PDA

View Full Version : Sicherheit PL3 Webserver



klauslb
30.03.2012, 14:12
Hallo zusammen,

seit etwa 1 Monat habe ich nun auch einen PL3 und habe mir auch den Web-Zugriff eingerichtet.

Allerdings stören mich die kurzen Passwörter sehr und darum habe ich den Port doch meistens zu :(

Kann man den Zugang als Admin nicht blockieren, da mir vorläufig die reine Ansicht der Istwerte (Guest) genügen würde?
Oder gibt es vielleicht die Möglichkeit einzelne Funktionen, wie bestimmte (Zeit-)Schaltfunktionen komplett für externen Zugriff zu sperren?
Hintergrund sind z.b. Dosierpumpen.....

Gibt es da schon Lösungen oder ist vielleicht seitens GHL schon was geplant?

Danke und Gruss
Klaus

Matthias
30.03.2012, 14:26
8 Zeichen müssten doch ausreichend sicher sein, per Probieren findet man das Passwort sicher nicht raus
da ist keine Änderung geplant

klauslb
30.03.2012, 17:22
8 Zeichen müssten doch ausreichend sicher sein, per Probieren findet man das Passwort sicher nicht raus

Das ist eigentlich nur eine Zeitfrage.
http://www.pcwelt.de/ratgeber/So-lange-dauert-das-Passwort-Knacken-172195.html

Ich leide hier nicht an der großen "Hacker-Panik" ;) , aber bei meinem letzten Provider und ohne Fritzbox hat die "Internet-security" öfters Portscans von, nennen wir es neutral "Spielkindern" angezeigt. Der Gesetzgeber wirft einem offensichtlich ja auch Fahrlässigkeit vor, wenn man sein WLAN nicht mit min. 16stelligem Schlüssel schützt.

Nun habe ich einen Provider welcher unregelmässig eine neue IP vergibt und somit "Spielkinder" auch mal länger Zeit haben.....
dann noch aus lauter Spass eine Dosierpumpe auf Dauerlauf......:eek:

So wie ich es bisher sehe kann man sich ja auch nirgends die Logins oder Loginversuche anzeigen lassen und merkt damit nicht mal, wenn einer Böses versucht.

AQUA-IT
30.03.2012, 17:49
Aufgabe von GHL ist es sicherlich nicht eine Verbindung gegen missbrauch abzusichern und dieses zu protokollieren. Wer es heutzutage sicher haben will nimmt eine VPN - Verbindung mit IPSec und verwendet nicht nur einfach Portforward.

Falscher Ansatz wenn man es sicher haben will.

klauslb
30.03.2012, 20:25
Schön, dass man solche Infos sofort im Forum bekommt!

Nun aber mal aus Sicht von Otto-Normalverbraucher und damit wohl 90% oder mehr der Kunden, die ganz sicher keine IT-Spezialisten, Netzwerktechniker oder sonst was sind!
Die deutsche Gesetzgebung schreibt für jeden verständliche Bedienungsanleitungen vor!
In dem was ich bisher zum Webserver finden konnte, war nicht mal der Login ausreichend erklärt und man muss es hier im Forum erfragen! "Gast=Guest"
Ich war seit meinen ersten PL2 zufriedener GHL-Kunde, aber inzwischen nervt die mangelnde Dokumentation und der dadurch verursachte Zeitaufwand extrem!!!!!!

Warum stehen nicht in einer, für jeden Käufer deutlich vor dem Kauf lesbaren Bedienungsanleitung eindeutige Details zum Login, den Möglichkeiten des Webservers und den offenbar empfohlenen sichereren Ausweichlösungen?

So wie ich es gerade sehe ist der Kauf eines PL3 wegen dem Webserver für sicherheitsbewusste User "für die Katz" und nur rausgeschmissenes Geld! :mad:

Lasse mich aber gerne eines besseren belehren.
Nur bitte in einer verständlichen Sprache und für jeden nachvollziehbar!

gruss
Klaus

Matthias
31.03.2012, 08:16
So wie ich es gerade sehe ist der Kauf eines PL3 wegen dem Webserver für sicherheitsbewusste User "für die Katz" und nur rausgeschmissenes Geld! :mad:

Das möchte ich nun aber nicht so stehen lassen! Wieso ist der ProfiLux rausgeworfenes Geld wegen eines vermeintlichen Passwort-Problems? Sind die relevanten Funktionen (Regelung, Beleuchtung, etc.) deswegen nicht mehr vorhanden?

Wieder zum Passwort: 8 Stellen ist absolut ausreichend.

Bitte mal überschlägig mitrechnen:

Nehmen wir mal an man hat für eine Stelle zirka 100 Zeichen zur Auswahl (Alphabet groß / klein, Zahlen, Sonderzeichen) dann wären das bei 100 Eingabemöglichkeiten.
Gut, das bekäme man durch Probieren noch raus. Nehmen wir 2 Zeichen, dann wären das 100 x 100 Möglichkeiten -> man müsste also maximal 10.000 Kombinationen eintippen bis man den Code hätte.

Spielen wir das weiter. 8 Stellen ergeben 100 hoch 8 = 10.000.000.000.000.000 Möglichkeiten.
Na dann viel Spaß beim Ausprobieren ... Übrigens: Bei 3 Fehleingaben wird ProfiLux sowieso für den Zugang von außen für eine Zeit lang gesperrt.

Ich denke damit ist verständlich warum 8 Zeichen ausreichen.

Die meisten Sicherheitsprobleme kommen auch von einer ganz anderen Seite. Das Problem ist nicht, dass Passwörter zu kurz wären, das Problem liegt eher im sorglosen Umgang mit Passwörtern.
Z.B. darin, dass einfach zu erratende Passwörter verwendet werden ("Anja1972"), die Passwörter irgendwo aufgeschrieben sind oder Passwörter mitgeloggt werden können.

Zur Anleitung
Es gibt in der Tat nicht viel zum Login zu sagen. Einfach Passwörter vergeben, mit Admin oder Guest und passendem Passwort einloggen, fertig. Was sollen wir noch schreiben?

Geschichten wie VPN, IPSec sind etwas für unsere Freaks und nichts für "Otto-Normalverbraucher". Diese Dinge gehören nicht in unsere Anleitung, das ist ein anderes Thema. Sind aber für diesen Fall nicht relevant -> also vergessen.

klauslb
31.03.2012, 12:56
Sind die relevanten Funktionen (Regelung, Beleuchtung, etc.) deswegen nicht mehr vorhanden?

Es ging konkret um den PL3 wegen dem Webserver, das andere kann mein PL2 schon.


Übrigens: Bei 3 Fehleingaben wird ProfiLux sowieso für den Zugang von außen für eine Zeit lang gesperrt.


Die Sperrfunktion kann ich an meinem PL3 FW 5.10 nicht nachvollziehen. Damit wäre ich nämlich schon total happy und hätte erst gar nicht das Thema eröffnet. Hatte es zuvor bis zu 10 Versuchen probiert.

Lalune
31.03.2012, 13:26
Ok Pl2 mit Funktionsumfang des Pl3 ah ja genau.
Mit dem 2 kommt man in keinster Weise an dass ran was der 3 leisten kann. Man bedenke Touch Expansion usw. zum Themasicherheit kann ich nur eins sagen: Alles Nullen. Was nützt es mir wenn ich die Haustür zu Mauer wenn das Fenster und die Terrassentür auf ist? Man nehme ein ordentliches Passwort und gut ist es.

An Mathias gibt es folgendes zu sagen. Mail und SMS Warnung beim 3. falschen Loginversuch mit IP des Verursachers und 10min Sperre danach werden nochmal 2 Versuche frei dann ist 30min Sperre danach 1 Versuch dann ist von ausen dicht bis man über den plc zurücksetzt. Ich praktiziere dass so beim Login meiner PHP Scripts. kurze Info per Mail und du weist da will einer rein.
per SMS und Email sollte der Login deaktivierbar sein. Dass wäre Sicherheit auf dem obersten lvl.

dr.dotti
31.03.2012, 16:48
Mail und SMS Warnung beim 3. falschen Loginversuch mit IP des Verursachers und 10min Sperre danach werden nochmal 2 Versuche frei dann ist 30min Sperre danach 1 Versuch dann ist von ausen dicht bis man über den plc zurücksetzt. Ich praktiziere dass so beim Login meiner PHP Scripts. kurze Info per Mail und du weist da will einer rein.
per SMS und Email sollte der Login deaktivierbar sein. Dass wäre Sicherheit auf dem obersten lvl.

