Sicherheit im Netzwerk mit HTPC (IoT) Hardware stark gefährdet (!) (?)

  • Ggf. könnte auch sowas wie ein Banana Pi (Router) taugen:

    Ne, der A20 schaft maximal 450 MBit zu routen. Wahrscheinlich wird man damit nicht glücklich.
    Ich habe das hier:

    http://geizhals.de/msi-am1i-7865-001r-a1079505.html
    http://geizhals.de/amd-athlon-535…x-a1082971.html
    http://geizhals.de/ibm-intel-i340-t4-90y4578-a902353.html

    Bei der Netzwerkkarte reicht auch eine 2-Port gebraucht.

    Auf dem habe ich ESXi 6 laufen, eine pfSense, einen Debian Server in der DMZ und einen Ubuntu Server in Grün. Dann kann ich noch eine Windows Maschine starten, falls ich meine Steuererklärung wieder machen muss.

  • Naja hauptsächlich P/L ;D Für das selbe Geld gibts schon N3000/N3050, wo ich dann aber auch noch einen Transparenten Proxy aufsetzen könnte mit Cache im RAM

    Das vielleicht. Aber ein N3000/N3050 hat keine Netzwerkkarten dabei. (Realtek ist keine Netzwerkkarte, sondern ein Zustand)

  • Ne, der A20 schaft maximal 450 MBit zu routen. Wahrscheinlich wird man damit nicht glücklich.

    Sollte für die Verbindung ins WAN aber allemal reichen, oder? Es sei denn, man ist mit GBit ans WAN angebunden.

    Ich habe z. B. < 30 MBit Downstream im WAN - da reicht das denke ich locker aus. Mein interner Netzwerktraffic ist was anderes aber der geht auch über GBit Switches.

  • Sollte für die Verbindung ins WAN aber allemal reichen, oder? Es sei denn, man ist mit GBit ans WAN angebunden.

    Ja, das reicht natürlich aus. Aber in den Thema hier geht es darum, mehr als ein Netz aufzubauen. Und dann möchtest du zwischen den Netzen vielleicht dich GBit haben, etwa um Daten in die DMZ zu bringen.

  • ...
    Hierbei habe ich herausgefunden: Der Harmony Hub verbindet sich mit der AWS-Cloud. (Amazon Web Services) Der Harmony Hub hält die Ports dauerhaft offen um den Zugriff von außen zu gewährleisten! Die Firewall hat also korrekt reagiert, der Hub kommt von Innen und macht die Tür aus, die Russen, CIA, NSA, etc. kommen gleich mit rein und sind in "grün". Damit ist der Weg zu allen meinen Daten geöffnet. Dickes Ding! ...

    Ich glaube du hast die grundlegende Funktion einer Client-Server-Verbindung nicht verstanden. Das was du beschreibst, hat doch überhaupt nichts mit offenen Ports zu tun. Der Harmony Hub (Client) baut eine permanente Verbindung zur AWS-Cloud (Server) auf. Was soll daran schlimm sein. Amazon/Logitech wirst du ja wohl vertrauen, sonst hättest du dir keinen Echo/Hub in die Bude gestellt. Wie sollen denn andere böse Buben in einen ausgehende Verbindung "mit rein kommen"? Es wäre was anderes, wenn auf dem Hub ein Server laufen würde, der auf eingehende Verbindungen wartet. Dann könnte sich jeder mit dem Hub verbinden. Aber dann müsstest du ja von Hand ein Portforwarding in deinem Router einrichten. Wer automatische Konfiguration der Portweiterleitung via UPNP im Router aktiviert hat, ist eh selber schuld.

  • Ich glaube du hast die grundlegende Funktion einer Client-Server-Verbindung nicht verstanden. Das was du beschreibst, hat doch überhaupt nichts mit offenen Ports zu tun. Der Harmony Hub (Client) baut eine permanente Verbindung zur AWS-Cloud (Server) auf. Was soll daran schlimm sein. Amazon/Logitech wirst du ja wohl vertrauen, sonst hättest du dir keinen Echo/Hub in die Bude gestellt. Wie sollen denn andere böse Buben in einen ausgehende Verbindung "mit rein kommen"? Es wäre was anderes, wenn auf dem Hub ein Server laufen würde, der auf eingehende Verbindungen wartet. Dann könnte sich jeder mit dem Hub verbinden. Aber dann müsstest du ja von Hand ein Portforwarding in deinem Router einrichten. Wer automatische Konfiguration der Portweiterleitung via UPNP im Router aktiviert hat, ist eh selber schuld.

