XT2+ um sehr zuverlässigen BM und Außenlichtsystem erweitern

[peteralarm]

Denk darüber doch selbst mal nach... einen Teil deiner Frage hast du dir schon selbst beantwortet.
Nur so als Beispiel:
Der PC hat eine Firewall (etwa Microsoft?) und ein Virenschutzprogramm - gut.
Wo ist die Firewall und der Virenschutz deiner Hue und der dazu gehörigen App??
Wo ist die Firewall und der Virenschutz deiner Lupus und der dazu gehörigen App??

Die Firewall der FritzBox ist zwar besser als gar keine - ein wirklicher Schutz vor angriffen ist sie jedoch nicht und die App, sei es von Lupus oder Hue oder sonst etwas umgeht diese ganz einfach da sie über eine Mobilfunkverbindung hinter der Firewall direkt auf das Endgerät zugreift. Du hast ihr ja den Weg über deine VPN schon aufgemacht.

Somit ist und bleibt Lupus, mag ja nicht wirklich das schlechteste auf dem Markt sein, für mich als Facherrichter eben "Bastelwastel"
Professionelle Einbruchmelde oder Gefahrenmeldetechnik sieht eben anders aus.

[Waidmann]

(25-09-2020 12:00)mucki schrieb:  Falls es diesbezüglich eine Umfrage gäbe, würde ich mit Nein stimmen.

Alles klar.

(25-09-2020 15:16)PeterF schrieb:  Ich benutze den WXI-RAM 180 Grad und den BXR-RAM 180 Grad Vorhangsensor, letztere sollte für deine Zwecke der Richtige sein. Über Unser Grundstück laufen oft auch Katzen, bisher kein einziger Fehlalarm. Der Sensor hat zwei Infrarot-Strahlen, beide müssen von einer lebenden Körperquuelle durchbrochen werden, damit der Sensor auslöst.

Ein Vorhangmelder eignet sich in meinem Fall für die Terrasse leider nicht, da die Kamera dann schon abgeschlagen wäre, bevor der Melder Bewegung detektiert hätte, der WXI-RAM sieht gut aus, wenn ich das richtig sehe ist der Hauptunterschied zum WXS-RDAM, dass er keine MW-Funktionalität hat, was nochmals Fehlalarme durch Sonne, Büsche usw. verringert, was ja in meinem Fall gegeben ist. Der Preisunterschied liegt bei 50€, das kann ich dann auch noch drauflegen.

Du mußt im besten Fall den BM so positionieren, dass Personen, die zum Haushalt gehören sich auf der Terrasse bewegen können, ohne dauernd den Sensor auszulösen, mit dem Vorhangssender sollte das gehen. Ich habe die Sensoren an den Grundstücksaussengrenzen montiert, so dass zur Familie gehörende Personen die Sensoren nicht auslösen.

Das lässt sich durch die örtlichen Gegebenheiten nur mit sehr vielen Meldern realisieren, der Vorhangmelder würde durch das häufige Durchgehen der Terrassentür auch immer auslösen, hinzu kommt eine Sitzbank direkt an der Hauswand, die genau unter dem Melder platziert ist. Es gibt auch nur eine sinnvolle Platzierung für den Melder genau mittig zwischen den Türen.

Ich habe in der Anleitung aber die Einstellmöglichkeit "Energiespartimer 5 oder 120 Sekunden" gefunden, bedeutet das, dass nach Kontaktauslösung zum Funkmodul trotz weiterer Erkennungen keine Auslösung mehr für 5/120 Sekunden mehr stattfindet, oder dass nur alle 5/10 Sekunden nach Bewegung gescannt wird? Falls Ersteres dann würden sich die Funkmeldungen ja im Rahmen halten. Ansonsten muss ich mir was anderes ausdenken oder einfach mal testen, wie lange die Batterien halten...

Ich habe alle Hue Leuchten direkt an der Zentrale angemeldet. Alle Lichtregeln funktionieren einwandfrei.

Hast du auch den Hue Dimmer an der Zentrale angemeldet, also lässt sich damit auch ohne App oder Browser das Hue Licht an der Zentrale steuern?

Hast du zufälligerweise das Hue Flutlicht Discover im Einsatz? Funktioniert dort auch die Farbwahl?

Vielen lieben Dank PeterF, dass wenigstens du produktiv bleibst und das Thema nicht gezielt ins zur Unendlichkeit durchgekaute Offtopic führst, was rein gar nichts mit der Fragestellung zu tun hat, daran krankt leider jedes Forum.

[justasimpleguy]

(26-09-2020 12:06)PeterF schrieb:  Bittet werdet doch mal konkret. Warum ist die Sicherheit meiner Alarmanlage gefährdet nur weil ich darüber ein paar Lampen steuere. Wo sind hier die Schwachstellen?
Ich habe eine ziemlich neue FRitzbox, spiele regelmäßig die Updates ein, habe komplizierte Passwörter für Zugang und Heimnetz verwendet. Die xt2+ und mein PC sind per LAN mit dem Router verbunden. Auf dem PC befindet sich eine Firewall und ein aktuelles Virenschutzprogramm. Wenn ich von außen auf mein Equipment zugreife benutze ich immer eine VPN-Verbindung. Also, jetzt mal Butter bei die Fische, wo ist das Problem.

Ich bin kein Facherrichter aber ich sage auch mal etwas dazu: Ich betreibe ein ähnliches Setup wie du. In meinem Fall heißt das konkret, XT2+, Hue und bspw. auch eine Synology sind im (W)LAN verfügbar, jedoch von außen nur über eine VPN (aufgebaut über die FritzBox) erreichbar. In einem solchen Setup bedeutet dass, das die XT2+, Hue sowie Synology keine Angriffsvektoren im Internet sind, da diese über das Internet selbst nicht erreichbar sind und keine Dienste nach "draußen" anbieten. Der einzige Angriffsvektor ist somit logischerweise die FritzBox. Simpel gesagt ist die FritzBox somit die Firewall, die alle Geräte im Netzwerk schützt.

Dieses Setup bedeutet außerdem, das die XT2+ keinem zusätzlichen Risiko eines Netzwerkangriffes ausgesetzt ist, wenn sie auch Hue-Lampen steuert. Weder wenn Hue-Lampen direkt in die XT2+ eingebunden sind, noch wenn Hue-Leuchten über eine Hue-Bridge eingebunden und die lokale API der Bridge (bspw. ioBroker oder kleine PHP-Skripte) gesteuert werden.

Das eine FritzBox (wie jeder andere Router auch) überwunden werden kann, ist logisch. AVM ist aber bisher nicht mit Sicherheitslücken aufgefallen und patcht seine Boxen regelmäßig (anders bspw. als Netgear, Telekom & Co - die teilweise schon durch massive Sicherheitslücken in Routern augefallen sind). Aus meiner Perspektive ist das Setup für den Heimgebrauch sicher genug, da es nur einen Angriffsvektor gibt der - sofern regelmäßig gepatcht - nach bestem Wissen und Gewissen als sicher bezeichnet werden kann.

[Ja_ich]

Das es hier im Thema zu Offtopic kam, ist aber durch Deine Fragestellung zu unseren Bedenken begründet. Es ist halt ein Forum für Sicherheitstechnik und da bist Du ein Stück weit drüber.
Es hat Dir nicht einer der User übelgenommen was Du tust oder nachfragst. Also vergelte es bitte mit gleicher Münze.
Vlt. Ist es nur Neid unsererseits, ich könnte das alles gar nicht, bzw ich würde mir das gar nicht erarbeiten wollen, weil ich unendlich faul bin.

[peteralarm]

(26-09-2020 13:40)justasimpleguy schrieb:  In einem solchen Setup ist übrigens auch eine "Profi-Alarmanlage" die im internen Netzwerk betrieben wird genauso gefährdet wie die XT2+.

