Shelly, IoT und die Netzwerksicherheit

    • Official Post

    Shelly, Cloud und Datensicherheit ... 95

    The result is only visible to the participants.

    Hallo zusammen,


    IoT, Cloud, Hausautomation, Smarthome


    Wenn irgendwo um diese Themen berichtet oder dikutiert wird, ist das Thema Sicherheit(srisiko) meist nicht weit.


    • Wie sieht es innerhalb unserer Community damit aus?
    • Beschäftigt das Thema uns?
    • Haben wir aktiv etwas für die Sicherheit, unsere Sicherheit und die Sicherheit des eigenen Netzwerkes getan?

    Ich finde diese Frage spannend und würde mich freuen, wenn wir uns gemeinsam darüber austauschen.


    Als "Schnellübersicht" soll die kleine Umfrage dienen.

    • Official Post

    Fairerweise mache ich denn auch den Anfang:


    Cloudlösungen meide ich, auch Dauerlauscher (Alexa & Co.)

    Meine Shelly betreibe ich lokal. Die berühmte Ausnahme von der Regel ist der H&T, mit dem ich noch ein wenig experimentiere.


    Was mein Heimnetzwerk angeht, so ist das IoT-Netz von "Nutz"-Netz strikt getrennt. Aktuell mache ich das über eine Routerkaskade (= Router (Netz 2) hinter Router (Netz 1 mit DSL-Zugang).


    Dadurch können Geräte (PC) im Netz 2 auf alles im Netz 1 zugreifen, aber eben nicht umgekehrt. ;)


    Demnächst soll ein anderer, VLAN-fähiger Router das Thema stemmen. Da muß ich aber noch ein bischen lernen. :D

  • Ich habe Verbindungen nach draußen nur über VPN (Fritz!Box) und Apple HomeKit, keine Portfreigaben-/Weiterleitungen. Die Fritz!Box ist ansonsten für Zugriffe von außen gesperrt.


    Darüber hinaus prüfe ich regelmäßig die System-Protokolle der Fritz!Box und die im WLAN angemeldeten Geräte.

  • ... da ich so gaaanz langsam auch in das Thema IoT einsteigen möchte, habe ich mich auch mit dem Thema getrennte Netzwerke beschäftigt, aber noch nichts umgesetzt.
    Ich habe @home eine FB für den Internetzugang, die wäre über dyndns von "außen" zu erreichen.
    Jetzt möchte ich gerne ein eigenes IoT-Netz aufmachen, welches auch ggf ins I-Net kommt (Updates, etc..) aber erstmal keinen Zugriff auf mein "internes" Netzwerk der FB hat.
    Dazu hab ich mir nen tp-Link Switch (TL-SG10016PE) und nen WLAN AP (EAP320) geholt . Die sollten das auch mit der mitgelieferten "EAP SW" sauber trennen können...
    Da ich aber damit (V-LAN, etc) noch keine Erfahrungen habe, bin ich erstmal am lesen...
    Wenn also jmd (zufällig auch mit diesem HW/SW gespann) schon Erfahrungen hat, bin ich an einem Austausch sehr interessiert :)

    LG L3rn3r

  • Meine einzige Sicherung ist, dass ich die Fritzbox so eingestellt habe, dass sie keine unbekannten WLAN Geräte zulässt. Damit sollte auch jemand, der das WLAN Passwort genknackt hat sich nicht ins WLAN ein locken können. Außerdem Prüfe ich regelmäßig die Protokolle der Fritzbox. Außerdem erlaube ich den Shellys nicht selbstständig Portfreigaben einzurichten.


    Meine Sorge ist eher weniger der Datenschutz (aus meiner Sicht geht von dem Wissen, wann ich das Licht ein und Ausschalte wenig Gefahr aus, solange es nicht für 3. Sichtbar wird ), sondern eher der Sicherheit meines Netzwerkes:

    - Kann jemand über die Shellys auf mein Netz zugreifen und die Routerfirewall umgehen.

    - Kann jemand von Außen (ohne physisch an die Shellys zu kommen) mein WLAN Passwort auslesen.


    Ist zwar etwa OT, aber trotzdem ne kurze Frage:

    Wie kann eigentlich die App / Cloud von außen auf die Shellys zugreifen, wenn die keine Portfreigaben haben/einrichten können.

  • Leider laufen bei mir zu Hause auch noch alle LAN und WLAN Geräte in einem Netz. Also SmarHome und PC/Handy usw.


    Ich denke aber, früher oder später wird bei mir eine Unifi Lösung kommen. Aber das kostet dann ja auch gleich wieder 300-400€ :(


    66er kannst Du Deine Lösung etwas näher beschreiben?

    Intel NUC mit Proxmox, VM mit ioBroker, LXC Grafana, LXC InfluxDB, LXC Softether VPN,

    Shelly 1, Shelly 1PM, Shelly 2, Shelly 2.5, Shelly 4Pro, HomematicIP & Xiaomi Sensoren - Nix Cloud

    Visualisierung? Brauch ich nicht. Läuft alles automatisch. (Naja ok, Apple Home ;) )

  • Ich setzte eine IPFire ein. Habe verschiedene rote (Unsichere!) Netze aufgebaut für verschiedene Geräte (VIERA, Alexa, Homematic {Schellys}, Guest {WLAN, Wire}).

    In allen Netzen laufen verschiedene Überwachungen (MAC Adresse, Routen) und andere Dienste.


    Direkt im Einwahlnetz lauert ein Honeypot.


    Über ein Portknocking kann ich mich mit meinem "Hausnetz" verbinden (SSH mit Key und OTP)


    Im Haus werden verschiedene Funk Netzwerke, zum Teil als Mesh, betrieben. So haben auch alle Schellys ein Netz. Bei mir hat der Dymond wr03 Reoeater gute Dienste geleistet.

    • Official Post

    ...

    Aber das kostet dann ja auch gleich wieder 300-400€

    Geht im Privaten auch günstiger. ;)

    66er kannst Du Deine Lösung etwas näher beschreiben?

    Gerne doch:


    Wie schon geschrieben werkele ich noch mit eine Routerkaskade (=Router hinter Router)


    Quote

    Aktuell mache ich das über eine Routerkaskade (= Router (Netz 2) hinter Router (Netz 1 mit DSL-Zugang).


    Dadurch können Geräte (PC) im Netz 2 auf alles im Netz 1 zugreifen, aber eben nicht umgekehrt. ;)

    Du nimmst also einen ausgedienten Router (2) und verbindest dessen WAN-Port mit einem LAN-Port des Routers (1) mit DSL-Zugang.


    Statt DSL-Zugangsdaten wählst Du im Router (2) die Option, den Internetzugang eines anderen Routers zu benutzen (bezeichnung variiert je nach Modell.)


    Im Netz des Routers 2 betreibst Du Rechner, NAS usw. Im Netz 2 liegen die IOT-Teilnehmer.


    Als Einfachst-Alternative reicht es auch im Router das WLAN und das Gast-WLAN zu verwenden (wenn man das nicht für Gäste braucht ;)).

    Ins Gast-WLAN steckst Du dann die IOT-Geräte.

  • pasted-from-clipboard.png

    So würde das dann aussehen?

    Mit PC und Smartphone könnte ich auf die IOT Geräte zugreifen, also die Geräte kommen ins Netz von Router 1 & 2?

    Die IOT Geräte kommen nur ins Netz von Router 1 aber nicht in das Netz von Router 2?

    Intel NUC mit Proxmox, VM mit ioBroker, LXC Grafana, LXC InfluxDB, LXC Softether VPN,

    Shelly 1, Shelly 1PM, Shelly 2, Shelly 2.5, Shelly 4Pro, HomematicIP & Xiaomi Sensoren - Nix Cloud

    Visualisierung? Brauch ich nicht. Läuft alles automatisch. (Naja ok, Apple Home ;) )

  • Thema Sicherheit ist so ein Thema. Die sauberste und sicherste Lösung heisst VLAN. Bei mir gibt es auch ein WLAN das eine VLAN Tag hat. Das WLAN ist nicht sichtbar. Es sind alle meine Smarthome Geräte eingebunden wie Shelly, Homematic Zentrale, Raspberry, Weatherman, Node-Red VM, Historian VM usw..


    Natürlich habe ich noch ein LAN und ein WLAN für den Gebrauch und noch ein Gäste WLAN. Auch diese LAN´s/WLAN´s haben alle ein VLAN. Man kann nur aus dem normalen LAN und WLAN auf die Hausautomation. Das Gäste WLAN nur ins Internet mit beschränktem Traffic.


    Von extern kann man nur per VPN zugreifen. Ich mach nie Ports auf da dies einfach zu heikel ist. Cloud nutze ich wie 66er gar nicht für die Shelly´s, Homematic usw..

    Das mit dem Router hinter Router würde ich meiden da dies immer ein Doppel NAT gibt auch nicht sauber ist.


    So, so sehe ich das. Wünsch euch einen schönen Tag.

  • utzi83 mit welcher Hardware hast Du Dein LAN/WLAN umgesetzt?

    Intel NUC mit Proxmox, VM mit ioBroker, LXC Grafana, LXC InfluxDB, LXC Softether VPN,

    Shelly 1, Shelly 1PM, Shelly 2, Shelly 2.5, Shelly 4Pro, HomematicIP & Xiaomi Sensoren - Nix Cloud

    Visualisierung? Brauch ich nicht. Läuft alles automatisch. (Naja ok, Apple Home ;) )

  • Oh das ist eine ganze Liste.


    Firewall (APU2d2 mit Pfsense)

    Haupt Switch 16 Port (TP-Link TL-SG2216)

    Kleine Switche 5 und 8 Port (TP-Link TL-SG108E)

    WLAN (TP-Link EAP245 3 Stück)

    EAP Controller als VM

    HP Server mit Proxmox und einzelnen VM unteranderem Node-Red usw


    Komme aus der IT Branche.

  • utzi83 Danke.

    Intel NUC mit Proxmox, VM mit ioBroker, LXC Grafana, LXC InfluxDB, LXC Softether VPN,

    Shelly 1, Shelly 1PM, Shelly 2, Shelly 2.5, Shelly 4Pro, HomematicIP & Xiaomi Sensoren - Nix Cloud

    Visualisierung? Brauch ich nicht. Läuft alles automatisch. (Naja ok, Apple Home ;) )

    • Official Post

    pasted-from-clipboard.png

    So würde das dann aussehen?

    Mit PC und Smartphone könnte ich auf die IOT Geräte zugreifen, also die Geräte kommen ins Netz von Router 1 & 2?

    Die IOT Geräte kommen nur ins Netz von Router 1 aber nicht in das Netz von Router 2?

    Ja, alles richtig verstanden. ;)



    Thema Sicherheit ist so ein Thema. Die sauberste und sicherste Lösung heisst VLAN. ...

    Nur ist das leider für "Standard-User", auch Otto Normalverbraucher genannt (sorry, will hier keinem auf die Füße treten), gar nicht so leicht umzusetzen. :/


    ...

    Das mit dem Router hinter Router würde ich meiden da dies immer ein Doppel NAT gibt auch nicht sauber ist.

    Bei mir hat diese simple Lösung seit Jahren zuverlässig Ihren Dienst getan.8)


    So ist es auch dem Laien möglich etwas für seine Netzwerksicherheit zu tun. Und das meist zum Nulltarif, da in der Regel jeder alte, ausgemusterte Router zu Hause hat. ;)

    • Official Post

    So Stefan 66er,


    Du darfst mich in die Gruppe der User aufnehmen die ein eigenes Subnetz für ihre IOT-Geräte/SmartHome haben. :thumbup:

    Das Wochenende mit der Einrichtung verbracht. X/

    -> Routerkaskade aufgebaut

    Für ein nicht ITler bin ich aber trotzdem happy das es alles top funktioniert. Wie aber immer erst im 2.Versuch, falsche Routereinstellungen. :D

    Router komplett Werksreset und wieder alles von vorn. Irgendwoher kenne ich das!:D:D:D


    IP-Adressen alle unverändert, aber SSID geändert. Hat auf Schlag geklappt. :thumbup:


    Also alles kein Hexenwerk! :P


    Schönen Sonntagabend!

    • Official Post

    Freut mich in jeder Hinsicht. :thumbup:


    Erholsamen Sonntagnachmittag und -abend. 8o

  • Solche Fragen beschäftigen mich auch.

    Nach Hause telefonieren (Cloud) dürfen meine Shellys nicht. Ich betreibe im Moment die Rollläden von Hand oder zeitgesteuert. Mein einziger "Luxus" in Sachen Netzwerksicherheit besteht darin, dass die Shellys im Gastnetz der Fritzbox angemeldet sind und wenn ich denen etwas zu sagen habe, gehe ich mit einem WLAN-USB-Stick in das Gastnetz, der wird ja auch gebraucht um jungfäuliche Geräte ins eigene Netz zu holen.

    • Official Post

    Na, das ist doch schon mal ein Anfang. :thumbup:


    Tipp:

    Bestimmt hast Du noch ein ausgedientes Smartphone rumliegen.


    --> App drauf

    --> im Gastnetz anmelden

    --> zentralen (besten) Platz aussuchen


    und schon hast Du eine kleine "Smarthome-Zentrale. ;)


    Für Android empfiehlt sich unbedingt ein Blick auf die Shelly-Home-App.

  • Setze auf ne Fortigate 60E mit den entsprechenden Services via Application Filter, Antivirus, Webfilter Spamfilter etc.

    Kosten etwa 2-300€/Jahr

    Ansonsten

    keine Clouds

    VPN

    Auf den phones tablets und anderen mobile devices läuft der Client so dass eine Verbindung immer zwingend über die Forti läuft

    andere Domizile sind mit AP an die Forti verbunden

    Kommunikation im Netz durch Gruppen oder Subnetze mit den entsprechenden Regelwerken lösen

    Alles dicht machen und nur das auf was muss auf machen und auch nur für die IP die es wirklich braucht.

  • Auch ich meide die Cloud wo es geht, möchte aber nicht (mehr) auf den Komfort von Alexa verzichten.

    Ich habe verschiedene Subnetze laufen, eins auch für IoT-Devices.

    Alle Devices werden über eine Firewall sowie PiHole "gefiltert".


    Bei mir laufen grundsätzliche keine Windows-Pc's mehr, alles Linux inklusive der Familienrechner (zwei Feste Arbeitsplätze sowie zwei Notebooks).


    Für Gäste gibt es ein eigenes Gast-Wlan. Meine Heimautomatisierung ist bis auf eine Ausnahme nicht von außen erreichbar. Braucht sie auch nicht da sie halt automatisiert ohne Eingriffe laufen soll und auch läuft.


    Einzige Ausnahme ist der Saugroboter weil ich ihn gern aus der Ferne starten und überwachen möchte...


    Cheers,


    Flo