Warum Netzwerksegmente für IOT?

    Falls sich jemand fragt warum man besser ein separates abgetrenntes Netzwerksegment für die “smarten” Geräte betreiben sollte der kann ja mal hier nachlesen

    Bei vielen Fernsehern kann man nur von mangelnder Sicherheit sprechen

    They allowed researchers to pump the volume from a whisper to blaring levels, rapidly cycle through channels, open disturbing YouTube content, or kick the TV off the WiFi network.

    während gleichzeitig massiv Nutzungsdaten übertragen werden

    Race through your TV’s setup, agreeing to everything, and a constant stream of viewing data will be collected through automatic content recognition. The technology identifies every show you play on the TV—including cable, over-the-air broadcasts, streaming services, and even DVDs and Blu-ray discs—and sends the data to the TV maker or one of its business partners, or both.

    Das ist nicht das einzige Argument auch ein privates Netzwerk zu trennen. Vielleicht hilft es aber mal dem einen oder anderen damit zu beginnen.

    17.2.18
    Weitere Beiträge zu: Privatsphäre pfSense vlan

    Weiterhin Sicherheitsupdates für BQ Aquarius X5

    In diesem Fall ist Langeweile gut.

    Der 3 Monatsrhythmus wird weiter eingehalten Diesmal sogar etwas schneller. BQ liefert weiterhin regelmäßig Sicherheitsupdates.

    Auch sonst bin ich immer noch sehr zufrieden.

    13.2.18
    Weitere Beiträge zu: Android BQ AquariusX5

    3D Druck: Funktastaturhalter

    Noch ein nützliches “Ding” das man schnell mit einem 3D Drucker produzieren kann.

    Einen Funktastaturhalter.

    Bei mir steht ein Mac Mini den ich ab und zu brauche und mit einer Funktastatur bediene. Da stört es natürlich wenn die Tastatur auf dem Schreibtisch unnötig Platz verbraucht.

    Da gibt es auch schon was auf thingiverse. Den habe ich unter ein Buchregal am Schreibtisch geschraubt und dort hängt jetzt die Tastatur wenn sie nicht gebraucht wird.



    12.2.18
    Weitere Beiträge zu: 3dDruck

    Freifunkknoten mit Ansible konfigurieren

    An dieser Stelle habe ich meine Vorgehensweise beschrieben wie ich einen einzelnen Router so konfiguriere das er bestimmte Rechner nicht verbindet.

    Da ich dies zukünftig nicht nur auf einem Router machen muss und auch noch weitere Konfigurationen auf verschiedenen Routern verwalten muss bietet es sich natürlich an hier wie auf meinen anderen Servern auch Ansible zu verwenden.

    Leider gibt es aktuell noch kein richtiges Modul um die Paket- und Variablenverwaltung anzusprechen aber mit dem Modul “raw” kann man die Befehle selbst ausführen. Es fehlt zwar die Rückmeldung über das Ergebnis aber es ist immer noch besser als einloggen und “befehle pasten”

    Zuerst brauchen wir in unserem Inventory Gruppen mit den Routernamen.

      [freifunk]
      su-mck-1
      
      [ff-update-server]
      su-mck-1
      
      [ff-nodes-with-acl]
      su-mck-1 
    

    Für jeden Router habe ich eine Datei mit Host spezifischen Variablen.

    more host_vars/su-mck-1
    ---
      ansible_port: 22 
      ansible_host: 192.168.xxx.yy
      ansible_user : root
      ff_acl_enabled_radios:
      - radio0
      - radio1
      ff_acl_enabled_macs: "00:11:22:33:C6:2C 00:yy:ee:34" 
    

    Der Router hat zwei Antennen und in der Variable ff_acl_enabled_macs stehen die verbotenen Mac Adressen.

    Das Playbook selbst sieht so aus (Da werden zukünftig noch weiter Aufgaben dazukommen)

       more freifunk.yml 
         ---
         - name: manage-ff-nodes
           hosts: freifunk
           gather_facts: no
           roles:
           - freifunk 
    

    Im Role Verzeichnis habe ich die dazugehörigen Dateien

    more roles/freifunk/tasks/main.yml 
        ---
        - include : set-acl-list.yml hosts=ff-nodes-with-acl
     
     more roles/freifunk/tasks/set-acl-list.yml 
        ---
        - name: enable deny for configured radios
          raw:  uci set wireless.client_.macfilter=deny
          with_items: ""
        - name: set denied mac addresses 
          raw: uci set wireless.client_.maclist=''
          with_items: ""
          ignore_errors: yes
          notify:
          - uci commit
          - reload network
    

    Fehlt noch die Datei mit dem “Handler”

      more roles/freifunk/handlers/main.yml 
      ---
      - name: uci commit
        raw: uci commit
      - name: reload network
        raw: /etc/init.d/network reload
    

    Jetzt kann ich mit einem Befehl auf allen Routern für die ich in den Hostvars die verschiedenen Antennen und unterschiedlichen Mac Adressen angegeben habe den Router konfigurieren.

