Zertifikats-basierte Anmeldung per Loxone App

Einklappen
X
 
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
  • artibi
    Smart Home'r
    • 17.10.2022
    • 40

    #1

    Zertifikats-basierte Anmeldung per Loxone App

    Hallo zusammen,

    ich nutze für den externen Zugriff zertifikats-basierte Authentifizierung. Das funktioniert eigentlich mit sämtlichen PCs und Handy problemlos - allerdings nicht mit der Loxone App. Ich hab nirgendwo etwas gefunden, ob/wie das eingerichtet werden kann? Geht das gar nicht?

    Gruß Sebastian
  • Christian Fenzl
    Lebende Foren Legende
    • 31.08.2015
    • 11243

    #2
    Nein, geht nicht.

    ​​​​​​Welche Apps können denn Cert-basierte Auth? Ich hab nur iOS-Mail mit Cert, und VPN.
    Zuletzt geändert von Christian Fenzl; 26.11.2022, 23:16.
    Hilfe für die Menschen der Ukraine: https://www.loxforum.com/forum/proje...Cr-die-ukraine

    Kommentar

    • artibi
      Smart Home'r
      • 17.10.2022
      • 40

      #3
      Theoretisch kann das jede App - leider ist der Weg, Zertifikate in die non-Apple-Apps zu kriegen aber etwas eklig. Daher nutze ich für den Moment auch einfach Safari und die "Web-Version" der Loxone App.

      Kommentar

      • Iksi
        Lox Guru
        • 27.08.2015
        • 1111

        #4
        Was bedeutet denn das genau? Die App baut sich quasi ein eigenen VPN Tunnel auf oder wie ist das zu verstehen??

        Kommentar

        • artibi
          Smart Home'r
          • 17.10.2022
          • 40

          #5
          Hi,
          ne, gerade kein VPN. Also..ich hab auch ein VPN am laufen, damit komme ich quasi komplett in mein Heimnetz. Ich möchte aber auf Teile meines Heimnetz auch ohne VPN kommen - daher die Nutzung von mTLS.
          Die Idee ist, dass man anstatt zB Benutzer/Passwort-Auth auf Zertifikate geht, d.h. der Server hat ein Zertifikat und der Client muss zur Authentifizierung ebenfalls kein bekanntes Zertifikat bringen (ganz vereinfacht ausgedrückt). Das erhöht die Sicherheit halt um ein vielfaches gegenüber Passwörtern o.ä.

          Kommentar

          • svethi
            Lebende Foren Legende
            • 25.08.2015
            • 6333

            #6
            Aber dann wieder mit dem Problem, dass die entsprechenden Gegenspieler offen im Netz hängen. Geräte wie Loxone würde ich nie einfach offen ins Netz hängen, da es deren Strategie ist nicht wirklich sicher zu sein und bei Suspekten Dingen einfach immer neu zu starten. Die Berichte hierzu sind hier im Forum unzählig. Wenn man das aus irgendwelchen Gründen machen muss, dann nur über https. Was bringt Dir da denn das Cert ein mehr an Sicherheit? User/Pass kann nicht mitgelesen werden und es wird trotzdem die ganze Zeit mit User/Pass versucht sich anzumelden und starten dadurch Dein Smarthome immer neu. Wenn Du eh schon VPN hast, wieso dann noch diesen Umweg?
            Zuletzt geändert von svethi; 29.11.2022, 05:32.
            Miniserver; KNX; Vitogate; EnOcean (EnOceanPi); Loxone Air; Caldav-Kalenderanbindung; RaspberryPi und für keine Frickellösung zu schade :-)

            Kommentar

            • Prof.Mobilux
              Supermoderator
              • 25.08.2015
              • 4860

              #7
              Wenn ich mir gerade wieder einmal die grandiose Qualität der LoxConfig 13.1 anschaue, würde ich lieber meinen C64 offen ans Netz hängen als die Loxone
              🇺🇦 Hilfe für die Menschen der Ukraine: https://www.loxforum.com/forum/proje...Cr-die-ukraine


              LoxBerry - Beyond the Limits

              Kommentar

              • artibi
                Smart Home'r
                • 17.10.2022
                • 40

                #8
                Hi,
                ok, etwas mehr technischer Hintergrund.
                Ich nutze daheim eine Hardware-Firewall, welche u.a. PPPOE (also DSL-Verbindung) macht und eben Firewall/Routing/Netzwerksegmentierung/VPN. Per VPN komme ich in mein Heimnetz uneingeschränkt rein - soweit, so gut. Aus Komfortgründen ist aber ein VPN nicht immer die ideale Lösung. Loxone ins Netz zu hängen ist - wie beschrieben - eine ziemlich blöde Idee. Selbst der Remote Connect ist - gelinde gesagt - optijmierungsbedürftig.
                Daher erlaubt meine Firewall erstmal nur Port 443 (HTTPS), welcher an einen Reverse Proxy geleitet wird. Der Reverse-Proxy hängt in einer DMZ, damit mögliche Angreifer eben nicht bei mir ins Netz kommen. Als nächste Sicherheitsbarriere nutze ich eben Client Certificate Authentication (mTLS), was deutlichst sicherer ist als zB User/Passwort (Basic Auth). Afaik mehr VPN nicht viel mehr. Nächster Vorteil ist eben, dass der Reverse Proxy die Sicherheitsbarriere ist und eben nicht irgendein Smart Home Tool.

                Kommentar

                • svethi
                  Lebende Foren Legende
                  • 25.08.2015
                  • 6333

                  #9
                  Deine ganzen Erklärungen tragen bei mir aber nicht zu einer Erklärung bei, wie man den 443 durchschleusen muss. Dein Reverseproxy bildet den Miniserver nach und reicht nur Anfragen an den richtigen MS weiter, die gefiltert wurden? Ein normal Proxy macht das nicht. Dein Anfrage kommt rein und dann stellt Dein Proxy die selbe Anfrage an Deinen MS, nur das es eben nicht der User ist, sondern Dein eigener Server. Deine Probleme mit VPN sind mir ebenso unklar. Ich starte irgend etwas zu meinem Netz, VPN baut sich auf und fertig. Wenn das optimierungsbedürftig ist, dann weiß ich nicht
                  Miniserver; KNX; Vitogate; EnOcean (EnOceanPi); Loxone Air; Caldav-Kalenderanbindung; RaspberryPi und für keine Frickellösung zu schade :-)

                  Kommentar

                  • Christian Fenzl
                    Lebende Foren Legende
                    • 31.08.2015
                    • 11243

                    #10
                    Zertifikatsbasierte Authentisierung ist super, aber (aus eigener Erfahrung beim LoxBerry) weiß ich, dass das einen erheblichen Entwicklungs- und Verwaltungsaufwand für Entwickler gleichermaßen wie für die Endanwender darstellt. Und das in einem Umfeld, wo Endanwender (übserspitzt gesagt) nicht wissen, was ein Port ist.

                    Warum ich so blöd frage, ist dein Satz
                    Das funktioniert eigentlich mit sämtlichen PCs und Handy problemlos - allerdings nicht mit der Loxone App.
                    mit dem Vorwurf, warum Loxone das nicht kann, weil's sonst jeder kann.

                    Welche konkrete App kann das denn nun? Ich kenne keine einzige.

                    lg, Christian
                    Hilfe für die Menschen der Ukraine: https://www.loxforum.com/forum/proje...Cr-die-ukraine

                    Kommentar


                    • svethi
                      svethi kommentierte
                      Kommentar bearbeiten
                      Termius z.B. ;-)
                  Lädt...