Netzwerk durch Smart-Home Gerät kompromittiert?

Re: Netzwerk durch Smart-Home Gerät kompromittiert?

PeterShaw — Mon, 22 Mar 2021 10:58:05 GMT

Re: Netzwerk durch Smart-Home Gerät kompromittiert?

PeterShaw — Mon, 22 Mar 2021 10:58:05 GMT

Zwei Möglichkeiten:

Der Staubsauger baut selbst eine Verbindung zum Herstellerserver auf und hält so einen Tunnel offen - d.h. dein Router akzeptiert keine vom Internet aus eingehenden Anfragen, sondern die Verbindung wird vom Staubsauger begonnen. Das ist ok, eine Verbindung zum Herstellerserver haben sowieso alle "smarten" Geräte.

Oder:

Der Staubsauger hat sich initial beim Setup mittels UPnP auf dem Router einen Port geöffnet. Der Router akzeptiert vom Internet aus eingehende Anfragen. Das ist einerseits problematisch, weil eingehende Verbindungen ein potentielles Sicherheitsrisiko darstellen, andererseits weil UPnP am Router selbst eine Sicherheitslücke darstellt. Es wird generell empfohlen, am Router die UPnP-Funktion zu deaktivieren.

(Sorry für die späte Antwort - hab das nun dennoch geschrieben, da du bisher keine einzige Antwort bekommen hast, die darauf eingehen, wie das technisch möglich ist. Du kannst jetzt als nächsten Schritt zB UPnP googeln und schauen ob du das bei dir sicherheitshalber deaktivieren willst (würde ich empfehlen!), dann kannst du dir am Router-Webinterface die freigeschalteten Ports anschauen. Wenn da nix drin ist -> alles ok. Wenn da was drin war und der Staubsauger nun nicht mehr so will wie vorher, kann man dann weiterschauen.)

Re: Netzwerk durch Smart-Home Gerät kompromittiert?

FoxMulder — Tue, 09 Mar 2021 10:55:06 GMT

Ich habe für solche Smarthome Geräte ein eigenes 4G Modem (Würfel überbleibsel von t-mobile) und eine Drei Karte mit 3GB pro Jahr, kostet nur einmal 10€/Jahr.
Sprich komplett getrennt von meinem internen Netzwerk.

Re(3): Netzwerk durch Smart-Home Gerät kompromittiert?

Infosauger — Fri, 26 Feb 2021 23:09:46 GMT

Ist nicht komprimitiert, sind nur die Chinesen, die zu jeder Zeit überprüfen können wollen, ob du eh sauber bist.

Re: Netzwerk durch Smart-Home Gerät kompromittiert?

Ardjan — Thu, 25 Feb 2021 15:26:47 GMT

Damit ein Gerät von draussen gesteuert werden kann (ob man will oder nicht ist Kapitel 2) gibt es zwei Möglichkeiten:
1) Du findest deine öffentliche IP und richtest Portweiterleitung in dein Router ein, oder
2) das gerät verbindet sich zu ein Server beim Hersteller, und der zugehörende App auch: dort werden die beiden verknüpft, und da kannst vom App auf dein Gerät zugreifen.

Meist wird heutztage 2 genommen, weil die meiste Leute würden es nicht schaffen eine Portweiterleitung ein zu richten (und per Default hat man im Chello-Netz zB keine öffentliche IP mehr)

Wann du nicht willst dass so ein Gerät nach Hause telefoniert, kannst du versuchen der Funktion im Gerät ab zu schalten, oder für versierte Leute, der MAC am Router zu blockieren...

Re(8): Netzwerk durch Smart-Home Gerät kompromittiert?

Paulas_Papa — Wed, 24 Feb 2021 14:21:35 GMT

DMZ ist ein netter Gedanke! Bloß wird für einen unbedarften User die Fehlerwahrscheinlichkeit gegen 100% konvergieren. Er wird ja umgehend das Private LAN/WLAN in Richtung der DMZ freischalten, um die dortigen Geräte/Services gemütlich nutzen zu können. Und schwupps, schon macht er ungewollt er einen Fehler und verwandelt die hübsche DMZ in ein Fenster mit Durchzug.

Daher mein Vorschlag mit dem Gäste-LAN/WLAN. Dort muss er mit seinem Endgerät bewusst einsteigen und anschließend wieder aussteigen.

Re: P2P nennt sich das

Desolationrob — Wed, 24 Feb 2021 11:10:37 GMT

um das mal richtig zu stellen.....

P2P bedeutet ledigliche Port to Point oder Peer to peer. Das sagt jetzt mal über irgendwelche Forwards oder so genau nix aus.

Die "Evolution" ging so, bzw verwenden das (oder Mischformen) viele bis heute..zeitlicher Ablauf nicht so wirklich zu 100% OK

man hat manuell Forwards auf Routern angelegt um "nach hinten" ins LAN zu kommen
die Forwards wurden durch so genannten Port Knocking nur ann aktiviert wenn man von aussen erst mal "angeklopft" hat, eben auf einem anderen Port
man hat die Forwards bei Bedarf manuell am Router aktiviert, dazu muss aber klarerweise eine remote Zugriff auf den WAN Router erlaubt sein
der DMZ, Bastion oder exposed host wurde geboren, eien IP auf die man per default quasi mal alles weitershickt: völliger Unsinn
UPnP wurde geboren, LAN Devices können sich mit dem Router aushandeln welche Forwards einzurichten sind. Das ist eher Mist, aber besser als der exposed host
die Cloud ist da, devices verbinden sich aus dem LAN raus zu Cloud Servern, da brauchts außer (hoffentlich) 443 meist nix. Wenn man da unüberlegt rangeht haben schnell mal Leute Zugang zu eigenen Daten oder dem Netz die man da nicht haben will
"unbequem" und nicht für jedes Produkt möglich: VPN am Router oder einem dezidierten Device verwenden, mit MFA anmelden und erst dann Zugriff aufs Heimnetz erlangen. Ja, da gehen dann eben einige bequeme cloudifizierte Anwendungen nimmer, aber das ist jemand der sich für diese Richtugn entscheidet ohnehin klar.
was oft vergessen wird....ipv6 da is dann nix mehr mit forwards da kein NAT da brauchts dann schon eine firewall, zumindest Paketfilter am Router.

Re(2): Netzwerk durch Smart-Home Gerät kompromittiert?

Desolationrob — Wed, 24 Feb 2021 11:00:20 GMT

da sitzen eben endlich nmal Entwickler die wissen das eine TCP Session ne Saloon Tür ist, die schwingt nach beiden Seiten, wurscht ob von drinen nach draussen geht oder umgekehrt. Das behirnen manche leider bis heute nicht

Re: Netzwerk durch Smart-Home Gerät kompromittiert?

Thunder — Mon, 22 Feb 2021 21:09:05 GMT

ab ins gäste wlan (inkl aktivierter ap isolation) mit dem teil und auch allen anderen geräten, welche nur ins internet können sollen.

Re(4): Netzwerk durch Smart-Home Gerät kompromittiert?

Paulas_Papa — Mon, 22 Feb 2021 18:34:28 GMT

Wie ich ohne den Dreck so lange leben konnte?!?

Und dabei bin ich fanatischer Cloud Nutzer. Nur entscheide ich halt gerne selbst, was ich tue und hergebe und was nicht.

P2P nennt sich das

davmus1 — Mon, 22 Feb 2021 18:13:55 GMT

P2P nennt sich diese Technologie, die heute leider viele Hersteller nutzen, damit sich DAU Kunden nicht mit dem Einrichten von Port Weiterleitungen im Router herum plagen müssen.

Z.B. bei vielen IP Kamera Herstellern wird das eingesetzt wie ich es beim Stöbern auf zahlreichen Webseiten sehe.

Hier erklären z.B. zwei kleine deutsche Kamerahersteller P2P:
https://www.upcam.de/hilfe/fernzugriff-ip-kamera-p2p-hinweis-sicherheit
https://wiki.instar.com/de/Web_User_Interface/720p_Serie/Netzwerk/P2P/
Ein Video von denen zu Portweiterleitung oder P2P:
https://www.youtube.com/watch?v=FjE95bL7_p4

Re(4): Netzwerk durch Smart-Home Gerät kompromittiert?

Gewürzwiesel — Mon, 22 Feb 2021 15:00:31 GMT

In meiner kindlichen Naivität hatte ich halt gedacht man müsste das irgendwo einstellen aber andererseits gibts dazu keinerlei Menüpunkt oä. also hätte es mich eigentlich nicht überraschen sollen...

Re(3): Netzwerk durch Smart-Home Gerät kompromittiert?

Sonic The Hedgehog — Mon, 22 Feb 2021 14:39:45 GMT

was glaubst wie ich sonst von unterwegs meine
tahoma (haussteuerung)
ring (kamera für kätzchen)
hargassner (heizung)
stueren könnte

läuft alles über die hersteller clouds,
ohne kommt (fast) nirgenst mehr hin

Re(2): Netzwerk durch Smart-Home Gerät kompromittiert?

Gewürzwiesel — Mon, 22 Feb 2021 13:53:10 GMT

Sie Geräte verbinden sich mit einem Server des Herstellers und die Verbindung
ist natürlich bidirektional und bei aktivem Gerät ebenfalls aktiv. Deshalb muss man auch nur ausgehende Verbindungen zulassen und keine Ports öffnen.

Danke

Re(8): Netzwerk durch Smart-Home Gerät kompromittiert?

Gewürzwiesel — Mon, 22 Feb 2021 13:41:39 GMT

Ah, danke. Kam mir schon mal unter, beschäftigt habe ich mich aber noch nie damit. Guter Zeitpunkt um damit anzufangen

LAN und WLAN sind nicht isoliert

Re: Netzwerk durch Smart-Home Gerät kompromittiert?

Lazy Jones — Mon, 22 Feb 2021 13:36:33 GMT

Das ist i.d.R. die schöne neue Cloud-Welt. Die Geräte verbinden sich mit einem Server des Herstellers und die Verbindung ist natürlich bidirektional und bei aktivem Gerät ebenfalls aktiv. Deshalb muss man auch nur ausgehende Verbindungen zulassen und keine Ports öffnen.

Wird der Server des Herstellers gehackt, bist du natürlich im A...., weil die Geräte sicherlich nicht besonders resilient sind und oft Kameras und Mikrofone haben.

Re(7): Netzwerk durch Smart-Home Gerät kompromittiert?

LZ — Mon, 22 Feb 2021 13:05:39 GMT

https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik )

dorthin gehören solche Geräte isoliert.

Ist dein WLAN vom LAN isoliert? Das ist nicht das übliche Anwendungsszenario im SOHO....

https://www.youtube.com/watch?v=uhyM-bhzFsI

nette Aussichten, und fein das es bereits root für die Kisten gibt

Re(7): Netzwerk durch Smart-Home Gerät kompromittiert?

LZ — Mon, 22 Feb 2021 13:05:39 GMT

https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik )

dorthin gehören solche Geräte isoliert.

Ist dein WLAN vom LAN isoliert? Das ist nicht das übliche Anwendungsszenario im SOHO....

Re: Netzwerk durch Smart-Home Gerät kompromittiert?

TuxTux — Mon, 22 Feb 2021 12:26:33 GMT

Nein, da is gar nix kompromittiert.

Teamviewer und Anydesk kommen auch ohne Port Weiterleitung zu Dir durch.

Re(6): Netzwerk durch Smart-Home Gerät kompromittiert?

Gewürzwiesel — Mon, 22 Feb 2021 12:19:33 GMT

Bin eh bei dir, das war halt damals zum Testen. Nur im Gegenständlichen Fall scheint es ja eben anders zu funktionieren weil ich Saugi eben nix außer dem internen WLAN erlaubt hab...