    Oh, ich glaube schon das ich die Funktion ganz gut verstehe. Was ich beschreibe ist ein Firewall-Piercing. Schlimm ist es, dass über die offene Verbindung jederzeit Zugriff gestattet wird, welche nicht kontrollierbar ist. Amazon und Logitech vertraue ich mit Sicherheit nicht, darum ist der Echo auch nicht in mein LAN gekommen, sondern von den Servern / Rechnern getrennt, Woher willst du eigentlich wissen, dass auf dem Hub kein minimales Linux läuft und jemand über die offene Verbindung eine SSH Verbindung zu einem anderen Rechner im Netz aufbauen kann? Und dazu braucht er kein Portforwarding, weil im normalen LAN die Rechner untereinander kommunizieren dürfen.
    Wenn ich auch vielleicht den Konzernen so halbwegs vertraue, dann mit Sicherheit nicht den Menschen die dort arbeiten. Und wenn dann diesen Konzernen wieder Userdaten geklaut werden, dann hast du gar keine Kontrolle mehr über die Accounts.

    IoT Geräte gehören für mich in ein separates Subnetz.

  • (Realtek ist keine Netzwerkkarte, sondern ein Zustand)

    Ja sicherlich sind Realtek eher mangelhaft, aber die ARM haben ja auch nur 2. klassige Netzwerk Komponenten. Ob das einen messbaren Unterschied macht im WAN ?
    Wenn es nicht reicht kann man ja auch eine https://geizhals.de/intel-pro-1000…hloc=at&hloc=de für 25€ dazustecken, dann klappts auch.

  • Netter Bericht,

    glaub ich werde meinen HUB auch erst einmal ins GuestNET auf der FB schubsen; auch wenn damit einiges an Bequemlichkeit verloren geht, da ich es fast nur noch über Handy bediene.

    Es ist halt schade, dass du an dem HUB auch rein gar nix konfigurieren kannst.
    Weder IP-Config, noch irgendwelche Passwörter oder sonstiges verhalten.

    TV: Sony 65XE9005, AVR: Denon X1400 @ Jamo S606 HCS 3 Black
    HTPC: Intel® Corei3-540 System @ Antec Fusion Remote
    TV: Sony 65XG9505, AVR: Denon X1600 @ Jamo S 809 HCS 5.0 schwarz
    HTPC: Intel NUC
    NAS: Chenbro Mini-ITX Server SR30169; Intel I3 4150; GigaByte H97N-WIFI; 256 + 1TB SSD & 4x4TB HDD
    BluRay: XBOX ONE X
    Remote: Harmony Touch + Harmony Hub

  • ja wäre dir auch sehr dankbar wenn man den aufbau mal hätte.
    Ist schon ein sehr interessantes Thema.

    Werde nun erstmal googeln was pfsense und DMZ ist...

    pfsense ist n Firewall OS; DMZ = Demilitarized Zone;


    Die meisten Firewalls setzen auf Red Hat auf und Folgen dem Schema Rot (WAN-Zone), Grün (NETZWERK1), Blau (Netzwerk2) und Orange (DMZ).

    Die Regeln für diese werden meist über eine Weboberfläche geregelt.

    Externer Inhalt reseaux85.fr
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    TV: Sony 65XE9005, AVR: Denon X1400 @ Jamo S606 HCS 3 Black
    HTPC: Intel® Corei3-540 System @ Antec Fusion Remote
    TV: Sony 65XG9505, AVR: Denon X1600 @ Jamo S 809 HCS 5.0 schwarz
    HTPC: Intel NUC
    NAS: Chenbro Mini-ITX Server SR30169; Intel I3 4150; GigaByte H97N-WIFI; 256 + 1TB SSD & 4x4TB HDD
    BluRay: XBOX ONE X
    Remote: Harmony Touch + Harmony Hub

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!