Navigation

    Logo
    • Register
    • Login
    • Search
    • Recent
    • Tags
    • Unread
    • Categories
    • Unreplied
    • Popular
    • GitHub
    • Docu
    • Hilfe
    1. Home
    2. Deutsch
    3. ioBroker Allgemein
    4. "Your iobroker is on the internet" auf allen VIS-Views

    NEWS

    • ioBroker@Smart Living Forum Solingen, 14.06. - Agenda added

    • ioBroker goes Matter ... Matter Adapter in Stable

    • Monatsrückblick - April 2025

    "Your iobroker is on the internet" auf allen VIS-Views

    This topic has been deleted. Only users with topic management privileges can see it.
    • Codierknecht
      Codierknecht Developer Most Active @NoPlayBack 0 last edited by

      @noplayback-0 sagte in "Your iobroker is on the internet" auf allen VIS-Views:

      Ich will es einfach etwas besser verstehen und mehr wissen als nur die allgemeine Meinung "Das macht man nicht".
      In einem anderen Forum hatte ich gelesen "Problem ist der Port worüber in der Standardeinstellung ein Zugriff auf Admin-Oberfläche des iobroker möglich ist".... aber doch nicht ohne Passwort ???

      Ein offener Port ist ein Einfallstor. Punkt.
      Diejenigen die diesen offenen Port nutzen um auf Dein System zu kommen, nutzen nicht die ioBroker-Oberfläche.
      Die haben andere Mittel und Wege. Und welche, wird Dir wohl kaum jemand verraten.

      Ob über den Port dann der ioBroker, 'ne CCU, 'ne Synology oder die Fritte erreichbar sind ist dafür auch völlig unerheblich.
      Nix davon ist dazu geeignet direkt von außen erreichbar zu sein.

      Und wie @haus-automatisierung schon schreibt, ist es alles andere als trivial, einen sicheren Zugriff von außen zu realisieren.

      Cloud ist auch nicht machbar da ich Grafana-Seiten via iFrame in VIS eingebunden habe

      Hier wäre ein alternativer Ansatz möglich.
      Warum muss es für den Zugriff über die Cloud unbedingt Grafana sein?
      Ich fahre 2 unterschiedliche Versionen der Vis. Eine für "in house" mit Grafana und eine für die Auflösung der Handys ... ohne Grafana.
      Man könnte ja eine abgespeckte Version für den mobilen Zugriff mit e-charts realisieren.

      haus-automatisierung 1 Reply Last reply Reply Quote 0
      • haus-automatisierung
        haus-automatisierung Developer Most Active @Codierknecht last edited by

        @codierknecht sagte in "Your iobroker is on the internet" auf allen VIS-Views:

        Diejenigen die diesen offenen Port nutzen um auf Dein System zu kommen, nutzen nicht die ioBroker-Oberfläche.

        Naja, es muss schon das genutzt werden, was als Dienst hinter dem Port auch bereitgestellt wird. Und das ist nunmal erstmal nur der Webserver vom Admin-Adapter... Also auch Websockets und andere Ressourcen. Bitte nicht übertreiben 🙂

        Codierknecht 1 Reply Last reply Reply Quote 0
        • Codierknecht
          Codierknecht Developer Most Active @haus-automatisierung last edited by

          @haus-automatisierung
          Klar ... aber die nutzen nicht die "Oberfläche" und lassen sich wohl kaum von einem dort abgefragten Kennwort beeindrucken.
          Du hattest ja bereits geschrieben: Das ist halt alles nicht dazu gedacht, splitterfasernackt im Netz zu stehen.

          Bitte nicht übertreiben

          Hilft aber. So mancher muss erst überzeugt werden 😁

          haus-automatisierung 1 Reply Last reply Reply Quote 1
          • da_Woody
            da_Woody @NoPlayBack 0 last edited by

            @noplayback-0 wie du siehst ist alles möglich.
            Ich hab seit Jahren einen FTP für ein paar Leute am laufen. Zugriff SSH/FTP, anderer Port.
            Wenn ich da ins Log schaue... Scans im Sekunden Takt. IPs werden bei hämmern automatisch gesperrt.
            Du glaubst nicht was da alles abläuft.

            1 Reply Last reply Reply Quote 0
            • haus-automatisierung
              haus-automatisierung Developer Most Active @Codierknecht last edited by haus-automatisierung

              @codierknecht sagte in "Your iobroker is on the internet" auf allen VIS-Views:

              Das ist halt alles nicht dazu gedacht, splitterfasernackt im Netz zu stehen.

              Wobei sich das wirklich auf den Admin bezieht. Der Technologie-Stack des Admin wird ja millionenfach für Webanwendungen und APIs genutzt. Also

              • nodejs
              • https://expressjs.com/de/
              • https://www.passportjs.org
              • ...

