Alexa ins Heim- oder Gastnetz?

[nulldr0id]

Hallo!

Ich habe einige Berichte gelesen, dass diverse Geräte für Alexa, zb. Steckdosen oder Lampen, das Wlan Passwort unverschlüsselt nach China funken und man deshalb zur Sicherheit wenigstens das Gastnetzwerk nutzen sollte.

Gibt es dadurch irgendwelche Einschränkungen bei Alexa?
Kommuniziert Alexa im Netzwerk oder über die Cloud?

[hanselbuh]

Hallo!

Ich habe einige Berichte gelesen, dass diverse Geräte für Alexa, zb. Steckdosen oder Lampen, das Wlan Passwort unverschlüsselt nach China funken und man deshalb zur Sicherheit wenigstens das Gastnetzwerk nutzen sollte.

Gibt es dadurch irgendwelche Einschränkungen bei Alexa?
Kommuniziert Alexa im Netzwerk oder über die Cloud?

Moin!
Also ich habe sowohl Schalter, Steckdosen, Lampen und Kameras von Sonoff, Yeelights (Xiaomi) und anderen China-Herstellern im WLAN.
Natürlich habe ich zu Anfang auch den Betrieb im GastWLAN getestet. Doch dann kommt man teils nur per APP an die Geräte, wenn du auch mit dem Smartphone, auf dem die APP läuft, im GastWLAN angemeldet bist.
Wie gesagt, das waren meine anfänglichen Tests von Anfang Dezember 2017. Durchaus möglich das sich da inzwischen was getan hat.
Doch mal ganz ehrlich, was sollen die Chinesen denn mit deinem WLAN-PW anfangen. Ich muss schon innerhalb der Wohnung mit Repeatern und dLAN-Strecken hantieren, damit alle Geräte überall auch Verbindung haben. Auf dem Hof, direkt am Haus, geht nix mehr.
Davon mal abgesehen, werden praktisch alle Router in China produziert. Wenn die also wollen, kriegen sie alles von deinen Daten allein durch den Anschluss eines Routers.
Ich denke also schon das man den Ball mal flach halten sollte.

Wie gesagt, das ist meine persönliche Meinung als Betreiber eines Privathaushalts. Bei Firmen sehe ich das als aktiver Systemtechniker ganz anders.

PS: Ja, auch Alexa arbeitet nur über die Cloud. Nimm dem Router die Synchronisation (oder schalte das WLAN aus) und schon ist Alexa tot, und sagt dir das auch!

Gesendet vom P9000 mit Tapa

[nulldr0id]

Hallo Hanselbuh,

vielen Dank für die Antwort!

Ja stimmt, ich bin ein bisschen paranoid jedoch möchte ich nur meine Möglichkeiten (aus)nutzen, die ich habe.

Es geht auch nicht nur darum, dass die Dinger nach China funken, nein, die Passwörter können wegen der fehlenden Verschlüsselung angeblich auch schon im Heimnetzwerk abgefangen werden, da wollte ich eben meine Rechner von dem anderen Zeugs trennen.

Natürlich bin ich mit meinem Handy auch nur im Gastnetzwerk, von daher nicht das Problem.
Und wie verhält es sich denn mit der Steuerung, wenn ich mit 4g im Netz bin? Da lassen sich die Geräte doch auch ansprechen oder nicht?

Das wird hier ne mega Action geben sobald ich die ersten Smart Home Lampen gekauft habe, lol.

Wie gesagt, ich bin vorsichtig, neugierig und paranoid zugleich und möchte ALLES wissen, was ich an sicheren Möglichkeiten habe.

PS: An den Admin, bitte verschieben, das Thema gibt es bereits: sonstiges-f13/alexa-und-smart-home-gera ... t2563.html

Weitere Erfahrungen sind willkommen.

[Der_Dedl]

Also, dass die Apps definitiv den Key ins Heimatland funken, davon habe ich noch nichts gelesen. Ich find es halt auch nur bedenklich, in irgendeine "China App" den WLan Key zu tippeln, wenn die zwangsweise auch noch Zugriff auf den Standort haben wollen.
So bei mir bei Kasa (TP-Link) und E-We-Link (Sonoff).

