Sicherung Eintritt+Alarmanlage

Ich bin am brainstormen, und wäre dankbar um allfällige Ideen und Vorschläge. Ich schreite gut voran mit meinem Projekt, Hauseintritt und Alarmanlage über IPS zu steuern (über ekey Fingerprint geht jetzt alles schon).

Was ich erreichen will, ist eine vernünftige Sicherung der UI. Die Passwortsicherung von Webfront ist mir etwas zu unflexibel, primitiv, und letztlich zu unsicher. Eine richtige Userverwaltung wäre mir lieber, und/oder eine Streichlisten-Option . Ziel ist, dass berechtigte Personen die Anlage steuern können, aber z.B. nur an einem Tag, oder nur 20mal (gut z.B. für Handwerker).

ekey kann Streichlisten generieren, und den Webzugang in deren Abhängigkeit freigeben. Das liesse sich mit IPS integrieren. Aber vielleicht kann man ein Keypad mittels Webfront-Scripten simulieren? Oder gibt es etwas gescheiteres? Jedenfalls wäre ich froh um jede Idee und Anregung!

was vielleicht auch gehen würde, wäre dass ich den LAN-Zugang nur über gewisse vorgegebene MAC-Addressen zulasse. Damit könnte ich vielleicht sicherstellen, dass die Alarmanlagensteuerung und Ekey vom WAN her nur von gewissen Handys/iPads/etc. angegangen werden kann. Allerdings sollten gewisse ports von jedem erreichbar bleiben! Ich habe einen ziemlichen guten Lancom-Router - vielleicht lässt sich da was einrichten, mit Virtual LANs etc. (bin aber nicht sicher).

MAC-Adressen lassen sich ganz einfach manipulieren!
Das wäre nur ein zusätzliche Option zu einem sicheren Passwort für… am Besten eine VPN-Verbindung.

Hi,

ich denke/vermute mit den IPS-Boardmitteln wirst Du da nicht weit kommen. Eine Alternative wäre eventuell den Port vom IPS-Webfront nicht von außen zugänglich machen.

Dafür eine Apache-Server installieren und als Reverse-Proxy betreiben. Der Apache Server kann alle gängigen Authentifizierungs-Techniken implementieren, z.B. gegen einen Radius-Server, der sollte dann die nötigen Funktionen haben.

Ist aber eventuell etwas oversized die Idee :cool:

Grüße

Andreas

ich muss natürlich einen Kompromiss anstreben zwischen Sicherheit und Praktikabilität. Zu verlangen, dass meine ganze extended Family, inklusive 3 Grosseltern (78-82 Jahre alt), eine 8-jährige Tochter, Nanny, Putzfrau, und Musiklehrerin erst einen VPN-Zugang mit ihrem iPhone aufbauen, bevor sie ins Haus kommen, ist ein kompletter Showstopper.

Ich weiss, dass man MAC-Adressen vortäuschen kann - aber wenn man die „richtige“ MAC-Adresse garnicht kennt, geht das auch nicht so einfach…

Aber ich lasse mich gerne belehren, wie diese Situation besser zu lösen wäre.

diese Idee gefällt mir! der Apache-Server kann ja auf dem gleichen Server laufen wie der IPS-Server, oder muss ich einen eigenen Server mit zwei Netwerkkarten zwischen beiden Netzen betreiben? Im ersteren Falle wäre das schon machbar. Nur bräuchte ich etwas Händchenhalten beim Einrichten: Gene klonieren kann ich gut, aber Computer-Netzwerke sind nicht meine Spezialität…

Das lässt sich doch je nach Verbindung automatisieren… du hast doch einen LANCOM-Router… ab Firmware 8.60 sollte das kein Problem sein.

Ich weiss, dass man MAC-Adressen vortäuschen kann - aber wenn man die „richtige“ MAC-Adresse garnicht kennt, geht das auch nicht so einfach…

Du kennst WLAN-Scanner nicht?
Aber du kennst LANCOM. Ich lese z.B. alle MAC-Adressen, die sich in meiner Umgebung befinden oder befanden inkl. Signalstärke und über welchen AP permanent mit dem WLAN-Monitor (von LANCOM) mit und registriere diese.
Es gibt genug andere Tools, die das können …netstumbler z.B. :wink:

P.S. Ich schiebe mal das Thema ins Haustechnik-Forum… Bis es zum Script kommt…

Verstehe ich. Trotzdem: irgendwo muss ein vernünftiger Kompromiss her. Mir scheint folgende Möglichkeit nicht zu schlecht:

[ul]
[li]bei bekanntem MAC: password
[/li][li]bei unbekanntem MAC: streichliste
[/li][/ul]

somit (1) bleiben die Gefahren begrenzt, wenn z.B. die Kinder den Passwort weitergeben, und (2) Gäste, welche man nur einmal sehen will, können nur einige Male reinkommen.

Die Wahrscheinlichkeit, dass eine Einbrecherbande sowohl (a) eine zugelassene MAC-Addresse spooft, wie auch (b) das richtige Passwort errät, ist doch nicht so gross. Wahrscheinlicher ist, dass selbige Bande die Türe einrammt, sich einen Dreck um die heulende Alarmanlage schert, alles nicht-nietfestes innert 5 Minuten abräumt, und sich sogleich nach Banditistan verzieht. Dafür hat man ja schliesslich auch Versicherungen abgeschlossen…

Was ist mir Fratzenfalle?
wir hatten - ich glaub vor nem halben Jahr) mal ne Diskussion mit Webcam und irgend so einem HP-Tool. Ist allerdings nicht IPS-nativ und setzt einen WIN-Rechner voraus (auf dem das WFE läuft).

…aber gibt es überhaupt die Möglichkeit, im Webfront ein Input-Feld zu definieren, welches eine Variable (z.B. Streichlisten-Eintrag) an ein IPS-Script weitergibt? Mit Webfront habe ich mich noch nicht allzu eingehend beschäftigt.

Dann kannst du auch den Schlüssel unter Schuhabstreifer legen :rolleyes:

Entweder hast du ein gutes System (ekey), oder weichst es auf…

Die Wahrscheinlichkeit, dass eine Einbrecherbande sowohl (a) eine zugelassene MAC-Addresse spooft, wie auch (b) das richtige Passwort errät, ist doch nicht so gross. Wahrscheinlicher ist, dass selbige Bande die Türe einrammt

Die Einbrecher kommen nicht mehr nur mit der Brechstange… die Zeiten ändern sich;)

Du wolltest ein Brainstorming… hier ist es.

Ja das geht über das Profil ~Textbox, wenn man ein Aktionsskript angibt. Grüße, Benjamin

Ja, das ist klar. Am Sichersten ist, wenn ekey gar nicht am Netz hängt. Aber man vergibt sich dabei eben auch ein Paar nette Möglichkeiten. Es ist eben die Frage, wo ist der sweet spot zwischen Bequem und Sicher.

Klar. Ich bin ja auch froh um die Ideen. Entschieden ist noch nichts - vielleicht kommen noch weitere Ideen…

Danke! Und wenn die Verbindung über Https läuft, ist die Uebertragung der Textbox verschlüsselt, oder?

Ja, das ist dann verschlüsselt. :slight_smile:

Ich kenne den ekey allerdings nicht - Willst Du über das Webfront eine Id eingeben die dann zur Sperrliste hinzugefügt wird oder was hast Du vor?

Wenn du einen Lancom im Einsatz hast, kannst du auch dein WLAN mit 802.1x absichern. So kannst du für jede Person einen eigenen Benutzer zur Anmeldung am (W)LAN anlegen und auch eine VLAN ID für unterschiedliche Netze hinterlegen.

Ich bin mir noch nicht sicher. Ekey kann Streichlisten generieren und hat einen Webserver, der Befehle akzeptiert im Zusammenhang mit dem jeweiligen Streichlisten-PIN. Also dachte ich, IPS könnte den PIN an die Ekey-Webseite via HTML weitergeben. Dank der Hilfe von PICS stehen die notwendigen Scripts bereit (mehr oder weniger). Falls ein Password reinkommt anstelle einer PIN, könnte IPS dann die MAC-Adresse der Gegenstelle prüfen (aber wie?) und ggf. den Befehl ebenfalls auslösen.

Ich habe aber momentan ein viel banaleres Problem. Ich habe probiert, eine Variable mit Profil Textbox darzustellen indem ich im Webfront eine Kategorie angezeigt habe, dessen einziger Inhalt diese Variable ist. Ich sehe die Textbox, aber es lässt sich nicht reinschreiben! Was mache ich denn falsch?

Ich vermute Du hast kein Aktionsskript angegeben.

Viele verwenden ein sehr allgemeines - ich auch:

<?
//Script zum WERTEZUWEISEN aus dem Webfrontend

if($IPS_SENDER == "WebFront")
{
    SetValue($IPS_VARIABLE, $IPS_VALUE);
}

?>

Das Skript neu anlegen und dann einfach als Aktionsskript der betreffenden Variable zuweisen.

Zu Deiner o.g. Idee der Weitergabe von IPS an die Ekey Website bzw. internen Webserver (?/!):
Das ist vermutlich recht einfach möglich.

Ich verstehe allerdings nach dem kurzen lesen der Homepage von ekey.net nicht warum Du einen ungesicherten Zugang bauen willst und dies mit dem System verbinden willst? Eigentlich ist das System doch ganz gut und sicher, Du würdest die Sicherheit untergraben (hatte glaube ich, auch schon ein Anderer geschrieben).

danke, kapiert. jetzt läuft’s!

Cool :D, dann viel Spaß beim weiteren basteln. :loveips: