OpenHab auf der FritzBox – Finger weg davon
OpenHab auf der FritzBox – sollte man das tun?
| Dieser Beitrag bezieht sich auf die Installation von OpenHab auf der FritzBox. Dieser Beitrag rät nicht von den Smarthome-Funktionalitäten der FritzBox ab. |
Im Netzwerk dauerhaft aktiv ist die FritzBox. Um Strom zu sparen und Smarthome wirklich nahezu dauerhaft steuern zu können, ist der Gedanke dies über die FritzBox zu tun ein sehr interessanter.
Technisch gesehen sollte dies kein Problem sein, sofern man nicht auf zusätzliche Hardware angewiesen ist, die nicht USB-kompatibel ist. Denn die FritzBox umbauen ist nicht gerade die beste Idee, die man haben kann. Doch auch zusätzliche Software auf der FritzBox zu betreiben ist nicht unbedingt die beste Idee und ich rate daher ganz dringend hiervon ab.
Wieso ich es nicht gut finde und warum man hiervon besser die Finger lassen sollte, das erfährst du in diesem Beitrag.
Die FritzBox kontrolliert den Datenverkehr
Die FritzBox ist ein Router, das ist bereits mindestens dem Großteil bekannt. Ein Router ist zu vergleichen mit einem Polizisten, welcher an einer Kreuzung den Verkehr steuert. Er sagt, wann wer fahren darf und in welche Richtung man im Moment fahren kann. Er ist in diesem Moment der Chef und verteilt die Autos in die richtigen Richtungen.
Ein Router tut im Grunde genau das gleiche. Er verteilt die Datenpakete innerhalb des Netzwerks, so dass diese an der richtigen Stelle ankommen. Ohne ein Router wäre ein Netzwerk kaum denkbar. Es muss eine Instanz geben, die jedes Paket ordnungsgemäß zustellen kann. Der Polizist ist somit also die FritzBox und die Autos sind die einzelnen Datenpakete, welche an ihr Ziel kommen wollen. Doch damit noch nicht genug, denn die FritzBox regelt nicht nur den Datenverkehr, welchen es im Netzwerk gibt. Sie übernimmt auch noch das Versenden von Paketen in die große weite Welt. Und genau hier liegt der Knackpunkt.
Das Internet ist unsicher. Alles, was man aus seinem Netzwerk hinaus lässt, kann abgehört werden (nehmen wir zur Vereinfachung an, dass intern alles zu 100 Prozent sicher ist). So verhält es sich auch mit Daten die in das Netzwerk hinein kommen. Doch es wird noch schlimmer … Diese Daten können manipuliert sein und eine Gefahr für die Geräte darstellen, indem sie schädlichen Code oder Daten beinhalten. Im Normalfall sind Netzwerke so abgesichert, dass Sicherheitslücken nicht auftreten oder zumindest sehr schnell behoben werden. Hierfür ist der Hersteller zuständig, welcher das Produkt ausliefert.
OpenHab direkt im Internet
Wer nun sagt, dass es doch nicht schlimm ist und die FritzBox ihre Aufgaben fortführen kann, der hat nicht ganz unrecht. Jedoch sieht es so aus, dass die OpenHab-Installation auch direkt über das Internet erreichbar wäre und eventuell nicht hinter einer Firewall vollständig abgesichert ist. Man macht es Angreifern unnötig einfach, das eigene Smarthome zu übernehmen. Einbrüche können dadurch unter Umständen total einfach sein, da man entsprechende Sicherheitsgeräte aus der Ferne abschalten kann.
Doch nicht nur das … Man könnte die FritzBox in der Sicherheit schwächen. Die FritzBox wird komplett von AVM entwickelt und der Hersteller weiß daher auch, was auf dem Gerät aktiv ist. Er weiß, was gesichert werden muss und wie er das tut. Installiert man nun Fremdsoftware darauf läuft etwas, das der Hersteller nicht (ausreichend) schützen kann.
Zudem ist es bei Software so, dass man nicht nur die Software alleine installiert. Eine Software hat nahezu immer Abhängigkeiten, welche mit installiert werden müssen. Für OpenHab wird beispielsweise Java vorausgesetzt. Java läuft auf den Geräten innerhalb der sogenannten JVM (Java Virtual Machine). Wenn diese nun gravierende Sicherheitslücken aufweist – was bei Java nicht gerade unüblich ist – so reißt man viele Sicherheitsmechanismen zu Boden. Das eigene Netzwerk wird unsicher.
Finger weg von dieser Idee
Alles in Allem gibt es viele Risiken bei einer solchen Installation. Ich rate hiervon ausdrücklich ab und gebe jeder Person zu bedenken, dass ihr euch hiermit keinen Gefallen tut. Wer in IT-Sicherheit sehr bewandert ist, der könnte es vermutlich ausreichend absichern. Doch auch ich würde eine solche Installation niemals aufsetzen, das wäre mir persönlich viel zu riskant.
Greife hier lieber zu Alternativen. Leg dir einen Raspberry Pi zu, welcher für die Smarthome-Steuerung verantwortlich ist. Er ist hinter deiner Firewall geschützt und steht nicht offen im Internet herum. Weiterhin gibt dir das noch die Möglichkeit, dass du zusätzliche Komponenten installieren kannst und dein Smarthome nach Belieben erweitern kannst.
9 Kommentare
Micha · 16. Januar 2020 um 19:26
Die Fritz kann man im IP_CLIENT-Modus laufen lassen, damit ist der SmartHome-Teil recht gut geschützt. Als Router/Firewall verwende ich pfSense, und OpenHAB läuft auf einer Xen Instanz mit Debian, natürlich aus dem Netz erreichbar, für LetsEncrypt, und wenn ich von unterwegs was am Haus verändern oder überprüfen will.
Lukas · 17. Januar 2020 um 09:11
Hallo Micha,
deine Beschreibung klingt interessant. Funktioniert bei dir denn dann auch die Telefonie über die FritzBox wie gewohnt?
Mein OpenHAB würde ich persönlich nicht freigeben, ich belasse es lieber hinter der Firewall und greife wenn notwendig per VPN darauf zu.
Dabei habe ich ein besseres Gefühl.
wolfgang · 29. November 2017 um 12:12
Ich glaube ich verstehe da was nicht richtig. Der Zugriff auf die Fritzbox geschieht doch via VPN. Mehr Schutz geht doch eigentlich nicht. Und Local steckt man doch hinter der Firewall
Lukas · 29. November 2017 um 17:02
Hallo Wolfgang, danke für diesen Einwand.
Es ist richtig, dass man im LAN hinter der Firewall geschützt ist (sofern diese nicht falsch konfiguriert ist).
Installiert man OpenHab jedoch direkt auf der FritzBox, so kann es passieren, dass man durch veraltete abhängige Pakete Sicherheitslücken in die Software reißt.
Ebenso ist die Firewall in der FritzBox installiert, somit steht sie selbst erstmal nicht hinter der Firewall.
Betreibt man OpenHab auf einem eigenen Gerät im LAN, ist dieses natürlich durch die Firewall geschützt.
Holger Lehmann · 22. November 2017 um 13:40
Hi,
wenn ich es richtig verstehe dann meinen Sie, dass zwar die FritzBox als Zentralle für Smarthome z.B. für die Heizungsthermostate ganz ok ist – aber das man das OpenHab nicht auf Ihr installieren soll? Bin etwas verwirrt da an anderer Stelle ja die FritzBox bezüglich Smarthome und DECT Standard gelobt wird 🙂
Lukas · 22. November 2017 um 15:25
Hallo Holger,
danke für die gute Frage! Es ist tatsächlich so, dass die FritzBox Thermostate und Steckdosen steuert. Diese Funktion ist nicht gemeint, da sie ja bereits durch AVM integriert ist.
Wie du richtig festgestellt hast meine ich die Installation von OpenHab auf der FritzBox. Lediglich hiervon rate ich ab zum Schutz des Netzwerks und der FritzBox.
Ich werde das in meinem Beitrag entsprechend ergänzen, da mir diese Verwirrung nicht ganz bewusst war 🙂
Holger Lehmann · 22. November 2017 um 20:44
OK Danke für die Info, was hälst Du davon OpenHab auf einen NAS laufen zu lassen? Hab eins von QNAP was ohnehin 24 Stunden läuft. Da gibt es glaube ich auch ne Installation für.
Lukas · 22. November 2017 um 20:54
Auf die Schnelle beurteilt halte ich das für viel besser. Ich persönlich bevorzuge zwar die Variante auf einem Raspberry Pi, aber das ist auch etwas Geschmackssache.
Sofern du dein NAS rein Lokal betreibst und es nicht direkt im Internet verfügbar hast denke ich, steht da deinem Vorhaben nichts im Weg.
Wichtig wäre, davor ein Backup zu erstellen, so dass im Notfall nichts mit deinen Daten passiert.
Solltest du das tatsächlich auf deinem Qnap-NAS installieren würde ich mich darüber freuen, einen kurzen Bericht zu hören, ob das funktioniert hat und wie komfortabel die Lösung ist 🙂
OpenHAB2 und die FritzBox - ein Traumpaar – Der Hobbyblog · 30. Dezember 2017 um 10:53
[…] sucht, um OpenHabauf der FritzBox direkt zu installieren, sollte bitte unbedingt vorher den Beitrag OpenHab auf der FritzBox […]