MQTT Brücke Konfiguration/ User&PW / Intern-Extern

[Addy]

Die openWB hatt noch nie eine Anmeldung am Broker vorausgesetzt. Wenn Du das mal so eingerichtet hattest, frage ich mal ganz einfach: wo hast Du die Zugangsdaten im Mosquitto der openWB eingetragen? Da gibt es keine Möglichkeit ohne SSH Zugang.

Einen Mehrwert bieten Anmeldedaten, die nicht verifiziert werden, auch nicht.

Ich muss hier einen User und Passwort hinterlegen damit ich die Brücke nutzen kann. Das ist nun aber nutzlos.

Screenshot_20240328-102039.png

(207.45 KiB) Noch nie heruntergeladen

Es mag zwar sein dass der Sicherheitsgewinn bei den Heim-Usern nicht groß ist, aber im Business Umfeld wird jede Verbindung verschlüsselt und wenn möglich durch Zertifikate abgesichert. Ich verstehe den Anspruch hinter der Lösung, dass nicht nur Heim-User im Fokus stehen, vor allem da die Verbindung bis vor kurzem noch abgesichert war.

LG Markus

[PhilW35]

Ok das hatte ich, bisher wie wahrscheinlich viele andere, falsch verstanden

ist ds ein Schritt in die Richtung „läuft nun wie es soll“

Da muss ich mich meinen Vorrednern anschliesen und sagen NEIN, das ist nicht wie es soll. Mit Ankündigung der 2.0 Kunden, Firmenbetrieb mehrere openWB etc. ist eine minimalste Sicherheitstufe wirklich von Nöten. Finde ich ehrlich gesagt suboptimal das ich jetzt mit meinen 13 openWB Duos in der Frima tagtäglich damit rechnen muss das irgendwelche Kollegen dran rumspielen.
Bitte mal drüber nachdenken. Vielen Dank.

PhilW

[Thomas aus W]

Finde ich ehrlich gesagt suboptimal das ich jetzt mit meinen 13 openWB Duos in der Frima tagtäglich damit rechnen muss das irgendwelche Kollegen dran rumspielen.

Die Kritik finde ich grundsätzlich berechtigt.
Trotzen mal ein Gegenvorschlag:
Wie wär's, die OWBs in ein separates (V)LAN-Segment mit eigenem IP-Adressbereich zu hängen, in das nicht jeder Firmenmitarbeiter rein kommt?

bye
TW

[PhilW35]

Hallo Thomas,

ja klar, geht alles. Ich hab das Netz mit den Boxen sogar total eigenständig laufen und es hängt niemand mit drin. Und ich hatte ich hatte das ganz einfach gehalten, und mit ner Fritte ins Internet gehangen um so einfach wie möglich auch mit Wireguard drauf zugreifen zu können. Hat also soweit einen gewissen Schutz.
Nichtsdestotrotz hätte ich, mit einem vorab Hinweis darauf, gerade im Firmenumfeld vielleicht eine andere Entscheidung getroffen. Sowas sollte man nicht unterschätzen.
Vielleicht wäre es aber auch meine Aufgabe gewesen mich vorab darüber zu informieren.
Hoffen wir mal das niemand seinen Spieltrieb entdeckt

PhilW

[openWB]

Ok das hatte ich, bisher wie wahrscheinlich viele andere, falsch verstanden

ist ds ein Schritt in die Richtung „läuft nun wie es soll“

Da muss ich mich meinen Vorrednern anschliesen und sagen NEIN, das ist nicht wie es soll. Mit Ankündigung der 2.0 Kunden, Firmenbetrieb mehrere openWB etc. ist eine minimalste Sicherheitstufe wirklich von Nöten. Finde ich ehrlich gesagt suboptimal das ich jetzt mit meinen 13 openWB Duos in der Frima tagtäglich damit rechnen muss das irgendwelche Kollegen dran rumspielen.
Bitte mal drüber nachdenken. Vielen Dank.

PhilW

Das war in der 1.9 exakt genauso.
Benutzer/Passwort benötigst du nur für eine Brücke nach extern. Das war in der 1.9 so und ist in der 2 auch so.
Hier erzwingen wir Verschlüsselung weil es einige Falle gab die unverschlüsselt an öffentliche Broker im Internet Brücken gebaut haben.

Im Firmenumfeld macht eine Separierung ohnehin Sinn.
Davon ab steht die Benutzerverwaltung auf der Agenda. Davon losgelöst gehören im Business Umfeld die Dienste dennoch separiert!

[hoaloha]

Das war in der 1.9 exakt genauso.
Benutzer/Passwort benötigst du nur für eine Brücke nach extern. Das war in der 1.9 so und ist in der 2 auch so.
Hier erzwingen wir Verschlüsselung weil es einige Falle gab die unverschlüsselt an öffentliche Broker im Internet Brücken gebaut haben.

Frage:

• Wozu benötige ich eine Brücke zu extern? Im ersten Impuls würde ich sagen, will ich das garnicht.

• Wenn ich das garnicht will/ benötige, warum muss ich dann dort beim Anlegen einer Brücke verpflichtend User & PW hinterlegen?

• Und wo kann ich das nachlesen, wie ich das bei der OpenWB "richtig" anlege, bzw. was welchen Zusammenhang hat?

[PhilW35]

Das war in der 1.9 exakt genauso.
....
Im Firmenumfeld macht eine Separierung ohnehin Sinn.
Davon ab steht die Benutzerverwaltung auf der Agenda. Davon losgelöst gehören im Business Umfeld die Dienste dennoch separiert!

Jaja, allet jut. Hab ich ja verstanden. Wusste ich nicht. Wie geschrieben wäre da von meiner Seite aus ein wenig mehr Selbstinfo von Nöten gewesen.

Allerdings, auch wenn du richtig erwähnst das solche Dienste im dienstl. Umfeld separiert werden müssen, ist ein Hinweis auf, in diesem Falle einem nicht vorhandenen Schutz auf dieser Ebene, für jeden verantworlichen Einkäufer und Installateur ein nicht unerheblicher zu erwähnender Punkt.

Wie willst du einem Grosskunden klarmachen das er selber Schuld an einer Attacke ist, inbesondere wenn er überhaupt keinen Nutzen oder Zugriff auf MQTT hat braucht (oder auch nie davon gehört hat), wenn das Scheunentor von eurer Seite so weit offensteht.

Ich verstehe euch und die wirklich saugute Entwicklung der Box etc., aber wenn ich das meinem IT'ler erzähle springt der im Dreieck ... geschweige denn dem Datenschutzbeauftragten

Mach ich aber natürlich nicht .

[openWB]

Allerdings, auch wenn du richtig erwähnst das solche Dienste im dienstl. Umfeld separiert werden müssen, ist ein Hinweis auf, in diesem Falle einem nicht vorhandenen Schutz auf dieser Ebene, für jeden verantworlichen Einkäufer und Installateur ein nicht unerheblicher zu erwähnender Punkt.

Wie willst du einem Grosskunden klarmachen das er selber Schuld an einer Attacke ist, inbesondere wenn er überhaupt keinen Nutzen oder Zugriff auf MQTT hat braucht (oder auch nie davon gehört hat), wenn das Scheunentor von eurer Seite so weit offensteht.

Beim einrichten fällt doch auf das man auf das Webinterface zugreifen kann oder nicht? Das macht nichts anderes als die MQTT Befehle zu visualisieren.

Ich zähle jetzt besser mal keine anderen Produkte oder DC Lader für den 50 fachen Preis einer openWB auf bei denen die Problematik exakt gleich ist. Das ist keine Entschuldigung, aber regt manche vielleicht zum nachdenken oder nachschauen an.

Wobei es bei uns immerhin auf der Agenda steht…


Mit Authentifizierung sind die Probleme eines Angriffs übrigens keines Wegs gelöst. Ich zähle das besser mal nicht auf. Schlussendlich läuft es bei allen Dingen immer darauf hinaus auf unterster Ebene schon für Sicherheit zu sorgen. Das ist aber generelles IT Thema und als Betreiber ist man da immer für verantwortlich. Die Separierung willst du doch alleine schon weil ein Netzwerkkabel das Gebäude verlässt und ggf angezapft werden kann.

[openWB]

Wozu benötige ich eine Brücke zu extern? Im ersten Impuls würde ich sagen, will ich das garnicht.

Vollkommen richtig!
Das willst du wenn du die Daten des Brokers an einen dritten Lokal oder im Internet spiegeln willst um damit was auch immer du vor hast zu tun.

Wenn ich das garnicht will/ benötige, warum muss ich dann dort beim Anlegen einer Brücke verpflichtend User & PW hinterlegen?

Weil wir gesagt haben wenn schon jemand eine Brücke konfiguriert und ggf sich garnicht bewusst über die Folgen ist dann erzwingen wir wenigstens eine Authentifizierung. Schließlich geht die Brücke oft in Richtung Internet.

Und wo kann ich das nachlesen, wie ich das bei der OpenWB "richtig" anlege, bzw. was welchen Zusammenhang hat?

Warum bist du der Meinung eine Brücke zu benötigen?

[Kitmgue]

Ich verstehe euch und die wirklich saugute Entwicklung der Box etc., aber wenn ich das meinem IT'ler erzähle springt der im Dreieck ... geschweige denn dem Datenschutzbeauftragten

Die normale UI ist doch aber schon immer ohne jegliche Authentifikation erreichbar, oder nicht?
Von daher ist es grundsätzlich erstmal egal, ob MQTT offen ist oder nicht.
Sobald im Netz jemand die IP der openWB hat, kann er lustig rumkonfigurieren, solange es nicht physisch (oder per VLAN) getrennt ist.