Loxone 100% privat

Ich habe das Howto jetzt auf 2 Varianten geändert, editiert im ersten Post.
V1 Nur den eigenen Mailserver und Timeserver zulassen (vielleicht hat auch jemand die ip von dem updateserver, dann könnte ich das dort erweitern)
V2 Nur den Cloudserver blockieren und alles andere zulassen

Zum Grundsatzthema kann ich nur sagen, wir sollten uns einfach dem bewusst sein, dass sie alles was sie wollen übertragen können und auch auf jeden Miniserver zugreifen können, der sich bei ihnen melden kann.

Und ja, wer 100% Sicherheit will, sollte den Stecker ziehen

LG

Sehen wir das mal positiv:

Dank der Vorratsdatenspeicherung wurde ja schon der eine oder andere Filesharer dingfest gemacht. Und wenn die Ermittler nebst der ohnehin schon schwierigen Beweisführung trotz täglich wechselnder IP auch regelmässig die geografischen Koordinaten sowie die Kennung des Miniservers mitlesen können, so ist zumindest das Risiko eine falsche Türe Einzutreten viel kleiner. :-) Das ist jetzt nur ein Beispiel wo die "Guten" mitlesen ;-)

Die übrigen omnipräsenten Dienste wie Google, Apple, WhatsApp lassen sich entgegen der landläufigen Meinung für solche Sachen praktisch nicht ausnutzen.
Das Zauberwort heisst Verschlüsselung. Während die Elite über gute und schlechte Verschlüsselung diskutiert, lassen wir bastelnden Häuslebauer das offenbar lieber ganz weg? Es muss ja nicht immer SSL/TLS sein, weil das kann der MS ja hochoffiziell nicht.

Wen es ernsthaft interessiert, kann hier lesen mit welchem einfachen und bewährten Vorgehen (Digest) das Problem praktisch vom Tisch wäre: https://de.wikipedia.org/wiki/HTTP-Authentifizierung Das RFC ist aus dem letzten Jahrtausend.

Etwas Off-Topic aber doch zum Thema passend:

Da ich auf Cluod Dienste wie DropBox, OneDrive, GoogleDrive nicht verzichten will, habe ich seit längerem das Product crosscloud im Einsatz, unter crosscloud.me zu finden.

Das Ding ist in mehrerlei Hinsicht genial

- es verschlüsselt die Dateien lokal bevor sie übertragen werden, der Schlüssel verlässt niemals den Rechner
- wenn du von mehrere Rechnern zugreifen willst, musst du deshalb natürlich überall den Schlüssel eingeben
- es unterstützt mehrere Dienste transparent - soll heißen wenn du 3 Dienste mit je 2 GB hast, wird daraus (wenn du willst) ein einziger 6 GB Drive
- es ist und bleibt für Private dauerhaft kostenlos
- der Support ist recht gut, weil noch Beta hat einiges am Anfang nicht ganz geklappt, haben prompt reagiert und auch meine Anregungen umgesetzt
- gibt es für Windows und Mac, Smart Devices sollen folgen
- last but not least - es ist ein Österreichisches Produkt :-)

Mein Tipp - Ansehen und Ausprobieren!

BSiege : Verschlüsselung ist an sich schön und gut. Wenn sie sauber durchgeführt wird, ist an die Daten zumindest direkt nur schwer ranzukommen, ja. Allerdings sind auch diese Systeme nicht zu 100% sicher. Wenn du die derzeitige Auseinandersetzung zwischen Apple und der CIA verfolgst, siehst du beispielsweise eine der Schwachstellen, bei der selbst eine Verschlüsselung unwirksam werden kann. Ob dieser Vorfall jetzt tatsächlich so stattfindet oder vielleicht nur eine Farce ist, möchte ich nicht beurteilen. Aber es zeigt sehr schön den Wert, der von diversen Institutionen auf Privatsphäre gelegt wird. Ist eine Backdoor, ein Exploit - oder einfach der Mensch als Schwachstelle - vorhanden, hilft dir die ganze schöne Technik zur Verschlüsselung auch nicht viel weiter. Zumindest, wenn es jemand tatsächlich auf deine Daten abgesehen hat... und ob derjenige dann zu den "guten" oder "bösen" gehört, spielt am Ende doch auch keine Rolle mehr.
Hier muss man allerdings auch entscheiden, von was wir reden. Aus meiner Sicht gibt es zwei "Gefahren" für unsere Daten. Einerseits sind das die großen Konzerne selbst, welche die Daten entweder für Werbung oder andere Zwecke sammeln, vermarkten oder selbst verwerten. Wer hier noch Zugriff hat, werden sie dir sicher nicht auf die Nase binden.
Andererseits gibt es Personengruppen, die direkt ihren eigenen Vorteil suchen bzw. Leuten schaden wollen. Hier würde eine gut behütete Verschlüsselung tatsächlich viel helfen. Allerdings kommt da wieder der Schwachpunkt Mensch zur Vorschein.
Was ich heutzutage täglich an Phishing-Mails bekomme (manche wirklich erschreckend gut gemacht...) zeigt, dass der Mensch als Schwachstelle stark im Fokus steht. Gehackte Konten lassen sich für undenkbar viele und verschiedene Zwecke nutzen, je nachdem, um was es sich handelt.

Die Loxone-Philosophie, die Daten da zu belassen, wo sie auch "zu Hause" sind, empfinden wir als große Stärke des Systems. Über einige weitere Punkte - Verschlüsselung, Portweiterleitung vs. VPN usw. lässt sich natürlich streiten.
Ich möchte aber anmerken, dass Loxone im Verlauf der letzten 2 Jahre viel zur Steigerung der Sicherheit getan hat - sei es die Firewall, Bruteforce-Schutz oder eine zumindest ansatzweise vorhandene Verschlüsselung. Andere Produkte (ich sage nur Zigbee) zeigen da definitiv gefährliche Schwächen - besonders für einen persönlichen Angriff. Inwieweit das Air-Protokoll da sicher ist, weiß ich allerdings auch nicht...

maxw : klingt interessant, werde ich mir mal zu Gemüte führen.

duke, kannst du mit definitiv entferntem Wetterservice deinen Test wiederholen?
Es sind schließlich zwei Paar Schuhe, ob ich bewusst einen Cloud-Dienst aktiviert habe, oder das ohne mein Zutun passiert.

Debug-Infos sehe ich da noch kritischer, wenn das ohne mein Zutun passiert. Ich habe nie bestätigt, dass sowas hinaus geht, und bin nie informiert worden, WAS da hinausgeht. Auch hier wäre interessant, ob das eine Vermutung ist, oder sich das bestätigt.

lg, Christian

Den Wetterservice hatte ich nie abonniert, jedoch war er bis vor 3 Monaten in meiner Config (vielleicht standartmäßig) bis ich ihn mit rechtsklick enfternt habe...

lg Gerd

Ja, die Debuginfos würden mich auch ml interessieren. Hier gab es ja schon Tests bei denen herauskam, dass der MiniServer ohne Clouddienste und externem Zugriff im Monat 50MB Daten verbraucht hat. Was sind das für Daten?
Einmal gab es das Problem mit unerklärlichen Neustarts in unterschiedlichen Zeitabständen. Es wurde geschrieben das Loxone das überprüft habe, dass die nun noch mehr Debuginfos eingebaut hätten und damit herausfanden, dass dies DDOS Attaken auf den MiniServer waren. Ich habe noch kein Log auf dem MS gefunden, in den soetwas reingeschrieben wird. Kann sein das ich nichts finde, da der MiniServer gesichert ist. Oder werden da doch Debugdaten "nach Hause" geschickt?

Ich monitore jetzt mal den Traffic vom MS, mal schauen was dabei rauskommt.

lg

Danke, das würde mich auch stark interessieren.

Hallo,

ist in absehbarer Zeit seitens Loxone eigentlich geplant wenigstens mal auf https zu setzen? Es sind soviele innovative Dinge eingebaut worden, aber hier hat man anscheinend keinen Bedarf gesehen oder woran liegt es?

Danke

Wenn sie es könnten hätten sie es schon längst getan...

Persönlich erachte ich https in diesem Fall nicht als nötig, schließlich würde ich nie ein Port von außen zum ms öffnen und in meinem Netzwerk kann er gerne über http kommunizieren.

LG Gerd

Auch wahr.... Also bleibt leider nur der nervige Weg über ein VPN, wenn man es wirklich sicher haben möchte.... Funktioniert der Auto VPN Aufbau beim iPhone automatisch im Hintergrund? Kriegt man das WAF tauglich hin?

Ja. Da gibts auch einen Thread dazu

Ok, das klingt gut, wenn der Tunnel aufgebaut wird... Einige Fragen stellen sich mir dennoch: Welche Funktionen der App kann ich ohne VPN Aufbau nicht nutzen? Speziell die Hintergrunddienste wie Push Nachrichten, sehen wenn einer klingelt usw.? Oder baut die Loxone App dann den Tunnel bei Bedarf auf und ab?