Thema "Betreff: ViCare App und Vicare Control: Wie ist Zugriff a..." in Konnektivität

ViCare App und Vicare Control: Wie ist Zugriff auf unsere Heizung von außen durch Fremde abgesichert

CIF — Mon, 03 Sep 2018 18:30:38 GMT

In der heutigen WiSo-Sendung (03.09.) wurde über die Gefahren des Zugriffs von außen auf z.B. Heizungen berichtet. Wie hat Viessmann die Absicherung gestaltet? Wir nutzen die ViCare App und die Vitoconnect 100 OPT01.

Vielen Dank.

CIF

Betreff: ViCare App und Vicare Control: Wie ist Zugriff a...

CustomerCareBen — Tue, 04 Sep 2018 07:12:12 GMT

Hallo CIF,

die Datenverbindung der Vitoconnect zum Server erfolgt ausschließlich über eine TLS gesicherte Verbindung mit dem Server.
Von außen, über das Heimnetzwerk, ist daher kein direkter Zugriff auf die Vitoconnect möglich. Die Vitoconnect stellt lokal keine Dienste bereit, welche die Sicherheit des Heimnetzwerkes gefährden, um so keine eventuellen Angriffspunkte zu bieten.
Die folgenden Tests sind für die Sicherheitszertifizierung durch den VDE durchgeführt worden:

Tests der Kommunikations-Schnittstellen:

Penetration-Tests der LAN/WLAN Interfaces
Bewertung zusätzlicher Interfaces

Tests der Kommunikation mit dem Backend:

Untersuchung der Daten-Pakete
Test der Verschlüsselung

Tests der Informationssicherheit während des Betriebs:

Untersuchung des Betriebs im Test-Labor
Untersuchung des Verhaltens der Steuerungsanwendung (App Bedienung, controlling, monitoring)
Tests der Informationssicherheit in den einzelnen Phasen des Lebenszyklus
Tests von der Installation bis zur Außerbetriebnahme
Test des Update-Verhaltens
Bewertung der bereitgestellten Dokumentation und Bedienungsanleitungen in Bezug auf die Informationssicherheit

Einstellungen bei Nutzung einer Firewall:

Die Ports 443 (HTTPS) und 123 (NTP) müssen geöffnet sein

Weitere interessante Informationen findest du auf unserer Homepage, unter folgendem Link:

https://www.viessmann.de/de/misc/apps/vicare-vitotrol/privacy-policy.html

Beste Grüße °be

Betreff: ViCare App und Vicare Control: Wie ist Zugriff a...

ckoeber — Fri, 31 Jan 2020 00:25:38 GMT

Hallo CIF,

meine Vitoconnect kommuniziert nach dem Start erstmal mit dem Lokalen Router und holt sich IP Adresse (DHCP UDP67 ), dann die Uhrzeit (NTP Port UDP123) und fragt dann über DNS-Auflösung die Adresse "mgmt.viessmann-platform.io" [168.63.56.21] an. Im zweiten Schritt, fragt sie dann die DNS Adresse "dc1-iothub.azure-devices.net", welche zu "ihsu-prod-db-002.cloudapp.net [13.69.192.43]" aufgelöst wird. Beide Adressen gehören der Microsoft Corp. welche in Ireland Dublin gehostet sind:

http://whois.domaintools.com/13.69.192.43
http://whois.domaintools.com/168.63.56.21

Somit sind die Viessmann ViCare Backendserver wohl in Irland in einer Azure Cloud gehostet.

In den Verkehr was übertragen wird, kann man nicht rein schauen, da dieser über eine sichere Transportschicht (Transport Layer Security - TLS 1.2) gesichert ist.

Zum Ziel "mgmt.viessmann-platform.io [168.63.56.21]" wird per HTTPS Port 443 eine gesicherte Transport Layer Security (TLS 1.2) Verbindung aufgebaut und eine Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 verwendet, welche als sicher gilt.

Zum Ziel "dc1-iothub.azure-devices.net [13.69.192.43]" wird per Secure MQTT Port 8883 eine gesicherte Transport Layer Security (TLS 1.2) Verbindung aufgebaut und eine Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 verwendet, welche auch als sicher gilt.

Was ist eine Cipher Suite?

Eine Cipher-Suite ist im Grunde ein vollständiger Satz von Methoden (technisch als Algorithmen bekannt), die benötigt werden, um eine Netzwerkverbindung durch SSL/TLS ab zu sichern.
Jedes Satz ist repräsentativ für die spezifischen Algorithmen, die ihn umfassen.

- Ein Schlüsselaustauschalgorithmus
-- bestimmt die Art und Weise, wie symmetrische Schlüssel ausgetauscht werden.

- Der Authentifizierungsalgorithmus
-- legt fest, wie die Serverauthentifizierung und (falls erforderlich) die Clientauthentifizierung ausgeführt wird.

- Der Bulk Verschlüsselungsalgorithmus
-- bestimmt, welcher symmetrische Schlüsselalgorithmus verwendet wird, um die tatsächlichen Daten zu verschlüsseln

- Der Message Authentication Code (MAC) -Algorithmus
-- bestimmt die Methode, die die Verbindung zur Durchführung von Datenintegritätsprüfungen verwenden soll.

Hier sehen wir zum Beispiel eine Cipher-Suite namens
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

diese setzt sich wie folgt zusammen:
- TLS = Eine sichere Transportschicht
- ECDHE = Ist ein Schlüsselaustauschalgorithmus. ECDHE steht für (Elliptische Kurve Diffie-Hellman, ephemeral).
- ECDSA = Ist ein Authentifizierungsalgorithmus. ECDSA steht für (Elliptic Curve Digital Signature Algorithm).
- WITH_AES_256_CBC = Wird für die Verschlüsselung des Nachrichtenstroms verwendet. AES ist ein erweiterter
Verschlüsselungsstandard, CBC steht für Cipher Block Chaining. Die Zahl 256 gibt die Blockgröße an.
- SHA_384 = Das ist sogenannte Message Authentication Code (MAC) Algorithmus.
Wird dazu verwendet um zu prüfen ob der Nachrichtenstrom verändert wurde.
Dazu werden Hashes erstellt.

Wenn der Schlüsselaustauschalgorithmus oder der Authentifizierungsalgorithmus nicht explizit angegeben werden, wird RSA angenommen und eingesetzt.

Hier noch ein Flow Graph der Kommunikation:
http://bit.ly/2GDOhmI

Eine Verbindungsaufbau aus dem Internet zur Vitoconnect Box sollte durch eine Firewall geschützt werden, um eingehenden Datenverkehr welcher vom Internet aus initiiert wird zu blockieren!

Viele Grüße