Die Geräte alle ins Gastnetz zu hängen, käme mir aber nicht in den Sinn. Ich habe ja immer noch die Hoffnung, mit den Echos irgendwann z.B. mal auf mein NAS zuzugreifen. Genauso bediene ich die Geräte auch mit dem Tablet (nur WLan) das hängt natürlich für alles mögliche auch im internen Netz.
Wenn du tatsächlich Sorgen in der Richtung hast, dann besorg dir ZigBee Komponenten, die benötigen mit dem Plus z.B. überhaupt keinen Zugang zum Internet (außer die Amazon Zugriffe natürlich)
Es gibt da noch ganz andere Möglichkeiten, die alle lokal laufen, das wäre hier jetzt aber zu viel, da solltest du dich mal in den entsprechenden Beiträge hier unter Smart Home schlau lesen:)
Gruß
Der Dedl

[hanselbuh]

Hallo Hanselbuh,

Es geht auch nicht nur darum, dass die Dinger nach China funken, nein, die Passwörter können wegen der fehlenden Verschlüsselung angeblich auch schon im Heimnetzwerk abgefangen werden, da wollte ich eben meine Rechner von dem anderen Zeugs trennen.

Also bei den Sonoff-Geräten kannst du ja auf Tasmota-FW flashen oder sie direkt gleich schon mit der Tasmota-FW drauf kaufen (https://creationx.de). Damit laufen die ohne ChinaServer und ohne die ChinaAPP direkt und ausschließlich im Heimnetz.
Bei den Lampen von Yeelights (Xiaomi) ist wohl auch eine direkte Verbindung möglich, da sie angeblich wohl sehr gut dokumentiert sind.
Es existiert also durchaus auch der andere Weg. Ist halt nur etwas aufwendiger.

Gesendet vom P9000 mit Tapa

[cyberandi]

Servus, bei mir sind alle Echos und FireTVs im Gast-WLAN. Wobei bei mir dies nicht nur aus Sicherheitsgründen ist, sondern auch aus Netzwerkgründen. Ich betreibe alleine für mich 4 WLAN-SSIDs. 1 Gäste-WLAN für Sprachassistenten und Video-Streaming, 1 für Homeautomation (Tablets zur Steuerung) ohne Internetzugriff, 1 für Laptops, Handys und Tablets Intern und Web und eins für meine Gäste nur Web. Dazu natürlich auch ein Kabel gebundenes LAN/dLAN für stationäre Geräte. Am liebsten wäre mir wenn die Echos auch nur mit einem TBase1000/100-Anschluss anzubinden wären inklusive fester IP-Adresse usw. Ich habe für meine Netzwerkgeräte etliche Netzwerk-Priorität-, Firewall!-, URL-Filter und MAC-Adressen- Regeln in dem Router hinterlegt. Somit hat jede meiner ca. 10 Geräte-Gruppen eine eigne definierte Netzwerkeinrichtung. Jedes mir unbekannte Gerät kann bei mir nur in das Gäste-WLAN aber auch nur mit meinem Gäste-WPA2-Schlüssel. Dort darf. nur auf jugendfreie Internetseiten und eMails zugegriffen werden, der Rest ist alles für Gäste gesperrt. Auch kann man bei mir nicht einfach irgend welche Geräte in den Router bzw. Switch stecken, den. Er erhält keine IP-Adresse und der MAC-Filter sperrt ihn vom Router ab. Der DHCP-Server ist bei mir auf die MAC-Adressen geschlüsselt welche ich selber eingerichtet habe. Mehr Adressen darf er nicht vergeben. Auch habe ich eine Standard-Regel nur für Port 80 und die White-List. Damit ich selber neue Geräte einrichten und Testen kann. Die Homeautomation ist bei mir nur über 433Mhz und 868Mhz verbunden. Also keine WLAN-Steckdosen usw. Je Weniger WLAN um so besser. Kann es aber leider bei mir nicht ganz verhindern, siehe Echos und HarmonyHubs.

PS: ich habe nur eine 2 Zimmermiertwohnung und lebe alleine, aber trotzdem 40 Netzwerkgeräte vorhanden, welche täglich genutzt werden.
Sicher ist Sicher. Traue keinem außer Dir. Big Brother is watching you (NSA, BND usw) bzw. (Apple, Microsoft, Lenovo, Dt. Telekom, O2, Vodafone, Burda-Media, Otto Group (Hamburg), Amazon und Google (Alphabet) usw.).

[nulldr0id]

Hey Leute

Hier nochmals vielen Dank für Eure Beiträge und im Vorraus auch für die, die möglicherweise noch folgen!

Speziell geht es mir hier erst einmal um Alexa mit seinen Smart-Home Möglichkeiten. Das ist für mich Neuland.

