[vz-users] Login/Absicherung von VZ Installationen

[Andreas Goetz]

Hallo Zusammen,

ich hole das Thema nochmal nach oben da ich das Thema Sicherheit von VZ
Installationen nicht ganz unerheblich finde.

Meine Konfiguration sieht jetzt so aus:

- Volkszähler/Raspi läuft auf eigener Domain (z.B. ddns.net) und ist
mittels Zertifikat von letsencrypt und Login abgesichert
- Ums einfacher zu machen ist zusätzlich noch optionaler Login mittels
Google Account möglich
- Fritzbox ist ebenfalls über letsencrypt Zertifikat abgesichert, läuft
aber auf anderer Domain
- http wird für beide Domains auf https umgeleitet
- aus dem lokalen Netz bleibt VZ weiterhin ohne Username/Passwort erreichbar
- das ganze als Dual Stack IPv4/IPv6

Wer Interesse hat einfach hier rein schauen: https://github.com/
volkszaehler/volkszaehler.org/pull/458 oder fragen.

Viele Grüße,
Andreas


2016-08-27 12:33 GMT+02:00 Andreas Goetz <cpuidle at gmail.com>:

> Hallo Zusammen,
>
> das prinzipielle Feedback war zwar “brauche ich nicht”, ich habe mir aber
> trotzdem mal den Spass gemacht, Firewall und User Authorization
> prototypisch zu implementieren.
>
> Wer damit spielen möchte findet hier den Code: https://github.com/
> volkszaehler/volkszaehler.org/pull/458
>
> Das Ganze basiert auf JSON Web Tokens für Bearer Authentication und sollte
> tunlichst- da Username/ Passwort übertragen werden- _nur_ über HTTPS
> Anwendung finden.
>
> Die Änderungen an der vz.conf Datei sollten eigentlich hinreichen erklären
> was es zu konfigurieren gibt. Freue mich über Feedback im PR.
>
> Viele Grüße,
> Andreas
>
>
> On 15.08.2016, at 11:36, Andreas Goetz <cpuidle at gmail.com> wrote:
>
> Ich mache Jacobs Mail mal als neues Thema auf:
>
> Bei der Durchsicht der URL-Befehle habe ich gesehen, dass anscheinend
>> auch schreibend auf die Datenbank zugreifen kann. Ist das nicht
>> gefährlich, so einen Webserver ins öffentliche Netz zu stellen, wenn
>> jeder daran herum fummeln kann?
>>
>
> Äh, ja, das ist das Prinzip von vz. Allerdings muß man ja die UUID kennen,
> um Kanäle und deren Daten manipulieren zu können, deswegen sollte man die
> UUID auch geheim halten (und Kanäle nicht einfach public machen, sonst kann
> man sie einfach so auflisten). Neue Kanäle anlegen und nutzen geht aber
> natürlich schon.
> M.W. hatte Justin das so konzipiert, damit z.B. demo.volkszaehler.org
> ohne Anmeldung (und Passwort-Recevory, Email etc. pp.) genutzt werden kann.
> Faktisch ist es aber heute wohl so, daß die meisten ihren eigenen VZ-Server
> laufen haben, da finde ich das eher ungeschickt (zumal die UUIDs auch etwas
> unhandlich sind).
>
> -- snip --
>
> Ich sehe- wenn wir es einfach halten wollen- 2 Anwendungsfälle:
>
> a) Absicherung einer privaten Installation
> b) Usermanagement für eine öffentliche Installation wie demo
>
> Letzteres klammere ich mal aus da es grundlegende Änderungen an VZ
> erfordern würde. Für a) gibt es verschiedene Möglichkeiten von furchtbar
> einfach bis etwas umfangreicher:
>
> 1) Basic Authentication, also Username + Password. Für ein Mindestmaß an
> Sicherheit ist SSL erforderlich- das gilt ebenso aber auch für alle
> weiteren Varianten. Das muss zusätzlich so konfiguriert werden dass
> vzlogger (aus dem internen Netz) ohne Basic Auth weiterhin seine Daten
> abliefern kann.
>
> 2) Token Authentication: initiales Login per U/P, ab da Token der expired.
> Dabei hätten wir sogar die Möglichkeit einzelne User zu definieren-
> imeinfachsten Falle per Konfigurationsdatei, sonst als
> Datenbankerweiterung. Wenn Datenbankerweiterung dann können wir auch Rechte
> vergeben (schreiben, löschen, lesen) und Kanäle zu Usern "gehören" zu
> lassen.
> Weiterhin wäre es ggf. sinnvoll authentifizierten Nutzern auch "private"
> Kanäle ohne Kenntnis der UUID anzubieten.
>
> Gibts Bedarf?
>
> Viele Grüße,
> Andreas
>
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-users/attachments/20161119/bb44580b/attachment.html>