NEUHEIT! Ab sofort MQTT mit dem Timberwolf Server!
Verfügbar für alle Versionen mit der Insider Preview 5 zur Version 2.0. Infos: viewtopic.php?f=8&t=2846

[Frage] Cometvisu für beschränkten Zugriff im Gästenetz

Rund um die CometVisu im Timberwolf Server
Antworten

Ersteller
Saarlaender
Reactions:
Beiträge: 71
Registriert: Sa Jan 05, 2019 1:16 pm
Wohnort: Saarland
Hat sich bedankt: 2 Mal
Danksagung erhalten: 3 Mal

Cometvisu für beschränkten Zugriff im Gästenetz

#1

Beitrag von Saarlaender »

Servus Freunde der Automatisierung,

ich hoffe dass dieses Thema hier richtig ist und nicht zu sehr in Richtung Netzwerktechnik geht :)


Es geht um Folgendes:
Unsere Einliegerwohnung ist ohne KNX - mit Ausnahme der Steuerung der Fussbodenheizung.
Bisher wird diese nur über "unser" OpenHab gesteuert.

Nun will ich für die Gäste auch eine Steuermöglichkeit einrichten und dachte an ein Tablet und eine "kleine" Visualisierung, welche ich nur mit den nötigen Inhalten bestücke. Sprich dass die Visu dann nur die Heizung der Einliegerwohnung anbietet.

Nun stellen sich folgende Fragen - auch vor dem Hintergrund dass ich die Cometvisu hauptsächlich vom Namen her kenne...
-> Kann ich die CometVisu grundsätzlich "nur" zum Anzeigen anbieten oder könnte jeder auch ohne Eingabe von Benutzerdaten oÄ auch die Konfiguration ändern bzw. mithilfe der ggf. sichtbaren IP die Admin-Oberfläche oÄ aufrufen?
-> Kann ich die CometVisu vom Timberwolf (wird ja dann sicher ein neuer Docker-Container werden?!) dann in mein Gästenetzwerk bringen?

Letztere Frage bezieht sich denke ich hauptsächlich auf die Frage, ob die Cometvisu am Timberwolf als eigener "PC" erscheint (wie mein OpenHab-Docker-Container) und ich ihn so mit der Unifi-Hardware dem Gästenetz zuordnen kann oder ob die CometVisu "nur" unter der Timberwolf-IP erreichbar sein wird.
Zuletzt geändert von Saarlaender am Di Mai 18, 2021 11:42 am, insgesamt 1-mal geändert.
Daniel aus dem Saarland :-)

TWS 2600 (ID 170) + PBM01 (ID 597)
Wartungs-VPN aktiv
Reboot nur nach Rücksprache (Wg. Docker)
Benutzeravatar

Chris M.
Reactions:
Beiträge: 748
Registriert: Sa Aug 11, 2018 10:52 pm
Wohnort: Oberbayern
Hat sich bedankt: 135 Mal
Danksagung erhalten: 409 Mal
Kontaktdaten:

#2

Beitrag von Chris M. »

Grundsätzlich kann die CometVisu mit mehreren Konfig-Dateien gleichzeitig umgehen.
D.h. Du kannst eine vollständige für Dich machen und eine stark abgestrippte für die Gäste.

Das ist absolute Standard-Funktion. Und so lange ein grundsätzliches Vertrauen in die Gäste existiert dürfte das ausreichend sein.

Als Verschärfung kannst Du im Container den Admin-Bereich deaktivieren (z.B. per .htaccess oder einfach den Ordner löschen). So kann auch bei "kreativen Gästen" kein bleibendes Problem entstehen, da die Konfig-Datei nicht mehr geändert werden kann. Und auch die gefährdetsten Informationen (Login-Daten in der Hidden Config) lassen sich so schützen.
Nachteil: Du musst ganz bisschen was auf der Kommandozeile machen. Und wenn Du was administrieren möchtest (z.B. Konfig anpassen) ist's halt etwas anstrengender für Dich, der Standard-Weg ist ja dann schließlich bewusst verbaut. Mit zwei Containern und entsprechendem Routing und Firewall-Regeln kann man so ein Setup aber auf gleichen Komfort-Level bringen (mit Außnahme der zusätzlichen Administration für dieses Setup)

Bis hierhin ist aber nicht der Missbrauch geschützt, der durch die KNX Kommunikation selbst passieren kann. Mit eigenem Rechner/Tablet/Handy kann über die URL direkt auf eine GA geschrieben werden bzw. von einer GA gelesen werden. Was aber genau das gleiche ist, wie wenn jemand das grüne Kabel aus dem Taster an der Wand holt und ein KNX Interface anschließt.
D.h. für ein Setup bei dem mit "bösartigen Gästen" gerechnet werden kann, wie z.B. in einem Hotel, reicht dieser Schutz noch nicht aus.
Hier muss mit entsprechenden Filtern in der KNX Verkabelung gearbeitet werden. Und dann könnte für jeden geschützten Bereich ein eigenes KNX Interface eingebaut werden auf dass dann jeweils ein eigener Container zugreift.
Da sind wir aber bei einer absolut professionellen Lösung die erst mit entsprechendem Sicherheitskonzept, etc. pp. umgesetzt werden sollte, um nicht aus Versehen irgendwo unbewusst Schwachstellen einzubauen.
Das ist auch einer der beiden Gründe warum es keine Filter in der CV gibt, die hier wie eine Firewall helfen könnten: das zu 100% sicher hin zu bekommen ist sehr aufwändig. Und der andere Grund ist: bisher hat's keiner benötigt, daher hat's auch keiner implementiert.
CometVisu Entwickler - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!

CometVisu Fragen, Bugs, ... bitte im Entwicklungs-Forum, hier nur spezifisches für CV<->Timberwolf.

TWS 2500 ID: 76 + TP-UART - VPN offen, Reboot nur nach Absprache

Robert_Mini
Reactions:
Beiträge: 2841
Registriert: So Aug 12, 2018 8:44 am
Hat sich bedankt: 728 Mal
Danksagung erhalten: 1418 Mal

#3

Beitrag von Robert_Mini »

Ich würde das noch ergänzen und die Möglichkeiten, die der Kiosk Mode am Tablet bietet.
Damit kann dann keiner mehr von der Visu weg und auch diese nicht editieren.
Ich schütze so das eigene Haus vor den Kindern :-).
=> Siehe Fully Kiosk Browser im Android Store

Lg
Robert
Timberwolf Server 2500 / #117 (VPN offen + reboot nach Rückfrage) / Wiregate-Fan
Antworten

Zurück zu „CometVisu“