"Sicheres" Smart Home

  • Hallo Ihr,


    vielleicht bin ich über sensibilisiert durch meinen Beruf. Aber vielleicht bin ich das nicht - würde eure Meinung gerne wissen und würde grene mein Netzwerk euch hier mal da legen.


    Warum das ganze:


    Ich finde, dass in der ganze SmartHome Ecke wird viel zu wenig über Sicherheit gesprochen. Dieser Punkt würde ich gerne mal hier auffassen.


    Ich möchte mein Netzwerk so sauber wie möglich halten und dafür sorgen. Denn mache SmartHome Geräte telefonieren nach Hause. Das finde ich bedenklich, da dies noch mehr nach Hause schicken können als ihre eigene Gesammelte-Daten (Was schon für mich zu viel ist). Sie können auch den ganzen Netzwerk-Traffic nach Hause schicken. und damit wissen, was ich gerade gegoogelt habe und so weiter. Ich weiß es gibt SSL/TLS jedoch, weiss ich auch, dass es Verfahren gibt, dies zu knacken.


    Bisher gibt / gab es nur der Vorwurf von Amazone Echo, jedoch könne alle uns belauschen auf die eine oder andre Art und weiße.


    Mein Netzwerkaufbau:


    --> WAN 1 (KabelBW | Dual Stack Lite | Damit keine öffentliche IPv4)

    --> WAN 2 (1und1 | Dual Stack | Damit habe ich eine öffentliche IPv4)


    Die beiden WAN Anschlüsse (eht0, eth1) werden zusammen geschalten, so das ich ein Load Balancing im Einsatz habe.


    Über den letzten Port (eigentlich über die letzten 3 - die Stellen aber nur ein Port da) lasse ich dann nur noch die interne Netze laufen über VLAN(s) und ein richtiges LAN.


    Schnittstelle IP-Bereich Verwendungszweck Beschreibung | Eigenschaft
    switch0 192.168.1.0/24 Meine interne Netzwerkverwaltung Hier stehen alle Grund Netzwerk Geräte drin
    Kein Internetzugriff | Von dem Netz kein Zugriff ins interne Netze | Zugriff von dem Internen Netz auf dieses Netz möglich, jeodch eingeschränkt.
    Kabelnetzwerk
    switch0.30 192.168.30.0/24 Server-Netz / DMZ Stehen alle Server drin, die ich aus dem Internet erreichen will.
    Von Internet Zugreifbar | Von dem Netz kein Zugriff ins interne Netze | Zugriff von dem Internen Netz auf dieses Netz möglich, jeodch eingeschränkt.
    Kabelnetzwerk
    switch0.40 192.168.40.0/24 SmartHome Hier sind alle meine SmartHome Geräte drin.
    Von dem Netz kein Zugriff ins interne Netze | Internen Netz auf dieses Netz möglich, jedoch eingeschränkt. Nur bestimmte Smart Home Geräte haben Internet-Zugriff (z.B. mein ioBroker)
    Kabelnetzwerk und Funknetzwerk SSID: SmartHome
    switch0.50 192.168.50.0/24 Client-Netz / Normales Netz Meine Computer stehen hier drin und Fernseher
    Kabelnetzwerk und Funknetzwerk SSID: The Mentalist
    switch0.99 192.168.99.0/24 Management-Netz Kein Internetzugriff | Kann auf alle Netze uneingeschränkt zugreifen
    Kabelnetzwerk
    switch0.120 192.168.120.0/24 Gast-Netzwerk Das Netz ist für Besucher gedacht.
    Nur Internetzugriff (Kein Verkehr zwischen den andren Netzten möglich)
    Kabelnetzwerk und Funknetzwerk SSID: guest



    Meine einsetzte Netzwerk-Hardware:

    • 1x EgdeRouter PoE 5 Port (Würde ich mir nicht mehr holen, da dieser nur 3 Ports Einstellen kann. eht0, eth1, und eht2 - 4)
    • 2x TP-link Switch (TL-SG108E) 8 Port - Management Fähig 2 Layer
    • 1x UniFi AP Pro
    • 1x Raspi für den UniFI AP Pro als Verwaltungsserver (UniFi Controller)
    • 1x Unitymedia Connect Box (wird nur als Modem benutzt, für KabelBW | Unitymedia)
    • 1x Fritz!Box 7490 (wird als Modem benutz und als SmartHome Gateway)

    Meine SmartHome Geräte möchte ich hier nicht auflisten, sonnst sind wir mögen noch hier.


    Auf alle Linux-Systeme lauft noch IPTable mit und ist hart eingestellt, um das Netz noch mal sicherer zu machen.


    Würde ein Tutorial machen, wenn einer das hier wissen möchte, wie man das umsetzt.

  • Ich weiß manchmal nicht, ob sich dort vielleicht auch einfach zu viel Sorgen gemacht wird.

    Keine Frage, schön das du das Thema ansprichst, aber ich würde jetzt mal ganz knallhart behaupten, das viele erstens nicht genau eine Ahnung haben, wie man das umsetzt, eingeschlossen mir :D, Dazu kommen noch die weiteren Kosten für die nötige Hardware dazu, die es erst so wie bei dir, ermöglichen.

