Hallo Leute,
ich bin seit einigen Tagen dran den IPS zu Konfigurieren. Ich habe im Forum nirgends etwas über Sicherheitseinstellungen gefunden. Überall Passwörter vergeben ist klar, die Standardports durch eigene ersetzen ist auch klar, aber muss ich da sonst noch was beachten? Ein Häckchen dort setzen, ein Häckchen hier setzen?
Mich wunderts dass ich nirgends über die Sicherheitseinstellungen lesen kann! Dabei geht es um unsere Haussteuerung.
Grüsse
Magic
Moin!
Das Problem ist ganz einfach > IPS hält sich bzgl. Sicherheitsangaben seeeeeeeeehr zurück und macht nur das nötigste.
Aber > IPS selbst stellt nichts ins Internet, sondern ist nur im LAN verfügbar. IPS ins Internet „veröffentlichen“, das machen die User selbst, wenn sie WebFront usw. nach außen freigeben. Dazu gibt es viele Wege die jeder selbst kennen und verantworten muss (VPN, SymconConnect, Port einfach im Router öffnen, SSL, …).
Dazu gibt es einige Themen hier im Forum, aber kein wird die sagen > mach es so oder so.
Weil jeder eben selbst dafür verantwortlich ist, was er mit IPS macht. Auch wenn Passwörter in Klartext auf der Festplatte gespeichert werden 
Aber das ist wieder eine andere Geschichte.
Kurz gesagt > du wirst hier nicht mehr an Infos bekommen, als das was schon im Forum zu finden ist. Damit muss man sich leider abfinden.
Grüße,
Chris
Hi Chris,
danke für die Antwort
"IPS selbst stellt nichts ins Internet, sondern ist nur im LAN verfügbar. IPS ins Internet „veröffentlichen“, das machen die User selbst
Diese Aussage, tut mir leid dass ich es so direkt sage, ist einfach Quatsch.
Natürlich muss man selbst ein gewisses Maaß an Sicherheit mitbringen aber zu sagen unser System ist nur für LAN geeignet und alles andere muss der Benutzer auf sich nehmen ist nicht das, was ich als Benutzer hören will.
Der Hersteller muss davon ausgehen, dass seine Hausautomatisierungssoftware nicht nur intern bedient wird. Daher erwarte ich ein kleiner Sicherheitshinweis. Passwort hier setzen, Häckchen dort setzen usw.
Kurz gesagt > du wirst hier nicht mehr an Infos bekommen, als das was schon im Forum zu finden ist. Damit muss man sich leider abfinden.
Bleibt mir ja nichts anders übrig.
Schönnen Sonntag
Diese Aussage, tut mir leid dass ich es so direkt sage, ist einfach Quatsch
dann solltest du mal bei anderen Mitbewerbern schauen, wie die internen Netze offen wie ein Scheunentor sind.
das heisst letztendlich, alle Daten sind im Internet freigegeben.
Es gab mal einen Anbieter, da konnte man alle freigegebenen Haussteuerungen per Google finden und im Haus alles schalten.
deshalb ist und bleibt es dem Anwender überlasen für entsprechende Sicherheit zu sorgen, zb VPN-Tunnel.
ich würde nie einen Port dafür öffnen
Hi Magic,
schön, dass du meine Aussage als Quatsch empfindest… Hättest du mal die entsprechenden Themen bzgl. Sicherheit hier im Forum gelesen, dann wüsstest du, dass das nicht meine Sicht der Dinge ist, sondern das quasi die Sicht von IPS ist, bzw. es einem so vermittelt wird…und ich mich schon einige Male kritisch bzgl. einiger Sicherheitsaspekte in IPS geäußert habe, aber immer wieder auf taube Ohren stoße.
Also immer locker bleiben und erstmal richtig informieren 
Ich bin quasi auf deiner Seite 
Grüße,
Chris
Schau mal hier: Sicherheit IP-Symcon :: Automatisierungssoftware
Ansonsten ist, sofern du dich um das WebFront Kennwort gekümmert hast, alles OK.
Zusätzlich solltest du die Hinweise zum Fernzugriff und BasisAuthentifizierung des „user“ Ordners beachten, falls du diese nutzt.
Grundsätzlich gilt… Wenn du irgendwas an deiner Firewall weiterleitest, kann es angegriffen werden. Sofern das WF aber ein Kennwort hast, bist du sicher. Der Fernzugriff ist nur aktiviert, wenn du ein Kennwort gesetzt hast. Es gibt zu deiner Frage kein Thema, weil du sogesehen nicht viel falsch machen kannst.
Um deine Frage übrigens korrekt beantworten zu können, musst du mehr Infos geben, wie dein Netzwerk aussieht oder was du vor hast und am besten vor wem du dich schützen willst. Liegt vielleicht in deinem internen Netzwerk bereits der Angreifer? Dann sieht die Welt nämlich ganz anders aus
paresy
dann solltest du mal bei anderen Mitbewerbern schauen, wie die internen Netze offen wie ein Scheunentor sind.
das heisst letztendlich, alle Daten sind im Internet freigegeben.
Nur weil es die „anderen“ falsch machen muss das doch nicht die Regel sein!
schön, dass du meine Aussage als Quatsch empfindest
Das war nicht gegen dich, sondern gegen die Aussage an sich. Hab schon verstanden dass du auf meine Seite bist
Ansonsten ist, sofern du dich um das WebFront Kennwort gekümmert hast, alles OK.
Zusätzlich solltest du die Hinweise zum Fernzugriff und BasisAuthentifizierung des „user“ Ordners beachten, falls du diese nutzt.
Grundsätzlich gilt… Wenn du irgendwas an deiner Firewall weiterleitest, kann es angegriffen werden. Sofern das WF aber ein Kennwort hast, bist du sicher. Der Fernzugriff ist nur aktiviert, wenn du ein Kennwort gesetzt hast. Es gibt zu deiner Frage kein Thema, weil du so gesehen nicht viel falsch machen kannst.
Um deine Frage übrigens korrekt beantworten zu können, musst du mehr Infos geben, wie dein Netzwerk aussieht oder was du vor hast und am besten vor wem du dich schützen willst. Liegt vielleicht in deinem internen Netzwerk bereits der Angreifer? Dann sieht die Welt nämlich ganz anders aus
Hab den Link schon gelesen gehabt.
Ich bin im Internet auf dieses Thema gestoßen:
Schwere Sicherherheitslücke bei IP-Symcon? [Update] | Raketenschnecke.net
Das Thema ist zwar von 2014 und ist wie ich es gelesen habe behoben, aber ich dachte ich frag mal hier in die Runde ob sowas ähnliches, ein sagen wir mal „unübliche Konstellation“, wieder vorliegt.
Die meiste Zeit ist das System nicht ans Internet angeschloßen. Allerdings wenn ich mal im Urlaub bin will ich Zugriff auf mein Haus haben. Mir ist klar dass sobald ein System ans Internet angeschloßen ist, man Ziel eines Angriffs werden kann, und kein System zu 100% sicher ist, bzw. so sicher ist wie die Konfiguration des Benutzers.
Moin,
naja, wie ich auch immer wird bei einer externen Zugriffsmöglichkeit auf eine Webseite (das Webfront ist ja nix anderes) die Möglichkeit eröffnet, Sicherheitslücken des dahinter liegenden Systems (z.B. Webserver - Heartbleed war da ja ein schönes Beispiel) auszunutzen.
Die Aussage „wenn ein Passwort gesetzt ist kann ja nix passieren“ stimmt also so pauschal natürlich nicht - aus dem Munde des Herstellers kommt das schon ein wenig sorglos rüber… :rolleyes:
Ich denke wer einigermaßen sicher sein will und trotzdem nicht auf den Komfort eines Zugriffs von Außen verzichten will, der sollte sich ein VPN einrichten.
Ich nutze auch VPN. Damit ist schon mal der Übertragungsweg sicherer.
IPS läuft auf einem Raspi und auf dem Server in einem eigenen Docker-Container.
Anders kommt bei mir kein System ins Internet.
VPN ist klar.
Ein Container kapselt zwar den IPS ab aber deswegen kann der IPS trotzdem angegriffen werden!
Stimme ich dir zu 100% zu
Der Zugriff auf IPS von aussen ist (hoffentlich) durch VPN gesichert.
Der Container soll verhindern, dass der Angreifer Zugriff auf Daten ausserhalb von IPS bekommt.
Ausserdem ist das Backup durch den Container simpel.
Das stimmt
Hi,
ich habe mich mit dem Thema Sicherheit in IPS sehr ausführlich befasst, da ich eine eigene App für Windows Phone gebaut habe bzw. für Windows 10 baue.
Wenn du den Port einfach ins Internet weiterleitest, kann jeder der an deine IP und den Port kommt an dein Installation kommen und die Daten lesen & schreiben!
Wenn du den Port weiterleiten willst, sind in meinen Augen zwei Dinge Pflicht:
Grüße
Seb.