Sicherheit bei IoT
-
Ich wollte schon länger einen ausführlichen Artikel dazu schreiben, bin aber nicht dazu gekommen.
Jetzt bin ich heute morgen durch http://www.spiegel.de/netzwelt/web/stoerung-bei-twitter-und-co-haushaltsgeraete-legten-webseiten-lahm-a-1117833.html wieder auf das Thema gestoßen.
Viele dieser dort genannten Kategorien wie zum Beispiel Webcam, Enigma2-Receiver usw. sind ja auch bei uns weit verbreitet und stehen dauernd im Internet.
Mir war bei der Installation eines raspbian full damals positiv aufgefallen, dass dort sogar Clam AV mit integriertem ist. Dies war damals der Anlass zu überlegen, wie die anderen Geräte gesichert werden können. Schließlich gibt es inzwischen schon malware, die bei Smart-TV die Adresse des DNS-Servers umbiegt.
Selbstverständlich sollten die standardmäßig vergebenen Zugangsdaten geändert werden, wie zum Beispiel das Passwort des Users pi beim raspberry. So ist wenn ich mich richtig erinnere der Zugang bei Enigma2-Receivern für root ohne Passwort freigegeben. Aber bei anderen Geräten kann man oft nichts einstellen. So zum Beispiel der Harmony Hub, der ständig mit dem Internet telefoniert. An irgendwelche Konfigurationsdaten ist da meines Wissens nicht ranzukommen. Deshalb gehört der Harmony Hub für mich zur gleichen Kategorie wie https://www.heise.de/security/meldung/IP-Kameras-von-Aldi-als-Sicherheits-GAU-3069735.html, die sich womöglich auch noch selbständig einen Port im Router freischaltet.
Inwieweit diese Geräte dann "nur" selbst infiziert werden, oder als Einfallstor zum gesamten Netzwerk genutzt werden können kann ich nicht sagen. Da fehlt mir das nötige Wissen.
Damals wurde die https://iot.f-secure.com/2015/11/11/f-secure-sense-smart-security-smart-you/ vorgestellt, die ich aber bis heute noch nirgendwo finden konnte.
Edit: Habe gerade noch diesen Artikel gefunden. Dort steht, dass diese Produkte erst im ersten Halbjahr 2017 erscheinen werden.
https://www.smart-wohnen.de/sicherheit/ … e-heim-ab/
Gruß
Rainer
-
Hallo Rainer,
ich kann nur den Tipp geben, den Geräten den Internetzugang zu sperren. Das geht zB in der Fritzbox sehr leicht. Das Gerät ist dann zwar von außen nicht mehr erreichbar und kann auch selbst nicht mehr "senden", aber das ist bei Einbindung in ioBroker auch nicht nötig. Denn es reicht die Einbindung ins Heimnetz. Meinem Roomba, den IP-Kameras und dem Drucker habe ich den Zugang zum Internet gesperrt.
Beispiel Kamera:
Die IP-Kamera kann nicht mehr ins Internet, weil der Zugang für das Gerät (ich vermute über die MAC_Adresse) vom Router gesperrt wurde. Innerhalb des Netzwerkes sind Streams und Standbilder aber erreichbar und werden in VIS dargestellt. VIS seinerseits ist von aussen erreichbar. In meiner Installation erreiche ich mein Heimnetz von unterwegs nur per VPN. Daher kann ich von unterwegs auch die Kamera mit ihrer LAN-Adresse abfragen. Für evtl. Benachrichtigungen (Bewegungsalarme, etc.) muss natürlich eine vertrauenswürdige Software auf einem vertrauenswürdigem Gerät her (bei mir XEOMA, sonst zB CuxD mit Webcam auf CCU).
Hier gibt es einen Open-Source-Router (sogar zum Selbstbauen), der http://www.heise.de/netze/meldung/Open-Source-Router-1000-Turris-Omnia-ausgeliefert-3344417.html besonders effizient schützt: https://www.turris.cz/en/
Gruß
Pix
-
Hallo pix,
Die Idee mit der FritzBox ist schon mal für einige Geräte gar nicht schlecht.
Für den raspi nicht machbar und z.B. der Harmony Hub kann sann nicht mehr programmiert oder aktualisiert werden.
Den verlinkten Router kann ich aber nicht benutzen, da ich einen IP Anschluss besitze.
Er verwendet openWRT, was auch andere Router verwenden und immer in diesem Zusammenhang erwähnt eindeutig mit dem nicht unwichtigen Zusatz: Wenn es denn richtig konfiguriert wird.
Und da sehe ich das Problem für Otto Normaluser.
Gruß
Rainer
-
Reicht es, bei manchen Geräten wie die Webcam einfach bei der statischen Addressvergabe keinen Gateway und DNS-Server einzutragen? Dann kann das Ding nur lokal senden?
Oder ist es immer besser, auch im Router die Macadressen zu sperren?
PS @pix: der Router klingt spannend!
-
Hallo zusammen.
Die Hardware ist nicht ausschliesslich der wichtigst Faktor sondern die korrekten Einstellung sowie die definierten schützenswerten Bereiche, welche man im Vorfeld plannen sollte. Meine Hausautomation hat keinen Zugang zu meinen privaten Daten bzw. liegt nicht im selben Netzwerk.
Eine etablierte Verbindung ins Internet kann auch dazu genutzt werden auf das Heimnetz zu zugreifen. Genau das gilt es zu verhindern. Aus diesem Grund ist meine Logitech Hub im Gastnetz.
Finde es prima, das dieses Thema nun im Forum einen eigenen Tread erhält. Freu mich auf weitern austausch mit euch…
Gruss Frank
Gesendet von meinem LG-D855 mit Tapatalk
-
In der Fritzbox lassen sich auch black und white list konfigurieren. Und das sogar für das normale- und Gastnetz. Falls man ein Gerät doch noch nach aussen lassen will, aber eben nur zu definierten URLs.
Gruß Eisbaeeer
-
Reicht es, bei manchen Geräten wie die Webcam einfach bei der statischen Addressvergabe keinen Gateway und DNS-Server einzutragen? Dann kann das Ding nur lokal senden?
Oder ist es immer besser, auch im Router die Macadressen zu sperren?
PS @pix: der Router klingt spannend! `
Ja, das reicht auch. Keine Route, kein Internet. Als DNS kannst du den Router drin lassen. Das hat erstmal nichts mit dem Zugriff ins Internet zu tun.