    Ich glaube solange man nicht ganz doof ist und jeden Port in seinem Router etc, öffnet kann man ein "wenig" darüber hinwegschauen.

    Ich behaupte jetzt auch mal böse: Kaum ein Nachbar hat mal eben die Ahnung wie man eine WPA2 Verschlüsselung knackt, geschweige, muss er ständig in der Reichweite des WLAN sein.

    Das schlimme ist eben, das viele Leute, trotz deinem Tutorial was du erstellen würdest, vielleicht im Nachhinein keine Ahnung in der Thematik haben, und wenn später mal irgendwas nicht funktioniert, einfach gar nicht mal wissen, wo sie anfangen müssen Ihr Problem zu suchen.

    Ähnlich ist es doch mit den Sicherheitslücken in den Prozessoren.. erst wurde eine Welle darum gemacht, nun interessiert es keinen mehr...

    Ich muss auch mal gestehen, das Privatleute wie wir, eher so zu kleinen Fischen gehören, bei denen meistens eher weniger abzugreifen ist, als wenn es zum Beispiel eine Firma wäre.

    Ob ich das ein wenig Oberflächlich sehe, muss dann ja jeder für sich selber wissen, denke aber wenn man einigermaßen Verantwortungsvoll damit umgeht, sollte man so auch keine Angst haben.

    Ich steuere recht viel, bedingt durch unseren Hund, von Unterwegs. Habe über die FritzBox ein VPN eingerichtet. Denke damit fährt man am besten.


    Wie gesagt, jeder nimmt das Thema Sicherheit anders auf,ist auch völligst legitim.

    Aber das ist ja wie beim Autofahren. Manche fahren 10 km/h langsamer und denken da passiert dann kein Unfall..

    Passieren kann immer etwas und ich denke Freisprechen kann man sich in dem Thema Internet sowieso nicht mehr.

  • Hallo 4-Real,


    Deine Gedanke finde ich interessant und wollte mich noch mal melden.


    Zu erstmal habe ich keine Angreifer von aussehen angesprochen, sondern die die Gefahr von den Systemen die man sich kauft die keine Firewall überwinden müssen. Nun muss man doch sagen, wenn man nicht weiß was das System macht, dass das Heimnetzwerk unsicher ist - Oder nicht ? Nun sollte man doch die Sicherheit wieder in sein eigenes Netzwerk holen. Denn man kann ja nicht wissen wie Sicher so ein System ist. Und wenn das System ein Wartung-System hat, kann so ein Angriff ja noch besser Fusionen.

    Ich muss auch mal gestehen, das Privatleute wie wir, eher so zu kleinen Fischen gehören, bei denen meistens eher weniger abzugreifen ist, als wenn es zum Beispiel eine Firma wäre.

    Ob ich das ein wenig Oberflächlich sehe, muss dann ja jeder für sich selber wissen, denke aber wenn man einigermaßen Verantwortungsvoll damit umgeht, sollte man so auch keine Angst haben.

    Ich denke in Zwischen ist es so, dass die Privatleute auch die Gefahr sehen müssen, denn die Firmen werden immer schwerer zu knacken, denn da sind ja solche wie "ich" am Werk. Das nächste ist doch, wenn man sag: Ich kenne mich nicht aus und damit denkt man ist nicht in Gefahr sehe, dann ist es doch ein drug Schluss oder ?


    Wie siehst du das ?

  • Klar, du hast mit deinen Aussagen vollkommen Recht, kann ich mich nicht von Freisprechen!.

    Ich denke du wirst wohl in der IT Branche Tätig sein, wenn du schon mit dem Thema zuhause so "extrem" damit umgehst, oder?


    Na klar weiß man nicht direkt wie ein System, vorallem wenn es, ich sage mal, frisch auf den Markt gekommen ist, "reagiert" bzw. was es genau macht.

    Aber in so einem Fall sind ja teils auch eben die Hersteller ein wenig im Zugzwang ein System so sicher wie möglich zu machen..


    Naja, aber denkst du wirklich, jemand, der in dem Fall, "kriminell" so veranlagt ist, sofort weiß bei welchen Privatpersonen es was zu holen gibt? Ein Tolles Haus oder ein teures Auto heißt nicht auch gleich, das er, blöd gesagt, auch automatisch viel Kohle auf dem Konto hat :D Hoffe du verstehst auf was ich hinaus will..


    Klar, ich gebe zu, ich lehne mich vielleicht auch ein wenig weit aus dem Fenster raus, weil ich bin zwar kein unbeholfenes Blatt wenn es um Einrichtung etc. von PC's und dem "üblichen" Netzwerk geht und versuche mich auch immer weiterzubilden wenn es um sowas geht, sehe aber irgendwie im allgemeinen im Leben etwas lockerer. Ich denke da kommt auch ein wenig die eigene Einstellung zum Vorschein. Wenn ich zum Beispiel meine Freundin sehe, die sich über jede Kleinigkeit den Kopf zerbricht, und Ahnung von IT hätte würde sie eventuell auch anders Denken.

