Anzeige der Artikel nach Schlagwörtern: Sicherheit

Montag, 16 Oktober 2017 16:53

Homematic CCU-2 nun mit Sicherheitshinweis

Mit der aktuellen CCU-2 Firmware findet, neben einigen Performanceverbesserungen, auch eine Sicherheitsmeldung seinen Weg auf die Benutzeroberfläche, welche den Nutzer über die Gefahren von Portweiterleitungen auf die CCU-2 informiert.
 
Wird das Homematic/Homematic IP-System zusammen mit der CCU-2 genutzt, ist keine Internetverbindung für den Betrieb des Systems nötig. In der Regel verhindert die Firewall des Routers, dass die CCU-2 über das Internet angesprochen werden kann. Für den sicheren Zugriff per Internet können Dienste externer Anbieter oder auch ein eigner VPN-Server genutzt werden. Einige User nutzen jedoch die einfache Portweiterleitungsfunktion des Routers, um die CCU-2 über das Internet ansprechen zu können. Hierdurch wird die CCU-2 jedoch nicht nur für den Besitzer, sondern auch für jeden anderen Internetnutzer sichtbar und damit angreifbar. Auf diesen Zustand wird der CCU-2 Nutzer nun, nach dem Update auf Version 2.29.23 und dem nachfolgendem Leeren des Browsercaches, einmalig hingewiesen. Damit die Nachricht nicht unbeabsichtigt weggeklickt wird, muss zuerst ein Kontrollkästchen aktiviert und dann auf „Weiter“ geklickt werden. Der Text (siehe unten) ist dabei verständlich formuliert und informativ. Nutzer der Portweiterleitungsfunktion sollten diese schnellstens wieder aus den Routereinstellungen entfernen und das eigene Intranet damit vor Angriffen aus dem WWW schützen.
View the embedded image gallery online at:
https://www.xotherm.de/tag/Sicherheit.html#sigProIdb845ef472f
Die neue Firmware kann hier (Link) heruntergeladen werden. Das Changelog gibt es hier (Link).
 
Nachfolgend finden Sie den Inhalt der Sicherheitswarnung:
 
VORSICHT: VERWENDEN SIE KEIN PORT FORWARDING!
 
Lieber Anwender!
 
Ihre Sicherheit und Datenschutz sind uns besonders wichtig.
 
Die CCU können Sie komplett autonom im Haus betreiben, ohne dass Ihre Installation und/oder Daten von Ihnen im Internet bekannt werden.
 
Aus dem Internet ist gewöhnlich kein Zugriff direkt auf Geräte in Ihrem Heimnetz möglich. Eine Adressumsetzung (Network Address Translation – NAT) wandelt die lokalen Adressen in Ihrem Heimnetz in die öffentliche Adresse an Ihrem Router um. Während NAT ursprünglich entwickelt wurde, damit in den Haushalten mehrere oder viele Geräte mit nur einer Adresse arbeiten können, bietet NAT auch einen Schutz gegen Missbrauch aus dem Internet: Durch NAT können Geräte im Netz des Anwenders typisch nicht direkt angesprochen werden. Umgekehrt kann NAT aber einen Zugriff aus dem Internet auf Ihre CCU – z. B. mit einem Smartphone – im Wege stehen.
 
Sofern Sie aus dem Internet auf Ihre Installation mit der CCU zugreifen möchten, empfehlen wir Ihnen insbesondere zwei Arten von Lösungen:
 
1)  Nutzung eines „Remote Access Dienstes“
Hier wird mit einer kleinen Software aus der CCU eine Verbindung zu einem „Rendezvous“-Server im Internet aufgebaut. Mit dem Smartphone und einer entsprechend App wählen Sie ebenfalls diesen Rendezvous-Server an. Nur wenn User ID und Passwort stimmen, werden Sie mit der CCU verbunden. Bei diesem Verfahren ist die CCU vom Internet aus niemals direkt sichtbar.
 
Beispiele für Remote Access Dienste sind „CloudMatic“ und „Orbilon“.
Sie finden als Beilage zur CCU eine Liste von Partnerlösungen mit weiteren Details.
 
2)  Einwahl mittels VPN („Virtuelles Privates Netz“)
Die meisten Hersteller  von Routern erlauben den Aufbau eines VPN von einem Smartphone. Sie können sich ein VPN als sicheren Tunnel vorstellen, in dem alle Daten verschlüsselt und authentisiert sind. Bei VPN-Aufbau ist mindestens die Angabe einer User ID und eines Passworts notwendig. Es gibt aber auch VPN-Lösungen, die eine zweite Form der Authentisierung benötigen, z. B. eine auf das Handy gesendete TAN. Auch beim VPN ist die CCU im Internet niemals direkt sichtbar.
 
Ein Beispiel für eine VPN Lösung ist „My Fritz!“ von AVM.
 
Smartphone Apps für die CCU wie die „Pocket Control App“ können VPNs automatisch unterstützen.
 
Warum warnen wir Sie vor PORT FORWARDING?
 
Bis vor etwa 8 Jahren war es durchaus üblich, eine andere Technik für den Remote Zugriff zu unterstützen: Bei Port Forwarding werden ein oder mehrere Ports – d. h. Zugangspunkte – eines Geräts innerhalb des Heimnetzes auch „außen“ am Router zur Verfügung gestellt. Eine CCU – oder auch ein anderes Gerät in Ihrem lokalen Netz – kann mit Port Forwarding von einem Smartphone im Internet direkt angesprochen werden.
 
Port Forwarding wurde früher von vielen Herstellern empfohlen und sogar aktiv unterstützt, damit die Konfiguration einfacher ist. Es gibt sogar bis heute einen Standard „UPnP“, mit dem Port Forwarding am DSL oder Cable Router eingerichtet werden kann, ohne dass hierzu eine manuelle Konfiguration notwendig ist. LAN und WLAN Kameras haben früher fast ausschließlich auf Port Forwarding basiert und unterstützen es oft selbst noch heute aktiv.
 
Der gravierende Nachteil von Port Forwarding ist, dass Ihr Gerät von jedem anderen System im Internet angesprochen werden kann. Leider auch von Hackern, die nur darauf, bislang noch unbekannte Sicherheitsfehler in Linux zu nutzen, um die Systeme in Ihrem Netz anzugreifen.
 
Port Forwarding ist heute nicht mehr für den Zugriff auf eine CCU notwendig! Wie oben gezeigt, stehen bessere Alternativen zur Verfügung, die weitaus sicherer sind.
 
Falls Sie heute noch Port Forwarding für eine CCU oder andere Geräten verwenden, stellenSie dies in Ihrem eigenen Interesse BALDMÖGLICHST ein.
 
Um die Sicherheit gegen unbefugtes Anmelden weiter zu verbessern, empfehlen wir ebenfalls die Funktion „Automatisches Anmelden“ in der Benutzerverwaltung zu deaktivieren.
 
Viele Grüße
Ihr eQ-3 Support Team
Freigegeben in News
Schlagwörter
Montag, 08 August 2016 11:47

Identos ID50 Password Manager im Praxistest

Passwörter sind aus unserem Leben nicht mehr wegzudenken. Während normale Schlüssel unsere weltlichen Wertgegenstände schützen sollen, benötigen wir sichere Passwörter zur Absicherung unserer virtuellen Zweitwelt. Mit der Anzahl der Onlinedienste steigt auch die Anzahl der benötigten Kennwörter. Um nicht im Kennwortdschungel unterzugehen, bieten sich sogenannte Passwortmanager an, welche die Passwörter sicher verwahren und immer dann zur Verfügung stellen, wenn diese benötigt werden. Hierbei gibt es lokale Softwarelösungen, Kennwortspeicher in der Cloud oder eben auch Hardwarelösungen wie den ID50 von Identos. Wie sich dieser bedienen lässt, erklären wir in diesem Ratgeber.
 

Der Identos ID50 Lieferumfang

Der Identos ID-50-USB-Stick (Link) wird zusammen mit einer Kurzanleitung ausgeliefert, welche neben kurzen Einrichtungshinweisen auch ein Feld für die gewählte Sicherheitspin zur Verfügung stellt. Diese Pin stellt den Masterkey des Systems dar, mit dem später der Zugang zu den gespeicherten Passwörtern freigeschaltet werden kann. Im Optimalfall sollte der Pin jedoch auswendig gelernt und gar nicht notiert werden.
View the embedded image gallery online at:
https://www.xotherm.de/tag/Sicherheit.html#sigProId7cf40f278a

Die Identos ID50 Software installieren

Bei der Nutzung einer Hardwareverschlüsselung wird natürlich auch Software benötigt. Diese bietet Identos als Browsererweiterung für Chrome und Firefox an. In unserem Test beschränken wir uns auf die Chrome-Variante und testen diese unter Windows 10 Pro. Die Erweiterung kann bequem über die Identos-Webseite (Link) installiert werden.
View the embedded image gallery online at:
https://www.xotherm.de/tag/Sicherheit.html#sigProId05d03dfa8c

Den Identos ID50 einrichten

Wurde die Software installiert und der Rechner neu gestartet, muss der ID50-Stick in einen USB-Port eingesteckt und der Browser mit der installierten Erweiterung geöffnet werden. Hier findet sich nun in der rechten oberen Ecke das Symbol der ID50 Erweiterung. Wird diese angeklickt, startet der leicht verständliche Ersteinrichtungsassistent.
View the embedded image gallery online at:
https://www.xotherm.de/tag/Sicherheit.html#sigProId5d1d9a43bc
Wurde alles eingerichtet, erscheint beim Anklicken des besagten ID50-Symbols ein Auswahlfenster mit drei Auswahlfeldern.
View the embedded image gallery online at:
https://www.xotherm.de/tag/Sicherheit.html#sigProId38a5b0b8ac

