Sicherheit PL3 Webserver

[klauslb]

Hallo zusammen,

seit etwa 1 Monat habe ich nun auch einen PL3 und habe mir auch den Web-Zugriff eingerichtet.

Allerdings stören mich die kurzen Passwörter sehr und darum habe ich den Port doch meistens zu

Kann man den Zugang als Admin nicht blockieren, da mir vorläufig die reine Ansicht der Istwerte (Guest) genügen würde?
Oder gibt es vielleicht die Möglichkeit einzelne Funktionen, wie bestimmte (Zeit-)Schaltfunktionen komplett für externen Zugriff zu sperren?
Hintergrund sind z.b. Dosierpumpen.....

Gibt es da schon Lösungen oder ist vielleicht seitens GHL schon was geplant?

Danke und Gruss
Klaus

[Matthias]

8 Zeichen müssten doch ausreichend sicher sein, per Probieren findet man das Passwort sicher nicht raus
da ist keine Änderung geplant

[klauslb]

8 Zeichen müssten doch ausreichend sicher sein, per Probieren findet man das Passwort sicher nicht raus

Das ist eigentlich nur eine Zeitfrage.
http://www.pcwelt.de/ratgeber/So-lan...en-172195.html

Ich leide hier nicht an der großen "Hacker-Panik" , aber bei meinem letzten Provider und ohne Fritzbox hat die "Internet-security" öfters Portscans von, nennen wir es neutral "Spielkindern" angezeigt. Der Gesetzgeber wirft einem offensichtlich ja auch Fahrlässigkeit vor, wenn man sein WLAN nicht mit min. 16stelligem Schlüssel schützt.

Nun habe ich einen Provider welcher unregelmässig eine neue IP vergibt und somit "Spielkinder" auch mal länger Zeit haben.....
dann noch aus lauter Spass eine Dosierpumpe auf Dauerlauf......

So wie ich es bisher sehe kann man sich ja auch nirgends die Logins oder Loginversuche anzeigen lassen und merkt damit nicht mal, wenn einer Böses versucht.

[AQUA-IT]

Aufgabe von GHL ist es sicherlich nicht eine Verbindung gegen missbrauch abzusichern und dieses zu protokollieren. Wer es heutzutage sicher haben will nimmt eine VPN - Verbindung mit IPSec und verwendet nicht nur einfach Portforward.

Falscher Ansatz wenn man es sicher haben will.

[klauslb]

Schön, dass man solche Infos sofort im Forum bekommt!

Nun aber mal aus Sicht von Otto-Normalverbraucher und damit wohl 90% oder mehr der Kunden, die ganz sicher keine IT-Spezialisten, Netzwerktechniker oder sonst was sind!
Die deutsche Gesetzgebung schreibt für jeden verständliche Bedienungsanleitungen vor!
In dem was ich bisher zum Webserver finden konnte, war nicht mal der Login ausreichend erklärt und man muss es hier im Forum erfragen! "Gast=Guest"
Ich war seit meinen ersten PL2 zufriedener GHL-Kunde, aber inzwischen nervt die mangelnde Dokumentation und der dadurch verursachte Zeitaufwand extrem!!!!!!

Warum stehen nicht in einer, für jeden Käufer deutlich vor dem Kauf lesbaren Bedienungsanleitung eindeutige Details zum Login, den Möglichkeiten des Webservers und den offenbar empfohlenen sichereren Ausweichlösungen?

So wie ich es gerade sehe ist der Kauf eines PL3 wegen dem Webserver für sicherheitsbewusste User "für die Katz" und nur rausgeschmissenes Geld! :mad:

Lasse mich aber gerne eines besseren belehren.
Nur bitte in einer verständlichen Sprache und für jeden nachvollziehbar!

gruss
Klaus

[Matthias]

So wie ich es gerade sehe ist der Kauf eines PL3 wegen dem Webserver für sicherheitsbewusste User "für die Katz" und nur rausgeschmissenes Geld! :mad:

Das möchte ich nun aber nicht so stehen lassen! Wieso ist der ProfiLux rausgeworfenes Geld wegen eines vermeintlichen Passwort-Problems? Sind die relevanten Funktionen (Regelung, Beleuchtung, etc.) deswegen nicht mehr vorhanden?

Wieder zum Passwort: 8 Stellen ist absolut ausreichend.

Bitte mal überschlägig mitrechnen:

Nehmen wir mal an man hat für eine Stelle zirka 100 Zeichen zur Auswahl (Alphabet groß / klein, Zahlen, Sonderzeichen) dann wären das bei 100 Eingabemöglichkeiten.
Gut, das bekäme man durch Probieren noch raus. Nehmen wir 2 Zeichen, dann wären das 100 x 100 Möglichkeiten -> man müsste also maximal 10.000 Kombinationen eintippen bis man den Code hätte.

