Ikea Smart Home - Gateway von außen nicht erreichbar

[Raijin]

Viele Smarthome-Lösungen sind nur semigeil für Fernzugriff konzipiert. In den meisten Fällen läuft das entweder mit hole punching - böses Löcher-in-die-Firewall-schießen - oder aber über einen Transferserver alias Cloud damit der ach so dumme Anwender bloß keinen Finger rühren muss. Eventuell läuft das auch mit UPnP, also dynamischen Portweiterleitungen ohne Zutun und Wissen des Anwenders. Sicherheitslücken sind dem Hersteller Schnuppe, ist ja nicht sein Netzwerk...

Innerhalb des Netzwerks wiederum arbeiten viele Apps dieser Art mit Broadcasts. D.h. die rufen ganz laut ins Netzwerk ob irgendwo eine Trådfri/hue/sonstwas Bridge zu finden ist, warten auf eine Antwort und verbinden sich dann mit der Bridge. Dumm nur, dass Broadcasts per Design nicht über Subnetzgrenzen geroutet werden. Heißt: Der Broadcast, den dir App zB an einem Hotspot ins Netzwerk schickt, wird niemals durch das VPN ins heimische Netz gehen.
Aus diesem Grund lassen sich viele smarte Geräte leider auch nicht in einem separaten VLAN isolieren - nicht ohne dass man mit einem broadcast relay aktiv die Broadcasts von einem ins andere Subnetz schaufelt....

Bei der Hue-App kann man eine Bridge auch manuell mittels IP-Adresse verbinden. Das geht demnach auch von einem anderen Subnetz aus - sei es VLAN oder VPN. Schau mal ob Ikea diesen Fall ebenfalla bedacht hat, auch wenn ich es irgendwie bezweifle...


Übrigens : Wenn man für den Zugriff von außen nichts konfigurieren muss, dann wird es zwangsläufig über eine der oben beschriebenen Techniken (hole punching, Cloud oder UPnP) laufen. Anders geht das gar nicht, wenn man nicht zB aktiv Ports weiterleitet.........

 

[chrigu]

das Ikea-gebimmel ist in sofern interessant, weil man eigentlich ohne grosses rumgefrickel läuft. über bluethooth wird die birne an ein tradfri-schalter gekoppelt und dieser schalter an den Gateway, der mittels lankabel an router und ins internet geht (quasi ein vlan). von unterwegs kann man, sofern Wlan aktiv ist und iPad oder appletv auf standby ist, übers händy (z.b. home von apple) schalten und walten. praktisch für die Kinder ist die Funktion "nach hause kommen". bist du in der Reichweite des Wlan, schaltet sich das licht ein, quasi "kippe weg, Schnapsflasche verstecken, papa/mamma kommt".

 

[Raijin]

weil man eigentlich ohne grosses rumgefrickel läuft.

Alles was beim Fernzugriff "ohne grosses rumgefrickel läuft", geht mit Kompromissen bei der Sicherheit einher. An einem Internetanschluss mit NAT kann man von außen ausschließlich mit den oben erwähnten Techniken zugreifen.

• Portweiterleitungen (statisch, manuell erstellt oder dynamisch via UPnP)
• hole punching (hierbei wird die Firewall ausgetrickst, weil durch eine _aus_gehende Verbindung ein Port geöffnet wird
• Cloud-Server im weitesten Sinne (wie zB bei TeamViewer)

Jede dieser Techniken birgt eigene Risiken.
Auch Apple kann nicht zaubern und wird einen dieset Wege einschlagen. Da die Cloud tief in den Produkten von Apple drinsteckt, tippe ich darauf, bin aber kein Apple-Anhänger und kann es daher nicht 100%ig einschätzen.

Wie auch immer, Sicherheit und Komfort sind prinzipiell gegenläufig. Je einfacher man irgendwo reinkommt, desto unsicherer ist es. Als Beispiel sei Keyless Entry bei modernen Autos genannt. Laut diverser Tests lassen sich ca 9 von 10 Fahrzeugen nahezu widerstandslos klauen (mit Equipment <100€, u.a. banale TP-Link-Router mit Linux).

Je sicherer etwas ist, umso mühseliger ist es. Beispiel wäre hier der Abflugbereich am Flughafen mit diversen Kontrollen.


Ich hatte mal eine IP-Steckerleiste, mit der ich meinen Server im Keller im Notfall über Strom aus/an neustarten kann. Komischerweise war es sooo super einfach, diese Steckerleiste zu bedienen, dass es auch aus der Wohnung meiner Eltern funktionierte. Das machte mich stutzig. Am Ende habe ich mit WireShark herausgefunden, dass sich das Teil gar mehrerer Methoden bedient hat, um das für den Nutzer "so einfach wie möglich" zu gestalten. Sicherheit? Pff.. who cares? Hauptsache einfach zu bedienen....