Illegaler Login

**maxw** · 20.02.2016, 01:20

Bitte Leute, wenn ihr auf euer Haus bzw. eure PC's oder was auch immer von außen zugreift, dann NUR über VPN. Alles andere ist Russisches Roulett. Mit einem VPN Zugang hast du dann auch EINE zentrale Stelle, wo du ALLES überwachen kannst.

Anregungen siehe hier: http://www.loxwiki.eu:80/x/7wFN

**Thomas M.** · 20.02.2016, 08:26

Es gibt ununterbrochen bruteforce attacken auf alles was öffentlich am port 80 zugänglich ist.
Ich hatte vorm einzug ins haus die t25 öffentlich. Täglich hunderte versuche sich mit standardkennwörtern anzumelden.
Wenn schon nicht vpn, dann mindestens den http port 80, 81, ... weg und auf irgendwo über 10000 stellen. Dort finden keine standardattacken statt.

Und nein, der MS spuckt kein logfile aus, wer wann versucht hat sich anzumelden.

Du siehst in der def.log wer erfolgreich angemeldet wurde.

**svethi** · 20.02.2016, 08:31

Ich kann da maxw nur zustimmen.
Da siehst Du schon selber, dass da immer wieder versucht wird zu hacken und machst Dir eher Gedanken darüber, dass Du informiert werden willst. Wenn das entsprechende Gerät erstmal gehackt ist, ist es meistens zu spät. Also gilt nur eines! Die Zugriffe gar nicht erst zuzulassen. Ich kann es auch nur immer wieder sagen ... ich administriere mehrere öffentliche Server. Wir blockieren da sogar ssh und geben das nur für unsere Systeme frei. Macht man ssh mal auf, dauert es keine Minute bis da Bruteforce Attacken starten und alle möglichen User/Passwort Kombinationen versuchen. Weder Kameras noch Hausautomation oder sonstiges gehören an das öffentliche Netz.
Die meisten aktuellen Router stellen VPN zur Verfügung was hindert so viele Leute das auch einzusetzen?

Gruß Sven

**Thomas M.** · 20.02.2016, 08:46

Genau das Gleiche, was so viele Leute daran hindert standardpasswörter zu ändern. Oder passwörter wie 12345 verwenden. Unwissenheit. Sonst gäbe es ja keine bruteforce attacken.

Oder wieso kann man auch eine million mails mit pseudorechnungen und mahnungen & inkassodrohungen verschicken ... irgendwer ist schon so doof und zahlt

**a.stecher** · 21.02.2016, 15:11

Danke Thomas M. für die Info, dass es kein Logfile gibt, in dem ich die fehlgeschlagenen Anmeldungen einsehen könnte.

Mmhh, ich muss zugeben, dass ihr mich überzeugt habt, und ein VPN vermutlich die sicherste Variante ist.

Nichts desto trotz behaupte ich mal, dass ein Großteil der Anwender draußen in der Welt die Loxone-App "ganz normal" auf dem Handy nutzt .... ohne VPN.

**svethi** · 21.02.2016, 21:26

Ja, da gibt's sicher sehr viele. Daher sagen ja auch die Sicherheitsleute hier, dass Loxone da eigentlich in der Pflicht steht. Alle neuen Router usw. Müssen zwingend so ausgeliefert werden, dass die sicher sind. Verschlüsseltes WLAN usw. Der User muss hier erst selbst eingreifen und die Sicherheitseinstellungen deaktivieren. Bei Loxone ist es noch immer so, dass nicht verschlüsselt werden kann und in den Anleitungen werden die falschen, einfachen Wege aufgezeigt. Nur so nebenbei wird erwähnt, dass man es sichererer machen sollte. Umgedreht sollte es in heutiger Zeit sein.

**simon_hh** · 22.02.2016, 07:12

Dann bitte ich Euch beim entsprechenden Blogeintrag:
http://www.loxone.com/blog/dede/priv...im-smart-home/
die Anfrage nach einer Security Extension zu unterstützen.

Das wäre für viele ideal, wenn sie sich mit VPN nicht auseinander setzen können/wollen, etc.

**hismastersvoice** · 22.02.2016, 08:03

Wozu eine Security Extension...
Der MS könnte das alles über Software lösen.
VPN könnte durchaus auf dem MS laufen und die App könnte direkt beim start über VPN verbinden.

Eine Extension halte ich für unnötig!!

**Benjamin Jobst** · 22.02.2016, 08:08

hismastersvoice : Eine softwareseitige Lösung wäre natürlich der sinnvollste Ansatz, nicht zuletzt weil alle bisherigen MS einfach "nachgerüstet" werden können.
Allerdings habe ich da dumpf die Aussage von Loxone im Kopf, dass z.B. ein SSL-Mail-Zugriff aus Performance-Gründen nicht möglich sei (auch wenn er jetzt zumindest teilweise umgesetzt wurde).
Ich habe mich noch nicht so detailliert mit der verbauten Hardware beschäftigt, dass ich deren Performance einschätzen könnte, du bist aber der Meinung das sollte der MS packen?

**maxw** · 22.02.2016, 12:50

Noch ein Gedanke zu der ganzen Diskussion...

Ihr habt alle schon mal von DoS gehört, Denail of Service - erst vor kurzem war die A1 Telekom ein Opfer davon.

Jetzt stellen wir uns mal vor, der Miniserver bekommt an Security alles Nachgerüstet was gut und teuer ist, und man kann ihn wirklich bedenkenlos direkt ins Internetz hängen.
Trotzdem kann jedes Script Kiddy euren Miniserver spielend lahm legen, einfach weil er ein DoS auf euren Miniserver loslässt. Selbst wenn der MS nicht abstürzt, (die SW sei ja fehlerfreie ;-) so muss er die Anfragen abwickeln, es könnte ja was legales darunter sein. Euer Haus wird unbedienbar, wenn auch nach wie vor sicher :-)

Hast du ein Firewall davor, dann ist deine Firewall blockiert, du kommst von Außen nicht mehr an den Miniserver ran. Aber der Miniserver ist geschützt und macht nach wie vor alles was er soll. Euer Haus ist nach wie vor sicher.

Also, redet euch die Welt nicht schön. Der Miniserver - wie übrigens jede kritische Infrastruktur! - gehört hinter eine Firewall mit VPN. Punkt. Aus. Schluss

**hismastersvoice** · 22.02.2016, 13:15

maxw

Davon reden wir doch... VPN ist klar...
Jetzt ist die Frage wie viel User das Wissen besitzen ein VPN einzurichten, deswegen finde ich das der MS und die APP das direkt aushandeln sollen.

Nun zum Thema Leistung für VPN...
Wenn ein alter Router z.B. WRT54G mit 200 MHz das nebenher gemacht hat warum soll dann ein MS das nicht hinbekommen.
Zumal sich hier nicht 10 User gleichzeitig anmelden.

Leistung für Verschlüsselung
Ich wäre froh wenn es überhaupt eine geben würde, auch wenn nur RC04 anstatt AES.
Bei AES würde ich dir zustimmen das hier je nach Verschlüsselungshöhe die Leistung nicht reichen könnte.

**Nobbi75** · 22.02.2016, 14:13

Hallo,
Ich muss zugeben, dass ich bisher kein VPN habe, da ich bisher dachte, dass eine Kombination aus "nicht-standard-Port", unüblichem Benutzernamen und langem Passwort eine gewisse Sicherheit bietet. Es ist auch nur die Loxone extern erreichbar, der Rest bleibt zuhause im geschlossenen Netzwerk.

Jetzt wachgerüttelt möchte ich auch einen VPN Zugang über die Fritzbox nutzen. Was mir bisher nicht so ganz klargeworden ist, ist die Frage ob ich nur die Loxone per App über VPN ansprechen kann und der Rest weiter über eine normale Verbindung gehen kann (Stichwort: Performance beim Surfen von unterwegs / 5-10mbit Uploadgeschwindigkeit zuhause / Bequemlichkeit) Kann das automatisch erkannt/umgeschaltet werden? Macht das Sinn oder mache ich einen Denkfehler.

Gesendet von iPad mit Tapatalk

**hismastersvoice** · 22.02.2016, 14:23

iOS kannst du VPN in demand einrichten, dann wir immer wenn du deine App öffnest ein VPN Tunnel aktiviert. Der Rest geht natürlich auch darüber.
Machst du die App läuft alles wieder direkt.

LoxWiki

http://www.loxwiki.eu/display/LOX/VPN+on-demand

Bei Android geht das nur über Umwege mit z.B. Tasker, dem kannst du sagen wenn LoxApp dann VPN.

**Thomas M.** · 22.02.2016, 14:27

Hängt davon ab was der "Rest" ist

Kann man damit etwas lahmlegen oder bist du im schlimmsten Fall tagelang beschäftigt?

Ich würde alles über VPN machen und jede http-port weiterleitung abdrehen.

Ob die mögliche Uploadgeschwindigkeit irgendwie durch VPN irgendwie beeinflusst wird kann ich dir nicht sagen.

Illegaler Login

Illegaler Login

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar