www.mikrocontroller.net

Forum: Haus & Smart Home Fernwartung - welche Absicherung?


Autor: Frank Esselbach (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

ich soll das Netzwerk für ein neues Einfamilienhaus konzipieren. Die 
"normale" Internet-Funktionalität ist natürlich kein Problem, aber ...

Sowohl die Elektrofirma möchte für die EIB-Installation Fernzugriff, als 
auch der Bang&Olufsen-Service auf das installierte System. 
Internet-Zugang soll insgesamt aber nur einer gelegt werden 
(wahrscheinlich Kabeldeutschland und UMTS als Fallback).

Die Zugänge der Systeme sind zwar jeweils über ein gewöhnliches 
Username/Passwort-Paar gesichert - das scheint mir aber zu unsicher. Bei 
VPN habe ich Bedenken, dass die beiden Firmen damit überfordert sind 
(Zertifikate etc.) - ich kann mir auch kaum vorstellen, dass die für 
jeden Kunden verschiedene Protokolle (IPSec, PPTP, L2TP ...) und die 
passenden Zertifikate vorrätig halten.

Zusätzlich möchte der Hausherr per iPhone auf EIB-Statusinformationen 
zugreifen (Busch-Jäger-Panele).
Mache ich deswegen eine DMZ zwischen zwei Firewalls oder einen extra 
Zugangs-Proxy? Ich bitte um inspirierende Tips!

Frank

Autor: Robert L. (lrlr)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
könnte man VIELLEICHT! mit WRT54g3g  und dd-wrt machen

was ich jetzt so gelesen hab: der WRT54g3g könnte umts fallback  (aber 
ob das mit dd-wrt auch geht ?)

am "einfachsten" wäre natürlich pptp (weil das windows von haus aus 
kann)

openvpn wäre aber sicherer..

was ich jetzt allerdings auch nicht weiß ist, ob man openvpn/pptp so 
einstellen kann, dass (je nach benutzer) nur auf eine bestimte IP 
zugriff möglich ist..


dem B&O bzw. EIB firmen würd ich einfach mal die frage stellen, wie sie 
das bei anderen kunden machen, ? und wie sie das gerne hätten.. .

wobei ich das an/abschaltbar machen würde, also dass die nicht DAUERN 
zugriff haben, sondern nur dann wenn ich will.. und da stellt sich die 
frage ob ein normales port forwarding nicht "sicher genug "ist..


und nur für den hausherren vpn...

Autor: Dirk M. (dmd)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich habe zwar kein EIB usw. , aber an meinem Internetanschluss hängen 
noch andere Personen und ein FTP/Web-Server. Nach dem Splitter kommt ein 
ganz normaler Netgear-Router und dieser geht auf einen Linux-Rechner mit 
3 Netzwerkkarten (Könnte ja ein MiniPC sein). Dieser Rechner teilt dann 
das Netzwerk auf, einmal zu mir und einmal zu meinem Nachbarn und den 
Servern.
Auf dem Linux-Rechner stelle ich dann alles ein, FTP/Web von aussen und 
innen, Nachbar darf nur HTTP/Mail usw.
Ist alles sehr flexibel und ich kann auch alles per Fernwartung 
konfigurieren. Wenn man dann noch das System immer aktuell hält, ist es 
"für mich" sicher genug.

MfG
Dirk

Autor: Marcus B. (raketenfred)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
reicht an sich nicht ein einfacher bruteforce schutz + dynamische ip 
addressen??

solange man dann die dyndns nicht kennt, hat man 24h zeit um da ne 
bruetforce durch zu bekommen...
mit captcha unwahrscheinlich
100% Sicherheit gibt es nicht

Autor: Ronny Minow (hobby-coder)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Marcus B. schrieb:
> reicht an sich nicht ein einfacher bruteforce schutz + dynamische ip
> addressen??
Gib jemandem genügend zeit, so knackt er diesem Schutz.
>
> solange man dann die dyndns nicht kennt, hat man 24h zeit um da ne
> bruetforce durch zu bekommen...
Wenn der Rechner bei den Unternehmen an ein Netzwerk angebunden werden 
soll, werden deren Admins/ Techniker auch die IP Adresse kennen. Ob die 
IP nach 24h gewechselt wird, ist da irrelewant.
> mit captcha unwahrscheinlich
Ein Captcha kann genauso geknackt werden, wie eine Bruteforc 
Schutzmauer...
> 100% Sicherheit gibt es nicht
Das stimmt.

----

Ich würde mich in den Unternehmen schlau machen, wie externe Recorucen 
angebunden werden. Wenn VPN o.a./ o.ä. benötigt werden, richtet man 
diese ein. Anschliessend richtet man einen Benutzeraccout mit 
entsprechend beschränkten rechten ein.

Man kann, wie Dirk M. schon schrieb, den Computer über mehrere Ebenen 
absichern. Ich z.b. fahre mehrere Sicherheitsebenen....

Autor: Robert L. (lrlr)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>richtet man einen Benutzeraccout mit
>entsprechend beschränkten rechten ein.

diese "allgemeinen" antworten hier, find ich immer super.. (egal welches 
thema)

warum posten diejenigen die sich "auskennen" nie konkrete antworten..?

oder zumindest einen link zu einer (brauchbaren) anleitung, wo jemand 
schon mal sowas gemacht hat..

z.b. wie man per OpenVPN (auf linux) mehrere benutzer einrichtet die 
dann jeweils nur eine bestimmte IP zugreifen können, und ein weiterer 
der auf alles zugreifen kann...

Autor: jojo (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

wie oben schon angesprochen könnte eine Linux Distribution das ziemlich 
elegant lösen. Empfehlenswert wäre hier z.B. die Distribution IPCop 
(www.ipcop.de,www.ipcop-forum.de) die zum einen VPN Zugang ermöglicht 
aber andererseits auch die Möglichkeit bietet unterschiedliche Netzwerke 
anzulegen (also physikalisch getrennte Netze mit unterschiedlichen 
"Sicherheitslevels".
Das ganze dann auf einem Embedded PC wie z.B (es gibt auch andere 
Möglichkeiten) einem Alix Board. Insgesamt liegt man dann preislich bei 
max. 200€ (je nach Ausstattung) und hat zudem eine stromsparende Lösung 
(3-5W, ohne Festplatte mit CF Karte).

Mfg

Jojo

Autor: Robert L. (lrlr)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
d.h. ich bräuchte EIB, b&o und den rest in eigenen ip-bereichen (V)LAN's 
?

ich glaub ich muss mich doch mal mehr mir sowas beschäftigen ;-)

ich frag mich wie die geräte in den 3 ip-breiche dann miteinander 
kommunizieren können (untereinander..) b&o fernseher z.b. auf EIB 
zugreifen, oder auf VIdeos im privaten Netz

 aber jemand der von extern kommmt (z.b. der eib-typ) nicht auf b&o 
usw..

Autor: Frank Esselbach (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Zur Kommunikation zwischen zwei Netzen gibts schließlich Router. Ein 
Probem ist aber, dass die meisten Leute heute nicht wissen, was ein 
Router eigentlich ist und diesen Begriff fast immer mit der kleinen 
bunten Plastikkiste assoziieren, die bei ihnen zuhause den 
Internetzugang realisiert. Klar ist da auch ein Router mit drin, aber im 
Extremfall viel mehr, was man in diesem Falle garnicht braucht:

- ein BBAE (Splitter)
- ein NTBA
- eine ISDN-Anlage
- ein (DSL-) Modem
- ein VOIP-Gateway
- ein VPN-Gateway
- ein Router
- ein MAC-Adressfilter
- ein Paketfilter (oft als Firewall verkauft)
- ein Switch
- ein WLAN-Accesspoint
- ein USB-Printserver

Im Profibereich gibts dafür je einen 19-Zoll-Einschub :-)

Einfach nur "Router" gibts im Konsumerbereich nicht zu kaufen und die 
Profigeräte sind "schweineteuer". Hinzu kommt, dass man sie mit Google 
und Co. im Massenschund kaum ausfindig machen kann ...

Autor: Robert L. (lrlr)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
und wie "löst" du das ganze jetzt?



zu deiner letzten "Antwort":
ist doch toll, dass alles integriert ist (vorallem im SOHO bereich), und 
das routing selber nur mehr ein "nebenjob" von dem z.b. dd-wrt  ist...

NAT hast übrigens vergessen (DAS ist eigentlich das, was die meisten 
unter "router" verstehen..)

Autor: Robert L. (lrlr)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ich hab mir das jetzt nochmal angeschaut..

meiner meinung kann das nicht funktionieren...

man kann beim OpenVPN einem client eine FIXE IP zuweisen

d.h. der EIB-Fernwartungs-Typ würde immer die selbe IP adresse bekommen

dann noch diese IP  mit IPTables  nur den zugriff auf die IP des Panels 
zulassen...

er kommt also nur auf das Panel
oder der b&o typ nur auf die HiFi anlage...

eigentlich ganz schön, nur:

problem: das EIB-Pannel(oder HiFi anlage) kann/musss auf "alles" 
zugreifen können (z.b. auf den Server um dort videos abzurufen..)

d.h. sobald der b&o auf die HiFi zugreifen kann, kann er auch auf den 
server zugreifen ...

oder sehe ich das falsch?

Autor: daniell (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ich habe das ganze mit einem Ipcop geloest (DMZ Openssh etc).
Das ganze in ein Gehaeuse und fertig.
http://www.ipcop-forum.de/galerie/unix.php

Autor: Robert L. (lrlr)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
auch mit zugriff für "externe" leute?

oder nur für dich..

Autor: daniell (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
auch fuer externe

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.