Sicherheitskonzept für das Heimnetzwerk

Einklappen
X
Einklappen
 
  • Seite von 1
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • abertram
    LoxBus Spammer
    • 31.08.2015
    • 209
    #1

    Sicherheitskonzept für das Heimnetzwerk

    Guten Morgen!

    Bevor ich zu meiner Frage bzw. meinen Fragen komme, muss ich ein bisschen ausholen.

    Ich habe mir in den letzten Tagen ein paar Gedanken über das Sicherheitskonzept für mein Heimnetzwerk gemacht und festgestellt, dass ich da ganz schön viel beachten muss, wenn es sicher sein soll. Ja, hätte ich mir auch vorher denken können. ;-)

    Begonnen hat das Ganze damit, dass ich mein Android-Tablet absichern wollte, dass bei mir im Flur an der Wand hängt und mir auf dem Startbildschirm ein paar Informationen wie Wetter und anstehende Termine anzeigt. Das Tablet ist mit dem Präsenzmelder verknüpft und geht an, sobald jemand im Raum anwesend ist. Damit kann ich natürlich auch mein Loxone steuern. Auf diesem Tablet bin ich mit meinem Android-Account eingeloggt. Ich benutze gerne die Produkte von Google wie Chrome, Gmail, Kalender und co. Das heißt, dass jemand, der sich in meinem Haus befindet, einfach an das Tablet gehen kann und sofort Zugriff auf meine Emails hat. Oder derjenige startet Chrome und hat Zugriff auf meine Fritzbox, weil das Passwort für die Benutzeroberfläche dort gespeichert ist.

    Beim Nachdenken über dieses Szenario ist mir eingefallen, dass jeder Zugriff auf mein WLAN bekommen kann, da die Fritzbox im HWR hängt und das WLAN-Passwort auf der Rückseite der Fritzbox steht. Dieses habe ich bereits geändert. Kurze Zeit später ist mir dann eingefallen, dass die Fritzbox einen WPS-Knopf hat. Wenn jemand will, bekommt er also auch ohne das Passwort einen Zugang. Ich glaube, der Knopf lässt sich deaktivieren. Da ist mir halt bewusst geworden, was alles bedacht werden muss, wenn ich mein Heimnetzwerk absichern will. Es gibt bestimmt noch weitere Aspekte, die bedacht werden müssen...

    Ich möchte gerne den Zugriff auf mein Netzwerk und auch auf mein Tablet, so absichern, dass jemand nicht mal eben Zugriff darauf hat. Auf dem Tablet soll eigentlich nur der Startbildschirm zu sehen sein und evtl. Loxone per App bedienbar sein. Für das Tablet gibt es Lock-Apps, mit denen bestimmte Bereiche geschützt werden können. Aber besonders sicher soll das auch nicht sein.

    Nun zu meinen Fragen. Ich würde gerne wissen, ob ihr euch auch Gedanken über dieses Thema gemacht habt. Wie habt ihr diese Probleme gelöst? Oder bin ich da zu paranoid?

    Gruß,
    Alex
    Stichworte: -
    • Christian Fenzl
      Lebende Foren Legende
      • 31.08.2015
      • 11235
      #2
      Bei deinen Gedanken spielt eher der physische Zugriff eine Rolle, als der netzwerktechnische.
      Wenn du die Fritzbox schützen willst, musst du deinen Hauswirtschaftsraum abschließen.
      Du darfst keine Leute in dein Haus lassen, denen du nicht vertraust.

      Bei Android-Tablets gibt's, eh wie du sagtest, die "Lock"-Apps bzw. Funktionen, um auf vorgegebene Apps zu sperren.
      Wenn du's genau nehmen möchtest, musst du alle Netzwerkdosen absichern, um nicht in dein LAN zu kommen. Das wird in der Regel mit Managed Switches gemacht. Dabei gilt das reine Absichern auf MAC-Adressen als unsicher (wenn du keinen Hacker-Angriff erwartest, ist das für den Hausgebrauch jedenfalls ok), deswegen macht man das mit zertifikatsbasierter Freischaltung des Switch-Ports für Netzwerk-Clients.

      Wenn du alles fertig hast, bist du ein ausgewachsener Hausmeister und Netzwerk-Administrator, der ob der Verwaltung der Sicherheitsinfrastruktur keine Zeit mehr für seine Familie hat
      Hilfe für die Menschen der Ukraine: https://www.loxforum.com/forum/proje...Cr-die-ukraine

        Kommentar

        • Sammy
          LoxBus Spammer
          • 23.08.2018
          • 413
          #3
          Hallo Alex,

          in der aktuellen Zeit gibt es sowohl Technik, Anleitung und passende Software im Internet, um elektronischen Daten ganz ohne Einbruch auszuspähen.

