Forum

Forum

Loxone Gen1 bezpecn...
 
Notifications
Clear all

Loxone Gen1 bezpecnost HTTP vs. Gen2 a HTTPS

29 Posts
11 Users
0 Likes
4,447 Views
(@ivusosk)
Eminent Member
Joined: 6 years ago
Posts: 23
Topic starter  

Tak som si pisal s Loxone ohladom bezpecnosti, neviem ci som paranoik ale proste hneva ma ze na existujucich zakaznikov kaslu: (moj text dlhsi je oranzovym).

Vysledok komunikacie je ze Gen 1 nikdy nebude kryptovane a mozeme sa aj...

Vedel by to niekto overit ako je to s bezpecnostou? Mam celkom obavy kedze mam elektronicky zamok na loxone...

Dakujem moc.

Mockrát děkujeme za feedback a vážíme si toho. Co se týče těch bodů, tak je to takto: 1. Odemknutí aplikace pomocí otisku prstu či face ID je v aplikaci obsažené. Najdete to v nastavení ve složce bezpečnost. 2. jsme rádi, že to zmiňujete a naši vývojáři se tím už zabývají 3. Webové rozhraní nedoporučujeme používat k vzdálenému přístupu, zejména ne ve veřejných sítích. Dnes slouží spíše pro účely konfigurace. Nicméně aplikace používá šifrované přihlášování i šifrované tokeny a neustále se zlepšuje s každou aktualizací. Co se týče technického dotazy na API, prosím obraťte se na naši technickou podporu. Hezký den, Bára

mojho pohladu (je to skor nieco ako bonus) skor by som to privital ako moznost k vizualnemu passwordu na dodatocne overenie. To je trosku rozdiel .

OCT 23, 2019, 11:39 AM

 

Dobrý den, 1. velmi se omlouvám, ověřovala jsem to u vývojářů a je tam bug, který je v beta verzi opraven, ale do veřejné se ještě nedostal. 3. omlouvám se, ale bohužel tomuto nerozumím a přeposlala jsem oficiální odpověď od vývojářů, pokud vás to zajímá, obraťte se na naši technickou podporu a ti vám jistě rádi odpoví
Hezký den, Bára

SAT 5:28 PM

 

Dobrý den, děkujeme za Vaši zprávu. Odpovíme, co nejdříve to bude možné. Nicméně v kanceláři jsme jen v pondělí až čtvrtek do 17 hodin a v pátek do 12 hodin. Děkujeme za pochopení.

To ako trestate vasich vernych zakaznikov? Ze mame od Vas produkt?

Uplne tomu nerozumiem podpora softwaru je v dnesnej dobe u velkych firiem na niekolko x-rokov planovana. Podpora sa tyka hlavne - stability - bezpecnosti - noviniek

ako dokazete uz existujucim zakaznikom vysvetlit slovo bezpecnost ked im ju vl. odmietate dat? to je vysmech zakaznikom a vystrazny prst pre novych aby to zvazili ci ist do vasho riesenia. Prosim o vysvetlenie. Vas nechapajuci zatial zakaznik.

Dakujem Ivan Pospisil

8:13 AM

 

 

Dobrý den,pane Pospíšile. 1. generace Miniserveru bohužel nedisponuje dostatečným výkonem, který by je potřeba pro protokol HTTPS.

Uprimne? tomu neverim...

mam server zatazeny na 40%

sami ste povedali

ze to bezi zakryptovane (resp. neda sa to odchytit)

a ze na bezpecnosti pracujete

navyse ja sa ako zakaznik citim byt doslova podvedeny

vasou spolocnostou

mam zariadenie ktore nema ani 2 r

a uz mu nedate adekvatnu podporu

to nehovorim o zakaznikoch kt. si vase zariadenie dali nainstalovat napr. v priebehu tohto roka

a vy im poviete ze SSL

nie jep odporovane

(ALE MAME TO KRYPTOVANE!)

lebo vykon cpu

 

 

Chápu vaše dotazy pane Pospíšile. V případě, že to chcete prodiskutovat více, obraťte se prosím na na naší technickou podporu, po telefonu vám to vysvělíme lépe.

+421 233 872 141

NIe

napiste mi to

co je psano to je dano

aspon to mozem zverejnit

aky mate postoj ku zakaznikom co maju vas produkt

a to mam alarm oddeleny od loxone (posielame do neho len informaciu z alarmu) ludia co maju od Vas alarm sa mozu podla mna adekvatne obavat bezpecnosti

vasho systemu

to nie je paranoja to je proste dane standartom kt. je vseobecne uznavany vo svete

ak je nieco "zastarale" ...

suma sumarum

podla Vas

cez HTTP to bezi kryptovane (lebo to proste kryptujete)

na to je dostatocny vykon

ale na HTTPS miniserver 1.gen to vykon nema

to nehovorim o tom ze priamo v texte pre konfiguraciu miniservera mate ponovomnapisane pouzivajte SSL

verim ze nie som jediny zakaznik. kt. bezpecnost inteligentnej domacnosti nie je ukradnuta

a spravite napravu

 

 

Pane Pospíšile, není důvod k panice (viz náš blog). U Miniserveru funguje vše tak, jak jste byl v minulosti zvyklý. Budete dostávat aktualizace, bude i nadále podporován, bude fungovat dále. Tento Miniserver je na světě 10 let a u některých větších/komplikovanějších projektů jsme se dostali do vyšších čísel zatížení procesoru. Pokud přistupujete přes Loxone App (viz dokumentace), nemusíte se o svou bezpečnost obávat. Pouze nedoporučujeme (viz opět dokumentace) přistupovat přes webový prohlížeč z veřejných a jiných ne úplně bezpečných Wi-Fi sítí. Miniserver druhé generace je úplně nový produkt, který je 21x rychlejší, má 16x vyšší paměť, atp. Z tohoto důvodu jsme schopni dělat i velmi náročné výpočty, mezi které (mimo jiné) patří i HTTPS. První generace by tento výpočet bezpečně nezvládla. Pokud by tomu tak bylo, již bychom funkci podporovali v minulosti. Pokud máte ještě nějaké dotazy, velice rádi Vám je zodpovíme. Milan

Dovod k panike je mate nebezpecny system a nerobite s tym nic

https://vulners.com/seebug/SSV:97255

Workaround: Only connect to your miniserver via secure VPN and disable any port forwardings. Use an isolated PC (browser) to control the smart home and do not surf on the web while being logged in to the miniserver web interface. Use different passwords for all installations and don’t reuse them.

toto je ich workaround

nepouzivat miniserver voci vonkajsiemu svet

u

to ja ako zakaznik nie som ochotny v dnesnej dobe akceptovat

pri zariadeni kt. nema ani 2r

ja neviem ci ide o overenu informaciu nie som hacker, ale kazdopadne stranka vulners.com mi pride hodne doveryhodna vzhladom na to cim sa zaoberaju a ake spolocnosti ich podporuju

toto je clanok z 2018

tu je clanok z 2016

https://github.com/BuddhaLabs/PacketStorm-Exploits/blob/master/1502-exploits/SA-20150227-0.txt

pise o tom istom

pride mi ze 2roky ste nespravili v tejto oblasti NIČ

 

 

Nyní jsem se seznamoval s obsahem na stránce. Důveryhodnost nedokáži vyhodnotit a bylo by to kvůli reklamám na stránce dost subjektivní. Nicméně: 1) Poslední kontakt s výrobcem (Loxone je z roku 2015) 2) Poslední testování bylo na verzi 6.x.x.x (dnes máme verzi 10.3) 3) To, co se tam píše, je přehnané i na možnosti verze 6.3 - mezitím jsme implementovali řadu bezpečnostních featur a firewallu 4) Za poslední 3 roky jsme zabezpečení posunuli na Miniserveru úplně někam jinam. Samozřejmě, že VPN je nejbezpečnější možnost připojení, to nelze rozporovat. Pokud ale, jak jsme již psal, používáte připojení přes App (šifrování přes tokeny) a máte nahranou poslední verzi Loxone Configu, jste v bezpečí.

