Frage zur WFE Sicherheit (WFE trotz Basis-Auth erreichbar)

Hast du im WebFront Konfigurator den Editor korrekt deaktiviert?

paresy

Und noch die Preisfrage zum Abschluss:
> Wenn du sagst bei IPS 4 wird nur der freigegebene Teilbaum übertragen… Angenommen da sind nur Verlinkungen drin, dann werden auch nur die verlinkten Variablen übertragen, ooooder alle Variablen aus dem anderen Baum die in der gleichen Kategorie sind wie die verlinkte Variable? Ich hab da so eine komische Vorahnung…

Edit: Beispiel:
Variable „ABC1“ ist in einer Kategorie „1234“ für das WebFront verlinkt. Liegt aber in „XYZ“. Werden dann alle Variablen in „XYZ“ übertragen oder nur die „ABC1“ die verlinkt ist?

-Chris-

@Bayaro: Es werden natürlich alle Links verfolgt. Worst-Cast Beispiel ist also, dann du einen Link direkt nach Root (ID=0) machst. Dann ist wieder alles verfügbar. Aber das muss es ja auch. Und dann wolltest du es ja hoffentlich. Warum würde sonst dieser Link vorhanden sein? Für dein Beispiel wird aber NUR ABC1 übertragen. Nicht alle.

@Raktenschnecke: Falls der Editor aus ist, kann es sein, dass du in den mobilen Apps noch „Vollzugriff“ drin hast?

paresy

Das meinte ich nicht. Sieht man nur die explizit verlinkten Variablen oder auch die Variablen die in der gleiche Kategorie „XYZ“ wie die verlinkte Variable „ABC1“ liegen?
Wohl gemerkt, wenn man nur die Variable und nicht die komplette Kategorie in seine WebFront-Kategorie verlinkt hat.
-Chris-

Es werden nur die direkt verlinkten Variablen hinzugefügt.

paresy

Ich kann es mir nur damit erklären, dass ihm die möglichen Konsequenzennicht bewußt sind. Hoffentlich muß es nicht erst zu einem Schadensfall kommen, damit man zur Vernunft kommt.

Gruß
Ralla

@Ralla,
wenn ich IPS im internen Netzwek betreibe, wie soll da jemand von Außen drauf kommen ?
Dazu muss ich „Freigaben“ machen, und wenn ich kein VPN benutzen will, ist viel „offen“.

Es gibt da so eine schöne Suchmaschine, die hat viel gelistet.(Hat mir mein Sohn mal gezeigt, und ich war sehr beindruckt was da so offen ist, nicht nur IPS Systeme, auch andere Systeme die ich kenne…)

Ich Bin absolut dafür, IPS sicherer zu machen, wie auch andere Systeme (mit denen ich mal zu tun hatte…)

Mein Tipp ist halt, ein VPN benutzen, ist aber zu unbequem.
Ich mache es mit einer IPS Installation @home, da will ich keinen drauf lassen.

Leider muss ich Raketenschnecke recht geben, was die Doku betrifft. Besser wäre ein Hinweis nur im „internen Netz“ und den Rest über VPN zu lösen.
Wie sieht das mit IPS Connect aus ?

@tomgr,
hast du den verlinkten Text gelesen und verstanden?

Dadurch, dass wie im Beispiel von Raketenschnecke ein Passwortdialog eingeblendet wird, darf wohl erwartet werden, dass die dahinter liegende IP-Symcon Installation durch eben dieses Passwort geschützt wird.
Ist dies nicht der Fall, dürfte im Schadensfall wohl die Produkthaftung greifen.

Wenn in der App eine durch eine Keymatic bediente Tür mit einem grünen Häkchen dargestellt wird, darf wohl erwartet werden, dass diese Tür verriegelt ist.
Ist dies nicht der Fall, und die Versicherung verweigert die Schadensregulierung im Falle eines Einbruchs, dürfte wohl wiederum die Produkthaftung ins Spiel kommen.

Im Falle der App geschieht dies sogar wissentlich. Ob dabei dann auch von Vorsatz die Rede sein kann, würde im Schadensfall sicherlich geprüft werden.

Es geht mir nicht darum hier irgendwelche Horrorszenarien zu skizzieren. Es ist auch egal wie wahrscheinlich ein Schadensfall eintritt.
Aber wenn ein Schadensfall eintritt, brauchen die Entwickler von IP-Symcon und der zugehörigen App einen sehr guten Rechtsanwalt.

Das scheint ihnen nicht bewusst zu sein.
Mal davon abgesehen müssen ihre User mit dem Unfug irgendwie klar kommen.

Gruß
Ralla

N´abend,
vielen Dank für den Hinweis, Raketenschnecke.
Kann mich nur der Erkenntnis anschließen dass ein offline-IPS maximal mit VPN-Zugang von außen das einzig sinnvolle Szenario ist.

