VPN - wieso spricht niemand darüber?

Mit und ohne lokalem Monitor. Die Daten können wahlweise auch zusätzlich auf einen zentralen Server im Internet gesendet werden, (VServer) oder auch auf einen zentralen Server im lokalen Netzwerk. (Falls man mehrere Wechselrichter und Laderegler hat.)

Moderator: Ulrich

Reservoirdog
Beiträge: 3
Registriert: Do 5. Mär 2020, 18:58
Danksagung erhalten: 1 Mal

VPN - wieso spricht niemand darüber?

Beitrag von Reservoirdog »

Habe bei meiner (3490) Fritzbox im Handumdrehen den VPN-Server eingerichtet
(Tutorials gibts dazu genug im Internet) und via Smartphone kann ich mit wenigen "Klicks" connecten.
Schon kann man von unterwegs sicher auf die Solaranzeige schauen, ohne den Pi direkt sichtbar
aus dem Internet zu machen...
Alles sehr easy, und kostet nix. Wollte ich bei all dieser VServer-Thematik mal erwähnt haben.

Grüsse aus der Schweiz, Chris

4128
Beiträge: 2
Registriert: So 14. Jun 2020, 14:20

Re: VPN - wieso spricht niemand darüber?

Beitrag von 4128 »

Sorry - lange Antwort aber es genügt, den nächsten Absatz zu lesen:

Die einfache Antwort: soweit ich es einschätzen kann, hat bei Ulrich "ease of use" Priorität. Die Absicherung des Systems nach allen Regeln der Kunst würde die Konfiguration, den Betrieb und die Erweiterung des Systems sogar für erfahrene Systemadministratoren unpraktisch machen. Und ein VPN Gateway schützt das interne Netz eben nicht zu 100% (siehe Details weiter unten). Als Sicherheitsexperte begrüsse ich Ulrich's Ansatz mit dem vServer. Chapeau! Wie wir Schweizer sagen. Ich werde mein System nicht via VPN zugänglich machen denn ich weiss um die Risiken.

Und hier die etwas längere Antwort:
Selbst wenn Dein VPN Gateway heute 100% sicher konfiguriert wäre, so gäbe es immer noch Angriffszenarien bei denen eine Solaranzeige gehackt werden kann. Beispiele: sogenannte Zero Day Attacken wenn neue Schwachstellen in VPN Software ausgenutzt werden, bevor der Hersteller das weiss und ein Update zur Verfügung gestellt hat. Oder es gibt ein Update aber Du installierst es zu spöt. Oder ein Angriff auf eines Deiner Endgeräte mit Internetzugriff (beliebt sind Android Endgeräte), welche via VPN mit Deiner Solaranzeige verbunden sind. Und es gibt noch mehrere andere Angriffszenarien.
Ein Kommentar zum Aufwand der betrieben werden müsste, um Solaranzeige sicher zu betreiben: ich habe in der Praxis immer wieder ähnliche Architekturen gesehen, die früher oder später ernsthafte Schwachstellen aufweisen. Da gibt es mindestens zwei Treiber: bei der Komplexität von Solaranzeige ist damit zu rechnen, dass öfters für irgendeine der Komponenten ein Sicherheitsupdate zur Verfügung steht (typisch: mehrfach pro Monat). Das bedeutet dass man des öfteren neue Releases testen und freigeben muss. Da verstehe ich Ulrich, dass er diesen Aufwand nicht leisten will. Das fordert nähmlich auch professionelle IT Organisationen! mächtig heraus! Zum zweiten bedeutet ein gut abgesichertes System, dass man mit Einschränkungen leben muss. Da ist etwa jeder Netzwerkverkehr grundsätzlich gesperrt ausser er ist explizit freigegeben oder es wird ein Benutzerkonzept erzwungen, welches die Programme grundsätzlich nicht mit root laufen lässt und Filesystem Berechtigungen auf das Nötigste einschränkt. Damit ist es aber auch für Experten aufwändig, Systemerweiterungen einzupflegen. Das sind nur einige Beispiele - ähnliches gilt für die sichere Konfiguration der Datenbank und Applikation(en).

