Hallo,
gestern hab ich in der Kulturetage einen weiteren FF-Router installiert. Damit sind jetzt drei in der Kulturetage und einer im Patio.
Dieser neue Router hat keinen eigenen Internetzugang und mesht nur mit den anderen.
Ich hab beim Router eine MAX Heizungssteuerung, die einen Internetzugang braucht, aber nur einen Ethernet Anschluss hat.
Wenn ich die jetzt die Heizungssteuerung per Kabel in den LAN Zugang (gelb)stecke, hat sie ja auch Verbindung ins Netz. Die Heizungssteuerung verbindet sich dann mit dem MAX Server des Herstellers.
Die Sorge ist, dass so jeder die Heizungssteuerung im FF-Netz sehen könnte und damit auch kontrollieren könnte.
Frage: Wird in dieser Konfiguration die Heizungssteuerung Teil des FF Netzes oder werden die Daten über das LAN Kabel nur per VPN-Mesh irgendwo ins Internet weitergeleitet? Bzw. würdet ihr noch einen zweiten (nicht FF) Router als Firewall hinter dem FF Router empfehlen?
Danke und Gruß,
Stephan
Moin,
Am 20.11.2016 um 15:04 schrieb Stephan Keten via Nordwest:
Ich hab beim Router eine MAX Heizungssteuerung, die einen Internetzugang braucht, aber nur einen Ethernet Anschluss hat.
Wenn ich die jetzt die Heizungssteuerung per Kabel in den LAN Zugang (gelb)stecke, hat sie ja auch Verbindung ins Netz. Die Heizungssteuerung verbindet sich dann mit dem MAX Server des Herstellers.
Die Sorge ist, dass so jeder die Heizungssteuerung im FF-Netz sehen könnte und damit auch kontrollieren könnte.
Die Sorge ist berechtigt.
Hat die Heizungssteuerung einen Dienst laufen der nun im Freifunk Netzt ohne Zugangsdaten zu erreichen ist (TCP/UDP)? Scanne selber mit "nmap" oder der gleichen Port Scannern und versuch selber dein Glück.
Hi pic,
Danke für die Antwort.
Ja, die Heizungssteuerung hat einen Dienst, der ohne Zugangsdaten erreichbar ist. Damit wird z.B. konfiguriert welche Thermostate an der Anlage hängen. Denn normalerweise hängt die Steuerung ja an einem privaten Router im internen Netz.
Ich werd dann ein 2. privates Netz mit Wirewall konfigurieren und die Steuerung dann dahinter hängen.
Gruß, Stephan
-----Ursprüngliche Nachricht----- Von: Nordwest [mailto:nordwest-bounces@lists.ffnw.de] Im Auftrag von picard via Nordwest Gesendet: Sonntag, 20. November 2016 18:02 An: nordwest@lists.ffnw.de Cc: picard Betreff: Re: [Nordwest] Heizungssteuerung an FF Router?
Moin,
Am 20.11.2016 um 15:04 schrieb Stephan Keten via Nordwest:
Ich hab beim Router eine MAX Heizungssteuerung, die einen Internetzugang braucht, aber nur einen Ethernet Anschluss hat.
Wenn ich die jetzt die Heizungssteuerung per Kabel in den LAN Zugang (gelb)stecke, hat sie ja auch Verbindung ins Netz. Die Heizungssteuerung verbindet sich dann mit dem MAX Server des Herstellers.
Die Sorge ist, dass so jeder die Heizungssteuerung im FF-Netz sehen könnte und damit auch kontrollieren könnte.
Die Sorge ist berechtigt.
Hat die Heizungssteuerung einen Dienst laufen der nun im Freifunk Netzt ohne Zugangsdaten zu erreichen ist (TCP/UDP)? Scanne selber mit "nmap" oder der gleichen Port Scannern und versuch selber dein Glück.
-- Freifunk Gruß pic
Xmpp: picard@ffnw.de & picard@fr32k.de @ME https://wiki.nordwest.freifunk.net/picard
Moin,
Am 21.11.2016 um 18:32 schrieb Stephan Keten via Nordwest:
Ja, die Heizungssteuerung hat einen Dienst, der ohne Zugangsdaten erreichbar ist. Damit wird z.B. konfiguriert welche Thermostate an der Anlage hängen. Denn normalerweise hängt die Steuerung ja an einem privaten Router im internen Netz.
Diese Frage sollten wir uns immer stellen, ist es Öffentlich oder nur Privat. Ja es gibt auch noch andere Zonen aber der Vereinfachung halber.
Ich werd dann ein 2. privates Netz mit Wirewall konfigurieren und die Steuerung dann dahinter hängen.
Ein weiterer Router mit OpenWRT, aber auch Aduino, Raspberry PI, alles mit Linux und Netzwerk kann dir bei der abzusichern helfen.
Bedenke deines ist (auch so) ein IOT Gerät wie Sie in Letzter Zeit für DDOS angriffe[0] genutzt wurden.
[0] https://www.heise.de/security/meldung/Rekord-DDoS-Attacke-mit-1-1-Terabit-pr...
Moin!
Auch der Max Cube verwendet das BidCos Protokoll von eq3. Die angegebenen "AES Verschlüsselung" ist in meinen Augen eine arglistige Täuschung. Es handelt sich lediglich um eine Signatur der Pakete. Sowohl die Kommunikation mit den Geräten als auch deren Bestätigung ist nach wie vor unverschlüsselt. Jeder im Netz kann also mitlesen, wann dein Fenster auf Kipp steht, etc.