Finde die Reaktion seitens des Herstellers auch sehr befremdlich.
Was man sonst so kennt ist ja zumindest ein verbindliches „wir kümmern uns drum“ und dann landet es doch im Papierkorb - aber selbst das kann ich hier nicht erkennen.
In Sachen Bugs und Features kennt man das ja schon, aber bei Sicherheitsfragen ist das beängstigend…

Daher mein Tipp, IPS nur im internen Netz und VPN zu verwenden. (Das muss in die DOKU, bis es sicher ist)
Da muss das IPS Team dran, wie auch andere Hersteller !
Etwas Risiko gehe ich noch ein, aber nicht alles…

@tomgr,
entschuldige bitte. Ich war noch nicht ganz fertig, als ich das erste mal „Antworten“ drückte.

Und genau da liegt möglicherweise das Problem. Für die Haftung spielt es überhaupt keine Rolle, ob es dem User möglich gewesen wäre, das Problem zu umgehen. Alleine die Tatsache, dass er einen bestimmten Sachverhalt erwarten konnte, begründet offensichtlich einen Haftungsanspruch.

Da hast du Recht, aber … Dann kommt die „graue Zone“.
Schön wäre es, wenn das Thema jetzt mal Wirkung zeigt.

Am 14.04.16 habe ich diese Mail an IPS gesendet :

Hallo M… ,

mein Sohn IT,ler hat da über eine Suchmaschine sehr viele offene IP-Symcon Systeme gefunden, die überhaupt keinen Schutz haben.
Das gleiche ist auch bei D… Modulen so, da haben wir N… (…) schon gewarnt, da es einige Anlagen sind, die auch zu Kunden gehören, die ich mal in meiner bei … Zeit betreut habe.

Drauf gekommen ist er, um unsere Freigaben im I-Net zu testen.
Suchmaschine ist : [entfernt]

Vielleicht solltet Ihr auch Eure Kunden warnen.

lg Thomas (tomgr)

ps IPS4 auf dem PI2 macht hier immer noch was ich möchte, bis auf die kleinen Schönheitsfehler und meine PHP Fehler…:wink:

Ich habe einige Daten unkenntlich gemacht !

Die korrekte Antwort: nein, den habe ich nicht deaktiviert. Ich habe die Defaulteinstellungen der Instanz, die beim Erzeugen gesetzt wurden, [unbewusst] so belassen. Kann man den Editor auch unkorrekt deaktivieren?

Wie dem auch sei, im Klartext heißt das für mich: arbeite ich mit den Defaulteinstellungen, die IP-Symcon vorgibt, laufe ich Gefahr, dass mein System nach außen offen ist (ohne, dass es mir irgendwo signalisiert wird oder ich darauf hingewiesen werde und ohne dass ich irgendwo [z.B. im Webfront] sehen kann, dass dem so ist).

Natürlich kann man jetzt alles auf den Anwender abwälzen. Ich denke nicht, dass diese „Sicherheits-Philosophie“ in der heutigen Zeit angemessen ist. Vermutlich müsste man sich/ich mir eine Checkliste erstellen, in der alle möglichen Konfigurations-Varianten aufgelistet werden, die man bei Änderungen am eigenen System abzuarbeiten hat. Um ja nichts zu übersehen. Scheitert aber wiederum daran, dass hier viele Sachen intransparent sind

Das Thema ist leider komplexer, als manch einer sich hier gerade „so leicht“ vorstellt.

Ich denke aber eine gute Idee für eine Lösung zu haben. Ich würde gerne Raketenschnecke zu uns nach Lübeck einladen, damit ich ihm das komplette Thema persönlich erklären kann. Zum Beispiel die Gründe warum Dinge so gelöst sind, wie sie es gerade sind und wo die Herausforderungen liegen, sodass man es nicht „einfach mal“ ändern kann. Sobald wir dann Wissens technisch auf dem selben Stand sind, würde ich gerne mit ihm gemeinsam ein besseres Konzept erstellen, sodass das Thema „Sicherheit“ einfacher und transparenter wird.

paresy

Dass das Thema „Sicherheit“ allgemein sehr komplex ist, stellt wohl niemand in Frage.

Aber du/ihr könnt ebenfalls nicht abstreiten (dazu gibt es zu viele Fälle/Beweise/Gründe), dass ihr dem Thema Sicherheit eindeutig zu wenig Beachtung schenkt! Wenn ihr davon keine Ahnung habt (was ok ist, man kann ja auch nicht alles wissen), dann holt euch doch bitte wenigstens einen Fachmann ins Haus (mindestens temporär), der euch da mal etwas berät und unter die Arme greift!

Ach ne, dazu müsstet ihr euch ja „reinreden“ lassen und das geht natürlich nicht :rolleyes: Ihr müsst endlich mal umdenken und verstehen, dass es hier im Forum viele sehr fähige Leute gibt, die IPS voran bringen wollen und aufhören diese von euch weg zu drängen, sondern diese lieber ins Boot zu holen! Nutzt doch ENDLICH mal sinnvoll die (nicht mehr so) große Community! …bevor davon nichts mehr übrig ist…

-Chris-

Hallo Leute,

jeder der sich auf die vom Hersteller implementierten Sicherheits mechanismen verlässt die so wie in IPS 4 nicht mehr trivial sind ist meiner Meinung nach selbst schuld.