Da muss ich dir ganz klar widersprechen. Eine Profi Einbruchmeldeanlage hat verschiedene Schutzmechanismen, wie z.B. Schlüssel, Codes oder direkt IP Adressen welche in dem Übertragungsgerät festgelegt werden (Beispiel UTC Master) nur von diesen Adressen wird hierbei eine Verbindung zugelassen Dann muss auch noch Benutzer und Kennwort stimmen. Wenn auch nur ein Schlüssel nicht stimmt, wird die Verbindung sofort unterbrochen.
Also bei professionellen Systemen ist das nicht ganz so einfach irgendetwas herauszufinden, da keine Verbindung bestehen bleibt. Da sind schon ein paar Hürden mehr eingebaut.

---

(26-09-2020 13:42)Ja_ich schrieb:  Es hat Dir nicht einer der User übelgenommen was Du tust oder nachfragst. Also vergelte es bitte mit gleicher Münze.

Genauso ist es, was er sich mit seiner Anlage zusammenbastelt ist ganz allein seine Sache und wenn er Spass daran hat gönne ich ihm den auch.
Meine Aussage ist lediglich und dabe bleibe ich auch: von professioneller Einbruchmeldetechnik ist so etwas meilenweit entfernt.

[justasimpleguy]

(26-09-2020 14:20)peteralarm schrieb:  

(26-09-2020 13:40)justasimpleguy schrieb:  In einem solchen Setup ist übrigens auch eine "Profi-Alarmanlage" die im internen Netzwerk betrieben wird genauso gefährdet wie die XT2+.

Da muss ich dir ganz klar widersprechen. Eine Profi Einbruchmeldeanlage hat verschiedene Schutzmechanismen, wie z.B. Schlüssel, Codes oder direkt IP Adressen welche in dem Übertragungsgerät festgelegt werden (Beispiel UTC Master) nur von diesen Adressen wird hierbei eine Verbindung zugelassen Dann muss auch noch Benutzer und Kennwort stimmen. Wenn auch nur ein Schlüssel nicht stimmt, wird die Verbindung sofort unterbrochen.
Also bei professionellen Systemen ist das nicht ganz so einfach irgendetwas herauszufinden, da keine Verbindung bestehen bleibt. Da sind schon ein paar Hürden mehr eingebaut.

Okay, das wusste ich nicht. Das nehme ich dann mal zurück

[peteralarm]

(26-09-2020 14:40)justasimpleguy schrieb:  Okay, das wusste ich nicht. Das nehme ich dann mal zurück

Macht nichts dafür kostet auch ein Telenot Übertragungsgerät GSM alleine schon mehr wie eine komplette XT2

[Martina H.]

@peteralarm: Was hast Du denn für Konditionen bei Telenot

Die XT2 gibt es - für jedermann - um die 400 €

Die comXline 1104 sicher nicht

Als User hört man nur, dass eigentlich sichere Systeme (wie Uniklinik Düsseldorf, Berliner Bundeshaus, Telekom, ...) bereits erfolgreich "geöffnet" wurden. Obwohl dort neben entsprechender Hard- und Software auch manpower (mit Fachwissen) eingesetzt wird, was beim Privat-/Geschäftsmann eher nicht in diesem Umfang zum Tragen kommt. Selbst der "Zugang" zum Bunkernetzwerk (Darknet) hat dem Können entsprechender Leuten nicht standgehalten. Dagegen sollte die Fritzbox und der andere aufgeführte Kram sicherlich eher Zutrittsmöglichkeiten bieten ...

Ich muss zugeben, dass nicht jeder Gelegenheitseinbrecher dieses Wissen hat bzw. vor dem Bruch anwendet, aber man sollte sich immer vor Augen halten, dass jede Kette nur so stark ist, wie ihr schwächstes Glied.

