Zugriff auf Homegear absichern?

Deutsche Foren Konfiguration
#1

Hallo,

um auch von unterwegs auf meine Homegear-Installation zugreifen zu können, habe ich über eine entsprechende Portweiterleitung Node-Blue und das Admin-UI auf Port 2002 auch extern zugänglich gemacht.
Ich habe für diesen RPC-Server SSL und Authentifizierung über Password aktiviert, aber ich frage mich trotzdem, wie sicher das eigentlich ist.

Es gibt ja für zahlreiche gängigen Dienste wie Webserver oder SSH gute Anleitungen, wie man diese „härtet“ und Tools wie fail2ban können zum Schutz vor den meisten Brute-Force Attacken eingesetzt werden.
Wenn z.B. Node-Blue fehlerhafte Login-Versuche mit den benötigten Infos loggen würde, dann könnte man dies sicher mit einer passenden fail2ban Regel auswerten.

Hat sich hierzu schon mal jemand grundsätzlich Gedanken gemacht bzw. gibt es spezielle Hinweise für eine sichere Homegear-Konfiguration?

Vielen Dank.

Viele Grüße

FiveEights

#2

Hi @FiveEights,

Ich würde abraten Systeme wie Homegear direkt aus dem Internet erreichbar zu machen. Ein kleiner Konfigurationsfehler oder ein kleiner Softwarefehler und schon ist das System angreifbar.

Wenn es unbedingt sein muss, mach dir lieber Gedanken, ob du nicht einfach ein VPN einrichtest. OpenVPN ist vergleichbar einfach einzurichten, gibt es eigentlich für alle Geräte (auch Smartphone) und kann mit TLS Handshake, Zertifikat- plus Benutzer+Passwort-basierter Anmeldung recht sicher konfiguriert werden.

Dafür gibt es im Netz auch massenweise Anleitungen.

Gruß Andreas

1 Like
#3

Würde WireGuard als Alternative in den Ring werfen.
Wenn eine FritzBox vorhanden ist, kann man auch mit iOs/Android Boardmitteln recht einfach einrichten.

https://avm.de/service/vpn/uebersicht/

1 Like
#4

Hallo zusammen,

ich kann @Andreas.Fink da nur zustimmen, man sollte die Zentrale seiner Gebaeudesteuerung niemals direkt ueber das Internet erreichbar machen. Selbst wenn man noch eine Authentifizierung durch die Zentrale selber als “Huerde” davor hat, kann ein potentieller Angreifer immerhin das System indentifizieren und potentielle Sicherheitsluecken ausnutzen (nicht das es aktuell welche geben wuerde, aber keine Software ist 100%ig sicher).

Je nach vorhandenem Router ist ein eigenes VPN heutzutage wirklich schnell eingerichtet.

– Micha

PS: Ich will zwar keine Werbung machen, aber unser CloudMatic funktioniert auch mit Homegear (ist sogar in der UI integriert).

1 Like
#5

https://www.shodan.io/explore/search?query=tags%3Aiot

gnihihi

#6

Hallo,

vielen Dank für Eure Einschätzung und Euer ausführliches Feedback - das ist wirklich sehr hilfreich für mich.

Ich dachte eigentlich, der Zugriff über https und die Änderung der Standard-Ports seien schon ausreichende Sicherheitsmaßnahmen, aber dann werde ich mich wohl mal mit dem Thema VPN beschäftigen und einen VPN Server auf einem Raspi einrichten. Ich hatte mir das schon länger überlegt, aber der Konfigurationsaufwand hatte mich bisher davon abgehalten. Mit OpenVPN oder PiVPN scheint das aber umsetzbar zu sein, auch wenn man kein hauptberuflicher Admin ist :wink:

Die Suchmaschine für IoT Geräte finde ich ja auch spannend, obwohl vieles kostenpflichtig zu sein scheint. Es ist allerdings auch ziehmlich mutig, eine Webcam ans Netz zu “hängen” und nichtmal den Port oder die Default Passwörter zu ändern…

Viele Grüße

FiveEights

1 Like