Ich vermisse bei der neuen Version die Möglichkeit ein Passwort in der Konsole zum Zugriff auf meine Haussteuerung zu vergeben. Leider habe ich auch in der alten Version den Punkt nie gefunden, wo man dies konfigurieren kann. Aber jetzt wäre es relativ wichtig.
Da ich aber außerhalb, auch an der Haustür, Webcams mit Netzwerkanschluss habe, und gleichzeitig auch die Alarmanlage, sowie meinen Türöffner in IPS bedienen kann, ist es nicht nur erforderlich mein Webfront passwortzuschützen, sondern nun auch die Konsole, da ja jeder Einbrecher der die Konsole auf seinem Notebook installiert hat und sich vorher etwas mit der Technik beschäftigt hat, sich das Netzwerkkabel aus der Webcam in sein Notebook steckt, die Konsole öffnen kann und somit ohne Passwort meine Variablen so ändern kann, dass sich die Alarmanlage abschaltet und die Haustür öffnet.
Eine riesige Sicherheitslücke… Was kann ich da tun?
Zu ersten kann man gleich sagen das das derzeit noch nicht funktioniert, mir fällt auch gerade nicht ein für was ich soetwas benötigen würde.
Für den zweiten Punkt kann man nur sagen das die bereits seit geraumer Zeit funktioniert. Schau Dir hierzu mal den Webfrontconfigurator im Objektbaum unter „Konfigurator Instanzen“ an. Man scrolle im anschließenden Fenster des Konfigurators ein wenig nach unten.
also wenn man sich bei dir nur physisch ins LAN einklinken braucht, um sich da frei zu bewegen…dann schmeiß mal deine Alarmanalge gleich wieder raus
die Passworteinstellungen für das WFE findest du im WF-Konfigurator unter der WFE-Baumstruktur.
Ein weiteres Passwort kannst du in der Webserver-Instanz setzen. Und du hkannst die Webserver-Kommunikation via HTTPS konfigurieren und laufen lassen.
Dann ist es kein riesige Sicherheitslücke mehr.
Aber für dein offenes LAN kann IPS nichts
Zur Erklärung nochmal:
Mein Webfront ist bereits lange schon passwortgeschützt. Nur halt die Console nicht. Diese lässt sich ja von jedem Rechner, welcher im lokalen Netzwerk verbunden ist aufrufen und OHNE Passwort ausführen. Da ich quasi über die Webcam (mit dem Anschlusskabel) jedem Einbrecher von außen einen ungesicherten Zugang in mein lokales Netzwerk biete, kann auch jeder die Console öffnen und sich somit Zutritt beschaffen.
Daher suche ich nun eine Lösung, die diese Lücke schließt. Ich hoffe das ist jetzt besser rüber gekommen und verstanden worden.
Sorry, habe den Beitrag nicht in die Tiefe gelesen.
Dann würde ich, falls ich das wünschen würde, meinen Consolenzugriff nur auf dem Server gestatten und nicht von den Clients. Wußte aber auch nicht das eine IPS-Console bereits zum Standardwerkzeug eines Einbrecher gehört, dachte die nutzen eher Schlagschlüssel :eek:
Eine riesige Sicherheitslücke… Was kann ich da tun?
Die Sicherheitslücke ist hier dann aber nicht nur die Console.
Lege Dir einen vernünftigen Switch mit MAC-Filter zu und schon ist die Sicherheit ein wenig höher, aber auch die ist umgehbar.
gar nicht, VPN wäre eine Möglichkeit.
Aber via Konsole bedient man keine Hausautomation. Damit richtet man sie ein. Und dann gibts noch das zauberwort „Netzwerksicherheit“. Darunter fallen Firewalls & Co. Mach auf deinem Server die FW zu und gut iss.
In IPS garnicht, das obligt deiner Firewall. z.B. die integrierte Firewall auf meinem Server läßt standardmässig nur lokale Zugriffe auf bestimmte Netzwerkdienste, wie auch der Console, zu.