Ich finde auch, dass man an dem WebServer Login noch das eine oder andere Verbessern kann.
Die E-Mail Warung von Lalune finde ich schon ganz gut.
Ich fände es auch ganz gut, wenn man die USER Namen ändern könnte. Das würde das ganz auch noch etwas sicherer machen.

klauslb
31.03.2012, 23:46
Ok Pl2 mit Funktionsumfang des Pl3 ah ja genau.
Mit dem 2 kommt man in keinster Weise an dass ran was der 3 leisten kann. Man bedenke Touch Expansion usw.

DARUM GEHT ES DOCH ÜBERHAUPT NICHT!!!
Oh Mann!:mad:
Es geht einzig und allein um den Webserver und den Zugang!

Mein PL3 sperrt nicht nach 3 Fehlversuchen :(
Bitte, wie sind da die Erfahrungen?

Gruss
Klaus

Lalune
01.04.2012, 07:46
mit der Sperre dass hab ich auch teilweise bin ich trotz Logout auf Login mit Umschalt F5 geht's dann auf Logout vorher hab ich immer noch vollzugriff. Wurde aber schon mal erwähnt.

Matthias
01.04.2012, 09:21
H A L L O O O

Leute, bitte sachlich und ruhig bleiben - wir haben auch so schon genügend Stress hier im Forum

Also zur Zusammenfassung:
Mehr als 8 Stellen Passwort macht das Passwort auch nicht sicherer
Nach 3 Mal sperren - ERTAPPT! Das ist in der Firmware zwar schon vorbereitet aber noch nicht aktiviert! Kommt jetzt gleich noch in die 5.12 BETA!

Die anderen Wünsche wurden vernommen und wenn möglich eingebaut!

Lalune
01.04.2012, 09:29
Eine Runde Baldrian für alle!

@ Matthias die Idee mit den Usernamen ist auch gut evtl. mit Erweiterung der Rechte.
Einstellungen Benutzer -> Rechte
dann z.B. Sensor PH1 nur ansehen bearbeiten ect. oder Steckdosen einzeln einstellbar welche Steckdose geschaltet werden darf. Ich weis dass ist sehr umfangreich aber durchaus machbar. Natürlich ist dass nicht innerhalb ein paar Tage programmiert.
Nur so eine Idee.

dr.dotti
01.04.2012, 11:12
Eine Runde Baldrian für alle!

@ Matthias die Idee mit den Usernamen ist auch gut evtl. mit Erweiterung der Rechte.
Einstellungen Benutzer -> Rechte
dann z.B. Sensor PH1 nur ansehen bearbeiten ect. oder Steckdosen einzeln einstellbar welche Steckdose geschaltet werden darf. Ich weis dass ist sehr umfangreich aber durchaus machbar. Natürlich ist dass nicht innerhalb ein paar Tage programmiert.
Nur so eine Idee.

Das mit den Rechten wollte ich auch schreiben hatte ich mir aber verkniffen, da schon etwas aufwendiger zu implementieren.
Wäre aber schön wenn dass irgend wann mal kommen würde.

Matthias
01.04.2012, 17:37
Sperre nach 3x falschem Passwort ist aktiviert und funktioniert

Update kommt in Kürze

klauslb
02.04.2012, 21:56
Sperre nach 3x falschem Passwort ist aktiviert und funktioniert

Update kommt in Kürze

Danke für die Info und klare Aussage!
Ist nun nur die Frage ob die Beta halbwegs läuft, oder man das "Final Release" abwarten muss....

gruss
Klaus

Matthias
03.04.2012, 12:33
ja, zumidest "halbwegs" läuft sie

bisher sind noch keine Bugs reported worden, an meinem Becken läuft die 5.12 auch einwandfrei

klauslb
04.04.2012, 19:55
Ich würde dann ja auch mal Betatester werden :)
Aber im Download ist noch diese deutsche Version
472.49 kB 2012-03-17 15:29

Matthias
05.04.2012, 07:16
kommt am Wochenende

bauen gerade noch die 4 Futterpausen ein