Spielen wir das weiter. 8 Stellen ergeben 100 hoch 8 = 10.000.000.000.000.000 Möglichkeiten.
Na dann viel Spaß beim Ausprobieren ... Übrigens: Bei 3 Fehleingaben wird ProfiLux sowieso für den Zugang von außen für eine Zeit lang gesperrt.

Ich denke damit ist verständlich warum 8 Zeichen ausreichen.

Die meisten Sicherheitsprobleme kommen auch von einer ganz anderen Seite. Das Problem ist nicht, dass Passwörter zu kurz wären, das Problem liegt eher im sorglosen Umgang mit Passwörtern.
Z.B. darin, dass einfach zu erratende Passwörter verwendet werden ("Anja1972"), die Passwörter irgendwo aufgeschrieben sind oder Passwörter mitgeloggt werden können.

Zur Anleitung
Es gibt in der Tat nicht viel zum Login zu sagen. Einfach Passwörter vergeben, mit Admin oder Guest und passendem Passwort einloggen, fertig. Was sollen wir noch schreiben?

Geschichten wie VPN, IPSec sind etwas für unsere Freaks und nichts für "Otto-Normalverbraucher". Diese Dinge gehören nicht in unsere Anleitung, das ist ein anderes Thema. Sind aber für diesen Fall nicht relevant -> also vergessen.

[klauslb]

Sind die relevanten Funktionen (Regelung, Beleuchtung, etc.) deswegen nicht mehr vorhanden?

Es ging konkret um den PL3 wegen dem Webserver, das andere kann mein PL2 schon.

Übrigens: Bei 3 Fehleingaben wird ProfiLux sowieso für den Zugang von außen für eine Zeit lang gesperrt.

Die Sperrfunktion kann ich an meinem PL3 FW 5.10 nicht nachvollziehen. Damit wäre ich nämlich schon total happy und hätte erst gar nicht das Thema eröffnet. Hatte es zuvor bis zu 10 Versuchen probiert.

[Lalune]

Ok Pl2 mit Funktionsumfang des Pl3 ah ja genau.
Mit dem 2 kommt man in keinster Weise an dass ran was der 3 leisten kann. Man bedenke Touch Expansion usw. zum Themasicherheit kann ich nur eins sagen: Alles Nullen. Was nützt es mir wenn ich die Haustür zu Mauer wenn das Fenster und die Terrassentür auf ist? Man nehme ein ordentliches Passwort und gut ist es.

An Mathias gibt es folgendes zu sagen. Mail und SMS Warnung beim 3. falschen Loginversuch mit IP des Verursachers und 10min Sperre danach werden nochmal 2 Versuche frei dann ist 30min Sperre danach 1 Versuch dann ist von ausen dicht bis man über den plc zurücksetzt. Ich praktiziere dass so beim Login meiner PHP Scripts. kurze Info per Mail und du weist da will einer rein.
per SMS und Email sollte der Login deaktivierbar sein. Dass wäre Sicherheit auf dem obersten lvl.

[dr.dotti]

Mail und SMS Warnung beim 3. falschen Loginversuch mit IP des Verursachers und 10min Sperre danach werden nochmal 2 Versuche frei dann ist 30min Sperre danach 1 Versuch dann ist von ausen dicht bis man über den plc zurücksetzt. Ich praktiziere dass so beim Login meiner PHP Scripts. kurze Info per Mail und du weist da will einer rein.
per SMS und Email sollte der Login deaktivierbar sein. Dass wäre Sicherheit auf dem obersten lvl.

Ich finde auch, dass man an dem WebServer Login noch das eine oder andere Verbessern kann.
Die E-Mail Warung von Lalune finde ich schon ganz gut.
Ich fände es auch ganz gut, wenn man die USER Namen ändern könnte. Das würde das ganz auch noch etwas sicherer machen.

[klauslb]

Ok Pl2 mit Funktionsumfang des Pl3 ah ja genau.
Mit dem 2 kommt man in keinster Weise an dass ran was der 3 leisten kann. Man bedenke Touch Expansion usw.

DARUM GEHT ES DOCH ÜBERHAUPT NICHT!!!
Oh Mann!:mad:
Es geht einzig und allein um den Webserver und den Zugang!

Mein PL3 sperrt nicht nach 3 Fehlversuchen
Bitte, wie sind da die Erfahrungen?

Gruss
Klaus