Sicherheitsüberlegungen beim Smart Home

tarag · 24. März 2024 um 12:30

In meinem Thema Argumente gegen WLAN-Leuchtmittel kam häufig Diskussion der Sicherheit in Hinsicht auf WLAN-Geräte auf.

Ich denke jedoch, dass Sicherheit und potentielle Angreifbarkeit keine Problematik von WLAN-Geräten sondern eine grundsätzliche Überlegung sind bzw. sein sollte.
Selbstverständlich sind IoT Geräte, die mit dem Internet verbunden sind, ein interessantes Ziel, um sie z.B. in einem Botnet einzubinden bzw. aus Ihnen eines zu bilden.

Wie viele Gedanken macht Ihr euch um diese Thematik? Und was sind für euch die Konsequenzen daraus?

Ich habe bei den Shellys, mit denen quasi alles begann, in der Fritz!Box damals per Kindersicherung den Internetzugriff abgedreht. Auf Geräte, die ausschließlich mit einer Cloud Verbindung funktionieren, versuche ich zu verzichten. Daher habe ich Tado inzwischen auch gegen andere Zigbee Thermostate ausgetauscht. Nur die Withings-Waage bildet noch eine Ausnahme, was aber eine andere Geschichte ist…

Die Fritz!Box ist inzwischen im Bridge Mode als einfaches Kabelmodem tätig. Das Netzwerk wurde auf TP-Link Omada umgestellt, die zeitnah durch Mikrotik Geräte ersetzt werden.
Das Netzwerk ist in verschiedene VLANs unterteilt. Dabei befinden sich alle IoT Geräte in einem separaten VLAN.

Die Geräte im IoT VLAN haben keinen Zugriff auf andere VLANs und anders herum. Ebenso haben die Geräte im IOT VLAN keinen Zugriff auf das Internet. Ausnahme ist Home Assistant, das im IOT VLAN hängt, mit dem jedoch andere VLAN Geräte kommunizieren dürfen und das selbst Internetzugriff hat.

Home Assistant betrachte ich so weit als sicher, als dass es unproblematisch ist, dass es eine Internetverbindung hat.
Zugriff von außen gibt es auf das Netzwerk, im Sinn von offenen Ports, nicht. (Abgesehen von Plex und einem TOR-Node). Ein Nabu Casa Cloud Abo gibt es (Nabu Casa Abo bei HA Nutzung obgligatorisch?), jedoch ist der Fernzugriff deaktiviert. Auch die Aktivierbarkeit über die Cloud (seit 2024.3 deaktivierbar) ist aus. Der Fernzugriff läuft ausschließlich über Wireguard.

Ein IoT Gerät mit Backdoor oder das auf andere Weise kompromittiert ist, stellt daher ein doch sehr überschaubares Risiko da, weil es keine Verbindung nach außen bekommt.
Ein Angriff auf die IoT Geräte vor Ort wäre doch sehr spezifisch, mit der Notwendigkeit vor Ort zu sein und dem möglich Erfolg, dass man dann in ein VLAN einsteigt, dass einem keine weiteren Vorteile bietet…

Daher bin ich in dieser Hinsicht doch relativ entspannt. Wie seht Ihr das? Und wie viele Gedanken macht Ihr euch dazu oder entsprechend auch nicht?

der_Micro · 24. März 2024 um 15:30

Ich bin da auch eher entspannt, da es bei den in unendlicher Anzahl vorhandenen WLANs da draussen eher einem Lottogewinn gleicht von einem Hacker angegriffen zu werden der sich wirklich noch ins Auto vors Haus setzt um dir das Leben schwer zu machen. Wenn ich die Wahl aus einem versteckten Wifi mit MAC-AccessList, scheisse langem Kennwort etc. habe und da ein Dutzend WLANs scanne die mit dem Herstellernamen daherkommen, naja welches würde ich wohl übernehmen wollen, vor allem wenn ich dazu schon auf der Strasse rumlungern muss. Trifft so eigentlich auch auf ZigBee zu.

Ich behaupte mal das es eher wichtiger ist zu wissen “Was quatscht raus” als zu wissen “Wer will rein”, das will keiner mehr, zumindest nicht via WLAN, eher über den Router und der braucht dann keine Antenne. Und selbst das wäre ein Lottogewinn. Wenn ich einen Router übernehme mach ich mir nicht die Mühe in das Netzwerk einzudringen (zumindest nicht wenn ich erkenne das das kein Firmengerät ist, die haben eh keine Router), eher hab ich ein Bot-Netzwerk was den Router kontrolliert um andere zu ärgern oder BitCoin zu schürfen oder SPAMs weiterzuleiten oder mich zu verschleieren oder oder oder, aber das Netzwerk dahinter zu hacken? Warum? Damit verdient man doch kein Geld. Ausserdem bemerkt der Inhaber das schneller als wenn ich nur seinen Router zweckentfremde.

Jim_OS · 24. März 2024 um 15:37

Solange Deine VLAN-Konfigurationen alle korrekt sind solltest Du wohl auch ziemlich entspannt sein können. D.h. das einzige mögliche Einfalltor wäre dann bei Dir HA selber. Wobei man dabei auch noch bedenken sollte das dort eingebundene Cloud-Dienste von Integrationen oder Addons ein zusätzliches potentielles Risiko sein können, da diese ja weiterhin - quasi unkontrolliert - mit dem Internet und anderen Servern kommunizieren.

Auf jeden Fall hast Du mit der Trennung in VLANs schon mal viel mehr gemacht als wohl die meisten anderen HA-Nutzer.