Takze ak aplikacia pouziva token a niekto mi ho odchyti

som uplne v keli

lebo token pokial nie je sifrovany cez HTTPS

je to ako cisty text

akurat ze s tokenom ma pristup do celeho systemu?

ocividne sa nezhodneme na pojme Bezpecnost

co mna ako zakaznika mrzi

na to ze som do vasho systemu investoval niekolko tis. eur

 

 

Token se vytváří 1x za měsíc a pravděpodobnost je mizivá. Jakmile máte token vytvořený, jste v bezpečí. Opravdu chápu Vaše obavy a pocity, ale z mého pohledu nejsou na místě. Do budoucna Vám doporučuji stále aktualizovat App i Miniserver, kde budeme reagovat na případné hrozby tak, jako v minulosti. Pokud chcete využívat HTTPS, můžete vyměnit Miniserver první generace za tu druhou - zbytek instalace je samozřejmě kompatibilní. Pokud Vám ale výkon dostačuje a používáte App, neměnil bych.

nie je to pravda co pisete

mam 1 modul od KNX Zennio

na ovladnie tepelneho cerpadla

a to uz nie je zalezitost miniservera kedze modul od KNX + Miniserver Gen2 je dvojnasobne vyssia

ako povodna verzia Gen1

kedze Tree modulov mam len 2

na system kt. nema ani 2 roky je to podraz

 

 

V tom případě rozumím a zůstal bych na Gen 1, popřípadě můžete spojit Miniserver Gen 2 a Gen 1 do Gatewaye a využít Gen 1 pouze pro KNX.

date mi Gen2 s maximalno zlavou kedze mi ide len o bezpecnost a zvysne casti nepotrebujem?

 

 

Pane Pospíšile, snažil jsem se Vám problematiku vysvětlit a z mého pohledu to podraz není - je to evoluce produktů.

HAHA

bezpecnost v dnesnej dobe

je potrebna

 

 

Ano, proto jsme razantně navýšili výkon a udělali potřebné úpravy.

takze suhlasite ze Gen 1 ma bezpecnostne problemy

verte ze tato komunikacia bude zverejnena ak nedospejem ku cielu kt. bude pre mna uspokojujuci

a to ju dam aj prelozit

ide mi o princip...

 

 

Nesouhlasím, protože žádné bezpečnostní problémy neevidujeme.

ok

to je veta kt. sa da overit

ak budu

garantujete MNE?

ze ich napravite?

chapte ja nepotrebujem mat zmenenu ikonku v aplikacii aby to vyzeralo krajsie(samozrejme to ocenujem) ale to nie je dovod preco som si vybral od Vas zariadenie, bolo mi povedane ze to ma otvorene API (nie je to uplne pravda, lebo otvore mozno je ale dokumentacia je velmi biedna). A ze bude existovat dlhodoba podpora zariadenia (a to som ratal aj bezpecnost) kedze mam elektricky zamok na dome a ak mi niekto narusi loxone ma do domu otvorene DVERE a to je ze naozaj nezelany stav, to poistovny nevysvetlim...

poistovni...(pardon za hrubku)

 

 

Pane Pospíšile, velice rád bych Vám pomohl, ale vše, co potřebujete jsem již napsal: 1) Miniserver první generace nepodporuje HTTPS z důvodu výkonu, kdy bychom nemohli garantovat správnou funkčnost u všech projektů. Komunikace přes App je bezpečná, přes web má omezení (viz naše dokumentace) a řeší to případně připojení přes VPN. 2) Miniserver druhé generace má několikanásobně vyšší výkon a tak jsme, mimo jiné, implementovali i HTTPS. Z automobilu, které splňuje normu EURO3 také nemůžete udělat automobil s EURO6.

ok

pekny den

 

 

Vám také

Chat Conversation End

Type a message...

 


   
Quote
 blaf
(@blaf)
Honorable Member
Joined: 6 years ago
Posts: 490
 

Mno, taky me jejich diletantstvi stve, ale muzeme se stavet na hlavu. Novy miniserver nam urcite nedaji a https proste neimplementuji. Jedine co muzeme, udelat si vpn a https proxy na nginxu nebo apache. Pak jeste zakazat pristup k miniserveru z wifiny. Z wifiny jedine pri pripojene vpn. 


   
ReplyQuote
MarF
 MarF
(@marf)
New Member
Joined: 6 years ago
Posts: 4
 

Ahoj vsem,

osobne mam Gen1 a v zadnem pripade bych server nevystavil mimo domaci sit. Jsou i taci, kteri ho radeji daji do sve oddelene VLANy. Ja osobne mam na vzdaleny pristup OpenVPN. U nas ve firme vyvyjime podobny HW a ten problem s vykonem bych jim veril, taky muze byt problem s podporou knihoven apod. Me osobne vadi spis absence IPv6. To je ale stejna story. Myslim, ze novy HW je dobre reseni. Cena samotneho miniserveru neni v cele elektroinstalaci zas tak velke peklo.


   
ReplyQuote
(@ivusosk)
Eminent Member
Joined: 6 years ago
Posts: 23
Topic starter  

Podla mna dalo by sa to spravit, keby v ich appke (ios, android) bola moznost naimportovat si certifikat a urcit SSLkovy port. Nasledne ten kto vie, si spravi presne HTTPS proxy a ten najvacsi nedostatok by bol odstraneny. Aspon ja ako IT ckar s nejakymi malymi znalostami ohladom bezpecnosti to tak vidim...
Aj tak by ma zaujimalo ako ta appka vie akceptovat certifikat ked kazde zariadenie by ho malo mat iny na GEN 2. A hl. by mal byt asi overeny certifikacnou autoritou...

This post was modified 4 years ago 2 times by IvusoSK

   
ReplyQuote
(@muflon_)
Eminent Member
Joined: 7 years ago
Posts: 28
 

chalani, jednoduche reverzne proxy napr na Synology Vam to vyriesi uplne elegantne

 


   
ReplyQuote
(@ivusosk)
Eminent Member
Joined: 6 years ago
Posts: 23
Topic starter  

Ak to spravim cez proxyarp a zablokujem http aplikacia mobilna iOS a Android pojde v pohode? Dokazu sa "vysporiadat" s neznamym SSL certifikatom ako aj s SSLkom?

Ak ano je mozne dat nejaky link na overeny tutorial? 🙂


   
ReplyQuote
Jakub
(@jakub)
Reputable Member
Joined: 5 years ago
Posts: 249
 

Je na to navod na loxwiki:

https://www.loxwiki.eu/pages/viewpage.action?pageId=47121263

(nicmene ja zustanu u apky a VPN)


   
ReplyQuote
(@librucha)
Active Member
Joined: 4 years ago
Posts: 8
 

Ja jsem volal na technickou podporu a technik mi tvrdil, ze pouzivaji vlastni sifrovani. Po par otazkach jsem nabyl dojmu, ze nevi o cem mluvi. Z jeho informaci jsem pochopil, ze pouzivaji podobny pristup jako OAuth (tokeny s platnosti). Na moji otazku, ze pokud ten token nekdo odchyti a pouzije pro utok men-in-the-middle mi odpovedel, ze ten token plati jen pul hodiny a pak uz se tam utocnik nedostane. 🤣 

Me z toho plyne, ze jedine reseni je to mit pod VPN nebo vymenit za novejsi miniserver.

Ja mam nastesti router od Mikrotiku, tak mam VPN (IPsec) nakonfigurovanou primo tam.

Udelam par bezpecnostnich testu a pokud to vyjde jak si myslim, tak jim to hodim na hlavu.


   
ReplyQuote
 blaf
(@blaf)
Honorable Member
Joined: 6 years ago
Posts: 490
 

Bude určitě zajímavé to hacknout a potom je s tím konfrontovat. Oni jsou ale vůči tomuhle celkem rezistentní, takže se to stejně mine účinkem. Navíc, oni stejně asi nemají co s tím udělat, když výkon chybí.

VPN je imho základ, neotvíral bych komunikaci přímo ani v případě MS2. Rozjet VPN není problém s jakýmkoliv routerem, který umí port forwarding. Mám Wireguard na raspi a na routeru otevřený jeden jediný port kvůli VPN.


   
ReplyQuote
msk
 msk
(@dusanmsk)
Member
Joined: 7 years ago
Posts: 1870
 

VPN je istota, u gen1 nutnost. Reverzna ssl proxy bol problem co si pamatam, museli sa hackovat nejake ich resource files alebo url po ceste, vykaslal som sa na to. Mozno je dnes situacia ina.

Osobne by som ani gen2 (ale nic o nej neviem) nevystavoval priamo von, aby sa nestalo ze sa najde diera ktora umoznuje napr. zafloodovanim tcp syn alebo ssl handshakom tu zelenu mrdku zhodit alebo zahltit. Radsej nech hacker zhodi vpn koncentrator (router), nez cely barak.

Inak ja chapem ze MS1 ma 10 rokov, ale aj v tej dobe boli v pohode dostupne procaky s crypto akceleratorom, takze je to len vyhovorka. A keby sw vyvojari nebola banda diletantov, tak by web ui v ms1 naprogramovali tak, aby pred to sla strcit akakolvek ssl proxy bez zasadnejsich problemov.


   
ReplyQuote
Dáda
(@vary)
...
Joined: 7 years ago
Posts: 730
 

Tyo zdá se mi, že to moc přeháníte. Na MS1 nikdy HTTPS nebude, kvůli výkonu - to se ví už 5 let minimálně. Znám plno lidí, co to mají přesměrováno na veřejku a jsou stím uplne vpohode. Neexistuje případ, kdy by se někdo dostal do Loxonu a nějak ho hacknul nadálku. 

Ptát se na todle na podpoře? Jste blázni, to neví ani lidi v Rakousku, natož tady...


   
ReplyQuote
 blaf
(@blaf)
Honorable Member
Joined: 6 years ago
Posts: 490
 

Jo, plno lidi je s tim v pohode. A plno lidi ma do netu vystaveno ledacos, ani o tom nevi nebo si mysli, ze se jim nemuze nic stat. Ona to ale neni pravda.

 

https://www.zive.cz/clanky/shodan-uz-10-let-smiruje-internet-podivali-jsme-se--mozna-i-k-vam-domu-a-zcela-ovladli-korejskou-tiskarnu/sc-3-a-201337/default.aspx


   
ReplyQuote
(@librucha)
Active Member
Joined: 4 years ago
Posts: 8
 

Tady je dokumentace jak se v Loxone sifruji prikazy a jak se handluji tokeny https://www.loxone.com/cscz/wp-content/uploads/sites/7/2016/09/loxone-api-communicating-with-the-miniserver.pdf

Je to zajimave cteni, pokud vas ta bezpecnost opravdu zajima. Po prvotnim nahledu to vypada, ze se spolehaji na sitovou bezpecnost a tokeny pouzivaji hlavne k autorizaci. Takze nebezpecne bude pouzivat verejne WIFI bez sifrovani, ale to snad nikdo, kdo ma rozum nedela. 😀 


   
ReplyQuote
msk
 msk
(@dusanmsk)
Member
Joined: 7 years ago
Posts: 1870
 

Ano, nesifruju celu komunikaciu, ale aspon prikazy. Robustnost tohoto riesenia takto narychlo nedovidim, ale podla mna je to len 'jeden klacek pod nohy'. Minimalne to vobec nijak nebrani MITM, co je podla mna najcastejsi vektor utokov vobec.

Takze resume - asi to zabrani pubertakom nahodne skusajucim exploity ovladat dom nadialku v plnom zmysle slova, ale nezabrani to niekomu aspon trochu zdatnemu, kto chce podniknut realny utok na dom, aby sa don dostal. V kombinacii s elektronickym zamkom a podobnymi nebezbecnymi nezmyslami je to potom smrtiaca kombinacia.


   
ReplyQuote
elpaso
(@elpaso)
Prominent Member
Joined: 7 years ago
Posts: 826
 

@dusanmsk

moje security inner-me stebou souhlasi na 110%.

bohuzel moje racionlni "me" absolutne vubec... kdyz uz nekdo pujde vykrast to moje "nic" co doma mam, kde "nic" cti jako "zadne umeni za miliony, zadne sperky, zadne kufry penez apod" tak jsem si na 100% jistej, ze pujde zadem pres terasu skrz francouzske okno...

nedovedu si predstavit, ze na to nekdo pujde jako z filmu 🙂 ale mozna se pletu

- VPN samozrejme mam, ale ne na loxone - nepohodlny, nechci popirat usability skrz zapinani VPN kdyz  prijzdim domu autem nebo jdu z hospody abych si otevrel na jeden klick pruchod na sedacku do obyvaky

TEORETICKY by se dalo prejit zvenku na technologii/vendora, kterymu clovek veri (u me je to Apple) a pouzit homebrige/homekit bez jakekoli reverzni proxy


   
ReplyQuote
Page 1 / 2
Share: