Sicherheit des Loxone-Netzwerks - Was kann man tun?

Die Intercom ist erst einmal mit einer "Spezialschraube" gesichert - das ist ein Torx mit Stift. Die gibt es zwar mittlerweile auch in jedem Baumarkt, aber das ist eine gewisse Hemmschwelle.
Da unterscheiden sich die Philosophien der verschiedenen Intercom-Hersteller, Gira oder Siedle machen da ja eine Zweidraht-Verbindung, um kein Netzwerk nach außen zu führen. Mobotix, Loxone etc. aber nicht.
Was man da machen könnte, wäre ein getrenntes Netzwerk für die Intercom aufzubauen, mit Weiterleitung der Daten an den MS und Filter etc. pp., wie groß der Aufwand ist, kann ich da aber schwer beurteilen...

Über die Sinnhaftigkeit solcher Diskussionen möchte ich jetzt aber gerade nicht diskutieren...

Dazu habe ich den Thread auch nicht eröffnet :-)

Möchte nur mal die Meinung der User hier dazu hören. Ich denke weiterhin, dass die Intercom das schwächste Glied in der Kette ist...

Nebst der Intercom, dann auch alle IP Cams sichern.
Wenn du dich wohler fühlst, dann mache einen Reedkontakt in die Geräte rein (Mit Detektion von Drahtbruch).

Persönlich würde ich aber zuerst mal die mechanischen Sicherungen (Tür und Fenster) auf einen guten Stand bringen. Das schwächste Glied wird deine Türe und das Fenster sein. Selbst wenn er die Alarmanlage abschalten kann, zuerst muss der böse Bub noch reinkommen. Und wenn er nach 5 Minuten nicht reinkommt, dann lässt er es sein.

Hallo, das Durchdenken von "Horror-Szenarien" sind auch bei einer sehr, sehr niedrigen Eintrittswahrscheinlichkeit nicht schlecht. Neben den von Automation u. Benjamin geschilderten Schutzmaßnahmen kann man der IT/ Netzwerkseite schon noch etwas unternehmen. Wenn das Netzwerk über einen modernen Switch versorgt wird bieten die meisten Geräte (auch in der Einsteigerklasse) eine Konfiguration mit vlans an. Bei uns (aktuell im Aufbau) stecken der MS, IP Telefonie, 2N IP Verso und ein paar IP gestützte Bediengeräte in einem separaten Vlan (Achtung - Routing zw. den Vlans ausschalten). Damit sind zumindest die anderen Netzwerkgeräte vor dem sehr motivierten Einbrecher an der Türstation geschützt, aber wichtiger auch umgekehrt. Ein weiterer Schutz wäre die Aktivierung einer NAC (Network Access Control) am Router oder Switch - idealerweise auf Zertifikat Basis (wobei ich nicht weiß ob das Intercom das unterstützt). Was aber auch die meisten Switche können, beschränken der erlaubten Endgeräte auf Basis der MAC-Adresse. Ja diese kann auch gefälscht werden - aber dann betreibt der Einbrecher einen entsprechenden Aufwand, dass er sich nicht mit dem Umweg über die Interkom Schnittstelle beschäftigt. Alles Geschilderte setzt aber den Einsatz eines geeigneten Switches voraus.

Moin zusammen,
den Vorschlag von "kulfam" mit den verschiedenen Netzwerksegmenten (VLANs) kann ich auch nur unterstützen. Zusätzlich sollte dann sinnvollerweise mithilfe einer Firewall (PfSense oder IP-Fire) nur noch die gewünschte Kommunikation zu den erwünschten Zielsystemen durchgelassen werden. Die Firewall lässt sich auch beispielsweise per VMWare virtualisieren.
Das ganze wird aber sehr schnell ziemlich komplex und aufgrund recht rudimentärer Dokumentation von vielen Produkten in diesem Bereich auch sehr schwierig umzusetzen. Aber es ist ein recht übliches Vorgehen in professionellen Netzwerken. Und im Endeffekt reden wir hier "nur noch" von Netzwerktechnik.
Unsichtbare SSID und MAC-Filterung sind mit leicht verfügbaren Tools sehr schnell umgangen. Meiner Meinung nach sogar schneller als die Spezialschrauben zu lösen. Und in praktischen Betrieb macht beides eher Ärger. Würde ich daher bleiben lassen.