Erst einmal hatte ich Echo und Echo Dot im Heimnetz installiert, dann ins Gastnetz geändert.
Testweise mal den Stecker rausgezogen und in der App nachgeschaut und Alexa war wieder im Heimnetz, obwohl ich keine Passwörter bei Amazon gespeichert hatte... nervte mich schon wieder.
Den Dot habe ich dann in der App abgemeldet und neu verbunden, dieser scheint jetzt wirklich nur das Gastnetz zu nutzen und den Echo lass ich erstmal machen... zum testen.
Dabei hab ich gemerkt, dass ich Multiroom nicht nutzen kann wenn die beiden in getrennten Netzen sind.
Ausprobiert mit Handy im Gastnetz und über 4G mit einer einfachen Easy Box.

Bevor ich mir jetzt Steckdosen und Lampen ins Haus hole wollte ich mich erst einmal schlau(er) machen und ob ich den ganzen Kram ins Gastnetz stecken kann. Wobei ich noch nicht einmal weiss ob diese Art Geräte funken, morsen oder flüstern, lol, bzw. wie die eigentliche Verbindung ist... zu Alexa... wie zB. meine Bohse Sound link Mini 2 über BT direkt zum Dot und ohne wlan?
Das muss ich alles noch lernen.

Der Plan ist, nur die PCs im Heimnetz zu lassen damit sie vernetzt sind,
Smart-TV, Playstation Pro und meine IP-Cams, Handys und Tablet sowie Alexa und ihre Kinderlein sollen alle nur noch ins Gastnetz,
quasi alles was untereinander nicht kommunizieren "muss".
Mac Filter werden auch noch alle eingerichtet, für mehr reichen Zeit und Wissen (noch) nicht.

Die Homeautomation ist bei mir nur über 433Mhz und 868Mhz verbunden. Also keine WLAN-Steckdosen usw. Je Weniger WLAN um so besser. Kann es aber leider bei mir nicht ganz verhindern, siehe Echos und HarmonyHubs.

cyberandi: handelt es sich hier um Geräte die über Alexa laufen oder sind es andere wlan Komponenten? Und was ist mit 433Mhz und 868Mhz gemeint?

OFF TOPIC
Habe mir auch gerade diesen Thread echo-allgemein-f2/sicherheit-von-alexa-t4721.html hier durchgelesen. Sehr interessant und ich dachte, ICH wäre paranoid. Nein, nur Spass ich denke ja genau so.

Ich hatte mir, vor Alexa, vor einigen Monaten beim Aldi diese zwei wlan-Steckdosen gekauft, wohl ein Starterset für rund 20 euro, "Easy Home" glaube ich, welche ich aber nicht in Betrieb genommen habe, da ich über genau diese ein Video um Web gefunden hatte welches mich erst einmal aufmerksam machte.
Auch konnte ich beim Aldi dem "Thermyblue" Heizungsregler nicht wiederstehen, da stand "made in Germany" drauf. Auch dieser liegt nun rum.
Diese Geräte funken Passwörter, die man in die App eingeben muss und auch Standortdaten. Also für mich ein No-Go.
Auch über einen TP-Link Repeater/Accesspoint bin ich mir noch nicht sicher, da gibts auch die dazugehörige App die mir Sorgen macht.

[cyberandi]

Ich benutze für die Homeautomation ein eigenes externes Gateway, bei mir Mediola Gateways http://www.mediola.de, mit LAN Anschluss und zwar ohne WLAN. Ich kann aber auch Homematic, empfehlen. WLAN-Komponenten würde ich immer außen vor lassen, da diese direkt mit dem Netzwerk verbunden sind und meist eine Anbindung an das Internet benötigen. Ich bin dafür so wenig wie möglich in das Internet einbinden. Ich empfehle immer gerne vieles vernetzen aber bitte nicht alles in das selbe Netzwerk und besonders nicht mit dem Internet verbinden. So kann ich den Komfort von moderne IoT bzw. Vernetzung nutzen aber muß nicht immer Angst haben, daß meine Komponenten gehackt bzw. alles auf einmal lahm gelegt werden kann. Auch würde ich, wenn es machbar ist, immer eine Verkabelung einer Funkverbindung vorziehen. Denn eine Verkabelung ist weniger Störanfällig und auch abhörsicherer als Funk. In Mietobjekten, wie bei mir, geht es oft halt nicht immer alles per Kabel zu machen, da man beim Auszug ja alles wieder entfernen muß. Ich kann mein Gast-WLAN so einstellen, daß alle Kompnenten immerHalb des Gast-WLANs sich auch unterhalten können. So geht bei mir ohne Probleme das Multirooming.

[hanselbuh]

Servus, bei mir sind alle Echos und FireTVs im Gast-WLAN. Wobei bei mir dies nicht nur aus Sicherheitsgründen ist, sondern auch aus Netzwerkgründen. Ich betreibe alleine für mich 4 WLAN-SSIDs. 1 Gäste-WLAN für Sprachassistenten und Video-Streaming, 1 für Homeautomation (Tablets zur Steuerung) ohne Internetzugriff, 1 für Laptops, Handys und Tablets Intern und Web und eins für meine Gäste nur Web. Dazu natürlich auch ein Kabel gebundenes LAN/dLAN für stationäre Geräte. Am liebsten wäre mir wenn die Echos auch nur mit einem TBase1000/100-Anschluss anzubinden wären inklusive fester IP-Adresse usw. Ich habe für meine Netzwerkgeräte etliche Netzwerk-Priorität-, Firewall!-, URL-Filter und MAC-Adressen- Regeln in dem Router hinterlegt. Somit hat jede meiner ca. 10 Geräte-Gruppen eine eigne definierte Netzwerkeinrichtung. Jedes mir unbekannte Gerät kann bei mir nur in das Gäste-WLAN aber auch nur mit meinem Gäste-WPA2-Schlüssel. Dort darf. nur auf jugendfreie Internetseiten und eMails zugegriffen werden, der Rest ist alles für Gäste gesperrt. Auch kann man bei mir nicht einfach irgend welche Geräte in den Router bzw. Switch stecken, den. Er erhält keine IP-Adresse und der MAC-Filter sperrt ihn vom Router ab. Der DHCP-Server ist bei mir auf die MAC-Adressen geschlüsselt welche ich selber eingerichtet habe. Mehr Adressen darf er nicht vergeben. Auch habe ich eine Standard-Regel nur für Port 80 und die White-List. Damit ich selber neue Geräte einrichten und Testen kann. Die Homeautomation ist bei mir nur über 433Mhz und 868Mhz verbunden. Also keine WLAN-Steckdosen usw. Je Weniger WLAN um so besser. Kann es aber leider bei mir nicht ganz verhindern, siehe Echos und HarmonyHubs.

PS: ich habe nur eine 2 Zimmermiertwohnung und lebe alleine, aber trotzdem 40 Netzwerkgeräte vorhanden, welche täglich genutzt werden.
Sicher ist Sicher. Traue keinem außer Dir. Big Brother is watching you (NSA, BND usw) bzw. (Apple, Microsoft, Lenovo, Dt. Telekom, O2, Vodafone, Burda-Media, Otto Group (Hamburg), Amazon und Google (Alphabet) usw.).

Ich hoffe du hast einen guten Arzt für deine Störung!

Nein, aber mal ernsthaft. Du lebst ja wohl eher deinen Spieltrieb auf dem Rücken deines Verfolgungswahns aus!
Denn einen wirklichen Sinn kann ich, zumindest aus der Entfernung, in deiner Installation nicht erkennen. Auf das Aufwand-/Nutzen-/Kosten-Verhältnis will ich da mal gar nicht erst weiter eingehen.

Gut das du da alleine lebst, denn wenn bei dir da mal was ausfällt und du nicht da bist, hätten andere Haushaltsmitglieder wohl nahezu keine Chance mehr heraus zu finden woran es liegt.

Gesendet vom P9000 mit Tapa

[cyberandi]

Ich hoffe du hast einen guten Arzt für deine Störung!

Nein, aber mal ernsthaft. Du lebst ja wohl eher deinen Spieltrieb auf dem Rücken deines Verfolgungswahns aus!
Denn einen wirklichen Sinn kann ich, zumindest aus der Entfernung, in deiner Installation nicht erkennen. Auf das Aufwand-/Nutzen-/Kosten-Verhältnis will ich da mal gar nicht erst weiter eingehen.

Gut das du da alleine lebst, denn wenn bei dir da mal was ausfällt und du nicht da bist, hätten andere Haushaltsmitglieder wohl nahezu keine Chance mehr heraus zu finden woran es liegt.

Gesendet vom P9000 mit Tapa

Ne, ich war IT-Security-Officer und daher ist dies sogar noch wie geschrieben sehr minimalistisch. Hätte ich mehr Informationen von seitens Amazon könnte ich es endlich komplett so absichern wie es sein sollte. In den Firmen sollte dies Mindeststandard sein. Denn das Bundesamt für Sicherheit in der Informationstechnik gibt solche Dinge als Mindest-Grundschutz bekannt. Siehe https://www.bsi.bund.de unter https://www.bsi.bund.de/SiteGlobals/For ... nn=6595654