Smart Home Devices Internetzugriff restriktieren

[A7R3YU]

Hallo zusammen,

ich wollte in Heimautomatisierung einsteigen, aber um hohe Initialkosten zu vermeiden habe ich die Gateway-losen China Alternativen gewählt (Steckdosen und Lampen). Dass diese Geräte unkontrolliert ins Internet funken dürfen stört mich jedoch schon etwas, daher möchte ich nun versuchen den Internetzugriff für diese Geräte nur auf das Nötigste zu beschränken.

Das Projekt dient Größtenteils als kleine Fortbildung meiner Netzwerking-Skills, daher bräuchte ich ein wenig Starthilfe. In meiner Fritzbox habe ich nun das Gästenetzwerk aktiviert und betreibe dort die Smart-Home-Geräte. Wenn ich das Netz komplett offen lasse (nur eine Filterliste für jugendgefährende Webseiten ist aktiv) funktioniert es. Wenn ich "nur Mailen und Surfen" aktiviere funktioniert es nicht mehr. Heißt für mich, dass die Geräte irgend ein anderes Protokoll als HTTP/S verwenden. Die Fritzbox gibt mir die Möglichkeit zum Protokoll- und Webseiten-Black/Whitelisting. Jedoch benötige ich dafür die Information, welche Protokolle und Webseiten benötigt werden. Wie kann ich das herausfinden? Ich kenne Wireshark, aber soweit ich weiß kann ich damit nicht andere WLAN-Geräte monitoren. Ideen?

Ich verwende eine FritzBox 7320. Per LAN ist mein PC angeschlossen. Alle weiteren Geräte per WLAN. PC und Standard-WLAN-Geräte (Notebook, Tablet, Smartphone etc.) sind im selben Netz. Die Smart-Home-Geräte sind in einem separaten Netz. Ich könnte mich jedoch mit dem Notebook ins GästeLAN einbinden, falls nötig.

 

[Sparta8]

Du könntest z.B. temporär mit einem deiner Notebooks ein WLAN Accesspoint erstellen, mit deinen Steckdosen/Lampen diesem Netzwerk beitreten und dann mit eben z.B. Wireshark alles protokollieren.

 

[Raijin]

Hm.. Also erst nach dem Motto "Geiz ist geil" ohne nachzudenken China-Zeug kaufen und dann hinterher über die Sicherheit nachdenken? Sehr abenteuerlich.

Ohne Kenntnis über die Funktionsweise der Geräte ist es schwierig, sie gezielt zu blocken. Offenbar benötigen sie für die Funktion Internetzugriff, der wie du schon vermutet hast über simples http(s) hinausgeht. Entweder findet man dazu Informationen in der Anleitung oder man muss zB mit WireShark o.ä. nachschauen. Soweit ich das mitbekommen habe, gibt es bei Fritzboxxen bereits in der GUI in den erweiterten Einstellungen die Möglichkeit, Pakete mitzuschneiden. Wie genau weiß google oder jemand anderes hier im Forum.

Neben der simplen Gastfunktion gäbe es noch die Möglichkeit, mit VLANs zu arbeiten. Das bedarf aber entsprechender Hardware (Switches, APs und ein zusätzlicher Router). Das killt am Ende natürlich die Ersparnis der Chinaware, aber "billig" ist sowas meistens nur kurzfristig und am Ende zahlt man im worst case sogar drauf. Der Spruch "Wer billig kauft, kauft zweimal" kommt ja nicht von ungefähr.

 

[A7R3YU]

Hm.. Also erst nach dem Motto "Geiz ist geil" ohne nachzudenken China-Zeug kaufen und dann hinterher über die Sicherheit nachdenken?

Ne ne. Ich hab mich schon damit beschäftigt und dann bewusst entschieden, dass die Chinesen meine Lampenaktivitäten monitoren dürfen, wenn ich dafür 100€ spare. Du hättest dich hier vielleicht anders entschieden, aber das ist in Ordnung.

Ich habe diese Doku des Herstellers gefunden https://docs.tuya.com/en/cloudapi/device_access.html die besagt:
Protokolle: HTTPS und MQTT
Ziele: *.tuyacn.com, *.tuyaus.com, *.tuyaeu.com

Die Fritzbox kennt kein MQTT, daher musste ich hier alles erlauben und dann nachträglich alle auswählbaren Protokolle wieder sperren.
Den Internetzugriff habe ich per Whitelist-Modus komplett gesperrt und nur die drei Domänen zugelassen.

Zusätzlich habe ich noch die QoS für alle Geräte hochgesetzt um hier lags bei hoher Internetauslastung zu vermeiden.

Nach den ersten Tests funktioniert das. Alle Smart-Home-Geräte lassen sich weiterhin steuern, aber man kommt auf keine Webseite mehr aus dem Netz.

 

[Raijin]

MQTT nutzt TCP 1883 und 8883