Den Identos ID50 verwenden

Fertig eingerichtet zeigte sich der ID50 von seiner besten Seite. Soll eine Webseite entsichert oder ein Passwort gespeichert werden, reicht die Eingabe des PINs, welcher nach einem Klick auf das ID50 Symbol eingegeben werden kann. Ist dies geschehen, erscheint in jedem Kennwortfenster ein kleines Symbol, welches beim Speichern der Nutzerdaten behilflich ist. Bereits gesicherte Benutzernamen und Passwörter werden automatisch eingefügt.
View the embedded image gallery online at:
https://www.xotherm.de/tag/Sicherheit.html#sigProIdeb112bdb23

Bestehende Passwörter importieren

Über die ID50-Einstellungen wird ein direkter Import der im Browser lokal gespeicherten Passwörter angeboten. Unter Chrome funktionierten die in der Anleitung angegebenen Schritte problemlos -importiert wurden die Passwörter jedoch nicht. Ob dies an der Chrome-Erweiterung lag oder ob Google den externen Zugriff auf die Passwörter extra abgesichert hat, konnten wir bisher nicht final klären.
View the embedded image gallery online at:
https://www.xotherm.de/tag/Sicherheit.html#sigProIdd5f6339d81

Den ID50 aussperren

Soll der ID50 auf bestimmten Webseiten inaktiv bleiben, können diese mit wenigen Klicks in eine Art Blacklist aufgenommen werden.
View the embedded image gallery online at:
https://www.xotherm.de/tag/Sicherheit.html#sigProIdf9741df410

Fazit: Was bleibt zu sagen?

Heutzutage sind Passwortmanager bereits „ab Werk“ in die meisten Webbrowser integriert. Sollen die dort gespeicherten Passwörter jedoch auch auf anderen Rechnern nutzbar gemacht werden, landen die Kennwörter zwangsläufig auf den Servern des jeweiligen Anbieters. Mit dem Identos ID50 (Link) kann man auf diese Onlinespeicherung verzichten und die eigenen Zugangsdaten trotzdem jederzeit griffbereit dabei haben. Ganz frei ist man jedoch auch beim Indentos ID50 nicht, da für den Gebrauch ein extra Browserplugin installiert werden muss. Das von uns getestete Chrome-Plugin funktionierte im gesamten Testzeitraum wunderbar. Einzig der Import der bereits in der Google-Cloud  gespeicherten Passwörter wollte nicht so ganz klappen. Ob dies an den Chrome-Sicherheitseinstellungen oder am Plugin lag, konnten wir bisher nicht genau klären. Trotz dieser kleinen Einschränkung gefiel uns der Stick und dessen einfache Handhabung sehr gut. Es ist wirkliche praktisch, bei jedem Webanbieter unterschiedliche, sichere Zugangsdaten nutzen zu können, und diese bei Bedarf, einzig durch die Eingabe einer einzigen PIN, automatisch eingetragen lassen zu können.
Freigegeben in Tipps
Das Alarmsystem soll innovative Technik mit schickem Design sowie intuitiver Bedienung kombinieren und zudem über das Smartphone steuerbar sein.
 
Die Kamera schützt dabei sogar die Privatsphäre mit einer automatischen Blende. Diese fährt zu und verdeckt damit die Kameralinse, sobald sich Bewohner in der Umgebung aufhalten. Werden die eigenen vier Wände verlassen, öffnet Sie sich wieder automatisch. Bewegungen erkennt die Kamera über einen integrierten Infrarotsensor, welcher bei Bedarf die Aufzeichnung startet. Laut Hersteller soll die HD-Kamera sowohl bei Tag, als auch bei Nacht funktionieren und sogar batteriegestützt arbeiten können. Ein Weitwinkelobjektiv sorgt für einen großen Aufnahmebereich. Der Hersteller verspricht zudem eine zuverlässige Anwesenheitserkennung, welche es ermöglichen soll, die anwesenden Personen zu sehen und mit ihnen zu sprechen. 
View the embedded image gallery online at:
https://www.xotherm.de/tag/Sicherheit.html#sigProIdf72003b3d6
Die Alarmanlage nutzt, laut Myfox, spezielle Sensoren, welche Oberflächenschwingungen erkennen können. Dabei soll das System zwischen zufälligen Erschütterungen und wirklichen Gefahren unterscheiden können. Die Kommunikation mit dem Alarm-und Kamerasystem wird per Android-, Windows-, oder iOS-App erledigt.
View the embedded image gallery online at:
https://www.xotherm.de/tag/Sicherheit.html#sigProId831138b5eb
Das System soll ab Ende Juni 2015 im IT-Fachhandel erhältlich sein. Weitere Informationen gibt es auf www.getmyfox.com.
Freigegeben in News