Ich würde generell den größten Fokus darauf legen, dass nur erwünschte Geräte oder Personen in mein internes Netz kommen. Sowohl per WLAN als auch per Kabel. Auch Gäste werden in ein entsprechendes Gast-Netz ohne Zugriff auf meine Infrastruktur "ausgelagert".

Die Sicherheit des MiniServers kann ich nicht sinnvoll bewerten, würde die aber nicht zu hoch ansetzen. In den meisten Produkten schlummern jede Menge Fehler, die nur darauf warten gefunden zu werden. Ich vermute das wird bei Loxone nicht anders sein.
Daher halte ich auch nur sehr wenig vom direkten Zugriff aus den MiniServer per Portweiterleitung. Denn dann ist es nur noch ein unknackbares Kennwort und die Hoffnung auf eine halbwegs gut entwickelte Webseite, welche Angreifer abhalten können. Finde ich persönlich zu wenig.

Grüße
Daniel

Guten Abend,

Baudisch hat hier etwas fertiges.

LAN-Secure-Adapter

Hier wird die Kabelstrecke getrennt.

Grüße Alex

Gesendet von iPad mit Tapatalk

das meiste wurde schon erwähnt.
die loxone würde ich trotz user/pass accounts als eher "unsicheres" gerät betrachten. die sicherheit muss daher bereits auf netzwerkebene hochgefahren werden.

meine strategie:
- separates gäste w-lan zum surfen, welches keine verbindung zu nas, lox, intercom etc... hat. damit kann der kreis an geräten mit dem key für das haupt-wlan klein gehalten werden.
- non-standard http port der loxone
- managed switches mit port security. alle "externen" geräte wie intercom (raspberry pi basiert) oder poe-cam (hikvision) wo theoretisch jemand ans lan-kabel kommen könnte (mit nicht unwesentlichem und vor allem für die nachbarn auffälligem aufwand)
- externer zugriff nur via openvpn bzw reverse proxy ssl, keine direkte port-forwards
- knx ist nicht speziell abgesichert, da gibt's aber nichts wirklich wesentliches "zu holen" ausser etwas licht schalten oder jalousien fahren ;-) und auch da ist der aufwand nicht unbeträchtlich und auffällig wenn da jemand von ausserhalb (z.b. an einem bwm) einhängen will.
- viel "security by obscurity" indem z.b. die türsteuerung eigenbau mit einem raspberry pi realisiert ist.
- vlans halte ich zumeist nicht soo für sinnvoll, weil am ende doch irgendwie alles (nas, voip telefone, tablets, handy apps, squeezeboxen, lox, knx gateway, ets auf dem laptop etc...) zusammen "sprechen" muss. vlans eignen sich eigentlich nur für wirklich teilautonome (sub)systeme wo niemand direkt zugreifen braucht. am ehsten noch z.b. voip telefone zum telefonserver und ähnliches. bei bedarf kann auch z.b. ein lan anschluss im gästezimmer via vlan mit dem gäste-wlan verbunden und damit "ausgelagert" werden.
- spezielle/custom firewalls zwischen dem office netzwerk und der hausautomation sind auch ein schwieriges thema. nur mit sehr viel knowhow beim konfigurieren bringen die zusätzliche sicherheit ohne aber gewünschte funktionalität zu behindern/beeinträchtigen.

your mileage may vary...

Ich glaube nicht, dass ein typischer Einbrecher ein Hacker ist. Selbst ein "normales" Kennwort im MS sollte einen Hacker ausreichend lange beschäftigen. Ja, es mag Schwachstellen im HTTP Server des MS geben, aber der Einbrecher muss dann auch eine Sicherheitslücke kennen. Es könnte natürlich gewerbliche Banden geben, die zunächst die Häuser ausspionieren und bei einer Loxone Intercom gezielt eine erkannte Schwachstelle des MS ausnutzen.

In einem anderen Thread wurde ein für mich wesentlich wahrscheinlicheres Szenario beschrieben: Eine Einbrecherbande verwendet einen Elektroschocker, um alle erreichbaren elektronischen Geräte lahmzulegen. Bei einer Intercom mit iButton sind die Kabel zum System (genau gesagt zur 1-Wire Extension) praktischerweise für den Einbrecher direkt zugänglich. Ich denke, dass damit sehr einfach der MS und damit auch die Alarmanlage lahmgelegt werden kann. Daher werde ich einen RFID Leser mit DESFire Karten bei meiner Intercom (Eigenbau) nehmen. Die Frontplatte der Loxone Intercom sieht zwar schön aus, aber ein Angreifer hat damit wichtige Informationen über das verwendete System. Ähnlich wie man bei Youtube Anleitungen findet, wie man z.B. ein bestimmtes Fahrradschloss am Einfachsten knackt, gibt es vielleicht ähnliches in Einbrecherkreisen: richte den Elektroschocker auf den iButton Leser und das war's. Ein Elektroschocker gibt es für wenig Geld im Internet und der Zeitaufwand das System lahmzulegen ist - im Gegensatz zu einem Hacker - auch deutlich geringer. Der Elektroschocker legt ggf. noch die Bewohner lahm, falls welche da sind. Auch bei Einbrüchen in Juwelierläden oder in Geldautomaten führen einfache Methoden, die mit roher Gewalt arbeiten, häufig zum Erfolg: mit dem geklauten Auto in die Ladenfront fahren, den Tresor mit Gas sprengen.

Die Schwachstelle "Schrauben" der Intercom wurde ja schon erwähnt. Da man selbst (gerade bei Eigenbaulösungen) noch an die Intercom herankommen möchte, sollte man ein Sabotagekontakt einbauen, denn es gibt keine 100%ig sicheren Schrauben. Der Sabotagekontakt sollte über den MS idealerweise auch alle Kabel zur Intercom bzw. zum MS physikalisch trennen und Alarm auslösen. Features wie MAC-Filter oder Änderung des HTTP Ports halte ich für Augenwischerei, denn wenn es sich bei dem Einbrecher tatsächlich um einen versierten Hacker handeln sollte, dann sind das keine Hindernisse für ihn.

Ich denke, dass man unterscheiden muss, ob es sich um ein normales EFH handelt, wo der Einbrecher in 99,9% der Fälle keine EDV Kenntnisse hat und sich die Objekte aussucht, wo vermeintlich etwas zu holen ist oder ob ein Einbrecher gezielt in ein bestimmtes Gebäude möchte und sich ggf. Hilfe von einem Hacker für Loxone Anlagen holt. Öffentliche Gebäude, Firmengebäude, Hotels etc. haben sicherlich deutlich höhere Anforderungen. In einem EFH spielt die (meist nicht vorhandene) Sicherheit der Bussysteme (KNX, DMX, 1-Wire, ... ) außer dem genannten Szenario eher keine Rolle. Es stellt sich auch die Frage, wie viel Zeit der Einbrecher hat, um sich über das Hausnetz (LAN) in den MS einzuhacken. Sofern das Hacken aus der Ferne über das Internet, von einem gelangweilten Nachbarn, der EDV-Experte ist und/oder bei einem Hotel z.B. von einem Gästezimmer möglich ist, hat der sicherlich ein viel größeres Zeitfenster und es wird wahrscheinlich nicht einmal bemerkt, dass jemand versucht sich einzuhacken.

Gruß Jan