Sicherlich gibt es Leut´chen, die ihr System (GMA) in- und auswendig kennen, jede Anpassung schaffen, jedes Problem schnell erledigen. Das dies nicht bei jedem Nutzer der Fall ist, sieht man an den vielen Fragen, die hier im Forum auftauchen. Ob nun Neidlos oder nicht: Es bleibt festzustellen, dass je umfangreicher alles wird, auch die Möglichkeit von Defekten, Problemen, Unbeherrschbarkeit, Sabotage, ... zunimmt und davor wird in diesem Forum zutreffend gewarnt. (Da muss man kein Prophet sein, dafür sollte der gesunde Menschenverstand ausreichen. )

[PeterF]

Keiner sollte einem anderen etwas übel nehmen, nur weil er eine andere Meinung hat. Dieser Forum lebt von Informationsaustausch.

Ich bin offen für jede Information und ich lerne gerne dazu.
Die Sicherheit meiner Alarmanlage ist mir sehr wichtig und ich glaube ja gerne den Facheinrichtern, dass drahtgebundene EMAs ohne SmartHome Funktionen noch sicherer sind.

Wer jedoch einige Regeln befolgt, kann auch mit der Xt2+ oder xt3 von Lupus incl. Smart Home Funktionen eine sichere Anlage betreiben.

Jeder muss sich selbst schlau machen und dann entscheiden. Ich kann nur etwas zu meinem Set-Up sagen und das Urteil fällt sehr gut aus.
Ich betreibe meine Anlage seit 4 Jahren, habe sie sukzessive ausgebaut und bin mehr als zufrieden. Erst eine Batterie mußte ich tauschen, nur einen selbstverschuldeten Fehlalarm, alle Automatisierungsregeln funktionieren tadellos und tun was sie sollen und gehackt wurde ich soweit ich weiß auch noch nicht. Alles gut also und daher kann ich die Firma Lupusec, die auch einen hervorragenden Service anbietet, nur weiterempfehlen.

Beste Grüße, PeterF

[peteralarm]

@Martina: gute
Das 1104 GSM kostet derzeit Liste 903,00 + Märchensteuer....
Deshalb sprach ich ja auch von einer kompletten XT2, nicht nur die reine Zentrale.

Eines ist sicher, jedes System welches im Netz hängt kann irgendwann gehackt werden. Es ist nur die Frage, wie einfach mache ich es demjenigen. Wenn ich mein Alarmsystem, hat man hier auch schon oft gelesen, mit Alexa (ich mag die überhaupt nicht) oder ähnlichem steuere, dann mache ich es einem evtl. Angreifer schon sehr leicht.
Wenn jemand Freude am basteln hat, wie der TE dann wünsche ich ihm ja auch nichts negatives dabei. Ich weise nur auf bestehende Risiken hin.
Und wie immer meine Aussage: für die EMA von Lieschen Müller, wird sich keiner die Mühe machen die zu hacken.
Ist bei mir ja auch so, ich verwende auch Shelly's und die Shelly App, welche ich auch nicht unbedingt für besonders sicher halte. Wenn die jemand hackt und in meiner Garage das Licht einschaltet, wünsche ich ihm viel Spass damit.

[Ja_ich]

(26-09-2020 18:13)peteralarm schrieb:  Wenn die jemand hackt und in meiner Garage das Licht einschaltet, wünsche ich ihm viel Spass damit.

Ich habe es geschafft!

   

[peteralarm]

(26-09-2020 18:39)Ja_ich schrieb:  

(26-09-2020 18:13)peteralarm schrieb:  Wenn die jemand hackt und in meiner Garage das Licht einschaltet, wünsche ich ihm viel Spass damit.

Ich habe es geschafft!

Deine Garage?
Bei mir pass kein Auto rein, nur Motorrad und meine kleine Werkstatt

[mucki]

Ich gönne jedem sein Smarthome und von mir aus kann natürlich jeder machen was er möchte.

Zum Thema Sicherheit finde ich es halt fragwürdig, dass man zB für an die XT2 angebunden Hue Leuchten nie wieder ein Update macht. Einfach mal nach Hue / Zigbee / Sicherheit googlen. Von Neuerungen wie zB Verhalten nach Stromverlust profitiert man natürlich auch nicht.

Das die Anlage nicht beim ersten Mal scharf schaltet wenn irgendeine alberne Zigbee Komponente mal spinnt (es sei denn man hat eh eingestellt die Fehler zu ignorieren), halte ich für noch fragwürdiger.
Auch bei anderen Smarthome Komponenten wird idR kontinuierlich die dahinterliegende API erweitert was Lupus wie gesagt ignoriert.

Zum Thema Smarthome:
Neben der hier angeprochenen Möglichkeit über Action URL und PHP kann man theoretisch auch den Lupus Adapter in ioBroker nutzen. Der kennt dann jederzeit jeden Zustand von allen Sensoren und man kann daraus entsprechende Smarthome Aktionen starten. Theoretisch kann man die Anlage damit auch schalten - muss man aber nicht :-)

Zum Thema Sicherheit wurden die Standpunkte hier ja deutlich gemacht...

[blattwerk]

Ich nutzte meine Lupus XT 3 als reine Alarmanlage, ohne Smarthome Funktion.
Zum Test habe ich damals die ein paar Hue Leuchten eingebunden, dies aber schnell wieder verworfen, da die von euch beschriebenen Updatefunktionen der Leuchten auf der Strecke bleiben.

Einen interessanten Ansatz verfolgt hierzu Rademacher.
Wir nutzen für unsere Rolladensteuerung einen Rademacher Homepilot als Steuerung.
Seit einem Update im vergangenen Jahr kann man die Leuchten der Hue Bridge vollends ansteuern, ohne das sie dieser verloren gehen (wie z.B. bei Lupus).
Alles was dazu gemacht werden muss, ist den Homepilot in den Suchmodus versetzten und bei der Hue-Bridge den Button drücken.
Der Vorteil, die Leuchten bleiben in regulär in der Hue-Bride erhalten und lassen sich sowohl über die Hue-App als auch über die Rademacher App steuern.
Ein Vorteil ist, dass die Leuchten auch in Automationen integriert werde können.
Sowas sollte bei Lupus auch machbar sein.

[PeterF]

Um auch den Datenaustausch sicher zu halten und vor dem Abhören von Dritten zu sichern, wird mit der Lupusec XT2 Plus die SSL / TLS 1.2 SHA-256bit RSA-Verschlüsselung genutzt, die auch die Ansteuerung über den HTTPS-Port 443 zulässt. Dies ist eine Sicherheitsmaßnahme, die heutzutage nur sehr schwer zu knacken ist, daher dürfte eine Attacke auf ein solches System für die meisten Hacker unbefriedigend sein.

Also, ganz so schlecht wie hier immer behauptet wird, kann die xt2+ in Sachen Sicherheit nicht dein, insbesondere wenn man weitere Vorsichtsmaßnahmen (Firewalls, Virenscanner, komplizierte Passwörter, VPN-Verbindungen etc.) berücksichtigt.

Bis jetzt bin ich von den Argumenten der „so genannten Facheinrichter“ nicht überzeugt. Aber vielleicht kommt ja noch etwas.

Beste Grüße
PeterF

[Martina H.]

Zitat:„so genannten Facheinrichter“

Diese neue Wortkreation find´ ich nice.

Der Einzige der "die" so nennt, bist wahrscheinlich DU.

Vermute, Du meinst Errichter statt Einrichter

Aber bevor ich hier noch Öl ins Feuer gieße, verkneife ich mir den Rest, auch wenn ich nicht zu der genannten Spezies gehöre ...

[peteralarm]

(27-09-2020 17:00)PeterF schrieb:  Um auch den Datenaustausch sicher zu halten und vor dem Abhören von Dritten zu sichern, wird mit der Lupusec XT2 Plus die SSL / TLS 1.2 SHA-256bit RSA-Verschlüsselung genutzt, die auch die Ansteuerung über den HTTPS-Port 443 zulässt. Dies ist eine Sicherheitsmaßnahme, die heutzutage nur sehr schwer zu knacken ist, daher dürfte eine Attacke auf ein solches System für die meisten Hacker unbefriedigend sein.

Also, ganz so schlecht wie hier immer behauptet wird, kann die xt2+ in Sachen Sicherheit nicht dein, insbesondere wenn man weitere Vorsichtsmaßnahmen (Firewalls, Virenscanner, komplizierte Passwörter, VPN-Verbindungen etc.) berücksichtigt.

Du hast es scheinbar immer noch nicht verstanden. Die Schutzmaßnahmen der XT2 Plus sind auch vom Grundsatz her nicht schlecht.
Aber, was nutzt das alles, wenn ich mit Implementierung von irgendwelchem Smart Home wie Hue, ZigBee oder schlimmerem über die dazugehörige App eine Hintertür aufmache?
Auch denke ich, das die wenigsten Anwender dieser Anlagen eine vernünftige Firewall einrichten und konfigurieren können. In meinem Netzwerk läuft z.B. IPFire auf einem extra Linux PC mit 4 Netzwerkkarten und 4 unterschiedlichen IP Bereichen. Damit komme ich in einen Bereich, wo ich denke das mein Netzwerk einigermaßen sicher ist, aber einen 100%igen Schutz bietet auch das nicht weil es den nicht gibt. Man kann es einem evtl. Angreifer nur versuchen so schwer wie möglich zu machen.

[bastelheini]

(25-09-2020 10:35)peteralarm schrieb:  Lupus hat sich das selbst zuzuschreiben, die haben aus einer Alarmanlage ein SmartHome Gedöns gemacht, welches halt auch Alarm kann, aber von außen durch das SmartHome leicht angreifbar ist.

Ich hätte jetzt gerne mal von dir belegt, wie die Anlage durch das "SmartHome Gedöns" konkret angreifbar ist! Mit Fakten, am besten mit einem POC. Sonst ist deine Aussage hier schon rechtlich... naja... sehr angreifbar.

Und Smarthome heißt hier nicht, dass ich irgendwas per Sprachassistenten steuerbar mache und dafür die Anlage ins Netz routen muss... Smarthome heißt "Schlaues Zuhause", Automationen über Regeln! Mehr nicht.

(26-09-2020 13:14)peteralarm schrieb:  Denk darüber doch selbst mal nach... einen Teil deiner Frage hast du dir schon selbst beantwortet.
Nur so als Beispiel:
Der PC hat eine Firewall (etwa Microsoft?) und ein Virenschutzprogramm - gut.
Wo ist die Firewall und der Virenschutz deiner Hue und der dazu gehörigen App??
Wo ist die Firewall und der Virenschutz deiner Lupus und der dazu gehörigen App??

Die Firewall der FritzBox ist zwar besser als gar keine - ein wirklicher Schutz vor angriffen ist sie jedoch nicht und die App, sei es von Lupus oder Hue oder sonst etwas umgeht diese ganz einfach da sie über eine Mobilfunkverbindung hinter der Firewall direkt auf das Endgerät zugreift. Du hast ihr ja den Weg über deine VPN schon aufgemacht.

Somit ist und bleibt Lupus, mag ja nicht wirklich das schlechteste auf dem Markt sein, für mich als Facherrichter eben "Bastelwastel"
Professionelle Einbruchmelde oder Gefahrenmeldetechnik sieht eben anders aus.

Was für ein aus IT-Sicht unprofessioneller Beitrag!

1. Appliances wie die Hue-Basis oder die Lupusec brauchen keinen "Virenscanner". Da wird ja nichts hochgeladen usw. Die schützen sich über die hoffentlich ordentliche Implementierung der verwendeten Komponenten und Aufsatzsoftware. Und dazu gibt es eben regelmäßige(!!!) Firmwareupdates, die diese idR Opensource Komponenten updaten und damit abhärten. Bei der Hue sind diese z.B. zu sehen, indem man die IP-Adresse der Hue Basis in den Browser eingibt. Aber Peter, ich glaube du warst ja immer dagegen, Updates einzuspielen.