Ich bin erst am Anfang meiner Automatisierungsreise, habe aber folgendes erkannt: für kritische Infrastrukturkomponenten in meinem Zuhause die mit IP vernetzt sind wie etwa Wechselrichter, Schaltaktoren, HomeMatic, Solaranzeige, werde ich ein separates Netzwerk bauen, welches vom normalen Hausnetz durch eine Firewall getrennt ist. Deformation Professionelle - klar. Heute kann ich damit leben wenn meine Frau mich auf einer Auslandsreise wachklingelt weil der Fileserver nicht läuft. Aber ich werde nicht riskieren, dass meine Solaranzeige oder mein Wechselrichter gehackt wird und zuhause ein Blackout herrscht ... Wer glaubt ich übertreibe kann mal nach "iot exploit" oder nach "Mirai Botnet" googeln für einen Vorgeschmack was heute schon real ist.

Bogeyof
Beiträge: 443
Registriert: Mi 13. Mai 2020, 10:04
Hat sich bedankt: 4 Mal
Danksagung erhalten: 31 Mal

Re: VPN - wieso spricht niemand darüber?

Beitrag von Bogeyof »

Ich glaube beim VServer geht es nicht vorwiegend um den Zugriff via Handy, sondern um das Veröffentlichen der Daten, z.B. damit mit einem Browser von überall darauf zugegriffen werden kann (auch Gäste). Und dies leistet VPN nicht...

tuxflo
Beiträge: 45
Registriert: So 17. Mai 2020, 21:48
Hat sich bedankt: 8 Mal
Danksagung erhalten: 8 Mal

Re: VPN - wieso spricht niemand darüber?

Beitrag von tuxflo »

Warum soll man da auch groß drüber reden?

Ich nutze schon längere Zeit Wireguard und bekomme es gar nicht mehr mit in welchem Netz ich mich befinde. Die 192.168.X.X Adressen sind so oder so immer erreichbar und nun seit kurzem auch die Dasshboards der solaranzeige. Ich denke, dass die Risiken von jedem selbst abgeschätzt werden müssen.
Und mal ganz ehrlich: wenn man Angst hat Opfer von Zero Day Angriffen zu werden, sollte man möglicherweise auch an vielen anderen Stellen paranoider werden. Auch ein VServer kann davon betroffen werden, nur mit dem wesentlichen Unterschied, dass man dort nicht immer die Möglichkeit hat selbst was dagegen zu tun (siehe z.B. die Intel Bugs aus den letzten Jahren).

Was die Komplexität und Sicherheit angeht: das ist auch ein wenig selbst gewähltes Leid. Durch den aktuellen Aufbau der solaranzeige läuft ja alles mehr oder minder frei auf dem Hostsystem und das auch noch teilweise als root. Hier könnte man z.B. durch den Einsatz von Containern schon mal eine weitere Schutzschicht einziehen. Auch die angesprochenen Zugriffsrechte wären damit im Grunde schon gewährleistet (auch wenn es natürlich keinen 100% igen Schutz bietet).

P.S.: Das soll kein Gemecker darstellen und ist lediglich als Hinweis gemeint. Ich bin selbst gerade dabei meine funktionierende solaranzeige vom Raspi in Docker Container zu verpacken um diese möglicherweise auch auf meinem NAS anstelle des Raspi zu betreiben. Wenn ich erfolgreich war werde ich es natürlich hier im Forum kommunizieren.
Kostal Pico Wechselrichter
SMA Tripower Wechselrichter

go-E Wallbox

per IR-Schreib/Lesekopf werden auch Zählerdaten erfasst

Raspi 4 über PoE HAT betrieben

Helmut1011
Beiträge: 5
Registriert: Fr 27. Nov 2020, 09:40

Re: VPN - wieso spricht niemand darüber?

Beitrag von Helmut1011 »

Ich finde die Diskusion über Sicherheit sehr wichtig und kann 4128 im Grunde nur zustimmen.

Home Automation usw. gehört nicht ins Internet, gerade ohne Erfahrung mit Firewalls ist selbst das öffnen mittels VPN mit Problemen behaftet. Nur ein Beispiel: Das Smartphone mit der VPN-config wird gehackt, was im Prinzip jedem ermöglicht, dauerhaft in das eigene Home Netz zu tunneln. Gerade mit einer FritzBox (consumer firewall) würde ich OpenVPN nicht wagen. Aus eigener Erfahrung weiß ich, dass Fritz mit den Sicherheitsstandards (e.g. es ist 2021 und immer noch nur IPSEC IKEv1 Unterstützung) immer ziemlich hinterher hinkt und das für den Kunden auch noch sehr intransparent ist.

Daher ist die Idee, das Hausnetz in verschiedene Subnetze, welche per Firewall getrennt sind, durchaus sinnvoll. Idealerweise nimmt man dazu einen VLAN fähigen L2 Switch (Bsp.: Netgear GSS116E Switch) und einen Router mit VLAN Unterstützung (Pfsense APU2E4). Das kann man dann noch ergänzen durch einen oder mehrere Server (Raspberry PI; oder ein größerer Server mit mehreren Netzwerkschnittstellen + Proxmox Virtualisierung).

Bei mir sieht das so aus:
  • Pfsense hat verschiedene Subnetze:
    • Management Subnetz: Hier laufen kritische Anwendungen die von keinem anderen Subnetz aus erreicht werden können. Es gibt ein spezielles OpenVPN Netz welches nur interne Verbindungen erlaubt, über welches in das Management Subnetz zugegriffen werden kann. Als Anti-Lockout Solution ermöglicht nur noch die 4. Ethernet-Schnittstelle an der pfsense Zugriff. Aus dem Management Subnetz ist der Zugriff auf alle anderen Subnetze möglich.
    • Monitoring Subnetz: Zugriff von außen mittels separatem Open VPN netz. Dieses Subnetz ist generell nur mit Lese-Rechten verbunden. Kritische Infrastruktur (pfsense) ist nicht erreichbar. Hier laufen InfluxDB, OSSEC, Mosquitto Broker etc.
    • Service Subnetz: Hier laufen Grafana, Nextcloud etc. welche von Consumer Geräten im internen Netz abrufbar sind. Das Service Netzwerk ist als DMZ (Demilitarized Zone) konfiguriert, d.h. Services können nur antworten, aber nicht selbst Verbindungen aufbauen. Sollte ein Service von einem kompromittierten Gerät aus dem internen Consumer Netzwerk gehackt werden, ist es von dort nicht möglich, weiter in andere Subnetze vorzudringen.
    • Gäste-Netz: Eigenes VLAN, nur Zugriff auf Internet, nicht in andere Subnetze
    • Internet of Things Subnetz (IOT): Ähnlich wie Service Subnetz, Geräte können nicht allein ins Internet (= Chinesischer Huawei Logger kann nur erreicht werden, selbst aber niemanden erreichen). Consumer Subnetz kann IOT Geräte nicht direkt erreichen.
    • IPSEC: Dauerhafte Verbindung Pfsense mit der FritzBox auf Arbeit: Ich kann von dort meine internen Dienste immer sofort erreichen. Über ein Split-DNS Setup lassen sich alle Subdomains einer bestimmen Top Level Domain (TLD) in das Interne Home-IPSEC umleiten (e.g. solaranzeige.local.mytld.com). Die Let's Encrypt Wildcard Certs werden von der pfsense alle 2 Monate erneuert und per cron auf die internen Services verteilt. Auch intern läuft also alles mit SSL, um interne Lauschangriffe zu verhindern.
  • Wenn ich mich nun wirklich mal von außen verbinden möchte, nutze ich das zweite OpenVPN Subnetz, mit HMAC Authentication. Ich komme damit in ein Subnetz, was mir beschränken Zugriff auf bestimmte Services ermöglicht, e.g. InfluxDB, Solaranzeige etc. Ich logge mich in diesen Services mit extra "Lese-Accounts" ein (nicht mit den admin accounts). Sollte sich herausstellen, dass das Gerät von dem aus ich mich einlogge, kompromittiert wurde, wird der entsprechende VPN-Schlüssel einfach gelöscht. Der Schaden den kompromittierte Geräte anrichten können lässt sich durch diese Maßnahmen wesentlich verringern.
  • OSSEC und Loki/Grafana bzw. Telegraf führen für die meisten Services ein Monitoring durch. Ich sehe zum Beispiel täglich mindestens 20 fehlgeschlagene Versuche, sich mit dem OpenVPN zu verbinden - die scheitern schon beim HMAC. Sollte sich bei diesen log entries plötzlich was ändern, bemerkt das OSSEC und stuft die Auffälligkeit ggf. höher, ab einer bestimmten Stufe werde ich benachrichtigt (Chat/Slack, Mail).
  • Auf solaranzeige bezogen: Die läuft in einem Docker container, welcher selbst in einem unprivileged LXC container als nested virtualisation läuft. Sollte da doch mal was aus dem container rauskommen: Befindet sich der Angreifer erst mal in einem weiteren Container (LXC), ohne rechte auf das Host System. Zudem ist er im "Service" VLAN, kann also von dort aus selbst keinen anderen Service erreichen. Wenn er es doch, aus welchen Gründen auch immer, in das Proxmox Host system schafft, hat er eine uid mapping > 1000000, was weitere Aktionen verhindern sollte.
Das sehe ich so als das "Minimal-Setup". Wenn man kein OpenVPN nimmt, kann man es wesentlich einfacher machen. Alles in einem Subnetz laufen zu lassen würde ich aber auch ohne OpenVPN nicht empfehlen.

