Illegaler Login

Hmmm. Danke.
Ich werde es mal mit komplett über VPN versuchen, ansonsten leidet wohl der WAF.


Gesendet von iPad mit Tapatalk

Hab mich bis dato ebenfalls noch nicht mit der Thematik VPN beschäftigt, habe aber erkannt das dies wichtig ist ;-)
Die Synology bietet als Paket ja einen VPN Server an. Ist dies ratsam, hilfreich, einfacher einzurichten? Oder lieber laut Loxwiki wie eingangs erwähnt?

Cool. Jetzt soll der MS nicht nur TLS können (was ja noch verständlich wäre), sondern auch gleich einen VPN Tunnel bauen. Und Zertifikate dazu generieren. Und die Infrastruktur um das Zertifikat auf die Devices zu bringen. Wird ja immer lustiger :-)

Also, wer seinen MS ins Netz hängen will, sollte wissen was er tut oder einen Fachmann beiziehen. Die Heizung werden wohl auch die wenigsten selbst eingebaut haben. Aber bei Computer und Internet, da ist ja immer jeder Fachmann.

scnr, Max

Hallo Leute,

ich finde den Beitrag richtig interessant, da ich mir als Laie hierüber schon oft Gedanken gemacht habe. Leider bin ich bei einigen Fachausdrücken nicht so sattelfest und deshalb stelle ich einfach meine Frage so.

Ich möchte den Miniserver nicht online bringen, sprich ich benötige keinen E-Mail Versand, Online Wetterdaten oder Push-Notifikation.
Jedoch möchte ich zur Visualisierung ein Tablet und unsere Smartphones, über unser W-LAN Heimnetzwerk, betreiben.
Da dies Loxone erst richtig interessant macht, meiner Meinung nach.

Wie sollte/muss ich unser Heimnetzwerk/W-LAN aufbauen damit hier nichts passieren kann?

Danke für eure Hilfe



PS: wenn die Frage schon im Thread beantwortet wurde, dann bitte ich um Entschuldigung.

Wenn du nur in deinem W-Lan bleibst und dein Router/Modem nichts rein lässt und richtig konfiguriert ist, musst du gar nichts beachten.
Außer: Gutes, langes W-Lan Passwort, Verschlüsselung WPA oder WPA2, Modem SW aktuell, nix am Modem freischalten
Es geht hier nur darum aus der Ferne über das Internet (wo die ganzen bösen Jungs auch sind) auf den Miniserver zuzugreifen. Dann sollte man sich definitiv Gedanken machen.

Mattgyver
Du kannst den Miniserver so einstellen, dass er nur intern erreichbar ist, dazu stellst Du die interne IP ein und bei Extern vergibst Du keine und auch keinen dns.loxonecloud.com.
Dann ist der MS von außen nicht erreichbar.



Des Weiteren in den Einstellungen des Routers müsstest Du erst mal eine Weiterleitung an den MS einstellen, damit er von außen erreichbar wäre. Wenn Du auch diese Einstellung nicht machst, dann geht auch von außen nichts.

edit: zum zweiten mit dem Router: da war max mal wieder schneller und hat es auch noch präziser erklärt

danke Jungs für die Tipps!

Wie würde ihr die Gefahr bei Smartphones, wo die Apps installiert ist, beurteilen. Diese könnten doch infiziert sein und greifen über das W-LAN auf den Miniserver zu.
Oder habe ich da einen Denkfehler?

Ist bei Apple nicht gejailbreakt schwierig. Die Wahrscheinlichkeit für derartige Angriffe auf den MiniServer ist sehr gering. Derartige Hacks sind eher dafür gedacht Daten des Smartphones abzugreifen. Wäre Dein Telefon bereits gehackt würde ich mir mehr Sorgen um andere Dinge machen als um den MiniServer

Also wie viele der über 35.000 Miniserver sind denn bewusst nur per VPN erreichbar? Na gut, das Risiko einer DDoS-Attake ist ja vorhanden. Aber da sinkt der WAF schon erheblich, wenn man immer erst mal in die Einstellungen switchen darf. Wenn ich ab und an in einem fremden WLAN bin okay, aber doch nicht täglich dieses Prozedere. Das muss automatisch funktionieren, ansonsten macht es der Durchschnittsuser nicht, bzw. sinken auch die Verkaufsargumente. Der normale User weis nicht warum es vorteilhaft ist, alle Daten bei sich zu haben (oder was VPN bedeutet) und will es auch gar nicht wissen.

Ich sehe hier die Pflcht bei Loxone, ein sicheres System zu gestalten. Und mein Empfinden ist, dass sie durchaus in die richtige Richtung arbeiten.

Komisch, ich muss nicht erst in den Einstellungen switchen. Ich öffne die App und los geht's! VPN wird automatisch aufgebaut.
Derartige Argumente wie WAF etc., nur weil man zu faul ist sich mit Sicherheit auseinanderzusetzen, zählen nicht. Und was Dein Empfinden angeht, kann ich das nicht so ganz nachvollziehen. Hier ist sicher Loxone in der Pflicht, obwohl sie das immer verneinen, aber die Aussage ist doch ganz klar. Der MiniServer schafft keine Verschlüsselung. Ich weiß nicht, wo Du da eine richtige Richtung siehst.

Gruß Sven

Sicher ist Loxone nicht komplett verkehrt unterwegs und baut diverse firewallartige Dinge ein, damit nicht jeder den MS von Russland aus "töten" kann.

Aber ich sehe hier auch den Endverbraucher in seiner Pflicht. Es wird vermutlich auch niemand so merkwürdig sein und Benutzer "Benutzer" mit Passwort "12345" zu vergeben.
Benutzer und 12345 wäre bei ausschließlicher interner Erreichbarkeit via VPN vermutlich ok

Irgendwo ist dann die Grenze erreicht, an der der Endverbraucher seine grauen Zellen aktivieren muss. So gut oder nicht gut der Hersteller seinen Teil dazu beiträgt.
Was bringts wenn der MS softwaremässig perfektest abgesichert wäre und eine bruteforce-Attacke es schafft sich mit "Benutzer" und "12345" am MS anzumelden?

macht sich wirklich jemand Sorgen das ein Einbrecher sich die Mühe macht einen Loxone Miniserver zu hacken um bei euch einzubrechen?
Das geht mit einem Stein durch die Terassentür schneller und einfacher. Leute die die Kompetenz haben einen Miniserver zu hacken die räumen euch das Bankkonto leer ohne das eigene Haus zu verlassen.
Wenn man trotzdem noch paranoid ist einfach eine Loxone unabhängige Alarmanlage einbauen und gut ist. Man kann es echt mit allen übertreiben ..

zum Thema VPN: für den Normalverbraucher viel zu umständlich einzurichten und zu benutzen

Mir geht es gar nicht primaer darum, dass jemand in persona explizit versucht, einen digitalen Einbruch zu verueben. Mir geht es vielmehr um automatisierte Hijacks. Skripte, die sich durch's Web pfluegen, auf der suche nach offenen Ports um dann z.B. Informationen abzuziehen oder auf dem Port eine DDos-Attacke abzusetzen. Einfach nur zum Spass und weil sie es koennen.
Das muss ja nicht sein und kann man durch ein gewisses Mindestmass an Sicherheit wunderbar einschraenken.

Wenn natuerlich jemand echte kriminelle Tendenzen hat, wird er auch einen Weg finden, in ein Haus einzudringen. Digital oder physisch.

Gruss,
tholle

Genau tholle,

Ein Hacker hat doch überhaupt kein Interesse an einem MiniServer. Ganz einfach schon allein, da der viel zu wenig Leistung hat. Es sind im Netz viele organisierte Strukturen am Werk. Die wollen eine Menge Rechner unter Ihre Kontrolle bringen um mit diesen dann gezielt Angriffe auf andere, wichtige Systeme durchzuführen. Da sitzt auch kein Hacker heute mehr selber an der Tastatur und versucht jede IP-Adresse aus. Das machen heute alles Scripts, bot's und sonstwas alles. Die kennen doch den Unterschied zwischen MiniServer und Google-Webserver gar nicht. Die Scannen automatisch Netzwerke und wenn dann da ein System auf dem Webport reagiert, dann laufen da genauso automatische Abläufe statt wie vorher die Suche. Wenn der wirklich in einen MiniServer dann reinkommt, wird der sich kaputtlachen und zum Spaß ein bisschen am Licht etc. spielen und sich dann wieder seiner eigentlichen Arbeit widmen, denn gebrauchen kann er den MiniServer nicht. Allerdings können die Suche und die Einbrechversuche Schaden anrichten. Und wenn der MiniServer dadurch erstmal plattgemacht wurde und dann die Familie (Und natürlich WAF) dem Ärger freien Lauf gelassen hat, dann denkt auch dieser jemand anders über das Thema VPN.
Ich habe nie gesagt, dass Loxone verantwortlich ist. Das ist letztlich der Nutzer. Nicht Loxone hat das Portforwarding eingerichtet, ohne welches der MiniServer ziemlich sicher wäre. Ich sage ja nur, dass Loxone hier anders dokumentieren müsste. Jeder Router muss heute mit aktivierter Sicherheit ausgeliefert werden, da es dem Nutzer nicht zuzumuten ist sich damit auszukennen. Ebenso ist es nicht jedem Nutzer zuzumuten, dass er die Tragweite richtig einschätzen kann, wenn er einfach nur der Anleitung folgt und das Portforwarding einrichtet. Hier müssten ganz klar im Fordergrund die Einrichtung über VPN stehen und nur im Kleingedruckten mit entsprechenden Sicherheitshinweisen die Möglichkeiten des Portforwarding

Gruß Sven

Kleines update ...
ein bisschen Info gibt es schon in der def.log
Bei mir z.B. am 9.2.
2016-02-09 00:00:00.000;Firewall enabled UseLocally: 0 max Syn/s: 20, statistics Blocked SYN: 10, Blocked Ports: 0, Bans: 0

War der einzige Eintrag den ich gefunden habe bei dem nicht 0 bei blocked steht.


Als Anhaltspunkt:
Bei mir greift die app am mobil-halofon per VPN auf den MS zu.
Habe ich ihn aber auch öffentlich am Netz. http-port ist >10000. Werde die port weiterleitung aber demnächst abdrehen. Interessant, dass es auch hier versucht wird.

Mich würden def.log Einträge von MS interessieren, bei denen der http-port auf 80 steht. Da schauen die Einträge sicher lustig aus