(25-09-2020 10:35)peteralarm schrieb: [ -> ]Lupus hat sich das selbst zuzuschreiben, die haben aus einer Alarmanlage ein SmartHome Gedöns gemacht, welches halt auch Alarm kann, aber von außen durch das SmartHome leicht angreifbar ist.
Ich hätte jetzt gerne mal von dir belegt, wie die Anlage durch das "SmartHome Gedöns" konkret angreifbar ist! Mit Fakten, am besten mit einem POC. Sonst ist deine Aussage hier schon rechtlich... naja... sehr angreifbar.
Und Smarthome heißt hier nicht, dass ich irgendwas per Sprachassistenten steuerbar mache und dafür die Anlage ins Netz routen muss... Smarthome heißt "Schlaues Zuhause", Automationen über Regeln! Mehr nicht.
(26-09-2020 13:14)peteralarm schrieb: [ -> ]Denk darüber doch selbst mal nach... einen Teil deiner Frage hast du dir schon selbst beantwortet.
Nur so als Beispiel:
Der PC hat eine Firewall (etwa Microsoft?) und ein Virenschutzprogramm - gut.
Wo ist die Firewall und der Virenschutz deiner Hue und der dazu gehörigen App??
Wo ist die Firewall und der Virenschutz deiner Lupus und der dazu gehörigen App??
Die Firewall der FritzBox ist zwar besser als gar keine - ein wirklicher Schutz vor angriffen ist sie jedoch nicht und die App, sei es von Lupus oder Hue oder sonst etwas umgeht diese ganz einfach da sie über eine Mobilfunkverbindung hinter der Firewall direkt auf das Endgerät zugreift. Du hast ihr ja den Weg über deine VPN schon aufgemacht.
Somit ist und bleibt Lupus, mag ja nicht wirklich das schlechteste auf dem Markt sein, für mich als Facherrichter eben "Bastelwastel"
Professionelle Einbruchmelde oder Gefahrenmeldetechnik sieht eben anders aus.
Was für ein aus IT-Sicht unprofessioneller Beitrag!
1. Appliances wie die Hue-Basis oder die Lupusec brauchen keinen "Virenscanner". Da wird ja nichts hochgeladen usw. Die schützen sich über die hoffentlich ordentliche Implementierung der verwendeten Komponenten und Aufsatzsoftware. Und dazu gibt es eben regelmäßige(!!!) Firmwareupdates, die diese idR Opensource Komponenten updaten und damit abhärten. Bei der Hue sind diese z.B. zu sehen, indem man die IP-Adresse der Hue Basis in den Browser eingibt. Aber Peter, ich glaube du warst ja immer dagegen, Updates einzuspielen.
2. Eine Firewall auf so einem Gerät muss nicht sein. Wozu auch. Erstens sollte sie sowieso nur die Ports offen haben (im lokalen Netz erreichbar), die nötig sind für den Betrieb. Ansonsten sollte das Ding netzwerktechnisch einfach in eine entsprechende Zone, wenn man es besser absichern will und sichert es entsprechend am Router oder besserem Switch ab. Ja manche Appliances erlauben noch die Limitierung der zugreifenden IPs, aber damit kann man sich schnell aussperren. Das macht man lieber per Netzkomponenten, die das auf anderen Layern auch noch viel besser können.
3. "Die Firewall der FritzBox ist zwar besser als gar keine - ein wirklicher Schutz vor angriffen ist sie jedoch nicht"
Das belegst du mir bitte. Ich glaube, die Firma AVM sollte hier mal mitlesen. Die FB ist in erste Linie ein Internetzugangsgerät mit Router für Heimnetze. Und dafür ist sie ziemlich gut und die Funktionen, die zur Absicherung auch ab Werk alle aktiv sind, sind mehr als ausreichend. Du musst AKTIV eingreifen, damit ein Gerät einfach so einen Port rausstellen kann und andernfalls kann man für jedes Netzwerkgerät die Zugriffe ins öffentliche Netz sperren (komplett oder für bestimmte Ports), wie du willst. Erkläre mir, wie du jetzt als Angreifer an der FB von außen reinkommen willst.
Wenn man es innerhalb des LANs noch etwas "sicherer" haben will, stellt man sich halt noch einen kleinen L2+/L3 Switch hin, packt die Anlage in ein VLAN mit eigenem IP-Bereich und sichert eben die Zugriffe dahin übers Routing ab. Fertig.
4. "Du hast ihr ja den Weg über deine VPN schon aufgemacht."
Du behauptest also, ein VPN-Zugang ins Heimnetz, um die lokalen Geräte zu erreichen wäre was unsicheres. Ah ja... Alles klar... Mir fällt dazu nichts mehr ein, außer dass wir weltweit damit jetzt alle standortübergreifende Netzkopplungen einreißen können. Danke für den Tipp!
Btw die Anlagen der Hersteller, die du ja immer als besser benennst, haben auch alle Apps für den Zugriff von unterwegs und Push-Dienste. Was meinst du, wie das wohl funktioniert bei denen.
(27-09-2020 17:00)PeterF schrieb: [ -> ]Um auch den Datenaustausch sicher zu halten und vor dem Abhören von Dritten zu sichern, wird mit der Lupusec XT2 Plus die SSL / TLS 1.2 SHA-256bit RSA-Verschlüsselung genutzt, die auch die Ansteuerung über den HTTPS-Port 443 zulässt. Dies ist eine Sicherheitsmaßnahme, die heutzutage nur sehr schwer zu knacken ist, daher dürfte eine Attacke auf ein solches System für die meisten Hacker unbefriedigend sein.
Ich muss dich da leider enttäuschen. Da das Zertifikat bei allen Anlagen gleich ist, und da man kein eigenes einspielen kann (wie z.B. bei deren (dahuha) Kameras oder auch z.B. den Synologys), ist das nichts wert. Der private Key kann aus der Firmware geholt werden und damit deine Kommunikation mit der Anlage entschlüsselt werden; zumindest ist eine MIM-Attacke möglich.
Bitte stellt niemals nicht, egal welche, Appliances ins Netz. Immer nur per VPN zugreifen!
Was das eigentliche Thema angeht, wenn es mit der Lupusec gemacht werden soll, gehört da ein (Web/Webservice-)Software-Entwickler her, der das ganze Szenario einfach in ein Stück Software gießt und dann das Ding auf einem kleinen Rasperry Zero o.ä. als Companion der Lupusec & Hue laufen lässt. Das Ding läuft ja am USB-Port der Fritzbox problemlos mit, braucht so wenig Strom, dass die FB das nicht mal merkt.
Kostet halt. Auch die Wartung (Updates des Raspis und ggf. dann erforderliche Anpassung der Software selbst). Vom selber frickeln ohne Ahnung würde ich abraten, am Ende steht wirklich die Anlage offen usw. Ich würde auch keine User/Pass-Kombi in den Rasperry bauen lassen, der die Anlage scharf/unscharf stellen kann.
und davor wird in diesem Forum zutreffend gewarnt. (Da muss man kein Prophet sein, dafür 
)
find´ ich nice. 