Aufwand:
  • Das einrichten von einem solchen System ist schon nennenswert
  • Die fortlaufende Wartung dagegen minimal. Wenn was schief geht, ist die Trennung von Diensten in unterschiedliche Container von Vorteil. Zeitersparnis ist also auf lange Sicht angelegt.

mbaier
Beiträge: 55
Registriert: Mi 24. Mär 2021, 07:19
Hat sich bedankt: 12 Mal

Re: VPN - wieso spricht niemand darüber?

Beitrag von mbaier »

Wäre das vielleicht eine Alternative zu einem kostenpflichtigen vServer ? : https://www.hackster.io/idreams/access- ... net-157ad1

solarfanenrico
Beiträge: 28
Registriert: Mi 20. Jan 2021, 19:49
Hat sich bedankt: 6 Mal

Re: VPN - wieso spricht niemand darüber?

Beitrag von solarfanenrico »

mbaier hat geschrieben:
Mo 12. Apr 2021, 21:28
Wäre das vielleicht eine Alternative zu einem kostenpflichtigen vServer ? : https://www.hackster.io/idreams/access- ... net-157ad1
Hallo, der Link führt zum RPi 2 B.
Damit habe ich vor ca. 4-5 Jahren angefangen und gegen einen vServer ersetzt.
Inzwischen hatte ich schon RPi 3 und aktuell den RPi4 mit SSD Platte. Meine "Homatic" ist ein Arduino Mega2560.
Für jemanden der Erfahrung mit dem Pi und das sichere Aufsetzen eines Servers hat, ist es eine gute Alternative.
Für Anwender, die ihre Erfahrungen nur mit Windows haben, wird es schwieriger.
Auf meiner Webseite solarfanenrico.de habe ich eine Anleitung von Raspian-Installation über Apache2 und PHP MySql, phpMyAdmin zusammengetragen.
Wer Interesse hat, einfach melden. Ich helfe kostenlos.

Helmut1011
Beiträge: 5
Registriert: Fr 27. Nov 2020, 09:40

Re: VPN - wieso spricht niemand darüber?

Beitrag von Helmut1011 »

Wenn es Port Öffnung sein soll, dann würde ich zumindest eine ordentliche Trennung von LAN/WAN empfehlen.

Das geht relativ einfach und zukunftssicher mit z.B. einer APU.2E4. Die hat 3 Netzwerkanschlüsse:
1. WAN (Internet, entweder direkt DSL oder zum Modem bei Breitband)
2. DMZ - hier wird der geöffnete TCP-Port weitergeleitet, dahinter könnte der Raspi hängen
3. LAN - hier ist alles intern. WAN und DMZ sind technisch getrennt, falls was passiert ist der Schaden begrenzt

Das system mit der pfsense ist äußerst stabil und mit den vorkonfigurierten settings selbst für Windows user leicht einzusetzten.
Habe ich seit Jahren im Einsatz ohne einen Ausfall. Wenn man dann auf dauer doch mehr möchte, lässt es sich auch einfach erweitern.

solarfanenrico
Beiträge: 28
Registriert: Mi 20. Jan 2021, 19:49
Hat sich bedankt: 6 Mal

Re: VPN - wieso spricht niemand darüber?

Beitrag von solarfanenrico »

Hallo Helmut1011,
Ich nutze nur eine Fritzbox und habe dahinter in meinem Wlan meinen Server auf dem RPi4. Dieser ist der Einzige der eine Portfreigabe auf Port 80 besitzt.
Andere Geräte haben dann auch noch andere freigegeben Ports, damit ich diese aus dem Internet erreiche. Damit hatte ich noch nie Probleme.
Eine Firewall hatte ich früher nur für den Windowsrechner. Seit dieser nicht mehr existiert ist die Fritzbox der einzige Schutz, und das bereits seit mehreren Jahren.
Versehentlich hatte ich in der Fritzbox den Port 8088 freigegeben(durch Tests mit dem InfluxDB-Backup auf einem anderen Medium), und bekam binnen Minuten einen Sicherheitshinweis durch die Telekom. Also die suchen scheinbar auch selbst nach Schwachstellen in Heimnetzen.
sonnige Grüße
Enrico

Helmut1011
Beiträge: 5
Registriert: Fr 27. Nov 2020, 09:40

Re: VPN - wieso spricht niemand darüber?

Beitrag von Helmut1011 »

Klar, wenn da nichts wertvolles im Heimnetz ist dann kann man das schon machen. Aber die Fritzbox ist consumer hardware,
welche wesentlich langsamere updates und Sicherheits fixes erfährt als z.B. pfsense/opnsense, die auch für Firmennetzwerke ausgelegt ist.

Hardware firewall ist im übrigen auch nicht vergleichbar mit software firewall, schon gar nicht mit Windows. Sowohl Antivirus als
auch Firewall sind auf Windows völlig sinnfrei. Mit Antivirus verschafft man Angreifern sogar noch mehr Angriffsfläche.. aber das
ist hier der falsche Ort, um das zu diskutieren.

Also: Freilich, kann man machen - aber dann bewusst, deswegen habe ich hier drauf hingewiesen, nicht um besserwisserisch zu klingen.
Denn oft sind Leute, welche PV-Anlagen betreiben und dann auf Monitoring übergehen auch generell an Smart Home etc. intressiert -
da lohnt sich dann schon, etwas robuster und durchdachter ranzugehen.

Oder mal anders herum gefragt: Traust du der Software auf dem Raspi zu, allen Ansprüchen was sicherheit angeht zu jeder Zeit gewachsen zu sein?
Ohne Komplettkenntnis der Software könnte ich sowas nicht mit Gewissheit sagen. Deswegen direkt vom worst-case ausgehen: Raspi wird komprommitiert. Was kein Problem ist, wenn Vorkerhungen getroffen wurden. Bei dir ist der Raspi aber im normalen Home-Lan, wo auch alle
anderen Geräte unterwegs sind.. Drucker, Smartphone, Echo..

Antworten