• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Wann macht https:// Sinn, bzw. ist wann ist es unabdingbar

Hallo zusammen,

ich bin neu in diesem Forum und starte gleich mal mit einer Frage:
Ich habe einen kleinen Webserver auf einem Microcontroller laufen (ESP32 von Espressif).
Dieser soll Temperatur- und Luftfeuchtigkeitsdaten einsammeln und in einer HTML-Seite grafisch darstellen (wenn das Projekt mal fertig ist).

Zum einen ist der Server über einen eigenen Accesspoint erreichbar (unter einer festen IP-Adresse) und zum anderen kann er sich ins bestehende WLAN-Netzwerk des heimischen Routers einwählen und ist dann im gesamten Netzwerk erreichbar (ebenfalls unter einer festen IP-Adresse).

Bisher läuft dieser Server als http:// Server (port 80).

Nun frage ich mich, wie wichtig es ist, hier einen https:// server auf die Beine zu stellen.
Denn im Prinzip ist der Server ja nur im Intranet erreichbar und nur wenn man einen Port freigibt auch von außen, oder?
Und anders, als in einem Firmeninternen Intranet werden ja keine Daten zwischen Benutzern ausgetauscht, sondern EIN Benutzer ruft von EINEM Gerät Daten ab. Die einzigen sensiblen Daten, die sich auf den Server befinden, sind die WLAN-Zugangsdaten zum Router, die der Benutzer hinterlegen kann, wenn er möchte, dass sich das Gerät ins WLAN-Netzwerk einwählen soll.

Da ich das Gerät mit dem Server aber evtl. vertreiben möchte (im näheren Umkreis auf kleiner Flamme) will ich aber natürlich die richtige Entscheidung treffen.
Daher die Frage: Wie viel Schutz gibt der Router gegen Angriffe von außen? Kann man die Verantwortung (Firewall) in dem Fall in die Hände des Betreibers legen?
Kann, wenn dieser keinen Port freigibt, der Schutz des Routers ausreichen?

Danke für eure Anmerkungen.

Gruß
Daniel
 
Last edited:
SSL ist unabdingbar, wenn z. B.:
- Datenströme nicht abhörbar sein sollen
- Datenströme gegen Man-in-the-Middle-Angriffe (Mitschneiden, Veränderung) gesichert sein sollen
- Zugangs- und Nutzer-Verifizierungskontrolle notwendig ist
 
Am Rande - ESP32 und ihre Frameworks sind oft etwas instabil und stürzen immer mal wieder ab, zumal wenn der AP unerwartet offline geht. Ich würde diesen bestehenden Problematiken nicht noch direkte Client-Verbindungen und alle damit einhergehenden Komplexitäten aufbinden. Aus Erfahrung mit ESP- und Atmega-Mikrocontroller, würde ich empfehlen immer über einen MQTT Server zu fahren wenn möglich und die Interfaces nur für Firmware-Updates sowie Konfiguration zu verwenden. (Esphome und Tasmota sind dazu imho sehr gute Basen)


Vorteil wäre
- Client-IP ist egal - vereinfacht das Verwalten vieler Sensoren
- Zentrale Sammel- und Loggingstelle über standardisiertes IOT Protokoll
- Reduziertes Angriffsrisiko und damit auch für öffentlich(er)e Netze und Langzeiteinsatz (aka: ohne Updates) denkbarer

Denn im Prinzip ist der Server ja nur im Intranet erreichbar und nur wenn man einen Port freigibt auch von außen, oder?
Im Prinzip soll man immer verschlüsseln. ABER das ist nicht unbedingt trivial, denn Verschlüsslung bedeutet Zertifikatverwaltung. Ein pseudo-generiertes Zertifikat das immer identisch ist oder von einem sehr beschränkt random-fähigen Mikrocontroller erstellt wäre nicht die hochburg der IT-Sicherheit.

Daher die Frage: Wie viel Schutz gibt der Router gegen Angriffe von außen?
Solange das Gerät nicht über Tunneling oder Portforward nach aussen offen ist, ist ein NAT-Router faktisch eine potente Firewall und verhindert durch die logische Funktion das "Eindringen". Natürlich reicht eine Kompromittierung eines Rechners um davon ausgehend angreifbare andere Geräte im Netzwerk zu finden, der Temperatursensor wäre aber da eventuell deine kleinste Sorge.

Dieser soll Temperatur- und Luftfeuchtigkeitsdaten einsammeln und in einer HTML-Seite grafisch darstellen (wenn das Projekt mal fertig ist).
Aus Kuriosität - entwickelts du das aus Spass von Grund auf oder nur zu "Produktivzwecken"?
Falls nicht der Weg das Ziel ist , die Sensoren vorausgesetzt, eigentlich eine kleine Aufgabe für einen ESP mit Tasmota.
Ich habe hier im Haus mehrere ESP8266 mit SI7021 oder DHT11 Sensoren verteilt welche über MQTT die Temperatur/Feuchtigkeit an HomeAssistent melden und gleichzeitig auf dem OLED-Bildschirm es anzeigen, herrlich einfach zu verwalten sobald man den Dreh raus hat.
Preislich liegt man mit Aliexpress bei knapp 6-7€/Stk ohne Gehäuse, Kabel und USB-Stromversorgung.


TLDR: It depends.
Im Heimnetz sehe ich keinen Zwang für SSL, in kleinen intranets mit ausschliesslich vertrauenswürdigen Geräten/Nutzer nur soweit wie möglich. Im Internet oder grösseren Netzen müsste das Ganze dann aber ein eigenes VLAN oder andere Absicherungen haben um heutigen Standards zu entsprechen.
Man sollte aber, unabhängig der Predigten, nicht glauben dass in Firmennetzen oder gar im Internet das Meiste verschlüsselt ist.
 
Last edited:
Back
Top