- Mitglied seit
- 16. Feb 2014
- Beiträge
- 7.896
- Punkte für Reaktionen
- 1.517
- Punkte
- 274
Das ist der Sinn einer DMZ diese unsicheren Geräte in der DMZ zu lassen und aus dieser mit einer weiteren Firewall und extrem starken Regeln (u.a. auch VLAN) die Verbindung ins LAN zu ermöglichen...............
Thema Audiogerät:
Ein solches Gerät benötigt in der Regel Internetzugriff (z.B. Radio) und Zugriff auf ein NAS (MP3/FLAC), sowie will man es über das Smartphone steuern. Schon aus Bequemlichkeit muss es daher ins LAN.
Ich würde es daher ins LAN setzen, eine feste IP vergeben und über den Router ins Internet lassen. Der Zugriff auf das NAS sollte mit einem eigenen Benutzeraccount erfolgen, der nur die Mediadateien zum Lesen freigibt.
aber um so mehr muss man auch hier weiter sensibilisieren!
Mal abgesehen davon, das diese Definition falsch ist... wenn eine Verbindung von innen nach außen etabliert wurde, können darüber auch Anfragen von außen nach innen erfolgen. Mein Samsung Fernseher funkt z.B. regelmäßig nach Hause, liefert Telemetriedaten ab und fragt vielleicht nach Updates. Je nach dem werden diese Updates dann einfach eingespielt und das geht nur, weil im Vorfeld eine Verbindung von innen nach außen etabliert wurde.Eine DMZ ist nicht dazu da, Kommunikation nach aussen zu unterbinden, sondern von aussen nach innen.
Das sind durchweg PULL-Requests von innen nach aussen. "Gib mir mein Update" ist eine aktive Anfrage deines geschwätzigen Fernsehers von innen nach aussen, kein Pushvorgang von aussen in dein LAN.Mein Samsung Fernseher funkt z.B. regelmäßig nach Hause, liefert Telemetriedaten ab und fragt vielleicht nach Updates. Je nach dem werden diese Updates dann einfach eingespielt und das geht nur, weil im Vorfeld eine Verbindung von innen nach außen etabliert wurde.
Normales Verhalten, wenn man auf Ebene DNS-Blocker die Kommunikation unterbindet. Dann versuchen einfacher gestrickte Telefonier-mich-nach-Hause-Produkte es einfach um so häufiger. Die Sony-Soundbars sind da in einer Hinsicht auch eine Seuche - die wollen zwar nicht dauernd mit Asien chatten, aber aus unerfindlichen Gründen alle zehn Sekunden mit pool.ntp.org die Zeit synchronisieren und einmal stündlich nen Google-Server kontaktieren - wenn man sie lässt. Bevor ich diese Neuanschaffung komplett offline gesetzt habe, habe ich mal versuchsweise genau für die Soundbar den NTP-Server geblockt. Statt 8640 Requests am Tag hatte ich dann stattdessen innert 24h etwa 256.000....das habe ich schon verstanden - bin nur überrascht wie oft er es versucht...
Danke für den Lacher. Den Spruch merke ich mir.Das ist moderner, digitaler Darwinismus.
Ich nutze bezüglich Smarthome zur Zeit Tasmota. Es gibt säckeweise Geräte, die diese Firmware vertragen. Da quasselt nichts durch die Gegend und es läuft auch nichts über externe Server.Und das, was heute als IoT an Chinaware verfügbar ist, ist wie andere schon schrieben die Pest des 21. Jahrhunderts.
Da wird der DNS-Blocker brutal geflutet. Wer sich sowas ausgedacht hat, sollte 256.000 Stockschläge pro Tag auf die Fußsohlen bekommen.Bevor ich diese Neuanschaffung komplett offline gesetzt habe, habe ich mal versuchsweise genau für die Soundbar den NTP-Server geblockt. Statt 8640 Requests am Tag hatte ich dann stattdessen innert 24h etwa 256.000.
Was soll daran falsch sein? Den Wikipediaartikel selbst mal gelesen? DMZ != "innen", sondern eine Variante von "aussen". Analogie: Mehrfamilienhaus, draussen ist "Internet", Hausflur ist "DMZ", Wohnung ist "innen". Nur weil jemand die Aussentür überwunden hat und es bis in den Hausflur geschafft hat, steht er noch nicht in der Wohnung. Im Fall des MFH, in dem ich lebe, ist der Hausflur sogar mehr draussen als sonstwas, denn das Treppenhaus ist nach aussen offen (kein Glas, sondern nur Gitter).Mal abgesehen davon, das diese Definition falsch ist...
Aus diesem Grunde kommt mir auch keine Alexa (außer sie besteht aus Fleisch und Blut) ins Haus. Ich wollte meinen Fernseher auch garnicht in eine DMZ stecken, aber vielleicht in ein Netzsegment, das einen Namen wie IoT trägt, um die Kommunikation mit meinem privaten LAN zu unterbinden. Schwierig wird es sicherlich, wenn es darum geht per z.B. AirPlay einen Film auf den Fernseher zu streamen... daher habe ich hier auch den pfBlocker eingeschaltet, der mir hilft, einen guten Kompromiss zu finden.Dass aber selbst Thermomix-Varianten von Drittherstellern inzwischen eingebaute Mikros haben und dich in den eigenen vier Wänden aushorchen und nach Hause telefonieren löst man weder mit Firewall noch mit DMZ noch sonst anders als sich den Elektroschrott gar nicht erst anzuschaffen.
Dann habe ich dich vorhin falsch verstanden. Sorry.Analogie: Mehrfamilienhaus, draussen ist "Internet", Hausflur ist "DMZ", Wohnung ist "innen". Nur weil jemand die Aussentür überwunden hat und es bis in den Hausflur geschafft hat, steht er noch nicht in der Wohnung.
Darüber habe ich mich vor einiger Zeit einmal eingelesen, speziell als ich von OpenHAB erfuhr. Dann habe ich mal über konkrete Usecases für mich gegrübelt und konnte schlicht keinen finden. Ende Smarthome, ich sehe da keinen persönlichen Nutzen, der jedweden Aufwand für ein sicheres Setup rechtfertigen würde, geschweige denn das Risiko unmodifizierte Geräte ins Haus zu stellen.Ich nutze bezüglich Smarthome zur Zeit Tasmota. Es gibt säckeweise Geräte, die diese Firmware vertragen.
Ich persönlich nutze Geräte mit Tasmota für das automatische Ein- und Ausschalten von Licht, da ich damit flexibler bin. Gegenüber einer schaltbaren Steckdose mit Zeitschaltuhr, kann ich damit das Licht automatisiert nach Sonnenauf- und Sonnenuntergang, zu Ereignissen und per Handy steuern. Dazu gesellt sich eine Verbrauchsmessung, die mir einen sehr guten Überblick darüber gibt, was welches Gerät über welchen Zeitraum verbraucht.über konkrete Usecases für mich gegrübelt und konnte schlicht keinen finden.
Alles spannende Szenarien - leider ausschliesslich für Eigenheimbesitzer. Absolut nichts davon für Mieter geeignet, die schlicht keine baulichen Veränderungen an der Mietwohnung vornehmen dürfen. Und tasmota-kompatible Mehrfachsteckdosen mit Schweizer Steckernorm gibt es nicht, die habe ich direkt gesucht, als ich auf Tasmota und OpenHAB gestossen war. Die wenigen verfügbaren Einfachsteckdosen sind weitgehend nutzlos - die blockieren nämlich automatisch die anderen beiden Steckdosen am Schweizer 80x80mm-Einheitssteckfeld.Steuerung von Rolläden, Garagentoren, Gartenbewässerung, Türsprechanlage, Füllstand, Belüftung (Kippstellung von Fenstern)
genau das ist eine DMZ, wenn die Übergänge dazwischen durch eine Firewall gesichert sind und nur das macht Sinn.............aber vielleicht in ein Netzsegment, das einen Namen wie IoT trägt, um die Kommunikation mit meinem privaten LAN zu unterbinden. ...............
Zwischenzeitlich habe ich eine Anleitung zur Signalisierung via Telegram gefunden. Im Prinzip wird der SMS Provider hier "zweckentfremdet".Sorry,
a) Wie leitest du die Benachrichtigungen n Telegramm weiter? Ich hab da (bisher) keine passende Einstellung gefunden.
b) Irgendeine Einstellung fehlzt mir wohl auch. Ich habe grad testweise am DSM GUI versucht mit Schrottuser und Schrottpwd einzuloggen. Eine Meldung via Mail oder App hab ich nicht erhalten :-( (Testmail bzw. Testbenachrichtigung kommt aber). Muss ich wo extra einstellen dass ich fehlgeschlagene Logins sehen will? (ggF Wo?)
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.