Sicherheit - Aircoookie/WLED-wiki-DE GitHub Wiki

WLED wurde so konzipiert, dass Sie sicher sein sollten, eine Router-Port-Weiterleitung zu haben, um das System über das öffentliche Internet zu steuern . Auf dieser Seite erfahren Sie, was Sie von der Sicherheit von WLED erwarten können.

TLDR - was tun?

A: Wenn Sie WLED nur in einem lokalen Netzwerk und / oder mit einem gesicherten Access Point betreiben (ändern Sie das Standardkennwort "wled1234" !!), ist alles in Ordnung.

Wenn Sie eine Portweiterleitung konfiguriert haben, um WLED von außerhalb Ihres lokalen Subnetzes zu steuern, ** stellen Sie bitte sicher, dass die Einstellung "OTA-Sperre" aktiviert ist und Sie das Standard-OTA-Passwort "wledota" geändert haben! Bearbeiten Sie auch NIEMALS vertrauliche Daten (wie WLAN-Anmeldeinformationen), während Sie über die Portweiterleitung verbunden sind! **

1: Ist die Verbindung selbst sicher?

A: Technisch nicht. Der ESP8266 verwendet unverschlüsselten HTTP-Verkehr. Die Implementierung von HTTPS würde auf diesem kleinen Gerät zu viel Rechenleistung und Speicher erfordern. Dies bedeutet, dass ein Angreifer Ihre Passwörter während der Übertragung lesen kann. Ändern Sie daher aus Sicherheitsgründen das AP / Client-WLAN- / OTA-Kennwort NICHT von außerhalb Ihres LAN über einen weitergeleiteten Port. Wenn Sie zu Hause sind, sollten Sie sicher sein, wenn Ihr WLAN gesichert ist. Sie können jedoch jede andere Einstellung ändern, während Sie nicht da sind. WLED sendet Ihr aktuelles Passwort nicht an die Einstellungsseite, sondern nur an deren Länge.

2: Was meinst du dann mit sicher?

A: WLED bietet die Möglichkeit, ein Software-Update über WLAN (OTA) durchzuführen. Es darf jedoch niemand in der Lage sein, eine schädliche neue binäre Firmware zu flashen, um Ihre WiFi-Anmeldeinformationen zu stehlen oder Ihr ESP zu einem Teil eines Botnetzes zu machen. Daher sollten Sie die Einstellung "OTA-Sperre" aktivieren und die Standard-Passphrase "wledota" ändern.

3: Kann ich die Lichtkonfiguration oder die Einstellungsseite schützen?

A: Derzeit nicht. Dies sind keine vertraulichen Informationen wie Ihr WLAN-Passwort. Jeder mit Ihrer IP und Ihrem Port kann die Lichter steuern. Öffnen Sie ein Problem, falls es jemals passieren sollte, dass jemand mit Ihren Lichtern spielt. Ich könnte dann in Betracht ziehen, eine optionale Passwortsperre hinzuzufügen. Im Moment ist es viel zu umständlich für das, was es tut.

4: Ich möchte ein Software-Update durchführen, aber es heißt "OTA-Sperre aktiv"?

A: Sie müssen zur Einstellungsseite gehen. Deaktivieren Sie die Einstellung "OTA-Sperre" und geben Sie Ihre Passphrase in das Feld darunter ein. Wenden Sie nun die Einstellungen an und starten Sie neu. Danach können Sie das Software-Update durchführen. Vergessen Sie nicht, OTA Lock danach wieder zu aktivieren! Zum Aktivieren müssen Sie die Passphrase nicht eingeben, es sei denn, Sie möchten sie ändern. Damit die Sperre funktioniert, müssen Sie sie erneut anwenden und neu starten.

5: Warum ist dieses OTA-Schloss so wichtig?

A: Ihr unverschlüsseltes WLAN-Passwort wird im EEPROM des Moduls gespeichert. Es wäre einfach, die Software auf eine schädliche Version zu "aktualisieren", die Ihr Passwort an den Angreifer sendet. OTA Lock stellt sicher, dass nur diejenigen mit der Passphrase ein Software-Update durchführen dürfen. Und ja, während Sie die OTA-Sperre durch Zurücksetzen auf die Werkseinstellungen deaktivieren können, wird dadurch auch die WLAN-Verbindung zum Angreifer unterbrochen.

6: Sonst noch was?

A: Ein persönlicher Tipp von mir ist, niemandem Ihre IP zu geben, um die Software zu kontrollieren, die Sie nicht regelmäßig tun möchten. Aus Sicherheitsgründen ist dies nicht kritisch, aber es kann sehr ärgerlich sein, wenn jemand mit Ihren Lichtern spielt oder, noch schlimmer, Ihre AP-Anmeldeinformationen so ändert, dass Sie nur noch über USB auf das Modul zugreifen können.