Einige Details dazu: http://fhemwiki.de/wiki/AES_Encryption https://www.siio.de/sicherheitalarm/attacking-homematic-aes-signal-doch-nich...
Wer gezwungen ist, Heimautomatisierung auf Funkbasis aufzubauen, der sollte sich vorher vielleicht noch EnOcean anschauen. Das Programm ist deutlich größer, hochwertiger, komplett verschlüsselbar und es gibt sogar batterielose Aktoren. Nur am Rande...
Viele Grüße Ralf
picard via Nordwest nordwest@lists.ffnw.de schrieb am Di., 22. Nov. 2016 um 07:27 Uhr:
Moin,
Am 21.11.2016 um 18:32 schrieb Stephan Keten via Nordwest:
Ja, die Heizungssteuerung hat einen Dienst, der ohne Zugangsdaten
erreichbar ist. Damit wird z.B. konfiguriert welche Thermostate an der Anlage hängen. Denn normalerweise hängt die Steuerung ja an einem privaten Router im internen Netz. Diese Frage sollten wir uns immer stellen, ist es Öffentlich oder nur Privat. Ja es gibt auch noch andere Zonen aber der Vereinfachung halber.
Ich werd dann ein 2. privates Netz mit Wirewall konfigurieren und die
Steuerung dann dahinter hängen. Ein weiterer Router mit OpenWRT, aber auch Aduino, Raspberry PI, alles mit Linux und Netzwerk kann dir bei der abzusichern helfen.
Bedenke deines ist (auch so) ein IOT Gerät wie Sie in Letzter Zeit für DDOS angriffe[0] genutzt wurden.
[0]
https://www.heise.de/security/meldung/Rekord-DDoS-Attacke-mit-1-1-Terabit-pr...
-- Freifunk Gruß pic
Xmpp: picard@ffnw.de & picard@fr32k.de @ME https://wiki.nordwest.freifunk.net/picard
Nordwest mailing list Nordwest@lists.ffnw.de https://lists.ffnw.de/mailman/listinfo/nordwest
Hi Ralf,
danke für die Hinweise. In meinem Fall brauche ich nur die Thermostate. Ich hab nicht mal Fensterkontakte und schon gar keinen Türöffner. Also ist bei mir das worst case szenario, dass die Heizung kalt oder auf volle Pulle ist.
Hab eben nach EnOcean gegooglet. Hab aber nur Schalter und Sensoren gefunden. Gibt es dafür auch passende Heizungsthermostate?
Gruß,
Stephan
Von: Nordwest [mailto:nordwest-bounces@lists.ffnw.de] Im Auftrag von Ralf ter Veer via Nordwest Gesendet: Dienstag, 22. November 2016 11:22 An: Allgemeine Liste Cc: Ralf ter Veer Betreff: Re: [Nordwest] Heizungssteuerung an FF Router?
Moin!
Auch der Max Cube verwendet das BidCos Protokoll von eq3. Die angegebenen "AES Verschlüsselung" ist in meinen Augen eine arglistige Täuschung. Es handelt sich lediglich um eine Signatur der Pakete. Sowohl die Kommunikation mit den Geräten als auch deren Bestätigung ist nach wie vor unverschlüsselt. Jeder im Netz kann also mitlesen, wann dein Fenster auf Kipp steht, etc.
Einige Details dazu:
http://fhemwiki.de/wiki/AES_Encryption
https://www.siio.de/sicherheitalarm/attacking-homematic-aes-signal-doch-nich...
Wer gezwungen ist, Heimautomatisierung auf Funkbasis aufzubauen, der sollte sich vorher vielleicht noch EnOcean anschauen. Das Programm ist deutlich größer, hochwertiger, komplett verschlüsselbar und es gibt sogar batterielose Aktoren. Nur am Rande...
Viele Grüße
Ralf
picard via Nordwest nordwest@lists.ffnw.de schrieb am Di., 22. Nov. 2016 um 07:27 Uhr:
Moin,
Am 21.11.2016 um 18:32 schrieb Stephan Keten via Nordwest:
Ja, die Heizungssteuerung hat einen Dienst, der ohne Zugangsdaten erreichbar ist. Damit wird z.B. konfiguriert welche Thermostate an der Anlage hängen. Denn normalerweise hängt die Steuerung ja an einem privaten Router im internen Netz.
Diese Frage sollten wir uns immer stellen, ist es Öffentlich oder nur Privat. Ja es gibt auch noch andere Zonen aber der Vereinfachung halber.
Ich werd dann ein 2. privates Netz mit Wirewall konfigurieren und die Steuerung dann dahinter hängen.
Ein weiterer Router mit OpenWRT, aber auch Aduino, Raspberry PI, alles mit Linux und Netzwerk kann dir bei der abzusichern helfen.
Bedenke deines ist (auch so) ein IOT Gerät wie Sie in Letzter Zeit für DDOS angriffe[0] genutzt wurden.
[0] https://www.heise.de/security/meldung/Rekord-DDoS-Attacke-mit-1-1-Terabit-pr...
-- Freifunk Gruß pic
Xmpp: picard@ffnw.de & picard@fr32k.de @ME https://wiki.nordwest.freifunk.net/picard
_______________________________________________ Nordwest mailing list Nordwest@lists.ffnw.de https://lists.ffnw.de/mailman/listinfo/nordwest
-
picard -
Ralf ter Veer -
Stephan Keten