Nein, sowas mache ich natürlich nicht, aber man selbst denkt ja manchmal über die unmöglichsten Dinge nach, die man als Einbrecher machen kann, und letztlich geht er doch durch die schlecht gesicherte Balkontür… Aber auch da hab ich Sensoren dran…
Aber mit dem ausschließlich lokalen öffnen der Console ist das Problem ja gelöst… Wenn ich nur wüsste, wo man das einstellen kann…
Ansonsten habe ich hier noch nie einen Beitrag eingestellt, da immer jemand anderes vor mir schon mal mein Problem hatte… Und ich muss auch an dieser Stelle mal ein großes Lob aussprechen, wie schnell man hier eine Antwort bekommt. Vielen Dank schon mal…
Wenn du schon so in perfekt abgesichertes Haus hast, würde ich nie einen Port ins Haus-LAN außen verfügbar machen.
Wenn sich da jmd. ansteckt, ist ja nicht nur die Konsole betroffen, sondern auch Laufwerksfreigaben, Zugriff auf andere Netzwerkgeräte …
Du solltest dir da echt zum Thema Netzwerksicherheit Gedanken machen.
Wenn es physisch nicht anders durchführbar ist, als dass die LAN-Anschlüsse außen verfügbar sind, würde ich das mit einem eigenen (V)LAN realisieren, dass über einen Router mit Firewall gesteuert wird. Hier würde ich von deinem Haus-LAN auf das CAM-LAN nur den Port für die Webcam (wahrscheinlich http/s) freigeben und in die andere Richtung, sprich vom CAM-LAN ins HAUS-LAN komplett dicht machen…
Die Diskussion erinnert mich irgendwie an die alten Wild West Comics, Luck Luke und so.
Da saßen auch die bösen Jungs oft auf den Telegraphenleitungen und lauschten bzw. manipulierten die Morsezeichen.
Dadurch wurde dann der zu überfallende Zug angehalten und der Sherif in die falsche Stadt geschickt.
Stell mir da grad vor wie der Einbrecher bei Timothy auf der Leiter steht, und statt der webcam seinen Notebook anstöpselt um mal schnell per Konsole die Haustür zu öffnen.
ist das dann ein Hackerangriff ?
gehören Notebooks zur Standardausrüstung von Einbrechern?
verriegelt er dann auch weider alles und löscht die logs aus der DB um alle Spuren zu verwischen ? Ach nein, geht ja nicht, in der IPS SQLite kann man ja nicht rückdatieren. Ergo wird da auch keiner einbrechen.
und was macht er wenn der Akku leer wird während er so rumhackt ?
Und im Fernsehen wird immer gezeigt, wie schnell ein Fenster mit der Brechstange geöffnet wird. Zusätzlich einmal den Stromkasten umfahren und schon sind auch alle Sicherheitssysteme offline. Sofern das ein Privathaushalt ist, wird sich keiner die Mühe machen irgendwelche LAN-Anschlüsse anzuzapfen oder gar IP-Symcon Konsolen zu öffnen
… die immer wieder gerne uebersehene Kategorie der Systemintegratoren (z.B. meine Wenigkeit) die IPS benutzen, um komplexe Kundeninstallationen zu steuern.
Welcher Unterschied ergibt sich? Nun ja, man greift mit der Konsole fast immer remote auf den Kundenserver zu, sei es nun um Erweiterungen zu installieren oder um irgendetwas zu „fixen“. Ohne Passwortschutz und mit freigeschaltetem Port 3773 liegt der IPS-Server scheunenweit offen. Und was man mit ein paar Zeilen PHP anrichten kann, will ich hier nicht naeher ausfuehren. Natuerlich, man koennte ein VPN zum Kunden aufbauen, aber das scheitert in den meisten Faellen entweder am sturen Kopf des Kunden oder an seinen IT-Administratoren. Nicht zuletzt muss man sagen, dass es recht muehsam ist, immer eine VPN Verbindung aufzubauen, um ein paar Scripte ein zu spielen.
Fazit: ein wie auch immer gearteter Schutz der Verbindung von Konsole zum Server waere fuer uns unabdingar!
