Unser neues Haus mit ein paar Anfängerfragen

Es gibt 109 Antworten in diesem Thema, welches 6.022 mal aufgerufen wurde. Der letzte Beitrag () ist von Dany250.

    Zitat von Dany250

    Wie ist das eigentlich mit all den Geräten die ohne jegliche von mir freigegebene Weiterleitung dennoch von außen angesprochen werden können (Lampen, Kameras, Saugroboter, Thermometer, etc.). Warum können die das und sind diese Geräte nicht eine potenzielle Gefahr (auch für sich untereinander)?

    Sie sprechen zuerst nach außen und haben damit einen Rückkanal offen. Das ist wie ein Großteil der IOT Geräte funktionieren

    weil sie it einem Externen Server Sprechen und deine APP das auch macht.


    Netzwerktechnisch ist es wie bei fast allen andere immer eine Zweiwege Verbindung:


    Beispiel:

    Dein Client 192.168.1.12 will zum Webserver 49.13.63.12

    Dann baut dein Client eine TCP Verbindung von port 51223 ( der ist zufällig) zu 49.13.63.12 port 443

    Server Antwortet von Port 443 zurück auf deinen port 51223. Dazwischen liegt natürlich noch der Router und das NAT

    das die Interne IP auf die Externe IP umschreibt. Und genau da sitzen mit Firewall und NAT

    auch die Mechanismen die dafür sorge tragen das die Verbindung auch wider rein darf.



    Ganz salopp könnte mach auch sagen das ist eine Dynamische Automatische Portweiterleitung,

    passend zu den anfragen die vorher in die andere richtige gingen.

    Das heißt dann praktisch, dass diese Geräte auch wenn es den Anschein hat, dass sie es könnten, eigentlich nur diese eine Verbindung nutzen "dürfen" und sonst nichts?


    Ich hatte immer meine Bedenken, dass der chinesische Saugroboter auch wild mein gesamtes Netzwerk ausspioniert, da er ja sogar das WLAN Passwort bekommen hat...

    Korrekt, das Mesh ausschalten.


    ###

    IP Verbindungen sind ja nicht einfach mal da. Die werden bei Bedarf aufgebaut und Pakete gehen immer in beide Richtungen also sendet und empfängt a und B. Das hat nichts damit zu tun ob man Dateien von A nach B oder umgekehrt kopiert! Dabei gibt es für die Verbindungen Statis die auch beim Firewalling eingesetzt werden. Da gibt es folgende (technisch stark vereinfacht):


    new - Da wird eine neue Verbindung aufgebaut

    established/related - Da gibt es eine bestehende Verbindung oder die Pakete stehen in Beziehung zu einer bestehenden Verbindung

    illegal - das sind zum Beispiel Pakete die keine neue Verbindung initiieren aber auch nicht zu einer bestehenden Verbindung gehören (also die nicht zuden beiden oberen Gruppen gehören)


    Jetzt kann man das so stricken, dass established/related immer erlaubt ist. Das sorgt dafür das A und B in jedem Fall antworten dürfen. Illegal wird immer weggeschmissen, denn diese Pakete sollte es eigentlich nicht geben, tuts aber und oftmals nicht zu knapp. Stellen wir uns mal vor A ist ein PC und B ist ein Drucker.


    Was will man und was passiert? Man will einen Ausdruck starten und demzufolge Schickt der PC Zum Starten der Verbindung ein Paket mit dem Attribut new an den Drucker. Firewall guckt ob das so erlaubt ist und lässt das durch. Drucker kann ja antworten, weitere Pakete vom PC sind auch established und es besteht dann eine Verbindung zwischen PC und Drucker und der Druckauftrag kann rüber. Wenn das ganze ferttig ist und eine Weile keine Daten mehr fliessen, dann wird die Verbindung ungültig und ist nicht mehr existent und muss neu aufgebaut werden oder sie muss durch "Ab und Zu mal ein Paket" am Leben erhalten werden.


    Da ein Drucker von sich aus ja nie eine Verbindung zu einem anderen Gerät aufbaut als Initiator. Kann man also festlegen, dass Pakete mit New vom Drucker verworfen werden.


    Unterm Strich A nach B erlaubt, B nach A nicht erlaubt.


    ###

    Die letzte Frage zielt vermutlich auf "Cloud Geräte" ab. Hier st es so, dass sich Deine Geräte ausgehend mit einem Cloudserver des Herstellers/Dienstanbieters verbinden. Die dazugehörige App auf dem Handy oder ein ggf. existierendes Webportal greift ebenfalls auf diesen Cloud Server zu. Der Anbieter verbindet das ganze bei sich. Der vermeintliche Zugriff in dein Netz aus dem Internet findet also nicht direkt statt und benötigt weil ausgehend auch keine Portweiterleitungen.

    Beispiele dafür sind z.B. Teamviewer, Synology Quickconnect, Unifi Remote Portal (unifi.ui.com) und sehr viele andere.


    Je nachdem wie das System aufgebaut ist ist das mehr oder weniger gefährlich. Bei manchen Portalen braucht es einen Account und man kann sich dann erst verbinden wenn man sich angemeldet hat. Beim Quickconnect brauchts erstmal nur die Adresse und man klopft schon am NAS an. Prinzipiell hängt die Sicherheit da stark von der Plattform des Anbieters ab.