Re(5): Netzwerk durch Smart-Home Gerät kompromittiert?

Paulas_Papa — Mon, 22 Feb 2021 12:17:22 GMT

Amateure wie du und ich sollten GRUNDSÄTZLICH keine Ports ins Internet öffnen. Das Risiko, dass man einen Fehler macht oder die Software, die da durchwill, ein Security Problem darstellt, ist viel zu hoch.

Daher Gäste WLAN. Und alles was da drin steht, kann verloren gehen oder gekapert werden. Das darf aber nicht stören.

Re(4): Netzwerk durch Smart-Home Gerät kompromittiert?

Gewürzwiesel — Mon, 22 Feb 2021 12:08:06 GMT

Das ist eine gute Idee Werde ich heute einrichten.
Wie das ding aber ohne mein Zutun eine Verbindung zulässt ist mir ein Rätsel. Als ich mal (Testweise) den Zugang zu meiner Nas von extern eingerichtet habe, war das ein ziemliches Gefrickel mit Ports etc...

Re(3): Netzwerk durch Smart-Home Gerät kompromittiert?

Paulas_Papa — Mon, 22 Feb 2021 12:05:01 GMT

Ja natürlich, daher gehört so etwas prinzipiell in ein Gäste-LAN oder WLAN. Dadurch trennt der Router es sauber ab.

Wir haben in der Firma ein eigenes IoT LAN dafür.

Re(3): Netzwerk durch Smart-Home Gerät kompromittiert?

Sowinetz — Mon, 22 Feb 2021 12:03:01 GMT

Da ist bestimmt ein PW gesetzt. Und die App hat es wohl gespeichert. Sollte alles ok sein.
Versuche es doch einmal mit einem anderen Handy. Da wirst du nicht auf deinen Roboter kommen.

Re(2): Netzwerk durch Smart-Home Gerät kompromittiert?

Gewürzwiesel — Mon, 22 Feb 2021 11:59:45 GMT

Gerät: https://geizhals.at/xiaomi-roborock-s5-max-weiss-a2189012.html

Dass da Daten fließen ist mir klar. Freut mich nicht unbedingt, halte ich aber prinzipiell für a) nicht änderbar und b) nicht sicherheitsrelevant.

Was mich interessiert ist, ob mein internes Netz jetzt ein potentielles Leck hat

Re(2): Netzwerk durch Smart-Home Gerät kompromittiert?

Gewürzwiesel — Mon, 22 Feb 2021 11:58:18 GMT

Eben nicht. Wir haben das Kastl (https://geizhals.at/xiaomi-roborock-s5-max-weiss-a2189012.html ) einmal eingerichtet (Verbindung mit dem Netzwerk mittels beiliegendem Code) und das wars...

Re: Netzwerk durch Smart-Home Gerät kompromittiert?

LZ — Mon, 22 Feb 2021 11:11:02 GMT

Welches Gerät, welchen Nutzungsbedingungen hast Du wo zugestimmt?

Immer erfrischend wie unbedarft der Laie denkt das Hersteller nicht an deinen Daten Interesse haben....

Einn potenzieller Einbrecher freut sich bestimmt über deinen floorplan

Re: Netzwerk durch Smart-Home Gerät kompromittiert?

Sowinetz — Mon, 22 Feb 2021 11:00:00 GMT

Hat er von außen nicht nach Zugangsdaten gefragt?

Netzwerk durch Smart-Home Gerät kompromittiert?

Gewürzwiesel — Mon, 22 Feb 2021 10:52:53 GMT

Kurze Frage an die Experten: wir haben uns einen Staubsaugerroboter zugelegt, der natürlich mittels App gesteuert wird. Ich war jetzt etwas erstaunt, als ich auch von außerhalb meines Netzwerks Zugriff auf das Gerät hatte und den Status verfolgen konnte.
Ist mein internes Netz jetzt potentiell kompromittiert? Am Router habe ich natürlich keinerlei Änderungen vorgenommen...

Thx