    ansible-playbook freifunk.yml 
     
    PLAY [manage-ff-nodes] ************
    
    TASK [freifunk : enable deny for configured radios]**
    changed: [su-mck-1] => (item=radio0)
    changed: [su-mck-1] => (item=radio1)
    
    TASK [freifunk : set denied mac addresses] **
    changed: [su-mck-1] => (item=radio0)
    changed: [su-mck-1] => (item=radio1)
    
    RUNNING HANDLER [freifunk : uci commit] **
    changed: [su-mck-1]
    
    RUNNING HANDLER [freifunk : reload network] ***
    changed: [su-mck-1]
    
    PLAY RECAP ************************************
    su-mck-1                   : ok=4    changed=4    unreachable=0    failed=0   
    
    10.2.18
    Weitere Beiträge zu: Freifunk Ansible

    Illegales Traktor hacken

    Die Innovation in den Traktoren ermöglicht viele neue Anwendungsfälle. Aber wie bei der Digitalisierung von Autos kommen hier auch viele neue rechtliche Fragen hoch, die aktuell von Herstellern ausgenutzt werden um sich eine Marktmacht zusichern. Und das aus der Sichtweise des Copyrights von Software.

    Folgende einfache Situation:

    • man hat einen komplexen Traktor der im wesentlichen durch einen Computer gesteuert wird
    • nur ein autorisierter Händler bekommt diese Software
    • der Traktor ist kaputt aber der Bauer müsste aufgrund der Wettervorhersage morgen auf das Feld
    • normalerweise repariert ein Bauer seinen Traktor selbst
    • jetzt steht er da und kann nichts machen.

    Da kommen schon einige Bauer in die Versuchung illegale Software und Beschreibungen aus Russland zu verwenden und den Traktor zu hacken.

    Das Problem wird sich wahrscheinlich “morgen” lösen aber aktuell ist es da und es ist schwerwiegend.

    Und wenn Ihr sagt “ist mir egal. Ich bin kein Bauer”. Das könnte uns morgen bei Feuerwehrautos, Krankenwagen oder Streufahrzeugen des örtlichen Bauhofs genauso treffen.

    4.2.18
    Weitere Beiträge zu: traktor hacken

    Freifunk: einzelne Rechner aussperren

    Ich betreibe einen Freifunk Router und möchte verhindern das sich meine lokalen Rechner mit dem Freifunk Netzwerk verbinden sondern nur mit meinem eigenen WLAN. Gleichzeitig soll aber die Nutzung von Freifunk generell erlaubt sein.

    Mit einem ssh Zugang auf dem Router geht das recht einfach

      uci set wireless.client_radio0.macfilter=deny
      uci set wireless.client_radio0.maclist='00:00:00:00:00:00 00:11:11:11:33:34
      uci commit
      /etc/init.d/network restart
    
    4.2.18
    Weitere Beiträge zu: Freifunk

    Breitbandchaos unter Minister Dobrindt

    Es ist ja nicht so das ich von unserem “Digitalisierungsminister Dobrindt” etwas erwartet hätte aber das der Rechnungshof die Unfähigkeit so sauber dokumentiert war nicht zu erwarten.

    Vor nicht ganz vier Jahren wurde mit großem Tamtam die digitale Agenda verabschiedet. Eines der wenigen messbaren Ziele war der flächendeckende Ausbau des schnelle Internets auf 50MB

    Der Bundesrechnungshof hat genau die Aktivitäten zu diesem Ziel im Verkehrsministerium geprüft

    Abschließend kommt der Bundesrechnungshof zu dem Ergebnis, dass das BMVI bei der Ausplanung und Ausstattung seiner neuen Abteilung „Digitale Gesellschaft“ wesentliche Grundsätze eines geordneten Verwaltungshandelns nicht beachtete. Nach seinen Erkenntnissen fehlte es bei der organisatorischen Ausgestaltung, bei der Bemessung der erforderlichen Haushaltsmittel und bei der Vergabe von Leistungen an einer strukturierten Vorgehensweise. Der Bundesrechnungshof kritisiert insbesondere, dass das BMVI Fakten geschaffen hat, ohne den tatsächlichen Bedarf zu erheben. Dadurch könnten zu viele Planstellen/Stellen und zu hohe Titelansätze ausgewiesen worden sein.

    Für mich heißt das “es wurde unkoordiniert Geld zum Fenster hinaus geworfen”.

    Bravo.

    31.1.18
    Weitere Beiträge zu: Digitalisierung Breitband Dobrindt

    Owntracks mit Bildern

    Bei Owntracks werden standardmäßig die “Kürzel” für die Geräte auf der Karte angezeigt. Man kann da aber auch Bilder hin bekommen. Der Prozess ist etwas “fusselig” aber man kann es hin bekommen.

    Erklärt ist das ganze hier

    Hier der Weg wie ich einfach vorhandene Bilder verwenden konnte.

    Download des Scripts von hier und lokal abspeichern

     cd Daten/tools/
     vi owntracks-image2cards.sh
     chmod +x owntracks-image2cards.sh 
     ./owntracks-image2cards.sh 2016-hb-avatar.jpg "device-hb" > hb.json
    

    “device-hb” ist dabei der Name mit dem das Gerät registriert ist.

    Dann das ganze auf dem MQTT Broker registrieren. Ich verwende Letsencrypt für TLS. Wenn Ihr eigenen Zertifikate verwendet werdet Ihr einen anderen capath angeben müssen

    mosquitto_pub -h your.server.de -p 8883 --capath /etc/ssl/certs/ --username USER -P PASSWORD -t 'owntracks/hbauer/<gerätename>/info' -f hb.json -r
    

    Dann seht Ihr und die anderen Personen auf dem MQTT Broker das Bild

    30.1.18
    Weitere Beiträge zu: owntracks mqtt

    Owntracksdaten mit Bridge hinter die Firewall holen

    Ich hatte schon vor einigen Jahren mal einen Owntracks Server aufgebaut aber das ist irgendwie wieder eingeschlafen. Jetzt mit größeren Kindern (die freiwillig mitmachen) und weiteren Szenarien der Hausautomation wollte ich das noch mal aufleben lassen.

    Im Gegensatz zu dem ersten Versuch allerdings nicht mit selbst signierten Zertifikaten sondern mit Letsencrypt. Die Standardinstallation des MQTT Brokers mit der Version im aktuellen Debian Repository hat nicht geklappt aber mit der aktuellen Version von hier war es dann kein Problem. Die TLS relevanten Einträge sind dann hier erläutert.

     cafile /etc/ssl/certs/DST_Root_CA_X3.pem
     certfile /etc/letsencrypt/live/your.server.de/fullchain.pem
     keyfile /etc/letsencrypt/live/your.server.de/privkey.pem
    

    Der Broker im Internet ist natürlich abgesichert mit Usernamen und TLS. Innerhalb meines Heimnetzes möchte ich das nicht jedem potentiellen Client beibringen und deshalb wollte ich dort einen offenen Broker mit anonymem Zugriff einrichten.

    Damit alle Owntracks Informationen auch “intern” verfügbar sind braucht man eine “Bridge Verbindung”. Aufgrund meines Troubleshootings mit TLS und der alten Mosquitto Verion hatte ich eine etwas unordentliche TSL Einrichtung. Mit dem Owntracks Client ging es aber die Bridgeverbindung kam nicht zustande.

     OpenSSL Error: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca
    

    Am ende war es recht einfach. Die Bridge ist jetzt so konfiguriert

     connection lcl2extern
     address your.server.de:8883
     tls_version tlsv1.2
     bridge_cafile /etc/ssl/certs/DST_Root_CA_X3.pem
     bridge_insecure false
     remote_username user
     remote_password password
     topic owntracks/# in 0
    

    Und die Owntracks Meldungen erscheinen jetzt auch schön im Heimnetzwerk und warten darauf jetzt ausgewertet zu werden.

    28.1.18
    Weitere Beiträge zu: owntracks mqtt

    Autonom vor die Wand gefahren

    Ich bin was die Entwicklung von sogenannten autonomen Autos angeht noch etwas skeptisch. Irgendwie glaube ich noch nicht daran das wir uns zukünftig wie in einem Zug zurück lehnen können und von A nach B fahren können.

    Das hier macht mich da auch nicht hoffnungsvoller.

    Traffic-Aware Cruise Control cannot detect all objects and may not brake/decelerate for stationary vehicles, especially in situations when you are driving over 50 mph (80 km/h) and a vehicle you are following moves out of your driving path and a stationary vehicle or object is in front of you instead.

    Wenn Du hinter einem Auto her fährst das plötzlich vor einem stehenden Hindernis ausweicht dann beschleunigt dein Volvo oder Tesla um die eingestellt Zielgeschwindigkeit zu erreichen.

    Hmmm. Das bedeutet also das ich doch immer die volle Aufmerksamkeit auf den Straßenverkehr ausrichten muss.

    27.1.18
    Weitere Beiträge zu: AutonomeAutos

    pfSense mit Fritzbox: Einige Anrufe kommen nicht durch

    Das Problem hatte ich zwar schon vor einiger Zeit gelöst aber es scheint immer noch einige Menschen zu betreffen.

    Ich hatte meine pfsense mit dahinter liegender Fritzbox unter anderem nach dieser Anleitung konfiguriert (neben den ganzen notwendigen Firewall und Portforwarding).

    Und das funktionierte auch “im Prinzip”. Ich konnte von fast allen Menschen angerufen werden. Nur ein paar erzählten mir immer das es vom Festnetz nicht gehen würde. Gleichzeitig erreichten uns aber Anrufer vom Mobilfunk und Telekom.

    Es stellte sich heraus das Anrufer die bereits auf IP Telefonie umgestellt wurden Probleme hatten. Telekom Kunden mit DSL konnten anrufen.

    Am Ende konnte das Problem gelöst werden in dem ich entgegen der Doku unter

     System > Advanced, Firewall/NAT 
    

    wieder “enabled” habe. Also den Haken wieder entfernt habe.

    23.1.18
    Weitere Beiträge zu: Telekom pfsense Fritzbox

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


Creative Commons License
This blog is licensed under a Creative Commons License