    Jedes Gerät in einem Netzwerk (VLAN) ist potentiell für alle anderen Geräte gefährlich. Es reicht ein kompromitiertes Gerät aus (so fängt es eigentlich immer an) um das gesamte Netzwerk zu gefährden, denn man kann sich als böser Bub umsehen und weitere Lücken suchen, finden und ausnutzen. Von daher halte ich persönlich Smartphones, Tabletts und andere Mobilgeräte, die auch Unterwegs in fremden WLANs genutzt werden, nicht für sehr vertrauenswürdig. Die könnten sich auch außer Haus eine Erkältung eingefangen haben.

    gierig toll hätte ich meinen Aufsatz ja nicht verfassen müssen :grinning_face_with_smiling_eyes:

    Zitat von Dany250

    ...

    Ich hatte immer meine Bedenken, dass der chinesische Saugroboter auch wild mein gesamtes Netzwerk ausspioniert, da er ja sogar das WLAN Passwort bekommen hat...

    Öhmm also technisch und theoretisch ist der Betreiber der Plattform schon in der Lage mit solchen Geräten Netzwerke auszuspionieren. Dabei ist das WLAN Passwort vermutlich am uninteressantesten, denn es wird kein Chinese vor deinem Haus auftauchen und sich in dein WLAN einloggen, wo er doch prinzipiell schon in deinem Netz ist.


    Da die Möglichkeit besteht dass einige Hersteller sowas auch praktisch machen können/sollen/müssen, sollte man diese Geräte immer in ein extra VLAN packen und von allen anderen Netzen isolieren.

    Vielen Dank für deine Ausführlichen Antworten!


    Ich werde die Ratschläge nun erst mal beherzigen und alles geschriebene verarbeiten, ist doch etwas mehr und etwas komplizierter als irgendwann einmal gedacht...


    Aber Stück für Stück wird das schon, ich verstehe (glaube es zumindest) immer mehr...

    Huhu,


    ich hab mal wieder eine kleine Zwischenfrage.


    Ich habe gestern mal etwas mit HomeKit rumprobiert und bin auf etwas seltsames gestoßen für das ich keine Lösung finde.


    Ich habe 3 Kameras in HomeKit eingebunden. Mein AppleTV ist die Steuerzentrale. Alles funktioniert prima, egal ob ich im (selben) WLAN bin oder unterwegs über das Mobilfunknetz darauf zugreife.


    AAABBBERRR:

    Wenn ich im selben WLAN verbunden bin geht alles reibungslos, sobald ich aber das WLAN wechsle, habe ich keinen Zugriff mehr auf die Kameras und zwar nur auf die Kameras, Lampen, Jalousien, etc. funktionieren weiterhin reibungslos. Die Fehlermeldung lautet:

    Keine Antwort

    Diese Kamera antwortet nicht.


    Ich kann mir dieses Phänomen überhaupt nicht erklären, gerade weil es von außerhalb geht und weil alles andere außer die Kameras auch aus dem anderen WLAN klappt? Fremde WLANs funktionieren übrigens auch einwandfrei...


    Habt ihr eine Idee?


    Viele Grüße

    Dany

    Fremde Wlans wären ja Remote, und nicht lokal. Evtl n Config Fehler in der Firewall?


    Ich hab zwar viel Homekit Kram(inkl 2x Apple TV und 2x Homepods als Zentralen), Hue Beleuchtung und Eve steckdosen, Qingping Sensoren,… , aber keine Kameras, da ich da Unifi Cams hab. Kann ich leider nicht testen

    Zitat von DoPe

    gierig toll hätte ich meinen Aufsatz ja nicht verfassen müssen

    Doch doch weil ich schrieb ja nur über Generelle Kommunikation und NAT, du hast (sehr schön) noch das Statefuel Firewall Konzept mit

    reingebracht.


    Zitat von Dany250

    Diese Kamera antwortet nicht.

    Tja zu dem Anton schon sagte.

    Sind die CAMs denn z.B per Ping erreichbar. Dürfen die Cams selber (viel Kram sperrt das) überhaupt mit anderen Netzen sprechen.

    Evt. lasen sie nur über mDNS finden und und hast den nötigen Proxy für die VLAN nicht auf dem Gateway eingeschaltet.

    (mDNS wird nicht geroutet, deswegen bedarf es den mDNS Helfer der das von einem ins andere VLAN pustet)


    Ohne Eigne Firwallreglen wird intern kein Verkehr gebloggt, das währe ein erster schneller test eigne Reglen Abschalten / Pausieren.

    Guten Morgen ihr Lieben!


    Also viel hab ich noch gar nicht in der Firewall gemacht, ganz am Anfang habe ich jedem Netzwerk verboten mit einem anderen Kontakt aufzubauen und das auch so belassen. Vereinzelt habe ich dann wieder Rechte vergeben wie zum Beispiel die Verbindung von meinem PC zum Wechselrichter.


    Ich habe eben mal den Block vom Netzwerk "Handy" (heißt jetzt nur als Beispiel so) UND Netzwerk "HomeKit" aufgehoben und siehe da, ich kann auf die Live-Cams zugreifen. Mach ich den Block wieder rein gehts nicht mehr, ich muss aber beide aufheben.

    Seltsam finde ich aber noch immer, dass alles außer die Live Videos gehen, selbst Aufnahmen in HomeKit kann ich abspielen.


    Könnte ihr mir sagen, was ich nun aber mit dieser Information anfangen kann? Was muss ich für Regeln erstellen, dass es auch au einem anderen Netzwerk geht, denn alles ausschalten klingt nicht gut :grinning_face_with_smiling_eyes: .


    Ich hatte vorher auch schon versucht von der einen IP (Handy) zur anderen (AppleTV) den Zugriff zuzulassen, das hat aber nicht geklappt, bzw. es gab keine Veränderung.


    Habt ihr wieder Ideen?