VPN - wieso spricht niemand darüber?

Mit und ohne lokalem Monitor. Die Daten können wahlweise auch zusätzlich auf einen zentralen Server im Internet gesendet werden, (VServer) oder auch auf einen zentralen Server im lokalen Netzwerk. (Falls man mehrere Wechselrichter und Laderegler hat.)
Antworten
Reservoirdog
Beiträge: 3
Registriert: Do 5. Mär 2020, 18:58

VPN - wieso spricht niemand darüber?

Beitrag von Reservoirdog »

Habe bei meiner (3490) Fritzbox im Handumdrehen den VPN-Server eingerichtet
(Tutorials gibts dazu genug im Internet) und via Smartphone kann ich mit wenigen "Klicks" connecten.
Schon kann man von unterwegs sicher auf die Solaranzeige schauen, ohne den Pi direkt sichtbar
aus dem Internet zu machen...
Alles sehr easy, und kostet nix. Wollte ich bei all dieser VServer-Thematik mal erwähnt haben.

Grüsse aus der Schweiz, Chris

4128
Beiträge: 2
Registriert: So 14. Jun 2020, 14:20

Re: VPN - wieso spricht niemand darüber?

Beitrag von 4128 »

Sorry - lange Antwort aber es genügt, den nächsten Absatz zu lesen:

Die einfache Antwort: soweit ich es einschätzen kann, hat bei Ulrich "ease of use" Priorität. Die Absicherung des Systems nach allen Regeln der Kunst würde die Konfiguration, den Betrieb und die Erweiterung des Systems sogar für erfahrene Systemadministratoren unpraktisch machen. Und ein VPN Gateway schützt das interne Netz eben nicht zu 100% (siehe Details weiter unten). Als Sicherheitsexperte begrüsse ich Ulrich's Ansatz mit dem vServer. Chapeau! Wie wir Schweizer sagen. Ich werde mein System nicht via VPN zugänglich machen denn ich weiss um die Risiken.

Und hier die etwas längere Antwort:
Selbst wenn Dein VPN Gateway heute 100% sicher konfiguriert wäre, so gäbe es immer noch Angriffszenarien bei denen eine Solaranzeige gehackt werden kann. Beispiele: sogenannte Zero Day Attacken wenn neue Schwachstellen in VPN Software ausgenutzt werden, bevor der Hersteller das weiss und ein Update zur Verfügung gestellt hat. Oder es gibt ein Update aber Du installierst es zu spöt. Oder ein Angriff auf eines Deiner Endgeräte mit Internetzugriff (beliebt sind Android Endgeräte), welche via VPN mit Deiner Solaranzeige verbunden sind. Und es gibt noch mehrere andere Angriffszenarien.
Ein Kommentar zum Aufwand der betrieben werden müsste, um Solaranzeige sicher zu betreiben: ich habe in der Praxis immer wieder ähnliche Architekturen gesehen, die früher oder später ernsthafte Schwachstellen aufweisen. Da gibt es mindestens zwei Treiber: bei der Komplexität von Solaranzeige ist damit zu rechnen, dass öfters für irgendeine der Komponenten ein Sicherheitsupdate zur Verfügung steht (typisch: mehrfach pro Monat). Das bedeutet dass man des öfteren neue Releases testen und freigeben muss. Da verstehe ich Ulrich, dass er diesen Aufwand nicht leisten will. Das fordert nähmlich auch professionelle IT Organisationen! mächtig heraus! Zum zweiten bedeutet ein gut abgesichertes System, dass man mit Einschränkungen leben muss. Da ist etwa jeder Netzwerkverkehr grundsätzlich gesperrt ausser er ist explizit freigegeben oder es wird ein Benutzerkonzept erzwungen, welches die Programme grundsätzlich nicht mit root laufen lässt und Filesystem Berechtigungen auf das Nötigste einschränkt. Damit ist es aber auch für Experten aufwändig, Systemerweiterungen einzupflegen. Das sind nur einige Beispiele - ähnliches gilt für die sichere Konfiguration der Datenbank und Applikation(en).

Ich bin erst am Anfang meiner Automatisierungsreise, habe aber folgendes erkannt: für kritische Infrastrukturkomponenten in meinem Zuhause die mit IP vernetzt sind wie etwa Wechselrichter, Schaltaktoren, HomeMatic, Solaranzeige, werde ich ein separates Netzwerk bauen, welches vom normalen Hausnetz durch eine Firewall getrennt ist. Deformation Professionelle - klar. Heute kann ich damit leben wenn meine Frau mich auf einer Auslandsreise wachklingelt weil der Fileserver nicht läuft. Aber ich werde nicht riskieren, dass meine Solaranzeige oder mein Wechselrichter gehackt wird und zuhause ein Blackout herrscht ... Wer glaubt ich übertreibe kann mal nach "iot exploit" oder nach "Mirai Botnet" googeln für einen Vorgeschmack was heute schon real ist.

Bogeyof
Beiträge: 126
Registriert: Mi 13. Mai 2020, 10:04

Re: VPN - wieso spricht niemand darüber?

Beitrag von Bogeyof »

Ich glaube beim VServer geht es nicht vorwiegend um den Zugriff via Handy, sondern um das Veröffentlichen der Daten, z.B. damit mit einem Browser von überall darauf zugegriffen werden kann (auch Gäste). Und dies leistet VPN nicht...

tuxflo
Beiträge: 19
Registriert: So 17. Mai 2020, 21:48

Re: VPN - wieso spricht niemand darüber?

Beitrag von tuxflo »

Warum soll man da auch groß drüber reden?

Ich nutze schon längere Zeit Wireguard und bekomme es gar nicht mehr mit in welchem Netz ich mich befinde. Die 192.168.X.X Adressen sind so oder so immer erreichbar und nun seit kurzem auch die Dasshboards der solaranzeige. Ich denke, dass die Risiken von jedem selbst abgeschätzt werden müssen.
Und mal ganz ehrlich: wenn man Angst hat Opfer von Zero Day Angriffen zu werden, sollte man möglicherweise auch an vielen anderen Stellen paranoider werden. Auch ein VServer kann davon betroffen werden, nur mit dem wesentlichen Unterschied, dass man dort nicht immer die Möglichkeit hat selbst was dagegen zu tun (siehe z.B. die Intel Bugs aus den letzten Jahren).

Was die Komplexität und Sicherheit angeht: das ist auch ein wenig selbst gewähltes Leid. Durch den aktuellen Aufbau der solaranzeige läuft ja alles mehr oder minder frei auf dem Hostsystem und das auch noch teilweise als root. Hier könnte man z.B. durch den Einsatz von Containern schon mal eine weitere Schutzschicht einziehen. Auch die angesprochenen Zugriffsrechte wären damit im Grunde schon gewährleistet (auch wenn es natürlich keinen 100% igen Schutz bietet).

P.S.: Das soll kein Gemecker darstellen und ist lediglich als Hinweis gemeint. Ich bin selbst gerade dabei meine funktionierende solaranzeige vom Raspi in Docker Container zu verpacken um diese möglicherweise auch auf meinem NAS anstelle des Raspi zu betreiben. Wenn ich erfolgreich war werde ich es natürlich hier im Forum kommunizieren.
Kostal Pico Wechselrichter
go-E Wallbox
Geplante Einsatzhardware: QNAP NAS (via Docker)

Antworten