Ich habe einen Apache Reverse Proxy mit Authentifizierung vorgeschalten weil es hier Sicherer ist zumal diese Mechanismen weiter Vervbreitet sind als IPS und auch vom Linux System mit updates versorgt werden.

Auch habe ich mit dem Reverse Proxy die Möglichkeit viele Interne Webseiten unter dem einem Port 443 (https) von extern nach Autentifizierung (oder bei Einzelnen auch nicht) erreichbar zu machen. Entweder mit virtuellen unterverzeichnissen oder sub domains.

Dies war auch der Grund warum ich schon hier vor einem Jahr gefragt habe wann die IPS Android app auch den zugriff mit Basic Auth ermöglicht, was bis heute leider nicht umgesetzt wurde mit dem Effekt das die App nur per Wlan oder VPN nutzbar ist.

Unter http://www.lxccu.com findet ihr eine alte Anleitung für das einrichten eines Reverse Proxy mit vielen Beispielen…

Wenn ein Anwender das Wort „ReverseProxy“ kennt, und weiß wie sowas zu bedienen ist, dann ist er eh auf einem IT Niveau auf dem ihm die Problematik bewusst ist, und er sich auch selbst - wie auch immer- helfen kann.

Diese mündigen Anwender brauchen im wesentlichen nur die Gewissheit das IPS so funktioniert wie dokumentiert den Rest können sie selbst in die Hand nehmen.
Dafür reichten meiner Meinung nach die aktuellen und vergangenen Möglichkeiten von IPS aus.

Es gibt aber auch eine immer größer werdende Gruppe denen die komplette IT Basis oder auch nur das entsprechende Spezialwissen fehlt.
Dies Gruppe klickt sich lt. Anleitung durch bis es endlich „geht“ kann dann aber nicht beurteilen welche Löcher man sich ggfl. öffnet. Das Sicherheitsbewustsein endet bei „ich hab eh ein Passwort gesetzt“ oder " ich hab eh einen Virenscanner".

Ja und dann gibts noch die Feature Freaks welche durch immer neue Wünsche den Hersteller vor sich hertreiben und so für immer neue Risiken und Herausforderungen sorgen.

Hier ist nun ein Anbieter gefordert einen passenden Kompromiss zu finden und jeden Nutzer auf seinem Niveau abzuholen.

Wie man immer wieder liest sinkt das Niveau der Anwender, während aber die Sicherheistanforderungen steigen. Zusätzlich steigt mit jedem neuen Feature auch die Komplexität. Die Schere geht also immer weiter auf.
Daher muß man immer mal wieder nachjustieren.

Das sich paresy dessen annehmen will hat er auf der ersten Seite geschrieben.

ym2c
bb

Ich denke wenn viele Symcon Benutzer solche „Dau“ wären dann haben sie das Falsche System gekauft,
denn meiner Meinung nach ist IPS nichts für „Klicki Bunti“ möchtegern Admins. Die sind mit anderen Systemen wie z.B. Homematic besser bedient denn da kannst du im Web GUI einfache wenn dann sonst Programme zusammen-klicken.

Auch denke ich das IPS Hauptsächlich von System Integratoren oder versierten Benutzern mit Lernwillen installiert wird und die müssen aber hier schon ein Augenmerk auf die Sicherheit legen!

Leider gibt es auch heute noch Firmen die Interne Systeme per Port Forwarding aus dem Internet direkt erreichbar machen wie es ein Integrator für den Zugang zu einer S7 von mir haben wollte :eek:

Auch ich habe mir durch lesen und lernen die Reverse Proxy Anleitung erarbeitet weil ich denke dies ist zwischen Komfort und Sicherheit eine der besten Lösungen, vor allem weil ich keinen externen Anbieter Zugang zu meinem Netzwerk geben muss so wie es über den IPS Connect Dienst ja auch möglich wäre! Die Wartung meiner Lizenz zahle ich auch gerne ohne den Connect Dienst zu nutzen…

Auch ist in Zeiten der Fritz Boxen VPN kein „Hexenwerk“ mehr und für jeden der keinen großen Aufwand betreiben will die einzige sichere Lösung!

Hi Paul!

Da täuscht du dich…es gibt im Forum eine beträchtliche Anzahl an Leuten die keine Ahnung von VPN/ReverseProxy und Co haben und trotzdem IPS verwenden. Und selbst wenn der Lernwille vorhanden ist, reicht das oft nicht aus…

Als Anbieter einer solchen Software muss man auch für ein gewisses Maß an Sicherheit sorgen und kann nicht einfach alles auf die User abwälzen! Und schon gar nicht ohne DEUTLICHE Hinweise oder Anleitungen! Außerdem müsste dann per Default alles dicht/abgeschaltet sein und der User dürfte solche „sicherheitsgefährdenden“ Features nur mit entsprechendem Warnhinweis direkt in der Software aktivieren können!

Nur so wie es IPS macht, das ist nicht ok und das kann niemand, der halbwegs bei klarem Verstand ist, als „gut“ bezeichnen oder gar befürworten…

Aber wie immer hier > einige wollen einfach nicht klar sehen und nicken alles ohne nachzudenken ab. Nur nichts kritisches äußern :rolleyes:

-Chris-