          Das von Dir geschilderte Szenario halte ich persönlich als unrealistisch. Bei Einbruch werden immer noch Wertgegenstände entwendet (da ist eher der Preis des Tabletts interessant). Und gegen Einbruch hilft alles, was Zeit kostet (Türschlösser, Einbruchschutzfolie, Gitter) oder abschreckt (Hund, Nachbar, sichtbare Alarmanlage). Dafür würde ich dann aber bei der lokalen Polizei vorsprechen (Risiko für Einbruch/Empfehlungen).

          Die elektronische Absicherung mit Passwort und Co. ist trotztdem wichtig**, aber alles abriegeln kostet ggfs. sehr viel Planungs- und Umsetzungszeit und schränkt doch etwas die Benutzerbarkeit ein (= Kompromiss zwischen Sicherheit und Bedienung muss jeder für sich selbst festlegen).

          ** Meine Strategie:
          > Online-Käufe, Buchungen und Bankgeschäfte nehme ich nur am heimischen PC vor (nicht über's Android Handy),
          > Handy ist nur mit Wischmuster gesperrt (eigentlich unzureichend, aber alles andere nervt),
          > Google hat enormes Wissen (wo ich überall im letzten Monat war, wo ich einkaufe (Supermarkt), was ich google) - eigentlich erschreckend viel und der Zugriff auf diese Daten ist nur mit Wischmuster gesperrt - dafür muss nur jemand mein Handy klauen und mich vorher beim Entsperren beobachten.

          Schöne Grüße,
          Michael

          P.S. Alles nur persönliche Ansichten/Bauchgefühl, kein belegbares Wissen.

            Kommentar

            • Christian Fenzl
              Lebende Foren Legende
              • 31.08.2015
              • 11235
              #4
              Es dreht sich ja alles darum, wie du das Risiko bewertest, das du absichern möchtest.

              Wenn jemand physisch und eingeladen in mein Haus kommt (Freunde, Familie etc.), dann ist meine Sicherheitsschwelle einfach schon sehr niedrig. Die dürfen mein WLAN und mein Internet benutzen, und wenn sie wollen, meine Musiksammlung "sichern" (kenne aber niemanden, der das freiwillig will ). Der braucht nicht in mein LAN/WLAN einbrechen, sondern nur nach meinem Wifi-Kennwort oder einem Patchkabel fragen.

              Dass jemand physisch einbricht, um damit in mein LAN einzubrechen, ist eher unwahrscheinlich. Wenn, dann passiert das umgekehrt, somit muss alles, was außerhalb des Hauses frei zugänglich ist, abgesichert sein.
              Abgesehen vom Schirmständer, der in ein Fenster geworfen werden könnte, wäre das zumindest:
              • Den Miniserver NICHT ins Internet zu stellen (auch nicht mit geändertem Port). Das ist wie beim Auto den Kofferraum nicht zu verschließen und zu hoffen, dass dort niemand probiert. Auf jeden Fall mit VPN
              • das Wifi natürlich mit einem sicheren Kennwort,
              • sämtliche 230V-Leitungen (also nicht nur Steckdosen, sondern auch Außenlampen usw.) sollten sowohl auf eigener Sicherung als auch eigenem FI hängen, sonst könnte ein "Angreifer" die Stromversorgung im Haus lahmlegen.
              • Sollten KNX-Leitungen bis nach draußen geführt sein (z.B. Lampen, Bewegungsmelder), dann müssen diese auf einen eigenen Linienkoppler, sonst könnte ein "Angreifer" den KNX-Bus kapern. Ein Linienkoppler agiert dann wie eine "Firewall", die nur Nachrichten durchlässt, die auf den angeschlossenen Geräten konfiguriert sind.
              • Türsprechanlagen sollten nicht von außen einen Öffnungskontakt auslösen können, oder nur mit Schutz durch Sabotagekontakt.
              und: Den Haustürschlüssel nicht unter die Fußmatte Besser unter einen Blumentopf
              Zuletzt geändert von Christian Fenzl; 06.09.2019, 10:12.
              Hilfe für die Menschen der Ukraine: https://www.loxforum.com/forum/proje...Cr-die-ukraine

