Grundlagen Fernzugriff via WEB

  • Hallo zusammen,

    ich habe mir nun einen weiteren Pi(ModellB) zugelegt mit dem ich gerne meine Beleuchtung steuern würde( dazu gehören Funksteckdosen sowie Funklichtschalter).
    Das ganze soll vom Smartphone aus steuerbar sein wenn ich unterwegs bin womit ich vor dem Problem stehe wie ich das realisieren kann. Nun habe ich davon nicht die große Ahnung, eher gefährliches Halbwissen.

    Soweit ich das hier richtig nachvollziehen konnte muss man auf jedenfall Ports freigeben und über einen Provider(z.B. no-Ip) vom Smartphone auf das eigene Netzwerk zugreifen und somit ja auch auf den Pi.

    Wie gestalte ich das denn sicher, z.B. habe ich eine Festplatte im Netzwerk? Wäre es sinnvoll den Pi in ein eigenes Subnet zu packen und nur das freizugeben?

    Für das Smartphone habe ich eine kleine Anwendung geschrieben die, so der Plan, einen Befehl an den Pi schickt der daraufhin je nach Auswahl entweder die Lichter an oder aus schaltet.

    Ich bin über jede Hilfe dankbar, gerne auch die Fachbegriffe zum belesen empfehlen....

    Gruß

    Chris:danke_ATDE:

  • Nun habe ich davon nicht die große Ahnung, eher gefährliches Halbwissen.

    Dann besteht die sehr große Gefahr, dass Du nach relativ kurzer Zeit nicht mehr allein darüber entscheidest, wer Deine Hardware wie-auch-immer verwendet. Das bedeutet, dass irgendwann vermutlich Dir völlig unbekannte Menschen irgendwo auf der Welt auch Zugriff auf Deine Hardware haben werden.

    Ich habe mich ein wenig mit dem Thema Sicherheit befasst.... und wenn Du magst, kannst Du das als erste Einstiegshilfe nachlesen:

    Datenschutz vs. BigData - privat vs. kommerziell. Wie sicher ist...? Gedanken zur Einrichtung eigener Web-Dienste

    http://www.thlu.de/security.html http://www.thlu.de/openvpn.html

  • Danke für die schnelle Antwort, die ersten beiden Themen kenne ich, habe jedoch gehofft das es Monate später eventuell eine neuerung gibt bzw. eine alternative, anscheinend nicht. Ich möchte auf keinen Fall das andere Menschen auf meine Daten zugreifen oder mir nachts das Licht anschalten :D

  • ... später eventuell eine neuerung gibt bzw. eine alternative, ...

    Was genau meinst Du mit "Neuerung bzw. Alternative"? Was gefällt dir an dem vorgeschlagenen nicht?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hallo dragonfight.

    Ich habe zu Hause seit Jahren einen eigenen Webserver.

    Das Absichern kannst du z.B. so ganz einfach lösen:

    Nur https, Zertifikate z.B. mittels Letsencrypt.

    Zugriff geschützt via .htaccess Datei.

    Fail2Ban auf den .htaccess Zugriff konfigurieren. Direkt nach dem ersten Fail den Clienten für 10min bannen.

    Code
    [apache-auth]
    enabled  = true
    filter   = apache-auth
    port     = http,https
    #action   = iptables-multiport[blocktype="REJECT –reject-with icmp-port-unreachable", name="apache-auth", port="80,443", protocol="tcp", chain="INPUT"]
    logpath  = /var/log/apache2/ssl_error.log
    maxretry = 1
    bantime  = 600

    Das sichert dich vor Bots welche brutforcen und dank https duch mitschnüffeln des Datenverkehr.

    Ich habe so gut wie keine Zugriffe auf http/https. Einige auf FTP.

    Das Fail2Ban direkt blocked hindert viele ab es nach 10min noch einmal zu versuchen.

    Dann halte dein System und den Webserver aktuell und programiere die Webseiten sauber.

    Damit sind dann so Dinge wie sql-injection, XSS etc.. auch hinfällig.

    Bastel nicht an den Rechten im www-root rum.

    Lass den Webserver mit eingeschränkten Rechten laufen.

    Nutze das sudowebscript von meigrafd, findest du hier im Forum, wenn du höhere Rechte benötigst.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Hallo, dann habe ich die Seiten aus dem ersten Post wohl falsch verstanden, denn erstens habe ich damit wirklich noch nie gearbeitet und auf den Webseiten steht auch ganz klar das es kaum Sicherheiten gibt und wenn man seine Daten schützen möchte dies lieber sein lässt.

    Daher die Reaktion das sich vielleicht hingehend Sicherheit was getan hat.

    imperator, ich müsste sicher noch mind. 4 Schritte vor deiner Ausführung anfangen.
    -Aktuell habe ich Raspbian als System drauf, kann ich da den Webserver raufspielen oder gibt es da direkt ein Betriebssystem? Die Einstellungen die für den Webserver und die SSH gemacht werden sind soweit ja immer die selben, oder sollte man da was beachten. Zu den Ports die man öffnet bzw. über die man Weiterleiten will da gibt es diverse und/oder Breitflächige öffnungen. Da ich keine otopischen Datenmengen transferieren will müsste ein Port reichen, oder?

    Vielen Dank erstmal für eure Ausführungen

  • Daher die Reaktion das sich vielleicht hingehend Sicherheit was getan hat.

    Nein, hat sich nichts getan... die Leichtsinnigkeit der Anfänger beim Verzicht auf Sachkenntnis bezüglich notwendiger Sicherheit ist unverändert hoch.... :conf:

    Ich persönlich halte den Ehrgeiz zum jetzigen Zeitpunkt einen Webserver aufzusetzen für grob fahrlässig. Mein Rat wäre bei dem Kenntnisstand etwas bescheidener anzufangen: Ich empfehle mit einem headless laufenden lokalen Samba-Server auf einem Linux-Betriebssystem ohne (!) grafische Benutzeroberfläche anzufangen. Damit lernt man erst mal die Basics von Linux, wie CLI-Customizing, die Benutzerverwaltung, Linuxrechte und die Besonderheiten der Unterschiede von Client-Rechten und Server-Rechten. Dann ein Backup-Konzept entwerfen und implementieren. Dann vielleicht mit Cups den Printserver dazu. Dann mit radicale den sync-server für die Smartphones.... und alles NUR im lokalen Netz, ohne (!) Zugang über das Internet. Irgendwann dann OpenVPN für den Zugriff von außen aufs eigene Netzwerk. Und 1-2 Jahre später würde ich -wenn ich das immer noch brauche- über einen Webserver anfangen nachzudenken.

    Das, was der Imperator da beschreibt, klingt ja alles soooo easy... nur leider verschweigt er, dass die Sicherheit der lokalen Systeme sehr sehr viel früher anfängt... vor dem Hintergrund, dass das beste Web-Server-Setup nix taugt, wenn das Betriebssystem selber unsachgemäß eingerichtet und damit möglicherweise von innen heraus kompromittiert ist. Bevor man einen Webserver aufsetzt und sich gedanken über fail2ban macht, sollte man besser erst mal den System-Manager systemd, grundsätzliche Netzwerksfunktionalität (Protokolle, Schnittstellen), das Linux Rechtesystem und die Linux Benutzerverwaltung verstanden haben. Der Verzicht auf "sudo", auf proprietäre Software, auf Fremdsoftware, auf Programm-Quellen ausserhalb des Raspian-Repos... all das sind die Basics, ohne deren Wissen und Verstehen ich eine Webserver-Einrichtung mit Zugang vom Internet einfach nur für grob fahrlässig erachte.

    dann habe ich die Seiten aus dem ersten Post wohl falsch verstanden, denn erstens habe ich damit wirklich noch nie gearbeitet und auf den Webseiten steht auch ganz klar das es kaum Sicherheiten gibt und wenn man seine Daten schützen möchte dies lieber sein lässt.

    Es gibt ein relativ einfaches Mittel oder Rezept um seine Daten ausreichend wirksam zu schützen. Das Mittel heisst "Sachkenntnis".... die muss man sich imho langsam aneignen. Dieses Forum ist m.E. dafür ein perfekter Ort.... was brauchts dafür: Statt übertriebenen Ehrgeizt, nur etwas Geduld und Bereitschaft zur Mitarbeit.

    jm2c

    Einmal editiert, zuletzt von WinterUnit16246 (12. November 2018 um 16:00)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!