Ach ja - ich weiß jetzt gerade nicht wie und wo HA bei Dir läuft. Falls Du HAOS nicht irgendwo Bare Metal laufen lässt, sondern in einer VM und ggf. zusätzlich auch noch irgendwelche Docker/LXC, wären das natürlich auch noch weitere mögliche Einfalltore.

Was das Thema WLAN betrifft: Ich habe den anderen Beitrag jetzt nicht in Gänze gelesen, aber das einzige zusätzliche Risiko dabei - im Vergleich zu LAN - wäre halt die zusätzliche Möglichkeit eines lokalen Wifi-Zugriffes. Wer das für sich als (zu großes) Risiko betrachtet der darf halt gar kein WLAN nutzen. So einfach ist das.

VG Jim

Tuxtom007 · 24. März 2024 um 16:06

Nicht viel - ich hab ne gute Firewall, die ist vom Interne aus dicht, meine Geräte sind auch unterschiedliche VLAN’s verteilt und nur die Verbindungen, die benötigt werden, sind per Firewall-Regeln freigeschaltet.
Dann haben nur die VLAN Internetzugriff, die diesen auch benötigen und des weitern nutze ich IP-Filter mit Goeblocking, um Verbindung in diverse Länder komplett zu unterbinden.

tarag · 24. März 2024 um 17:34

HA läuft tatsächlich noch auf einem Pi 4. Als mögliches Einfallstor würde ich dann am ehesten den Windows Dienst Laptop sehen. Auf der privaten Maschine läuft Qubes OS. In Hinisicht auf Fehler in Docker/LXC bin ich doch auch eher entspannt.
Das trifft, genau genommen, selbst auf den Windows Rechner zu. Denn in dieser Hinsicht bin ich der Meinung, dass es ein gezielter Angriff sein müsste. Und dafür bin ich schlicht nicht interessant genug.

Ich habe mich vor 2 -3 Jahren auf Twitter mit einer sehr technisch affinen Person öffentlich angelegt, die auch Anonymous nahe steht. In Summe also mindestens eine kleine Gruppe verärgert.
Die größte Konsequenz, die ich an meiner IT feststellen konnte war, dass die Login Versuche auf meinem (selbst betriebenen) Mail-Server extrem nach oben geschnellt sind. Da ich jedoch ohnehin mit Zammad gearbeitet habe, habe ich per Firewall einfach den Zugriff auf feste IP-Adressen (meine zu Hause und den Server) eingeschränkt. Und Zack war wieder Ruhe.
Passiert ist unterm Strick nichts. Nirgendwo. Nicht einmal mit meinem Twitter Account o.ä., auch wenn anderes angekündigt und ich öffentlich darum gebeten habe. Aber > 120 Zeichen Passwort + 2FA war dann wohl doch einfach zu viel…

Denn auch wenn grundsätzlich jedes System (theoretisch) angreifbar ist. Und auch wenn 0-Day-Exploits selbstverständlich immer eine Gefahr sind, sind diese es nur, weil diese sehr selten und sehr schwer zu finden sind.
Nichts, was ein Skriptkiddy oder andere Spinner da draußen zur Verfügung hätten.

Ich sehe das ein bisschen wie mit dem Wohnungsschloss. Ja, Lockpicking ist möglich. Und dies sicher grundsätzlich auch bei jedem Schloss. Und trotzdem oder vielleicht gerade deshalb habe ich einen hochwertigen Zylinder, hinter einem Kernzieh- und Aufbohrschutz.
Bekommt man mit genug Zeit und Fachwissen sicher überwunden. Nur wieso sollte sich eine Person, die dieses Wissen hat, sich für mich diesen Aufwand machen?
Wie @der_Micro es schon beschrieb gibt es deutlich einfachere Angriffsziele, die deutlich schnelleren Erfolg versprechen.

Wieso dann Zeit und Energie mit meiner Türe vergeuden?

Tatsächlich hatte ich vor vielen Jahren mal ungewünscht Menschen in meiner Wohnung stehen. Da hat es aber auch gereich kräftig gegen die Türe zu treten… Und die kamen eben auch nicht zufällig sondern sehr gezielt zu und wegen mir.
Mit einer besseren Türe wäre sicher auch das jedoch anders gelaufen.

ibens · 30. März 2024 um 20:56

@tarag, du hast dir ja sehr viele Gedanken zu deinem Netz gemacht und viel Struktur eingebaut. Da würde ich mir auch nicht so viele Gedanken über Sicherheit machen.
Ich hab auch ein stark segmentiertes Netz und nutze z.B. Cloudflare um den HA Zugriff zu schützen. Es ist schon interessant, wer sich so auf meine Domain verirrt
Den Angriff vor Ort sehe ich eher unwahrscheinlich bei einem Privathaushalt, höchstens mal von einem Scriptkiddy das mal ein paar Tools ausprobieren will.
Ebenso einen gezielten Angriff um das Haus aus der Ferne zu übernehmen.
Dennoch überlege ich mir genau, welche IoT Komponenten ich wähle. Die ganzen WLAN Steckdosen aus China kommen mir nicht ins Haus, Shellys hab ich ein paar.
FireTV usw. hängen im PVLAN.

Ich find beides interessant, was will raus und v.a. wohin ist natürlich interessanter.
Bei was will rein findet man aber eher zyklische Portscans, die einfach mal einer losgetreten hat um zu schauen was in der weiten Welt so antwortet.

Wenn du einen Router übernimmst bist du ins Netz eingedrungen ;-).
Warum sollte eine Firma keinen Router für den Internet Zugriff haben? Es haben sehr viele kleine Firmen sogar nur ne Fritzbox und die sind durchaus interessante Ziele.
Ist man mal im Netz, schaut man schon was da so zu finden ist und sich evtl. in ein Botnetz integrieren lässt, das funktioniert oft vollautomatisiert.