  • Klar, du hast mit deinen Aussagen vollkommen Recht, kann ich mich nicht von Freisprechen!.

    Ich denke du wirst wohl in der IT Branche Tätig sein, wenn du schon mit dem Thema zuhause so "extrem" damit umgehst, oder?

    Ja, ich bin Gelernter Fachinformatiker. Und bei mir in der Arbeit hat fast niemand SmartHome, da die ja wissen was passieren kann.

    Naja, aber denkst du wirklich, jemand, der in dem Fall, "kriminell" so veranlagt ist, sofort weiß bei welchen Privatpersonen es was zu holen gibt? Ein Tolles Haus oder ein teures Auto heißt nicht auch gleich, das er, blöd gesagt, auch automatisch viel Kohle auf dem Konto hat :D Hoffe du verstehst auf was ich hinaus will..

    Stimmt schön. Nur ich weiß, dass viele auch Kamera in ihren eigenen 4 Wänden habt. Soll ich das jetzt weiterführen....


    Aber ich merke, dass dieses Thema mal wieder auf ein Stein gestoßen.

  • Hallo PlayDiver,


    ich bin genauso schitzo, wie Du. Ich habe fast eine gleiche Konfiguration, wie Du. Ich habe auch ein Ubiquiti und habe entsprechende WLAN Netze aufgebaut. Zusätzlich trenne ich mein Subnetze, wie Du über VLANs. Ich habe dann zusätzlich noch eine Sophos UTM, die mein internes Netz von dem ganzen Rest abtrennt. Über eine Jumphost greife ich auf den ioBroker-Host zu. Dieser ist allein berechtigt, in die entsprechenden Subnetze zu sprechen, in denen die Homeautomations-Komponenten laufen. Nach aussen haben diese nur soweit Zugriff, wie nötig. Alles interne steuere ich eigentlich nur über Telegramm, sodass ich hier auch kein VPN brauche. Lediglich meine Netatmo Presence Kameras haben dedizierten Zugriff zur Netatmo Cloud, um Sie auf dem Handy von Aussen anzusprechen. Sind aber wiederum in einem eigenen Subnetz, auf das nur der iobroker Zugriff hat.


    Also, wenn einer in mein Netz kommt und noch die Sophos überwindet, weil er meinen iobroker-Host gehackt hat und dann noch reverse über meine Jumphost über die Sophos mit Mustererkennung kommt, dann hat er es auch irgendwie verdient ;-).


    Aber ich gebe Dir da Recht. Während der Arbeit berät man Kunden Ihre RZs abzusichern und zuhause vertraut man einer Fritzbox. ... und wie Du schon richtig dargestellt hast, die meisten ... wenn nicht fast alle Angriffe kommen in erster Linie von Innen, von schlechter Firmware von eingesetzten Billiggeräten.


    Aber ich denke, Du kannst mit Deiner Konfig schon einigermaßen ruhig schlafen.

  • Hallo Chollf00,


    Danke für deine Antwort - Hatte fast das Gefühl, dass ich der einzige bin der sein Netz so absichert.


    Arbeitest du auch im IT-Bereich ?

    Habe noch zwei Firewall davor. Warum zwei ? Ganz einfach, wenn eine eine Sicherheitslücke hat. Mein ganzes Netz wollte ich nicht darstellen. Da es sonnst noch komplizierter würden war.

  • Wenn ich das noch richtig in Erinnerung habe, läuft auf der Fritzbox noch ein traditionelles iptables.


    Meine Sophos ist ja schon eine Second Gen Firewall. Die benutzt noch andere Mechanismen, wie z.B. Mustererkennung. Somit haben auch Teamviewer und Skype4 Business keine Chance.

  • Wenn man hier mit Sicherheit anfängt sollte man schon mal im voraus sich das ganze überlegen wie ich das machen möchte. Da 90% hier der User das ganze über eine Cloud oder Alexa machen. Da kann ich mir nicht vorstellen das ich da wo mit Sicherheit anfangen muss, mir Gedanken zu machen. Da kann ich auch auf den Sonoff die Original Software drauf lassen mit der China Cloud. Die ist genau so sicher wie Alexa und Co.

  • Wenn man hier mit Sicherheit anfängt sollte man schon mal im voraus sich das ganze überlegen wie ich das machen möchte. Da 90% hier der User das ganze über eine Cloud oder Alexa machen. Da kann ich mir nicht vorstellen das ich da wo mit Sicherheit anfangen muss, mir Gedanken zu machen. Da kann ich auch auf den Sonoff die Original Software drauf lassen mit der China Cloud. Die ist genau so sicher wie Alexa und Co.

    Richtig! Nur, dann will ich mein PC Netz davon absichern und für Alexa und Cloud Systeme habe ich ja ein eigenes Subnetz

  • Ich habe hier mein Smart Home ohne Alexa und Co am laufen. Wenn ich eine Cloud haben möchte dann baue ich mir eine im eigenen Netzwerk auf, da weiß ich auch wo und wer auf meine Daten zugriff hat. Wenn ich mal von außen zugreifen möchte dann mache ich es per SSH und das geht einwandfrei.