur unzureichend. Wenn ich mir anschaue, was bei mir Zuhause alles an Verbindungsanfragen aus Fernost, Russland und USA gedroppt wird, ist inzwischen nicht mehr schön und macht einen nachdenklich.

Ich habe bei mir einige Abende investiert um VLANs, FW-Regeln, VPN, etc. zu konfigurieren. Das sind natürlich Aufwände, die ein Laie nur mit intensivem einlesen bewerkstelligen kann - wenn überhaupt.

Weiterhin halte ich persönlich es auch nicht für fahrlässig Systeme von außen (über VPN) erreichbar zu machen, sofern man sich die oben genannten Gedanken über die Sicherheit macht.

Lyra - Was nutzt Du als FW?

pfSense

Ein Gleichgesinnter

Ist zwar ein bisschen OT, aber hattest Du Probleme mit der VoIP Einrichtung?

Ja, OT. Derzeit läuft in Sachen VOIP nichts sinnvolles...

Ziemlich OT

OT
pfSense ... vielleicht hier weiter https://knx-user-forum.de/forum/%C3%...rungsaustausch

Gegen echte "Sicherheitslücken" (also Schwachstellen der Software) helfen natürlich nur "Updates", die das Problem beseitigen. Wenn man dies mal außen vor lässt, konzentriert sich das Einfallstor im Wesentlichen auf schwache Zugangsdaten. Wer schonmal einen Server irgendwo gemietet hat, kann sicher ein Lied davon singen: Nach 10 Sekunden Betriebsdauer klopfen schon die ersten SSH-Versuche an Nach ein paar Tagen geht's schnell in die zigtausende... Daran ist nichts zu ändern, schließlich möchte man ja auch selbst Zugang per SSH erlangen können.

Natürlich gibt's dann tolle Tricks (Port verbiegen, Zeitfenster einrichten, uvm.) - aber schlußendlich hilft dies alles auch nicht wirklich. Will sagen: Es spricht prinzipiell nichts dagegen, wenn man sein "Smarthome" im Internet verfügbar macht - sofern die Software als solches keine (oder zur Zeit keine bekannten) Schwachstellen aufweist und der Zugang bestmöglich geschützt ist (starke Passwörter, nur die nötigsten Dienste aktivieren, etc.). Das dies funktionieren kann beweisen die ganzen DSL-Router: Bis auf wenige mehr oder weniger dramatische Ereignisse ist's doch recht ruhig in dieser Hinsicht - und das bei Millionen von Routern weltweit.

Opensource kann eine gute Wahl sein, muss aber nicht. Denn wer ist schon in der Lage mal eben ein paar Millionen Codezeilen nach einer Schwachstelle abzuklappern, bevor er das Gerät in Betrieb nimmt Und auf die Community ist auch nur bedingt Verlass, denn viele Funktionen wurden und werden oftmals als "erledigt" abgehakt - bis es dann nach 20 Jahren plötzlich heisst: Oh, der SSL-Kram ist ja doch nicht so sicher wie immer gedacht...

Es bleibt also stets ein gewisses Restrisiko. Und es bleibt jedem selbst überlassen, ob er seine Hütte nach aussen verfügbar machen will/muss oder eben nicht. Ich habe inzwischen davon Abstand genommen, weil ich's schlichtweg nicht brauche. Es ist zwar toll, wenn man seine Heizung aus dem Urlaub heraus schonmal aktivieren kann usw. - aber braucht man das wirklich? Ich weiß doch, wann mein Urlaub zu Ende ist... Und wenn ich den Einbrecher live auf dem Kamerabild zuschauen kann, habe ich irgendwie auch nix davon

Jain.

Um Probleme wirklich auszumerzen, sind passende Updates zwingend notwendig. Aber man muss (und kann!) nicht jedes Problem ausmerzen - und auch nicht immer zeitnah. Die Zahl der heutigen Produkte, die software-technisch in genau dem Zustand verbleiben wie zum Zeitpunkt der Auslieferung, sind Legion. Für viele Produkte gibt es nur für eine kurze Zeitspanne oder niemals Security-Patches - was gerade im Bereich der langlebigen Hausinstallation fatal ist. Viele Hersteller schert die Sicherheit ihrer Kunden einen Dreck, die wollen nur neue Produkte verkaufen (Ausnahmen wie AVM bestätigen die Regel).

In diesen und anderen Fällen ist aber die Isolation dieser Komponenten eine große Hilfe. Eine Sicherheitslücke in einer Komponente, die in einem dedizierten Subnetz ohne Kontaktmöglichkeiten (überwacht durch die Firewall) liegt, ist nur schwer auszunutzen.

Und den sicheren Datentransfer zur Komponente kann man über ein VPN tunneln. Mangelnde oder schwache Verschlüsselung durch die Komponente, offene Ports, Default-Passworte als Hintertüren verlieren damit erheblich an Schrecken.

Auf diese Weise ist es auch viel leichter, die relevante Software aktuell zu halten. Weil nur die Firewall und das VPN Angriffpunkte nach aussen bieten, ist ein effektives und sofortiges Patchmanagement hier natürlich elementar - aber machbar.

Es gibt es aber doch sehr unterschiedlich kritische Szenarien: Es macht einen großen Unterschied, ob a) jedes Scriptkiddy mit allereinfachsten Mitteln in ein System kommt: Siehe hier im Thread: Shodan-Suche, admin/admin - drin! Oder eben auch Shodan-Suche nach weit verbreiteter Industriesteuerung, Fiddler/WireShark - drin mit höchsten Privilegien (zuerst Vaillant nano-Blockheizkraftwerke, dann Brauerei, Knast, Kirche, ...). Oder ob b) man bei sauber adminstrierten, nach allen Regeln der Kunst aufgesetzten Systemen einen Zeroday ausnutzt.
Und dazwischen gibt es viele Graustufen. In der Presse wird das sehr gern durcheinander geworfen, siehe das Thema aktuell mit den angeblich angreifbaren Herzschrittmachern. Zwischen Panikmache und realer "Bedrohung" sollte man schon unterscheiden:
Wie wahrscheinlich ist es, dass ein Hacker mein sauber administriertes mit guten Kennworten und anderen Absicherungen versehenes VPN knackt - um dann nur das Licht auszuschalten? Wie risikoreich ist es, dass wie oben beschrieben die Waschmaschine - wie bei mir auch - per KNX ausgeschaltet werden kann? Bei einer guten Waschmaschine mit Wasserstop und co hoffe ich, dass maximal die Waschmaschine nach 10.000 an/aus den Geist aufgibt - schlimm genug! - aber das Haus nicht überflutet wird. Schafft es aber jemand, meine Wandheizung auf 80 Grad hochzuschrauben ("kann gar nicht gehen!" sagt Vaillant...) wird das ganze schnell sehr teuer.

Anderes Beispiel - wir hatten die Diskussion hier schon öfter: Haustür öffnen per Hausautomatisierung...? Naja... Bei einer Praxis den Schließer per KNX öffnen wenn mechanisch aufgeschlossen wurde: Warum nicht?

Wir werden wegen IoT, Industrie 4.0 und co in Zukunft noch viel mehr Pressemeldungen sehen, was alles wie gehackt wurde. Und dabei werden garantiert immer mehr non-IT Firmen dabei sein: Weil's cool und irgendwie auch praktisch ist dass Kühlschrank, Mixer, Heizung, Kirche, Fahrradschloss und co online sind - und man als Marktführer für Foo mehr Geld in schöne Prospekte investiert als in Sicherheit / IT. Und die Produkte x mal länger halten als einfache IT-Systeme. Hier im Forum oder bei Heise kommt immer das "Selbst schuld wenn man x, y, z ins Internet hängt!" - aber Lieschen Müller findet's nun mal praktisch wenn der Mixer die Rezepte bei Facebook holt und bei Twitter postet. Dabei hat ihr PC keinen Virenscanner, keine Updates seit 2014 (hatte ich grad' im Freundeskreis) und was der Router da eigentlich macht - an dem die Webcam im Laden hängt - hej, bisher ist doch nichts passiert?!

Ich wünsche Euch allen dass Eure Systeme nie gehackt werden!

Dirk

Auch zu beachten:
https://knx-user-forum.de/forum/%C3%...tem-von-loxone

Wenn ich dem link hier Folge, komme ich in deinen Thread und von da, wieder hier her zurück.. Ich bin verwirrt.

Rekursion lässt grüßen!

Das ist nichts neues was da wieder als Sicherheitslücke aufgetan wird. Loxone hat bereits im Frühjahr auf mögliche Probleme mit dem Admin Admin Zugangsdaten hingewiesen. Seit dem Update für die App im April erscheint dort ein roter Warnbalken, das die Zugangsdaten unsicher sind bei Standardpasswörtern.
Viel schlimmer finde ich das in dem Artikel noch genau beschrieben wird, wie man in das System eindringen kann, schon fast wie ein HowTo.

Die gegenseitige Verlinkung war Absicht, um die Verbindung zwischen den gleichartigen Threads herzustellen. Verwirrung war nicht meine Absicht.
Ich hoffe, es ist keiner mehr in der Rekursionsschleife gefangen. Ansonsten kurz den dicken roten Knopf 'Internet aus' drücken...