              Das ist alles keine 0815-Software, sondern ordentlich getestet.

              Trotzdem steht beim professionellen Einsatz ja noch eine Firewall, ggf. ein Loadbalancer usw. davor. Im Admin ist sogar ein einfacher Schutz gegen Bruteforce-Angriffe implementiert.

              MartinP 1 Reply Last reply Reply Quote 0
              • MartinP
                MartinP @haus-automatisierung last edited by

                @haus-automatisierung
                In irgendeiner Anleitung zu nginx als reverse proxy habe ich gelesen, dass auch das Vorlagern einer nginx-Portalseite mit Login ausreichender Schutz wäre, habe da aber schon meine Zweifel.

                Auf der anderen Seite - wenn man nicht auf das wireguard-VPN der Fritzbox setzt, sondern auf seinem Heimserver eine Wireguard-Instanz aufsetzt, muss man in seinem Router auch entsprechend Ports öffen ...

                haus-automatisierung 1 Reply Last reply Reply Quote 0
                • haus-automatisierung
                  haus-automatisierung Developer Most Active @MartinP last edited by haus-automatisierung

                  @martinp Eben. Das komplette Internet funktioniert ja nur dank "offener Ports". Nur weil ein Port offen ist, heißt das nicht direkt, dass jeder dann auch machen kann was er möchte. Wir greifen ja auch gerade über Port 443 hier auf das Forum zu, ...

                  Am Ende ist die Sicherheit genau so hoch, wie der Dienst hinter dem Port. Die genutzten Frameworks des Admin-Adapters sind zwar genau dafür gedacht, aber wer weiß ob es nicht doch irgendwo eine Sicherheitslücke gibt, wenn man bestimmte Ressourcen abfragt.

                  Zumal es in den meisten Fällen gar keinen Grund gibt, den Admin öffentlich zugänglich zu machen. Mit Adaptern wie der Rest-API usw. sieht das schon anders aus. Aber auch dann gibt es bessere Wege die Daten von außen ins eigene System zu bekommen (z.B. über MQTT) .

                  Und gerade wenn ich sehe, wie selten hier manche Updates machen, kann man nicht pauschal sagen, dass das eine gute Idee und "sicher" ist. z.B. https://www.exploit-db.com/docs/english/41289-exploiting-node.js-deserialization-bug-for-remote-code-execution.pdf

                  Codierknecht Thomas Braun 2 Replies Last reply Reply Quote 0
                  • Codierknecht
                    Codierknecht Developer Most Active @haus-automatisierung last edited by

                    @haus-automatisierung
                    Man weiß auch nie, welche Schwachstellen in freier Wildbahn bereits ausgenutzt werden, ohne dass sie bekannt sind.
                    Wäre ich Hacker, würde ich mein Wissen über die von mir genutzten Einfallstore ja auch nicht jedem auf die Nase binden.

                    Der sicherste Server ist der ohne Netzwerkkarte 😁

                    1 Reply Last reply Reply Quote 0
                    • Thomas Braun
                      Thomas Braun Most Active @haus-automatisierung last edited by Thomas Braun

                      @haus-automatisierung sagte in "Your iobroker is on the internet" auf allen VIS-Views:

                      Und gerade wenn ich sehe, wie selten hier manche Updates machen

                      Das ist halt auch das A und O für einen sicheren, stabilen Betrieb. Predige ich ja auch immer.
                      Aber dann kommen immer diese 'Näwah tatsch a runnink süstem'-Hobbyadmins, die das für besonders schlau halten.

                      Und auch so wenig Code wie möglich laufen haben. Was nicht läuft und gar nicht erst installiert ist kann auch nicht angegriffen werden. Gilt dann insbesondere für GUIs. Und auch user, die gar kein LogIn erhalten können nicht gekapert werden. Viele Grüße an die ganzen Oberschlauen, die als root über die Kiste rutschen, weil das ja so schön bequem ist.

                      N 1 Reply Last reply Reply Quote 2
                      • N
                        NoPlayBack 0 @Thomas Braun last edited by NoPlayBack 0

                        Vielen Dank für die Infos...
                        wird im iobroker eigentlich irgendwo protokolliert wenn sich jemand einloggt? Da könnte ich ja nachschauen, ob mit dem Nutzeraccount und PW der Zugang durchgeführt wurde oder auf anderen Wegen. In vielen Systemen wird sowas ja standardmäßig protokolliert.

                        In den alten Logs kann ich zu dem fraglichen Zeitpunkt einen Connect von der Quelle web.0 entdecken, da wird eine IP gelistet. Wenn ich diese IP im Internet suche dann erkenne ich "Avast Slovakia"... interessant...

                        Marc Berg Meister Mopper 2 Replies Last reply Reply Quote 0
                        • Marc Berg
                          Marc Berg Most Active @NoPlayBack 0 last edited by

                          @noplayback-0 sagte in "Your iobroker is on the internet" auf allen VIS-Views:

                          Wenn ich diese IP im Internet suche dann erkenne ich "Avast Slovakia"... interessant...

                          Das heißt nur, dass der Zugreifer ein VPN von Avast genutzt hat, um seine Herkunft zu verschleiern.

                          1 Reply Last reply Reply Quote 0
                          • Meister Mopper
                            Meister Mopper @NoPlayBack 0 last edited by Meister Mopper

                            @noplayback-0

                            Nur mal so zum besseren Verständnis das Zugriffsverhalten auf einen host mit offenen Ports 22/80/443 in den letzten Stunden (da tut sich einiges von bots, script-kiddies, Technical Attackers u. a.):

                            cd9fea17-f178-4a78-ac88-d8faac1fe83a-grafik.png

                            Homoran 1 Reply Last reply Reply Quote 0
                            • Meister Mopper
                              Meister Mopper last edited by Homoran

                              @noplayback-0

                              Und hier https://open.hpi.de/courses?q=Internet+Security+for+Beginners&button=&channel=&lang=&topic=&level= ein Kurs des HPI für den Beginn eines besseren Sicherheitsverständisses.

                              Sein Englisch ist grottenschlecht, das Wesentliche kommt aber sehr gut rüber.

                              N 1 Reply Last reply Reply Quote 0
                              • Homoran
                                Homoran Global Moderator Administrators @Meister Mopper last edited by

                                @meister-mopper sagte in "Your iobroker is on the internet" auf allen VIS-Views:

                                da tut sich einiges v

                                nur 22 in 6 1/2 Stunden?

                                Da hätte ich mit deutlich mehr gerechnet.

                                Meister Mopper 1 Reply Last reply Reply Quote 0
                                • Meister Mopper
                                  Meister Mopper @Homoran last edited by Meister Mopper

                                  @homoran sagte in "Your iobroker is on the internet" auf allen VIS-Views:

                                  Da hätte ich mit deutlich mehr gerechnet.

                                  Das ist manchmal auch heftiger, aber immerhin macht es deutlich, warum man um firewall und lokale fail2ban Konfigs pp. nicht umhinkommt.

                                  edit: Außerdem wohne ich auf'm Dorf 😁

                                  da_Woody 1 Reply Last reply Reply Quote 1
                                  • N
                                    NoPlayBack 0 @Meister Mopper last edited by

                                    @meister-mopper
                                    Danke für den Link, bin dran 😉
                                    Und danke an alle für die nun doch sinnvollen Einträge und die sachlichen Beiträge, die ein bisselle mehr sachliche Informationen zu dem Thema beisteuern.

                                    1 Reply Last reply Reply Quote 0
                                    • da_Woody
                                      da_Woody @Meister Mopper last edited by

                                      @meister-mopper sagte in "Your iobroker is on the internet" auf allen VIS-Views:

                                      edit: Außerdem wohne ich auf'm Dorf

                                      me 2, schützt aber nüscht vor angriffen...
                                      einzig, ich bin fast der einzige mit meiner WLAN wolke. 😄

                                      Meister Mopper 1 Reply Last reply Reply Quote 0
                                      • Meister Mopper
                                        Meister Mopper @da_Woody last edited by

                                        @da_woody sagte in "Your iobroker is on the internet" auf allen VIS-Views:

                                        me 2, schützt aber nüscht vor angriffen...

                                        War ja spaßig gemeint. Auf's Dorf kommen ja nicht so viele 😉.

                                        1 Reply Last reply Reply Quote 1
                                        • First post
                                          Last post

                                        Support us

                                        ioBroker
                                        Community Adapters
                                        Donate
                                        FAQ Cloud / IOT
                                        HowTo: Node.js-Update
                                        HowTo: Backup/Restore
                                        Downloads
                                        BLOG

                                        960
                                        Online

                                        31.7k
                                        Users

                                        79.6k
                                        Topics

                                        1.3m
                                        Posts

                                        12
                                        27
                                        1376
                                        Loading More Posts
                                        • Oldest to Newest
                                        • Newest to Oldest
                                        • Most Votes
                                        Reply
                                        • Reply as topic
                                        Log in to reply
                                        Community
                                        Impressum | Datenschutz-Bestimmungen | Nutzungsbedingungen
                                        The ioBroker Community 2014-2023
                                        logo