-
christof89 Dann sind wir Kollegen. Ja natürlich. Du kannst noch Ports schieben, Du kannst Portknocking machen, Tunnel in Tunnel, Mehrfaktor Authentifizierung mit Callback und DU hast dabei ein gutes Gefühl. Aber dass für die grosse Allgemeinheit einfach nur der Service sauber implementiert werden sollte ist nun mal die Realität. Dann habe ICH bei meiner Arbeit ein gutes Gefühl ;-) -
Habe eine Weg gefunden um die das Zertifikat per Skript zu erneuern.
Per FTP kann man in der Verzeichnis /sys/ des MiniServer die Dateien #custom.cer #custom.key neu einspielen.
Ruft man die WebUI im Browser auf zeigt es direkt das neue Zertifikat an. Also müsste es ohne Neustart des MiniServer gehen.
-
Hast Du schon überprüft, ob Du nicht via FTP an Key und Zertifikat kommst? Oder Webinterface? Das lässt sich alles scripten. In der Config ist es sowieso fehlplaziert. Ob 1,2,5 oder 10 Jahre, du wirst immer kalt erwischt. Der Durchbruch von Let's Encrypt ist nur teilweise dem "gratis" zu verdanken, sondern dem faktischen Automatisierungszwang. -
Richtig, und es gibt jetzt auch Verschlüsselung, wenn jemand von extern einen VI pulsen will (zb Geofency), und nicht zu vergessen, dass man nun auch https-Webseiten direkt Pollen kann (was in letzter Zeit ja immer weniger wurden per http).
Eine Brute Force Attacke wehrt SSL/TLS nicht ab, das Passwort muss sicher sein. -
-
Ich frage mich ob man weiterhin problemlos einen Reverse-Proxy nutzen kann, da ich mehrere Web-Services laufen habe -
hismastersvoice,
Es gibt fertige Skripte für Linux, z.B ich vervende das acme-Paket (acme.sh). Ich habe viele Domains (>100) die mit Let's Encrypt Zertifikate geschützt sind und Zertifikate werden automatisch wiederherstellen, wenn Skript täglich von cron aus gestartet werdet.Zuletzt geändert von TomekWaw; 01.12.2019, 17:51.Einen Kommentar schreiben:
-
In einem anderen Thread geht es um den Reverse Proxy, also eine Webserver der seine Daten dem Internet nur via HTTPS anbietet und im Hintergrund selbst als Client sich an den Miniserver wendet. Diese Lösung hatte bisher nur z.T. funktioniert, da die Loxone App selbst nicht für HTTPS ausgelegt war. Seit dem Miniserver Gen 2 hat sich das geändert. Jetzt kann auch die App HTTS und damit kann man den Miniserver Gen 1 und Gen 2 über das Internet sicher erreichbar machen. In jedem Fall würde ich eine next Gen Firewall davor schalten, die Angriffe erkennt und unterbindet. Ich werde vermutlich für meine Frau und mich bei der Telekom eine feste IP im Mobilfunk buchen. Damit kann ich den Zugriff aus dem Netz nur für diese IP-Adressen gestatten. Andere Geräte sind dann definitiv raus.Einen Kommentar schreiben:
-
Ich habe jetzt auch mal ein Let's Encrypt Zertifikat eingebaut.
Das Problem ist dass erneuern, alle 3 Monate.
Die Idee von zeki ist das einzig richtige. Alternativ könnte man zb per API die Möglichkeit bieten das Zertifikat zu tauschen und dann per Linux ein Skript erstellen.
Allerdings ist die zweite Möglichkeit wieder nur für Profis, weswegen die Lösung 1 schon besser wäre. Aber auch unwahrscheinlicher
Einen Kommentar schreiben:
-
CloudDNS oder eigenes Zertifikat (siehe oben).
Cool wäre eine Option "Letsencrypt", wo man seinen Hostnamen eintragen kann und dieses Cert dann automatisch verlängert wird. So wie bei vielen anderen Lösungen.Einen Kommentar schreiben:
-
Ich nutze auch VPN, aber...
In erster Line geht es um Komfort mit der nötigen Sicherheit.
Das ich mich inzwischen bei der Bank nur um den Kontostand abzurufen 2x Authentifizieren muss nervt schon gewalltig. Ist OK bei Überweisung etc. aber doch nicht für einen Kontostand.
Genau so sehe ich das bei Loxone.
Ich kann das System lahm legen, aber deswegen kann ich noch lange nicht die Haustür öffnen.
Als "echte" Alarmanlage eignet sich Loxone eh nicht und sollte separiert aufgebaut werden.
Ich finde es ok das Loxone nun https kann, so haben die nicht ITler wenigstens ein klein wenig Sicherheit. -
Mich würde mal interessieren wie sie das mit den HTTPS Zertifikaten gelöst haben. Oder muss man da zwangsweise über den CloudDNS gehen?Einen Kommentar schreiben:
-
Ich denke schon, dass sie die Grenze aktiviert haben. Loxone möchte reine KNX Installationen verhindern, die den MS nur als Visu nutzen. Sie "wären schön blöd", wenn sie so eine Beschränkung bei einer neuen Extension nicht einbauen würden... Beim MS1 ist das was anderes. Ich denke da trauen sie sich nicht die 100k Installationen zu zerschiessen :-) Gab genug Shit Storm bei der ModBus-geschichte damals, und da waren nur eine Handvoll User betroffen und schon gar keine Installationen in Hotels oder Geschäftsräumen...
Einen Kommentar schreiben: