Remote Connect wegen Carplay / Erfahrungen und Sicherheit

Das habe ich so über Wireguard. Geht trotzdem nicht - das VPN wird über Carplay (und auch an der iWatch) nicht genutzt. Ob das ein Loxone-Thema ist oder generell ein Apple Thema kann ich nicht sagenn.

Ich habe Home Assistant mit CarPlay und kann so über VPN (Wireguard) das Garagentor öffnen. Home Assistant kommuniziert über pyLoxone zu Loxone wo mein Garagentor drann hängt. Vermute da es bei Home Assistant möglich ist auf ein Loxone Thema.

Nach weiterer Recherche bin ich auf folgende Sicherheitsprobleme gestoßen:

a) Wenn Remote Connect aktiviert ist, kann der Miniserver auch von überall über http:/dns.loxonecloud.com/[Seriennummer] erreicht werden.
Sicherheitsrisiken:

1. es wird kein 2. Faktor gefordert. Dies ist aktuell Stand der Technik bei allen sicherheitsrelevanten Systemen. Problem: mit einer Phishing-Mail können Nutzer auf eine gefälschte Loxone Webseite gelockt werden. Wenn dort jemand sein Passwort eingibt wird es von den Angreifern protokolliert und kann später von diesen auf der echten Webseite genutzt werden
2. die Verbindung ist nicht verschlüsselt -> Passworte können mitgelesen werden
3. es können offenbar beliebig viele Anmeldeversuche unternommen werden -> es ist eine Brute Force Attacke möglich
4. es gibt offenbar keine Möglichkeit, nur bestimmte Loxone-Benutzer für den externen Zugriff zu berechtigen

Hier stelle ich mir die Frage, warum überhaupt diese Webseite freigegeben wird?? Das steht im Widerspruch zu der Graphik oben

Aktuell kann ich nur vor der Nutzung des Remote Connect Zugangs warnen! Ich habe ihn nach wenigen Minuten sofort wieder deaktiviert!

Ja genau, warne vor der Verwendung von Remote-Connect,
ich warne eher vor solchen Beiträgen!

Entweder ist das eine KI-Aussage oder deine Recherche ist einfach schlecht.

http kann und sollte an einem Gen2 abgeschaltet werden, oder zumindest direkt an HTTPS weitergeleitet werden.

Ist sie standardmäßig nach meinem Wissen sogar wenn ein neues Projekt gestartet wird.

1. Zwei Faktor gibt es in der Tat nicht, die würde auch keiner nutzen... Viel unkomfortabler geht es nicht
2. ist verschlüsselt wenn wenn http abgeschaltet oder weitergeleitet wurde.
3. Ist definitiv nicht so, der MiniServer sperrt bei zu vielen falschen Anmeldeversuchen.
   Dazu kannst du hier im Forum auch Beiträge finden.
4. Klar geht das, sogar für jeden einzelnen User/Raum/Funktion etc
   ​

Ich habe noch nie so viel Falschaussagen in einem angeblich recherchierten Beitrag gelesen.

Wenn du dir alles genau angesehen hättest, dann würdest du feststellen, wenn dein Gerät (PC/Handy/etc) normal gesichert ist, und dann noch der Loxone App eine Sicherung per (Fingerprint/Visu-Kennwort...) gibst, geht es fast nicht mehr sicherer.
Remote-Connect ist eine VPN Verbindung, und viel sicherer geht es kaum.


Sorry aber solche Beiträge regen mich auf. Erst mal ganz viel lesen und andere User fragen, dann kann man so was schreiben.
Wechsel am besten deine KI

Da muss ich deutlich widersprechen - keine Aussage ist falsch! Ich bleibe jetzt aber mal ganz sachlich und rege mich auch nicht über die Unterstellungen auf!

zu 1.) Das ist das gravierendste Problem!
Ich befasse mich fast täglich beruflich mit der Thematik - das BSI (Bundesamt für Sicherheit in der Informationstechnik) definiert den Stand der Technik in der IT-Sicherheit (in Deutschland) und bezieht dabei die Empfehlungen Branchenverbände (BITCOM) ein. Sowohl das BSI als auch die BITCOM rät von der Nutzung sicherheitsrelevanter Webdienste ohne 2 Faktor Authentifizierung dringend ab. Wenn der Stand der Technik nicht umgesetzt wird, kann dies als grobe Fahrlässigkeit ausgelegt werden. Dies kann dann zu Haftungsproblemen für den Loxone-Partner oder den Nutzer im Fall eines Schadens führen (z.B. Hacker erlangt Zugriff, öffnet die Haustüre und räumt das Haus aus).
2FA muss auch gar nicht unkomfortabel sein (indem jedes mal eine PIN von der Authenticator App eingetippt wird), der 2. Faktor kann auch ein Zertifikat auf dem Smartphone oder die Nutzung biometrischer Funktionen wie FaceID sein.
Aber es bringt natürlich nichts, wenn ich mich an der App mit FaceID anmelde, und die App dann eine nur mit Passwort abgesicherte Webverbindung zu einer Cloud aufbaut, die jeder Hacker direkt angreifen kann (sowas habe ich leider schon oft erlebt)

zu 2.) Auch das sehe ich sehr kritisch:
http wird weder automatisch deaktiviert, wenn ich Remote Connect (RC) aktiviere, noch wird dazu in der Doku aufgefordert. Auch in der Doku zu den Webservices steht nur, dass "HTTPS genutzt werden kann" - aber kein Wort, wie dies eingestellt werden kann.
Ich würde hier "security by design" erwarten - also automatische http Deaktivierung, das mindeste wäre ein Hinweis dazu in der RC Dokumentation!

zu 3.) Hierzu konnte ich keinerlei Info in der Dokumentation finden - entsprechend habe ich "offenbar" ("es scheint so") geschrieben, nicht "es ist so". Nachdem ich es gerade getestet habe, wurde ich nach 10 falschen Passworten für 1 Minute gesperrt - immerhin.

zu 4.) Auch hierzu konnte ich keinerlei Info in der Dokumentation finden - entsprechend habe ich "offenbar" ("es scheint so") geschrieben, nicht "es ist so".

Auch hier würde ich "security by design" erwarten - also dass alle User explizit für den externen Zugriff freigeschaltet werden müssen! Das mindeste wäre ein Hinweis in der RC Dokumentation nach dem Motto "Vorsicht, alle User können über RC zugreifen und brauchen ein sehr langes und komplexes Passwort"!

Besonders erschreckend finde ich, dass in dem Konzept für die APP beschriebene Sicherheitskonzepte beim Webzugriff auf loxonecloud.com wieder ausgehebelt werden:
Laut Video wird beim ersten Verbindungsaufbau der App mit dem Remote Connect Service ein zufälliger Port ausgehandelt, der dann dem MS über MQTT mitgeteilt wird. Über diesen baut dann der MS die Verbindung mit dem VPN-Server auf.
Wenn ich mich jedoch auf der Webseite von Loxonecloud.com anmelde, muss ich keinen Port angeben, sondern werde automatisch mit dem zufälligen (vermeintlich geheimen) Port verbunden!

Der externe Zugriff auf meine eigenen IT-Geräte ist tatsächlich deutlich besser gesichert: Für den Zugriff auf mein Netzwerk brauche ich die MyFritz ID der Fritzbox (16 Stellen), den preshared Key für das VPN, und mein VPN-Passwort. Und dann noch ein weiteres Passwort für den Miniserver, den PC oder mein NAS, etc..
Für RC reicht die MAC-Adresse des MS und das Passwort des Loxone-Users!!

Das im oben genannte Video bzw. der Graphik dargestellte Konzept ist gut - wenn
a) der "simple" Webzugriff auf loxonecloud.com abgeschaltet wird (per Voreinstellung) und auch auf Wunsch nur mit einem 2. Faktor aktiviert werden kann
b) der Zugriff auf Remote Connect nur für explizit freigeschaltete Nutzer mit komplexem (!) Passwort möglich ist
c) der Zugriff der App auf den Loxone "VPN Server" tatsächlich ein vollwertiges VPN ist - und hier nicht die von jedem Hacker weltweit erreichbare loxonecloud.com Adresse genutzt wird! Hierzu gibt es aber bisher keine Dokumentation.

Und: Sicherheitsrelevante Einstellungen müssen gut dokumentiert sein, damit sie sicher genutzt werden können.
Auch die Funktion muss nachvollziehbar (wer kommuniziert wie mit wem), damit eine Risikobewertung möglich ist.
Security by obscurity ist schon lange überholt.

Nunja, die Bildzeitung behauptet halt auch immer, dass sie ja nur "scheint so" und "könnte sein, dass" geschrieben haben. Macht es nicht besser. hismastersvoice hat ja genau beschrieben, wie die Implementierung bei Loxone aktuell aussieht.

Was mir aber an Remote Connect auch nicht gefällt ist, dass ich trotz VPN immer bis zum Login Prompt vorkomme. Und eine MAC-Adresse kann man halt schnell durchprobieren....

Man muss ja nur mal auf https://www.shodan.io/search?query=Miniserver schauen....

Wenn es eine Schwachstelle beim Loginprompt gibt, "bin ich drin" - egal ob VPN, HTTPS, etc. Die App auf dem Handy zu schützen nützt mir da ja auch nichts, da immer auch der Webzugriff freigeschaltet ist. Und das finde ich schon eine Schwachstelle, die ich bei einem klassischen VPN nicht habe, weil mit Schlüssel gesichert. Daher habe ich Remote Connect aktuell auch nicht aktiviert.

Zurück zum Thema:

Das CarPlay/iWatch anscheinend über VPN nicht geht, scheint dann ein Loxone Problem zu sein (siehe Hinweis zu Homeassistent oben). Damit solltet ihr entsprechende Tickets bei Loxone aufmachen. Das sollte dann ja behebbar sein.

Es kann auch ggf. Fahrzeug abhängig sein. Bei mir funktioniert mit einer aktiven WireGuard-Verbindung am MBUX nicht.
Ich muss sie abschalten damit ich das Gerät nutzen kann.

Bin ich kpl. bei dir, aber sehe trotzdem die Gefahr gleich Null.

Bei einem ordentlichen Passwort und der Sperrung der IP nach X falschen Versuchen usw. ,dauert das Jahre bis so was geknackt würde.
Bei uns wird 1x im Jahr das Passwort gewechselt, wer richtig viel Angst hat kann das auch alle 3/6 Monate machen.

Vor ein paar Jahren habe ich in einem Thread mal geschrieben das kein Verbrecher sich die Zeit nimmt so was zu machen.
Wie ist man nochmal in den Louvre eingebrochen?

Jetzt sind in diesem Forum tausende User, und noch kein einziger Fall eines bestätigten Hacking wurde hier veröffentlicht.

Theoretisch kann auch ein VPN gehackt werden aber das ist so schwer, und dauert so lange das keiner auf die Idee kommt.
Anders wird das wenn es Quanten-Computer im großen Stil gibt, dann werden Verschlüsselungen die aktuell als sicher gelten unsicher.
Aber bis dahin... Locker bleiben

Ich hätte echt mal Lust einen MiniSever einzurichten und hier die MAC zu posten.
Derjenige der es schafft ihn zu hacken, bekommt den MiniServer und Geld on top.

Florian ...Eigentlich sollte Loxone so was mal als Aktion machen, dann würde man sich sicherer oder auch unsicherer fühlen.


marcb
Erst schreibst du das keine deiner Aussagen falsch ist, und ich dir was unterstelle.
Schon bei 3. ist deine Antwort aber schon selbsterklärend das sie falsch war.
Bei 4. war es einfach falsch, da wenn man sauber recherchiert hätte man diese Funktion gefunden hätte. (auch ohne Doku, die ich btw nie gelesen habe und es kenne)
Das jemand der sich täglich mit IT-Sicherheit beschäftigt die Rechte-Verwaltung des MiniServer nicht kennt.... kritische Lücke??


Da das noch keiner wirklich gemacht hat beantworte ich deine Fragen aus dem ersten Thread.

- sieht hier jemand irgendwelche Sicherheitsrisiken, die ich ggf. übersehen habe?
Ich nein, das mit guten Passwörtern das nur extrem schwer zu hacken ist. 100% Sicherheit gibt es ja nun mal nicht, und der User muss seinen Teil auch beitragen.

- kann ich nur einzelne Nutzer für den Remotezugriff freigeben und alle anderen sperren (sodass nicht alle Nutzer ein 20 stelliges, komplexes und schwer merkbares Passwort benötigen)?
Ja das geht (Rechte-Verwaltung)

- wie zuverlässig läuft der Remote Connect? In älteren Posts wurde von sporadischen Problemen berichtet.
Sehr zuverlässig, ich habe im letzten Jahr kein einziges mal nicht auf meine Installationen zugreifen können.
Früher war das schon mal das er nicht immer erreichbar war. Loxone hat schon länger (Einführung Exosphere) seine kpl. IT-Struktur neu und performanter aufgestellt.


So meine letzten Worte zu dem Thema, schreibe einfach Loxone deine Sicherheitsbedenken
Sie werden dir hoffentlich eine entsprechende Antwort geben, warum sie es als sicher empfinden.

Leider nicht. Meine Apple Watch nutzt ja gar nix vom Auto - da gehen die Quick Actions auch nicht per VPN. Die Watch ist mit dem Telefon per Bluetooth verbunden, das Telefon per VPN mit dem Heimnetz. Könnte sein, dass Loxone generell Remote Connect oder zumindest die externe Cloud-Adresse nutzt bei diesen Funktionen, wenn man nicht im WLAN ist. Remote Connect war bei mir nicht konfiguriert, über die externe Adresse lief der Datenverkehr aber nicht über das VPN. Damit ging das ins Leere.

Sollte sich Loxone einfach nochmal anschauen - ist ja keine Raketenwissenschaft.

Ja, hab's jetzt auch aktiviert :-) Habe seit Jahren allerdings nur einen einzigen User mit einer 4-stelligen PIN für die Visu. Brauchte bisher halt nix sichereres - und 2012 gab's noch keine Rechteverwaltung Das mach ich jetzt mal ordentlich.... Dann sollte das passen.

Ich habe bei der externen Adresse bei meiner Konfig nun den Hostname hinterlegt. Nun geht es mit Apple-Car bei mir, bei einem ersten Test