2. Eine Firewall auf so einem Gerät muss nicht sein. Wozu auch. Erstens sollte sie sowieso nur die Ports offen haben (im lokalen Netz erreichbar), die nötig sind für den Betrieb. Ansonsten sollte das Ding netzwerktechnisch einfach in eine entsprechende Zone, wenn man es besser absichern will und sichert es entsprechend am Router oder besserem Switch ab. Ja manche Appliances erlauben noch die Limitierung der zugreifenden IPs, aber damit kann man sich schnell aussperren. Das macht man lieber per Netzkomponenten, die das auf anderen Layern auch noch viel besser können.

3. "Die Firewall der FritzBox ist zwar besser als gar keine - ein wirklicher Schutz vor angriffen ist sie jedoch nicht"
Das belegst du mir bitte. Ich glaube, die Firma AVM sollte hier mal mitlesen. Die FB ist in erste Linie ein Internetzugangsgerät mit Router für Heimnetze. Und dafür ist sie ziemlich gut und die Funktionen, die zur Absicherung auch ab Werk alle aktiv sind, sind mehr als ausreichend. Du musst AKTIV eingreifen, damit ein Gerät einfach so einen Port rausstellen kann und andernfalls kann man für jedes Netzwerkgerät die Zugriffe ins öffentliche Netz sperren (komplett oder für bestimmte Ports), wie du willst. Erkläre mir, wie du jetzt als Angreifer an der FB von außen reinkommen willst.

Wenn man es innerhalb des LANs noch etwas "sicherer" haben will, stellt man sich halt noch einen kleinen L2+/L3 Switch hin, packt die Anlage in ein VLAN mit eigenem IP-Bereich und sichert eben die Zugriffe dahin übers Routing ab. Fertig.

4. "Du hast ihr ja den Weg über deine VPN schon aufgemacht."
Du behauptest also, ein VPN-Zugang ins Heimnetz, um die lokalen Geräte zu erreichen wäre was unsicheres. Ah ja... Alles klar... Mir fällt dazu nichts mehr ein, außer dass wir weltweit damit jetzt alle standortübergreifende Netzkopplungen einreißen können. Danke für den Tipp!

Btw die Anlagen der Hersteller, die du ja immer als besser benennst, haben auch alle Apps für den Zugriff von unterwegs und Push-Dienste. Was meinst du, wie das wohl funktioniert bei denen.

(27-09-2020 17:00)PeterF schrieb:  Um auch den Datenaustausch sicher zu halten und vor dem Abhören von Dritten zu sichern, wird mit der Lupusec XT2 Plus die SSL / TLS 1.2 SHA-256bit RSA-Verschlüsselung genutzt, die auch die Ansteuerung über den HTTPS-Port 443 zulässt. Dies ist eine Sicherheitsmaßnahme, die heutzutage nur sehr schwer zu knacken ist, daher dürfte eine Attacke auf ein solches System für die meisten Hacker unbefriedigend sein.

Ich muss dich da leider enttäuschen. Da das Zertifikat bei allen Anlagen gleich ist, und da man kein eigenes einspielen kann (wie z.B. bei deren (dahuha) Kameras oder auch z.B. den Synologys), ist das nichts wert. Der private Key kann aus der Firmware geholt werden und damit deine Kommunikation mit der Anlage entschlüsselt werden; zumindest ist eine MIM-Attacke möglich.

Bitte stellt niemals nicht, egal welche, Appliances ins Netz. Immer nur per VPN zugreifen!


Was das eigentliche Thema angeht, wenn es mit der Lupusec gemacht werden soll, gehört da ein (Web/Webservice-)Software-Entwickler her, der das ganze Szenario einfach in ein Stück Software gießt und dann das Ding auf einem kleinen Rasperry Zero o.ä. als Companion der Lupusec & Hue laufen lässt. Das Ding läuft ja am USB-Port der Fritzbox problemlos mit, braucht so wenig Strom, dass die FB das nicht mal merkt.

