Mythen um die Sicherheit von Portfreigaben & Co

Wieso? es ging um das Thema Sicherheit! Und wenn wir Wahrscheinlichkeiten mit einbeziehen dann ist das so. Nur weil man einen Vergleich der noch nicht mal weit hergeholt ist macht, ist man nicht gleich bei einen anderen Thema.

Ich halte es halt für gefährlich in einen Forum zu sagen, das man ein System das man erreichbar macht nicht absichern muss, was anders hast du nicht gemacht in meinen Augen.
Zum absichern gehört halt nicht nur Passwort und 2FA sondern auch HTTPS usw…
Aber ist mir jetzt auch egal wie einige andern hier auch.

1 „Gefällt mir“

Wie kann man den Login bei Home Assistant denn absichern?

Und wie kann ein SSL Zertifikat dann vor den möglichen, unbekannten Sicherheitslücken schützen?

Darauf mag offensichtlich niemand antworten.

1 „Gefällt mir“

Kann es nicht. Es schützt vorm belauscht werden. Es muss halt unterschieden werden zwischen Transport und Anwendung.

2FA :wink:

2 „Gefällt mir“

Ich gebe dir ja recht, dass der HA im Internet per se eher kein Problem ist. Aber IMO tust du keinem einen Gefallen, wenn du alle anderen Angriffsvektoren die sich ergeben wenn ein durchschnittlicher HA-User sein Heimnetz Richtung Internet öffnet ausklammerst. Und kurze, leicht zu erratene Passwörter oder das selbe Passwort für mehrere Dienste ist nun mal weit verbreitet. Das hat nix mit Meinung oder Hollywood zu tun.

Und ein zum Internet hin offener Server braucht definitiv mehr Pflege als einer der nur im lokalen Netz rumdümpelt. Das vergessen auch viele Leute.

Wie kann ich denn einen freigegebenen HA Server weiter pflegen oder absichern?

Konkrete Empfehlungen wären toll. Ich lese immer nur abstraktes und theoretisches. Oder eben Dummfug, wie das NabuCasa den Login dann noch mal anders schützt. Oder, dass es ohne SSL gefährlicher sei, was dem Login und dem HA selbst erstmal vollkommen egal ist. :wink:

Ich sehe nach wie vor nicht, wie der Login durch die Portweiterleitung gefährdet sei.

p.s. Der nächste, der mit gefährlich, weil keine Verschlüsselung! kommt, kann gerne auch meine IP bekommen, den Zeitpunkt vorgeben wann ich mich unverschlüsselt einloggen soll und kann mir danach bitte das eingegebene Passwort präsentieren.
Weil ohne Verschlüsselung kann man das ganz leicht mitlesen, richtig?

1 „Gefällt mir“

Jeder offener Port ist ein potenzielles Risiko.
Nutze ich ich NabuCasa oder Cloudflare Tunnel, habe ich keine offenen Ports.
Außerdem gebe ich meine WAN Adresse nicht preis.

Einen Server von außen zugänglich zu machen über http ist grob fahrlässig.
Jeglicher Verkehr ist unverschlüsselt und das Passwort wird in Klartext übertragen.

Ich verwende Clodflare Tunnel und schotte den Tunnel im Netzwerk über die Firewall ab. Und gebe nur die jeweilige Host IP und Port frei. Habe keine offenen Ports nach außen, verwende ein sicheres einmaliges Passwort, das spätestens nach 3 Monaten erneuert wird und 2FA. Und natürlich sind meinen Server nur per HTTPS ereichbar.

Damit fühle ich mich sicher. Ich stelle mir nicht die Frage wie wahrscheinlich ein Angriff ist. Sondern allein die Tatsache dass er möglich ist, reicht mir aus, alle Möglichen Vorkehrungen zu treffen um es den Angreifer so schwer wie möglich zu machen. Damit schütze ich mein Heim, meine Daten und meine Privatsphäre.

Gruß
Osorkon

PS: Weitere Diskussionen verfolge ich dann mit einem :beer: in der Hand und :popcorn: auf dem Schoß.
:grin:

1 „Gefällt mir“

Ich weiß ehrlich nicht, was mit diesem Experiment bewiesen werden soll. Ein Freund von mir wohnt in Süddeutschland in einem ruhigen Gebiet. Als ich ihn dort mal besuchte, war seine Garage komplett auf. Und leer war die nicht. Ich sagte ihm: Wenn ich bei mir die Garage so auflassen würde, wäre sie am Abend vermutlich leer.

Eine offene Garage, in der sich Sachen befinden, bietet keine Sicherheit. Jeder kann sie betreten und sich die Dinge, die sich darin befinden, entwenden. Dennoch kann am Abend alles noch vorhanden sein, weil die Gegend, in der die Garage steht, scheinbar sicher ist. Man kann die Sicherheit etwas erhöhen, in dem man das Garagentor schließt, es jedoch nicht mit einem Schlüssel verschließt. Verschließe ich es mit einem Schlüssel, erreiche ich dann, sofern nicht sonstwo noch ein Zaun etc. die Garage umgibt, die höchstmögliche Sicherheit, die mir die Garage bietet. Da die Garage öffentlich einsehbar ist, kann potentiell jeder versuchen die Sicherheit aufzuhebeln und in die Garage zu gelangen. Wie wahrscheinlich das ist, hängt sicher auch von der (gefühlten) Sicherheit des Ortes ab, wo sich die Garage befindet.

Ein aus dem Internet erreichbarer Server, egal welche Software darauf läuft, ist, wie die Garage, öffentlich einsehbar. Da man nicht lokal vor Ort sein muss, können potentiell mehr Einbrecher versuchen ins Innere des Servers zu gelangen. Somit kann man sicherlich sagen: Es ist potentiell gefährlicher, einen Server zu betreiben als eine Garage.

Kurz um: Nur weil ein Server im Internet steht, wird in diesen nicht auch zwangsläufig eingebrochen. Denn es gibt Orte in Deutschland, da kann man seine Garage ganz unverschlossen zurücklassen :wink:


@tarag, ich habe ein paar Fragen an dich, auch wenn ich deine nicht konkret beantworten kann:

Lässt du ein Fenster im Erdgeschoss auf (oder würdest du, wenn du ein EG hättest), wenn du das Haus verlässt?
Hast du die PIN deiner Bankkarte im Portmonaie?
Nutzt du Passwörter wie 1234 oder abcdefg?
Hast du einen Haustürschlüssel oben auf dem Rahmen liegen?

Ich könnte noch mehr solcher Fragen stellen. Im Grunde möchte ich die konkrete Antwort garnicht wissen. Aber warum lässt man bspw. ein Fenster im Erdgeschoss nicht auf oder nutzt sicherer Passwörter? Damit ungewollte Dritte nicht hereinkommen. Unabhängig davon, ob sie tatsächlich kommen würden. Man macht es, um sich vor einer potentiellen und realistischen Gefahr zu schützen. Dafür muss diese nicht zwangsläufig eintreten.


Nur weil dein Server möglicherweise angegriffen wird oder nicht, nur weil in deinen Server jemand eindringen kann oder nicht, nur weil eine noch unbekannte Sicherheitslücke bei deinem Server ausgenutzt oder nicht ausgenutzt wird, gibt es keine grundsätzliche Auskunft darüber, wie sicher so etwas ist. Nur weil deinem Sever nichts passiert, sind anderer Server nicht ebenso sicher. Vielleicht haben sie nur Pech. Du fragst nach Belegen, aber was willst du uns mit diesem Experiment beweisen?


Je mehr Sicherheitslücken vorhanden sind, desto größer das Potential eines Eindringens. Denn es gibt ja mehr Möglichkeiten. Umgekehrt: Je weniger Sicherheitslücken, desto geringer das Potential. Daher ist es durchaus ratsam, sein System aktuell zu halten.


Das Problem an den Portfreigaben entsteht dadurch, dass man sein privates Netz, wenn auch nur einen Dienst, aus dem Internet zugänglich macht. Klar, das ist bei HA mit einem Passwort und ggf. 2FA abgesichert. Gibt es aber eine Sicherheitslücke, so würde sich der ungebetene Gast im privaten Netz zu Hause befinden. Diese potentielle Gefahr besteht.


Noch ein anderer Aspekt der Sicherheit:

Eigentum verpflichtet. Sein Gebrauch soll zugleich dem Wohle der Allgemeinheit dienen.

Quelle: Art 14 GG - Einzelnorm

Ich bin kein Jurist, aber würde es so beschreiben: Von seinem Eigentum darf keine Gefahr für die Allgemeinheit ausgehen. Wenn ich aber mein Eigentum unzureichend sicher und dann damit, ich nenne es mal, Unfug betrieben wird, müsste ich dann nicht mitverantwortlich dafür sein? :thinking:


Fail2Ban ist eine Möglichkeit. CrowdSec eine andere. Man kann das IoT-Netz von anderen Geräten isolieren, sodass aus diesem keine anderen Geräte erreicht werden können. Man kann ihnen gar den Zugang zum Internet verbieten. Je nach eigenem Dünken könnte man auch Port knocking einsetzen, was aber sicherlich für HA, auf den man öfters zugreifen will, etwas umständlich wäre.


100%-ige Sicherheit gibt es nicht und wird es nie geben. Wenn der uneingeladene Gast es sich auf deiner Couch und mit deinem Bier gemütlich macht, ists schon zu spät. Aber man will zumindest alles dafür getan haben, dass man selber mit dem eigenen Bier auf der Couch sitzt.

Mit einem abschließbaren Fenstergriff sehe ich kein Problem es gekippt zu lassen.

Ich habe keine Bankkarten, da ich ausschließlich mit dem Handy zahle. Kennwörter wie 123456 verwende ich regelmäßig. Dafür habe ich aber auch keine Schlüssel, weil elektronisches Schloss.

Nur wie hilft Whataboutism hier weiter? :wink:

Entschuldige, aber nutzen wir nicht alle das gleiche Home Assistant? :face_with_raised_eyebrow:

Genau da sehe ich das Problem nicht.

Ok. Wow. Erkläre mir bitte kurz den Weg. Und was kann dieser Gast dann alles in meinem Netzwerk tun?

Gibt es irgendeinen Beleg, dass der HA Login unsicher ist? Habe ich etwas verpasst?!

Also, nur um es noch einmal festzuhalten. Die Dinge die hier behauptet werden, müssten dann über Cloudflare, NabuCasa & Co. genau so auch möglich sein. Außer mir erklärt jemand, was da anders ist.

Und wenn ihr recht habt. Sollte ich dann nicht NabuCasa mal schreiben, wieso ich eigentlich Geld dafür bezahle, dass durch deren Dienst quasi jeder in mein Netzwerk spazieren kann?! :flushed:

1 „Gefällt mir“

Weiß ich nicht? Haben alle Nutzer von HA die selbe Version wie du? Die selben Addons? Ich vermag das nicht beantworten, ob bei allen die Bedingungen gleich sind.

Ich bin weder ein Black Hat, noch sonst was. Keine Ahnung, wie man Sicherheitslücken ausnutzt. Also kann ich dir den Weg auch nicht erklären. Aber solange es dir vermutlich keiner erklärt, ist es wohl auch nicht existent.

Und was dann dieser Gast in deinem Netz machen kann? Alles, was andere Netzwerkteilnehmer auch können?

Gibt es einen Beleg, dass der HA Login definitiv sicher ist? :thinking:


Einfach nur zur Veranschaulichung ein kleiner Ausschnitt aus dem Liv-Log meiner Firewall:

Man sieht, wie von außen kommende Anfragen geblockt werden. Dabei betreibe ich bei mir zu Hause keinen Server, den man von außen erreichen kann. Was soll das Beweisen: Das auch private Menschen von anderen Servern kontaktiert werden. Nur weil man keine große Firma ist, wird nicht in Ruhe gelassen.

Nicht jeder, nur die die potentiell vorhandene Sicherheitslücke ausnutzen :stuck_out_tongue:

Eine (relativ) aktuelle werden vermutlich / hoffentlich die meisten einsetzen. Alles andere ist für den Login eher uninteressant. Oder nicht?

Woher weißt Du dann um diese Möglichkeit? Kann ich das stichhaltig irgendwo nachlesen?

Surfen?

Also betrügt Deine Partnerin Dich, weil Du nicht definitiv belegen kannst, dass sie es nicht tut, richtig?

Und was hat das mit dem Thema zu tun?

Du meinst die, von welchen niemand belegen kann, dass sie überhaupt existieren?

Ich hoffe Du speicherst keine privaten Informationen auf irgendwelchen Geräten die mit dem Internet kommunizieren, wie zum Beispiel einem Smartphone! Weil vielleicht lesen diverse, fremde Menschen da heimlich alles mit.
Kannst Du belegen, dass es nicht der Fall ist?

1 „Gefällt mir“

:beers: :popcorn:

Wollte heute eigentlich noch ein wenig Netflixen, daraus wird wohl nichts.
:see_no_evil:

2 „Gefällt mir“

Man kann Themen auch entfolgen. Die erste persönliche Abwertung habe ich gerade schon gelöscht.

Können wir vielleicht sachlich beim Thema bleiben? Mehr belegbare Fakten, weniger Meinung.

Dass die Portfreigabe bei einem zu Hause eingerichtet wird und nicht in der Firma? Dass also eine Portfreigabe eine Tür aufmacht, in der auch andere eintreten können, die man nicht will? Dass der eigene private Anschluss nicht “unbesucht” ist?

Eine Sicherheitslücke stellt eine Bedrohung für die Sicherheit eines Computersystems dar. Es besteht das Risiko, dass die Sicherheitslücke ausgenutzt und das betroffene Computersystem kompromittiert werden kann. Sicherheitslücken entstehen unter anderem durch den unzureichenden Schutz eines Computers vor Angriffen aus dem Netz (beispielsweise mangels Firewall oder anderer Sicherheitssoftware) sowie durch Programmierfehler im Betriebssystem, Webbrowser oder anderen Softwareanwendungen, die auf dem System betrieben werden.

Quelle: Sicherheitslücke – Wikipedia

Daher rührt meine Mutmaßung, dass bei vorhandenen Sicherheitslücken Systeme kompromittiert werden können. Und das Sicherheitslücken nicht so unbedeutend sind.

Nö, tut sie nicht. Und warum nicht? Ich hab keine :joy:

Nein, kann ich nicht. Und weswegen nicht, erklärt dir chatGPT:

Etwas zu belegen, das nicht existiert, ist prinzipiell unmöglich, da der Nachweis von Nicht-Existenz eine inhärent problematische Aufgabe ist. Dies liegt daran, dass der Nachweis typischerweise auf der positiven Identifikation von Beweisen oder Indizien beruht, und das Fehlen solcher Beweise keine definitive Aussage über die Nicht-Existenz erlaubt.

Ich hätte es nicht besser ausdrücken können.


Nur weil eine Sicherheitslücke noch nicht erkannt wurde kann man nicht daraus schlussfolgern, dass diese nicht existiert. Noch heißt es, dass überhaupt eine existiert. Aber da drehen wir uns dann im Kreis.

Pflege: Regelmäßig Updates machen, ggf. in die logs schauen
Und Absicherung: Sicheres Passwort und 2FA falls möglich. Mitteilung über gescheiterte Logins. Sowas halt.

Können Sie eben nicht. Andernfalls belege mir bitte stichhaltig, wie dies möglich ist.

Dann stellt Dein Internet Router aber auch eine mögliche Gefahr dar. Und jedes andere Gerät, das mit dem Internet verbunden ist, ebenso. Aber danke für die Klarstellung, dass es Meinung ist Du keine stichhaltigen Fakten dazu kennst.

Und mit dieser Argumentation darf man schlicht nichts mehr tun, weil man ja nie wissen kann, welche Lücke es geben könnte.


Wenn man Dinge tut, weil daran glaubt, dass sie existieren, mit der Argumentation, dass man nicht belegen kann, dass sie existieren, sind wir per Definition eher bei der Religion. :wink:

1 „Gefällt mir“

Vielleicht habe ich tatsächlich eine falsche Vorstellung davon, was eine Portfreigabe ist. In meinem Kopf wird in der Firewall ein Port geöffnet, der normalerweise zu ist. Über diesen kann ich dann einen Dienst, der auf diesem Port lauscht, erreichen. Und zwar über meine öffentliche IP. Habe ich also den Port 8123 freigegeben, kann ich mittels öffentlicherIP:8123 aus dem Internet mein HA erreichen. Und dass kann jeder, nicht nur ich. Jeder, der die IP aufruft inkl. diesem Port. Den könnte man ändern, um die Sicherheit ein klein wenig zu erhöhen.

:clap: :clap: :clap:

Alles, was im Internet hängt, ist potentiellen Gefahren ausgesetzt. Nichts anderes habe ich je behauptet. Und eben wegen diesen potentiellen Gefahren betreiben wir Schutz, damit ungebetene Gäste nicht hineinkommen.

Man sollte nichts unbedacht tun und wissen, was man tut. Welche potentiellen Gefahren bestehen. Natürlich kann man zu Hause HA betreiben. Oder einen Server oder oder oder… Nur es ist eben nicht damit getan, einfach nur die Portfreigabe einzurichten und fertig. Ich muss mein Server auch pflegen, muss ihn absichern etc. Es ist nicht einfach nur plug & play. Nicht umsonst geben Firmen viel Geld dafür aus, um ihre Systeme abzusichern. Aber das wolltest du ja nicht hören.

Hier eine Grafik vom BSI mit ein paar Daten. Leider als vorformatierter Text, da die Forensoftware es leider direkt einbindet. Aber das ist, wenn ich mich nicht täusche, zumindest juristisch nicht ganz sauber.

https://www.bsi.bund.de/SharedDocs/Bilder/DE/BSI/Infografiken/bedrohungen-im-netz.jpg?__blob=poster&v=1

Gut, alle IT-Sicherheitsmenschen sind im Grunde ihrer Religion verfallen. Weil sie Systeme absichern wegen Sicherheitslücken, die nicht existieren. Alle Hersteller von Türschlössern glauben dermaßen an Einbrecher, dass sie anderen Menschen aus reiner Uneigennützigkeit solche verkaufen.

Menschen tun nunmal Dinge aus reiner Prävention heraus. Nicht, weil eine Gefahr konkret wurde. Sondern sie versuchen alles im Vorfeld zu tun, damit es eben nicht eintritt. Ein sicher nicht unbedeutender Teil der Sicherheit ist nicht die konkrete Abwehr von Gefahren, sondern die Vorbeugung.

Nun, du scheinst weder das BSI, noch wikipedia, noch eine Internetsuche als Quelle anzuerkennen. Wo eben entweder eben erläutert wird, das eine Sicherheitslücke gefährlich ist und ein System dadurch kompromitiiert werden kann oder aufgerufen wird. Sicherheitslücken zu schließen. Und das eine Bundesbehörde vor Sicherheitslücken warnt, scheint auch nicht ausreichend zu sein.

Anscheinend verstehe ich dich aber nicht. Denn ich weiß nach wie vor nicht, was du eigentlich willst? Du willst irgendwelche Fakten. Willst du etwa eine Anleitung, wie man in ein System eindringt? Ich denke nicht, dass dir hier irgendjemand eine Anleitung dazu schreiben wird. Was für Fakten willst du denn haben? Solche Fakten?:

1 „Gefällt mir“

Richtig. Und da niemand Deine Zugangsdaten hat, kommt an dieser Stelle auch niemand Fremdes weiter.

Bei einem der weltweit größten Open-Source-System bin ich guter Dinge, dass ab und an auch jemand auf den Login schaut und sich darum kümmert, dass dieser sicher ist.

Genau genommen habe ich bislang noch nichts davon gehört, dass er in über einem Jahrzehnt mal unsicher gewesen sei. (Oben ging es um eine Lücke in HAOS, für die man den Login nicht brauchte…)

Wie ist das? Fährst Du Auto und schnallst Dich dazu an? Oder hast Du Angst davor, dass der Gurt nicht hilft und verlässt daher sicherheitshalber nicht einmal das Haus?

Dann zeige mir doch bitte auf, wann es in der Geschichte von Home Assistant mal solch eine Lücke beim Login gegeben hat. Gerne auch mit den katastrophalen Folgen, durch die Ausnutzung der Selbigen entstanden sind.

Auf das Thema Home Assistant und insbesondere den angeblich unsicheren Login bezogene Fakten wären toll.

1 „Gefällt mir“

Das Öffnen des Ports ist per se aber erst einmal kein gefährliches Unterfangen. Es kommt darauf an, was dadurch erreichbar gemacht wird. Bzw. wie sicher die Anwendung ist, die über den offenen Port erreichbar gemacht wurde.

1 „Gefällt mir“

Ich war so frei, den KI-Beitrag von @Gunter zu löschen. Es ist weiterhin ein Forum von Menschen, mit Menschen, für Menschen. KI-generierte Inhalte haben hier grundsätzlich nichts zu suchen.

Insbesondere nicht, wenn der Mensch selbst augenscheinlich keine Argumente zum Thema hat und der KI-Inhalt noch weiter davon abweicht.


Mir ist vollkommen bewusst, dass meine Fragestellung recht provokant ist. Das liegt insbesondere daran, dass so viele falsche Dinge verbreitet und Halbwissen und Meinungen als Tatsachen dargestellt werden und andere Menschen Angst bekommen, weil sie diese Dinge, mangels besserem Wissen, glauben.


Dieses Thema ist hiermit 60 Beiträge lang. Die meisten voll mit Meinung, leider nur sehr wenige mit fachlichen / sachlichen Inhalten.

Da wird behauptet, dass eine SSL-Verschlüsselung vor Sicherheitslücken schützt oder Bot-Netzwerke die HA Logins durchtesten…

Mit Stand jetzt hat der Server übrigens 6 fehlgeschlagene Logins. Alle von unterschiedlichen, deutschen IP-Adressen. 6 Loginversuche, wobei der Link 15-mal angeklickt wurde. Ich gehe jede Wette ein, dass es ohne die Nennung der IP 6 Versuche weniger gegeben hätte.


Stand jetzt scheint es also keine wilden, automatisierten Login Versuche zu geben. Und auch konnte noch niemand stichhaltige Belege dafür erbringen, dass man ernsthaft davon ausgehen könnte, dass durch den öffentlich möglichen Login sich unberechtigte Personen Zugriff auf den Home Assistant Server verschaffen können, Selbstverständlichkeiten wie ein sicheres Passwort vorausgesetzt.
(Ich überlege einen zweiten Server mit admin als Nutzer und password als Passwort anzulegen, einfach aus dem Gefühl heraus, dass auch dies über Wochen und Monate problemlos laufen könnte, weil es einfach real niemanden interessiert / niemand automatisiert testen würde…)

Ich möchte gar nicht behaupten, dass man jeden Dienst aus dem eigenen Heimnetz ins Internet stellen sollte / muss. Mein Punkt ist, dass es offensichtlich nicht wahnsinnig gefährlich ist, wenn es einen Fernzugriff auf die eigene Home Assistant Instanz gibt. Insbesondere da Dienste wie Cloudflare und NabuCasa eben auch nichts wirklich sicherer machen.


An diesem Punkt noch einmal die Klarstellung, dass wir es insbesondere NabuCasa und den Menschen, die ein NabuCasa Abo haben, egal ob diese auch den Fernzugriff darüber nutzen oder nicht, zu verdanken haben, dass Home Assistant auf dem technischen Niveau und Entwicklungsstand ist, auf dem es heute ist.

Auch wenn Home Assistant kostenfrei nutzbar ist, kostet die Entwicklung sehr viel Geld bzw. kann durch selbiges stark vorangetrieben werden ( / wird es, dank NabuCasa). Und auch Dinge wie das bezahlte Security-Audit letztes Jahr wäre ohne Geld nicht möglich gewesen.

Beim Vergleich mit NabuCasa meine ich also nicht, dass deren Dienst unsicher sei, sondern, dass dieser ebenso sicher ist, wie eine direkte Portfreigabe, die aus anderen Gründen nicht immer möglich oder gewünscht ist.

1 „Gefällt mir“

Da bist du aber auf dem Holzweg.

Die gibt es täglich, nur wird man von den meisten nichts erfahren, weil die Firmen kein Interesse habe, das an die große Glocke zu hängen um ihren Ruf nicht zu verlieren.

Ich hab rund 1 1/2 Jahre bei einem IT-Dienstleister gearbeitet, da hatte wir alleine schon 12 Cyberangriffe bei Kunden bearbeitet und die Gründe/Ursachen waren immer die selben: Vernachlässigung der IT-Sicherheit.
Das hat den einzelnen Firmen am Ende gewaltig Geld gekostet und wir reden hier nicht von betroffenden Grossunternehmen, sondern dem Mittelstand.

Und bei meinem jetzigen AG ist bei unseren Kunden IT-Sicherheit ein Dauerthema, weil Cyberangriffe alltägliche Probleme sind.