Netzwerksicherheit

Vor-Nachteile der Lösungen



HTTPS/SSL

VPN

keine Verschlüsselung



HTTPS/SSL

VPN

keine Verschlüsselung

Einrichtung am Server

Miniserver V2 kann das automatisch, Miniserver V1 kann das nicht (ist dafür zu schwach). Man benötigt dafür einen Reverse-Proxy (auf einer eigenen Hardware im selben Netz wie der Miniserver)

Miniserver kann das nicht. Man benötigt dafür einen VPN-Server

nur ports freigeben und eventuell Cloud-DNS einrichten - siehe https://www.loxone.com/dede/kb/online-freigabe/

Einrichtung am Web-Client

nichts zu tun

VPN-Lösung (Software) am Client einrichten

nichts zu tun

Einrichtung am Handy

nichts zu tun

VPN-Lösung (Software) am Handy einrichten

nichts zu tun

Schutz vor Attacken

schützt vor man-in-the-middle Attacken → in unsicheren Netzen verwendbar

schützt nicht vor brute-force Attacken → starkes Passwort für Loxone-User vergeben

schützt nicht vor DNS Attacken → Miniserver geht in die Knie (es sei denn man hat einen Router/Firewall, die vor DNS Attacken schützt oder verwendet zusätzlich ein Client Zertifikat - wird hier nicht beschrieben)

schützt vor man-in-the-middle Attacken → in unsicheren Netzen verwendbar

schützt teilweise vor brute-force Attacken → starkes Passwort für VPN und Loxone-User vergeben

schützt vor DNS Attacken, DNS-Provider schickt Anfragen nicht weiter

schützt nicht vor man-in-the-middle Attacken → nicht in unsicheren Netzen verwenden

schützt nicht vor brute-force Attacken → starkes Passwort für Loxone-User vergeben

schützt nicht vor DNS Attacken → Miniserver geht in die Knie

Weiteres

siehe z.B. Verschlüsselter Zugriff per HTTPS/SSL via Synology Reverse-Proxy für Miniserver V1

HTTP Verbindungen werden im Browser als unsicher dargestellt, ihre Verwendung wird durch die Browser sukzessive "erschwert"

Bricht die VPN-Verbindung ab, so wechseln die meisten Geräte von selbst auf unsichere Verbindung ohne den Benutzer zu warnen.

HTTP Verbindungen werden im Browser als unsicher dargestellt, ihre Verwendung wird sukzessive "erschwert"



In Arbeit

Hier entsteht ein Unterbereich des neuen Hauptbereichs Sicherheit im Smarthome. Diese Unterbereiche widmen sich Themenschwerpunkten des recht weitschichtigen Begriffs Sicherheit.



Hier wird beschrieben wie ein optimales Netzwerksetup mit Loxone aussehen sollte.

Ausarbeitung:

  • Router mit pfSense, OPNsense, IPCop oder anderem

  • SmartHome Geräte in eigenem Netzwerksegment

  • Switch mit VLAN Unterstützung

  • explizite Internetfreigabe für einzelne Geräte

  • Externer Zugang über VPN

  • Bei SmartHome Geräten im WLAN AccessPoints mit MultiSSID und VLAN Unterstützung

  • Feste IP Adressen statt DHCP

  • Port Security über MAC Adresse.