Kostet halt. Auch die Wartung (Updates des Raspis und ggf. dann erforderliche Anpassung der Software selbst). Vom selber frickeln ohne Ahnung würde ich abraten, am Ende steht wirklich die Anlage offen usw. Ich würde auch keine User/Pass-Kombi in den Rasperry bauen lassen, der die Anlage scharf/unscharf stellen kann.

[peteralarm]

Naja Bastelheini, du hast mal zu meinen Kommentaren geschrieben "wenn es dir nicht gefällt, brauchst du es ja nicht zu lesen" - das Gleiche gilt für dich auch und wenigstens richtig lesen und nicht aus dem Zusammenhang reißen würde dir gut tun.
Ich habe nie gesagt, das die Fritz Box schlecht oder unzureichend ist (sonst hätte ich nicht selbst schon so lange es Fritz Box gibt eine)
Nein, sie ist nur nicht als alleiniger Schutz ausreichend, sonst bräuchten wir das ganze Firewall und sonstige Netzwerkequipment ja nicht und mancher ITler könnte seinen Laden zuschließen.
Lies doch hier in manchen Beiträgen selbst, was einige mit ihrer Lupus machen, mit Alexa etc. Sprachsteuern.... und einiges mehr. Wenn ich da deiner Ausführung glauben schenken darf, ist das natürlich ein sehr sicherer Weg und auf gar keinen Fall angreifbar
DAS sind die Punkte welche ich meine (hatte ich schon öfter geschrieben, aber das zu lesen und zu verstehen scheint mir eh nicht deine Stärke zu sein.
Im übrigen kann man dir gratulieren, du scheinst der Einzige zu sein, der von Netzwerksicherheit Ahnung hat - das haben noch nicht mal die IT Leute der NASA geschafft (auch die wurden schon gehackt)
Also für die Zukunft, ich halte es so das ich deine Pamphlete einfach ignoriere, halte du es genauso.

[PeterF]

@peteralarm,

„ Also für die Zukunft, ich halte es so das ich deine Pamphlete einfach ignoriere, halte du es genauso.“

Bei allem Respekt, solche statements sind einfach nur schade.

Wir sitzen doch alle im gleichen Boot. Wir tauschen Informationen aus mit dem Ziel, dass wir hinterher schlauer sind als vorher.

Jedes Smart Home Gedöns zu machen, wie Z.B über die Alexa die Anlage scharf oder unscharf zu schalten, halte ich aus Sicherheitsgründen auch für extrem gefährlich.

Aber am Anfang unserer Diskussion wurde hier pauschal behauptet, dass die xt2 in Verbindung mit der Nutzung von ein paar Hue Leuchten die Sicherheit der Anlage extrem vermindern würde und das ist ziemlich flach.

Ich bin weder Elektro-, noch IT-, noch Netzwerkexperte aber ich habe mich über Jahre bemüht die Zusammenhänge zu verstehen und insbesondere alle sinnvollen Sicherheitsvorkehrungen anzuwenden, um es einem Angreifer so schwer wie möglich zu machen, wobei es den 100% Schutz nicht gibt.

Ich wehre mich auch etwas dagegen, dass alle die Smart Home anwenden und das tut mittlerweile doch die ganze Welt hier im Forum als Trottel hingestellt werden, die nicht wissen was sie tun.

Es mag ja Leute geben, die die Alexa nutzen, die Passwörter des Internetproviders übernehmen, das admin von Lupus übernehmen, nie Updates einspielen, Portweiterleitungen machen, anstatt VPN zu nutzen usw. und die daher die Sicherheit ihrer Anlage fahrlässig gefährden. Aber gerade deshalb ist es doch so wichtig, dass wir uns in diesem Forum seriös austauschen. Ich nehme gerne gute Ratschläge an und ich habe ja auch die Bitte an die Facherrichter geäußert die Schwachstellen nachvollziehbar darzustellen. Ich wäre der erste der die Hue Lampen aus seiner Anlage nehmen würde, wenn das wirklich ein so hohes Sicherheitsrisiko wäre.

Bitte lasst uns weiterhin offen und respektvoll miteinander diskutieren.

Beste Grüße
PeterF