Hey Leute,
ich beschäftige mich schon seit längeren mit meiner Gebäudeautomation und das funktioniert auch soweit alles super.
Ich habe mehrere verschiedene Bussysteme in meiner Bude und verwalte alle über einen Server. So weit, so gut.
Jetzt, nachdem ich das Grundgerüst stehen habe, wollte ich mich mal im Thema Sicherheit schlau machen.
Nun erstmal zum Bestand:
- Es läuft ein Server (24/7) im Netzwerk
- Auf dem Server laufen mehrere Softwarepakete als Dienst
- Über Portfreigaben und DynDNS wäre es möglich auf die Softwarepakete zuzugreifen. (Kameras, Visualisierung etc)
Zur Visualisierung meiner GLT (Gebäudeleittechnik) wird eine App verwendet, dass die Daten über eine Nutzerkennung (mit SSL-Verschlüssung) über das Internet anzeigt. Hierzu benötigt man die DnyDNS, Port, User inkl. Password. Dazu muss man noch die Authtifizierung wissen mit der ich das Programm lizensiert habe. (E-Mail Adresse und Password). Ach ja, und damit was angezeigt wird ist es auch notwendig zu wissen wie die "View" (mit WYSIWYG-Editor gebastelte Anzeige) heißt.
Die Kameras werden von einem Programm mitgeschnitten und verwaltet. Der Zugriff auf die Daten kann via App erfolgen. Um auf die Daten zu kommen muss ein Codeschnippsel (Teil aus dem Schlüssel der Software), die DnyDNS und der Benutzer inkl. Passwort angezeigt werden.
Das klingt für mich im ersten Moment alles sicher. Was mich aber stört sind die nötigen Portfreigaben! Ich finde immer das sowas eine Zielscheibe ist.
Ein Kollege hatte mir mal geraten das ich einen VPN Tunnel zu einer virtuellen Maschine aufbauen soll, über den die Daten dann zu den Endgeräte gelangen. So richtig habe ich das nicht verstanden weil mein IT-Wissen da aufhört
Er meinte es wäre auch möglich eine Art "Brücke" über einen Raspberry Pi herzustellen.
Ich frage mich nur wie es dann laufen soll mit den Apps. Ich will nicht immer eine VPN Verbindung aufbauen müssen bevor ich die Apps starte.
Ende vom Lied: Ich will die Daten nicht über Portfreigaben in der Fritzbox und einer DynDNS Adresse abwickeln. Am liebsten wäre es mit wenn dies alles über VPN Verbindungen (oder eine andere sicherere Verbindung) passiert.
Freu mich über Tipps
LG
ich beschäftige mich schon seit längeren mit meiner Gebäudeautomation und das funktioniert auch soweit alles super.
Ich habe mehrere verschiedene Bussysteme in meiner Bude und verwalte alle über einen Server. So weit, so gut.
Jetzt, nachdem ich das Grundgerüst stehen habe, wollte ich mich mal im Thema Sicherheit schlau machen.
Nun erstmal zum Bestand:
- Es läuft ein Server (24/7) im Netzwerk
- Auf dem Server laufen mehrere Softwarepakete als Dienst
- Über Portfreigaben und DynDNS wäre es möglich auf die Softwarepakete zuzugreifen. (Kameras, Visualisierung etc)
Zur Visualisierung meiner GLT (Gebäudeleittechnik) wird eine App verwendet, dass die Daten über eine Nutzerkennung (mit SSL-Verschlüssung) über das Internet anzeigt. Hierzu benötigt man die DnyDNS, Port, User inkl. Password. Dazu muss man noch die Authtifizierung wissen mit der ich das Programm lizensiert habe. (E-Mail Adresse und Password). Ach ja, und damit was angezeigt wird ist es auch notwendig zu wissen wie die "View" (mit WYSIWYG-Editor gebastelte Anzeige) heißt.
Die Kameras werden von einem Programm mitgeschnitten und verwaltet. Der Zugriff auf die Daten kann via App erfolgen. Um auf die Daten zu kommen muss ein Codeschnippsel (Teil aus dem Schlüssel der Software), die DnyDNS und der Benutzer inkl. Passwort angezeigt werden.
Das klingt für mich im ersten Moment alles sicher. Was mich aber stört sind die nötigen Portfreigaben! Ich finde immer das sowas eine Zielscheibe ist.
Ein Kollege hatte mir mal geraten das ich einen VPN Tunnel zu einer virtuellen Maschine aufbauen soll, über den die Daten dann zu den Endgeräte gelangen. So richtig habe ich das nicht verstanden weil mein IT-Wissen da aufhört
Er meinte es wäre auch möglich eine Art "Brücke" über einen Raspberry Pi herzustellen.
Ich frage mich nur wie es dann laufen soll mit den Apps. Ich will nicht immer eine VPN Verbindung aufbauen müssen bevor ich die Apps starte.
Ende vom Lied: Ich will die Daten nicht über Portfreigaben in der Fritzbox und einer DynDNS Adresse abwickeln. Am liebsten wäre es mit wenn dies alles über VPN Verbindungen (oder eine andere sicherere Verbindung) passiert.
Freu mich über Tipps
LG
