NAS für Bosch Smart Home, Velux, Hörmann Supramatic

[Ulfhednir]

- Trennung von meinen wichtigen Daten und der Smarthome-Steuerung. Google mal die "Erlebnisse" (auch hier im Forum), wie Verschlüsselungstrojaner via ioBroker im NAS dort Daten kaputt gemacht haben. Ich bin inzwischen zur Erkenntnis gelangt, dass eine NAS zuförderst eine NAS ist, entsprechend geschützt werden sollte, und möglichst wenig "fremde" Dienste darauf laufen sollten.

Bei dem Thema werde ich nicht müde und muss an der Stelle abermals darauf hinweisen, dass dies zwei Umständen geschuldet war:
1.) Öffentliche Portfreigabe auf den Admin-Adapter = Suizid
2.) Der inoffizielle Synology-Adapter verwendete keine Passwortverschlüsselung = Doppelter Suizid

Mit Fall 1.) öffnest du Haus und Hof und brauchst dich bei 2.) nicht wundern, wenn der Tresor ausgeräumt wird.
Das würde ich nicht einmal als wirklichen Hack titulieren, weil ich solch Scheiße mit zartem Kindesalter von 13 Jahren auch schon fabrizieren konnte.

Ich sehe auch weiterhin das Thema verteilte Server vollkommen anders. Es entspricht absolut NICHT dem Trend der letzten 20 Jahre, dass man physische Gerätschaften durch Virtualisierung bzw. durch Container-Anwendungen konsolidiert. Will heißen: Ich bin persönlich daran interessiert die Dienste und Anwendungen auf einem Gerät zu zentralisieren. In meinem Fall läuft das NAS ohnehin 24/7, weil ich instant auf meine Mediathek zugreifen möchte und nicht erst 5 Minuten warten möchte, bis das NAS hochgefahren ist.

Übrigens hatte ich früher den ioBroker auf dem Raspberry zu laufen. Dabei haben mich diverse Dinge gestört:
die Performance; das Gefrickel, damit das angeschlossene Touch-Display im richtigen Format angezeigt wird, Remote-Einrichtung (noVNC / xRDP) und dazu ist mir die Speicherkarte mehrfach um die Ohren geflogen, sodass ich den ioBroker neu einrichten musste. Es ist nicht so, dass ich das alles nicht kann - aber ich habe NULL Bock darauf. Wenn ich frickeln möchte, würde ich mir auch kein Synology-Gerät zulegen, sondern mein NAS-Array selbst aufbauen.

Zur Performance muss ich aber auch fairerweise dazusagen, dass es vor Jahren kein Raspberry 4 gab und meine damalige Version mit 1GB-RAM auch absolut ausgelastet war.

Aber gut: Letztendlich kann es jeder handhaben wie er will.

 

[servilianus]

na ja, klar ist das Gefrickel. Mir hat das wiederum in langen dunklen Winternächten Spaß gemacht. Ich schreibe ja auch nicht vom geschäftlichen Umfeld sondern von Heim-und-Hof-Basteln und Tüfteln. Und ohne die Raspberry-Version könnte ich z.B. nicht meine Stromzähler per IR-Lesekopf auslesen und meine dummen Gaszähler und Wasserzähler auch nicht. War dann schon ein ein Erfolgserlebnis, als alles lief. Und irgendwo schon auch interessant zu sehen, wie der Rheinergie-Ableser große Augen machte, als er im Keller die ganzen Konstruktionen sah...

 

[Sascho]

Ich kann zum Sicherheitsthema nicht viel sagen. Mich würde allerdings interessieren wo im Admin Adapter der Fehler genau gemacht wurde.

Meine NAS läuft auch durch, man kann ja regelmäßige Backups auch auf eine usb Festplatte machen und die Festplatten, sofern genug slots vorhanden sind aufteilen sodass nicht alles immer durchläuft.
Ich bin zufrieden, auch wenn es ein 6 Monate langer Weg war bis alles sauber lief.
Das war schon genug gefrickel an einer Hardware - noch mehr Hardware zu betreiben will ich nicht. Unser 8qm Technikraum ist bis auf 2 qm wandfläche und der Decke komplett vollgestopft

 

[Jim_OS]

Meine NAS läuft auch durch, man kann ja regelmäßige Backups auch auf eine usb Festplatte machen und die Festplatten, sofern genug slots vorhanden sind aufteilen sodass nicht alles immer durchläuft.

Falls Du das auf das Thema Datensicherheit beziehst:
1. Regelmäßige Backups auf externe Datenträger sollte man immer machen.
2. Das Thema Datensicherheit ist immer ein fortlaufendes Thema, d.h. Du musst es fortlaufend beachten und kontrollieren. Das gilt immer sobald Geräte aus dem IoT, oder die damit verbunden sind bzw. darauf zugreifen können, einen Internetzugang haben oder bekommen.
3. Im Falle eines unerlaubten Zugriffs kannst Du zwar, wenn ein Backup vorhanden ist, die Daten von dem NAS wiederherstellen, was aber nicht heißt das der/die "Besucher" in/mit Deinen LAN, oder bei Deinem IoT, nicht schon div. andere Dinge angestellt haben.

Bzgl. Deiner Frage zu dem Fehler: Soweit ich mich erinnern kann lag es daran - wie Ulfhednir bereits geschrieben hat - das die Admin-Zugangsdaten nicht verschlüsselt wurden und ein Angreifer somit Vollzugriff auf das DMS bekommen konnte.

Für mich pers. gilt: In meinem LAN ist ein NAS ein NAS und darauf haben Anwendungen, die nicht zwingend für eine NAS-Funktionalität notwendig sind, nichts zu suchen. Das gilt insbesondere für Open Source IoT-Anwendungen, die weltweit von tausenden von Usern (weiter)entwickelt werden. Der Grund ist ganz einfach: Je mehr vorhanden ist umso unsicherer wird es und umso mehr muss ich überwachen und pflegen.
Der beste Weg ist m.M.n. immer noch IoT von restlichen LAN kompl. getrennt zu halten. Was natürlich einen ziemlich großen Aufwand bedeutet.

Nachtrag:
Früher gab es nur Viren und sofern man sich nicht Software aus dubiosen Quellen installiert hatte war man relativ sicher.
Dann kam das Internet und in den Anfangszeiten war man als Privatuser auch da relativ sicher, denn wer hat sich schon groß für einen interessiert.
Dann kamen immer mehr Hacker/Trolle auf die Idee das auch bei Privatusern ggf. etwas zu holen ist und so wurden auch die immer mehr zu einem Ziel.
Dann kam IoT und somit wurden Privatuser immer interessanten, da sich die Möglichkeiten bei denen "einzudringen" immer weiter vergrößert habe und man auch mehr Schaden anrichten konnte. Somit waren/sind Privatuser ein gutes und leichtes Opfer. Nach dem Motto: Kleinvieh macht auch Mist.

VG Jim

 

[Sascho]

Ach so, der Admin Zugang der NAS selbst - das hatte ich missverstanden okay.

Aber was soll passieren, wenn die ganzen iobroker Adapter in Docker Container des NAS laufen. Der Container kann zwar als Host konfiguriert werden aber auch dann haben Applikationen innerhalb des Containers keinen Zugriff auf das NAS DSM oder Dateien....

 

[Jim_OS]

Ähm so "einfach/sicher" wie Du Dir das vorstellst ist es leider nicht. Du weißt schon das sich Docker Container mit dem Hostsystem den Kernel "teilen"? Ich will Docker nicht schlecht machen, aber zu Docker gehört auch das Thema Docker Security und damit sollte man sich dann auch befassen. Mal zum Einstieg: https://www.trinnovative.de/blog/2021-07-13-container-security-mit-docker.html

Solange keine Lücken in einer Software vorhanden ist ist alles gut. Wenn sie aber vorhanden sein sollten können sie alles in Mitleidenschaft ziehen worauf sie irgendwie Zugriff haben.


Nachtrag
Um Dir mal ein konkretes Beispiel zu geben, das zwar nichts direkt mit Docker zu tun hat, aber mit IoT. Ich befasse mich auch noch nicht so lange mit IoT und nutze dafür Home Assistant. Auch ich musste und muss mich dann in das Thema einarbeiten und bin froh wenn ich zu irgendwelchen Fragen und Problemen Anleitungen und Lösungen im Internet finde.

D.h. so Dinge wie z.B. Mosquitto broker und MQTT waren für mich quasi noch "Bömische Dörfer" und ich war froh eine Anleitung gefunden zu haben, die erklärt wie man so etwas bei Home Assistant installiert und einrichtet. Also habe ich es stumpf nach der Anleitung installiert und ich war froh das es im Anschluss auch funktioniert hat. Ich habe mir erst einmal keine Gedanken darüber gemacht ob die Anleitung so auch richtig war und was sich daraus ggf. für Konsequenzen ergeben.

Vor ein paar Tagen bin ich dann auf das Thema Mosquitto broker und Standardport 1883 gestoßen und habe erfahren was entsprechende (IoT) Portscanner wie z.B. https://www.shodan.io/ bei entsprechenden Portfreigaben im LAN damit bereits erreichen/erfahren können. Z.B. das sie die MQTT Kommunikation unverschlüsselt "sehen" können.
Inzwischen weiß ich das die Kommunikation auf Port 1883 unverschlüsselt stattfindet und das es natürlich keine gute Idee ist den so zu nutzen. Inzwischen weiß ich auch das in der Mosquitto broker Doku steht: "Disable listening on insecure (1883/1884) ports. Remove the ports from the add-on page network card (set them as blank) to disable them." Nur habe ich mir die Doku im Vorfeld nicht (ausreichend) angeschaut und in der von mir benutzen Anleitung gab es natürlich keinerlei Hinweis darauf das das verwenden von Port 1883 eine potentielle Schwachstelle ist.

Und das ist nur ein Beispiel.

VG Jim

 

[Matthieu]

Um das ganze mal aus der "entgegengesetzten" Perspektive zu betrachten:
- VMM läuft auf der DS und damit auf, meiner Meinung nach, langfristig stabilerer Hardware als einem raspberry pi und kann außerdem je nach DS über mehr Ressourcen verfügen
- VMM macht nächtlich Snapshots. Damit habe ich immer automatische Backups auf die ich direkt zurücksetzen kann. Und bei größeren Updates mache ich vorher gezielt einen Snapshot den ich dann sperre.
- Im VMM läuft ein Debian-System. Das hat zwar mehr Overhead als Docker, ist für mich aus Security-Sicht aber viel leichter zu händeln und zu beurteilen als ein Container, bei dem immer auch der Host eine nicht zu verachtende Rolle spielt. Außerdem bin ich bei Updates nicht an Synology gebunden. Aus einem vHost auszubrechen, ist bei einem regelmäßig gepatchten System schwieriger als bei einem Container (meine persönliche Einschätzung).

Ich finde es sehr schade, dass Synology kein größeres Interesse am Reverse Proxy zeigt. Wenn man diesen mit dem SSO verheiraten könnte, hätte man vieles sicherheitsmäßig erschlagen.

Bei mir läuft auch ioBroker, u.a. mit Integrationen für: KNX, Buderus, Helios, SmartMeter, go-e, tronity, S7/LOGO, Ikea Tradfri (leider), DWD, BFS ODL, Wetteronline, NINA, Fritzbox/dect, Unifi, Husqvarna, Luftdaten, iRobot, Neato, Sonos

MfG Matthieu

 

[Jim_OS]

1. Wolf Heizung
Von Wolf gibt es verschiedene Möglichkeiten seine Heizungsanlage "smart" zu machen. D.h. es gibt ein Stück Zusatz-Hardware die man an die Wolf Heizung anschließt. Diese Module heißen ISM7, ISM8 und ISM9 (Anmerkung: Inzwischen hat Wolf sie umbenannt in LinkHome, LinkPro usw.).
Jetzt ist die Frage mit welcher SmartHome Software lassen sich diese Module auch nutzen und genau da wird es dann kompliziert.
Es gibt:
- eine App von Wolf welche sich z.B. mit dem ISM7, aber nicht mit dem ISM8 nutzen lässt. Diese App ermöglichst dann eine Steuerung aus dem LAN heraus, oder per Wolf Cloud (Online Server)
- das ISM8 nutzt zur Datenübertragung den EBus
- das ISM9 funktioniert nur mit wibutler (eine kostenpflichtig Lösung)
Jetzt stellt sich die Frage welche SmartHome Software funktioniert mit welcher Wolf Lösung?
ioBroker kann z.B. die Wolf Cloud einbinden und nutzen. Ebenfalls gibt es eine Integration (Adapter - so nennt sich bei ioBroker die Integration) für den ISM8.
Home Assistant kann z.B. die Wolf Cloud nutzen, nicht aber direkt den ISM7 oder ISM8 (Anm.: Zu ISM8 gibt es inzwischen wohl auch einen Lösungsansatz).

Ich krame hier mal 1 - 2 ältere Postings von mir aus, um diese auf den aktuellen Stand zu bringen.

Es gibt eine Lösung um ein ISM7 lokal zu nutzen und damit seine Wolf Heizungsanlage auszulesen und zu steuern: ism7mqtt

Die Lösungs gibt es tatsächlich bereits seit ~ 2021, allerdings findet man dazu im I-Net - warum auch immer - (bisher) nur sehr wenige Infos. Ich nutze ism7mqtt mit meiner Wolf CGB-2 + BM-2 jetzt seit ein paar Tagen unter Home Assistant und bisher bin ich schwer begeistert davon. Alles was sonst nur über die Wolf Cloud, oder über die Wolf Windows Software möglich war (Stichwort: Fachmannebene), lässt sich jetzt bequem per MQTT-Daten auslesen und steuern.

Ich werde gleich bei diesem Beitrag https://www.synology-forum.de/threads/iobroker-oder-home-assistant-z-wave-oder-zigbee.120049 auch noch ein Posting erstellen und dort auch ein paar Screenshots von Home Assistant in Verbindung mit ism7mqtt posten.

VG Jim