                Kommentar

                • Christian Fenzl
                  #4.6
                  Christian Fenzl kommentierte
                  10.09.2019, 19:09
                  Kommentar bearbeiten
                  Es war klar ein Security Issue auf Basis mehrerer Sicherheitslücken gemeinsam mit dem, was Loxone als „Feature“ bezeichnet (wenn’s dem Miniserver zu viel wird, mach einen Reboot). Das ist alles von Loxone selbst bestätigt.
                  Loxone hat dann auch selbst ein Audit machen lassen, natürlich erfährt man nicht, was herauskam und was gefixt wurde.
                  Einige Dinge, die gemacht wurden, sind bekannt.
                  Zuletzt geändert von Christian Fenzl; 10.09.2019, 19:13.
                  • Gast
                    #4.7
                    Gast kommentierte
                    10.09.2019, 19:18
                    Kommentar bearbeiten
                    Ich war 2016 noch kein Lox Kunde und habe somit nur die Informationen zu Verfügung die man im Internet findet.
                    Aber ich verstehe dich auch so das niemand, außer evtl. Loxone selbst, wirklich etwas analysiert hat. Bleibt die Frage an die Community, wollen wir das mal ändern, auch wenn es etwas kostet?


                    Was mit bei den Logs von den Damals betroffenen Miniservern auffällt ist eine Timestamp error direkt vor dem Reboot bei bisher allen def.logs die ich dazugesellen habe. So z.b. Auch bei dem Log eines Miniservers der über VPN angebunden war und dennoch an besagtem Tag neustartete.
                    • Christian Fenzl
                      #4.8
                      Christian Fenzl kommentierte
                      10.09.2019, 20:14
                      Kommentar bearbeiten
                      Timestamp Fehler kommen beim Reboot, weil der MS keine RTC hat und erst die Zeit per NTP abfragen muss.

                      Loxone hat das Audit machen LASSEN, was schon ein Unterschied ist zum selber machen.

                      Im Prinzip will ich gar kein Audit, weil auch die Schnittstellen darunter fallen, die wir haben wollen. Bei diesen bekannten Interfaces, die entsprechend abzusichern sind, braucht das keiner.
                    • abertram
                      LoxBus Spammer
                      • 31.08.2015
                      • 209
                      #5
                      Die Netzwerkdosen hatte ich gar nicht auf dem Schirm. Aber ja, ich gebe dir recht. Wenn ich alles bis ins kleinste Detail abgesichert habe, bin ich ein Experte auf dem Gebiet aber auch gleichzeitig alt und habe meine Lebenszeit in den falschen Bereich investiert. ;-)

                      Mir geht es weniger um einen Einbruch. Wenn das passiert, habe ich wahrscheinlich ganz andere Sorgen. Es geht mehr um Freunde, Verwandte, Handwerker usw. Also Leute, die ich freiwillig in mein Haus lasse. Es soll keiner Zugriff auf mein Heimnetzwerk und meine persönlichen Daten wie z.B. Emails oder Dokumente auf dem NAS haben, ohne dass ich das genehmige. In jedem Freundeskreis gibt es außerdem Scherzkekse, die den Drucker im Netzwerk mit irgendwelchen peinlichen Fotos füttern.

                      Mein Gäste-WLAN können gerne alle benutzen. Das ist kein Problem. Mein Heimnetzwerk ist von außen nur per VPN erreichbar. Was die Elektrik angeht, so hoffe ich, dass der Elektriker beim Hausbau das so umgesetzt hat. Ich habe von Elektrik keine Ahnung.

                      ​​​​​​​Muss mal heute Abend den Haustürschlüssel umlegen. Danke für den Tipp! ;-)

                        Kommentar

                        • orli
                          Lox Guru
                          • 13.11.2016
                          • 2554
                          #6
                          Zitat von abertram
                          Mir geht es weniger um einen Einbruch. Wenn das passiert, habe ich wahrscheinlich ganz andere Sorgen. Es geht mehr um Freunde, Verwandte, Handwerker usw. Also Leute, die ich freiwillig in mein Haus lasse. Es soll keiner Zugriff auf mein Heimnetzwerk und meine persönlichen Daten wie z.B. Emails oder Dokumente auf dem NAS haben, ohne dass ich das genehmige.
                          ​​​​​​​Muss mal heute Abend den Haustürschlüssel umlegen. Danke für den Tipp! ;-)
                          Naja, der unbedarfte Besucher Deines Hauses ist vermutlich froh wenn er im Handy oder Tablet sein WLAN Kennwort richtig eingeben kann. Dann ins Netzwerk zu kommen mit einem Patchkabel wenn du vorher den Switchport gesperrt hast sollte für 95 % deiner Besucher schon das Ende der Fahnenstange sein, da geht ohne Dich schon nichts mehr.
                          Ich weiß ja nicht was du für ein NAS verwendest, aber eine Passwortfreigabe deiner Shares + zusätzlicher Einschränkung auf bestimmte IP-Adressen sollte ausreichen um deine Dokumente ausreichend zu sichern. Um den Datenklau bei Diebstahl des NAS abzusichern könntest du noch das Filesystem verschlüsseln.

                          Aber meine Meinung: Man kann es auch übertreiben, wenn du deine Besucher eh nur ins Gäste WLAN lässt.

                            Kommentar

                            • Christian Fenzl
                              Lebende Foren Legende
                              • 31.08.2015
                              • 11235
                              #7
                              Zitat von abertram
                              In jedem Freundeskreis gibt es außerdem Scherzkekse, die den Drucker im Netzwerk mit irgendwelchen peinlichen Fotos füttern.
                              Nach dem zweiten Mal ist es eh nicht mehr lustig, und irgendwann werden auch die erwachsen
                              Hilfe für die Menschen der Ukraine: https://www.loxforum.com/forum/proje...Cr-die-ukraine

                                Kommentar

                                • Sammy
                                  LoxBus Spammer
                                  • 23.08.2018
                                  • 413
                                  #8
                                  Interessant in dem Zusammenhang:

                                  >
                                  Meine bessere Hälfte bekommt ein neues Firmenhandy, meldet sich beim alten Google-Account an und betätigt die Wiederherstellung aller Daten und zack das heimische WLAN läuft, ohne das das Passwort je auf dem neuen Handy eingegeben wurde. Ergo Google kennt mehr Passwörter als ich (ich muss dazu nachgucken).

                                  >
                                  Langjährige Gäste kommen bei mir selbst nach den 3. Umzug immer noch ins WLAN (gleiche Fritzbox mit gleichem Passwort). Da kann das Passwort noch so lang & kompliziert sein - ohne regelmäßigen Passwort-Wechsel ist auch hier die Sicherheit trügerisch. Und ja - neue Geräte hätte (!) man in der Fritzbox sperren können - das ist aber bei irgendeiner Raspi-Bastelaktion rausgeflogen.





                                    Kommentar

                                    • Christian Fenzl
                                      Lebende Foren Legende
                                      • 31.08.2015
                                      • 11235
                                      #9
                                      Zitat von Sammy
                                      Ergo Google kennt mehr Passwörter als ich
                                      Bei Apple und Microsoft nicht anders.

                                      Microsoft geht sogar soweit, dass es WLAN-Passwörter (verschlüsselt) mit deinen Kontakten teilt, sodass diese - sollten sie in Reichweite eines dieser WLANs kommen - sich automatisch anmelden. Das ist schon echt schräg....

                                      Hilfe für die Menschen der Ukraine: https://www.loxforum.com/forum/proje...Cr-die-ukraine

                                        Kommentar

                                      • bastelbert
                                        LoxBus Spammer
                                        • 25.08.2016
                                        • 237
                                        #10
                                        Zitat von Sammy
                                        in der aktuellen Zeit gibt es sowohl Technik, Anleitung und passende Software im Internet, um elektronischen Daten ganz ohne Einbruch auszuspähen.
                                        ....
                                        Google hat enormes Wissen (wo ich überall im letzten Monat war, wo ich einkaufe (Supermarkt), was ich google)
                                        An dieser Stelle empfehle ich ganz gerne den Brave Browser und als Suchmaschine natürlich DuckDuckGo, in der Hoffnung, dass Google damit weniger über mich erfährt.
                                        Zwar ist mit aktiviertem Skript- und Cookie-Blocker das Internet "kaputt", aber da kann man ja bei den wichtigen, "vertrauenswürdigen" Webseiten nachbessern

                                          Kommentar

                                          Vorherige template Weiter
                                          Lädt...

                                          Wir verarbeiten personenbezogene Daten über Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen, Werbung zu personalisieren und Websiteaktivitäten zu analysieren. Wir können bestimmte Informationen über unsere Nutzer mit unseren Werbe- und Analysepartnern teilen. Weitere Einzelheiten finden Sie in unserer Datenschutzrichtlinie.

                                          Wenn Sie unten auf "Einverstanden" klicken, stimmen Sie unserer Datenschutzrichtlinie und unseren Datenverarbeitungs- und Cookie-Praktiken wie dort beschrieben zu. Sie erkennen außerdem an, dass dieses Forum möglicherweise außerhalb Ihres Landes gehostet wird und Sie der Erhebung, Speicherung und Verarbeitung Ihrer Daten in dem Land, in dem dieses Forum gehostet wird, zustimmen.

                                          Einverstanden