[Hinweis] Gefahren durch Port-Freischaltungen
-
Zusätzlich zu den Port Freischaltungen: Solltet ihr den Cloud Adapter mit Fernzugriff verwenden, verwendet bitte ein starkes Kennwort und verwendet das Kennwort nur dafür (das heißt auch nicht für das Forum o.ä.).
Auch die Admin, VIS (+Editor), Node Red, (Dashboard und Admin) solltet ihr mit Kennwörtern schützen (nicht nur wenn ihr eine Portfreischaltung habt).
Das Musik Staubauger o.ä. nachts losgehen ist ärgerlich und in dem Moment auch erschreckend. Falls über iobroker auch Rolläden, Elekronische Türschlösser geöffnet werden können kann das auch andere Folgen haben.
Bitte dies nicht als Panikmache verstehen, es geht darum sich bewust zu sein welche Möglichkeiten es gibt und auch welche Risiken. Daher sollte ein Mindestmaß an Sorgfaltspflicht gelten. Dazu gehören VPN Verbindungen, Kennwörter, und sichere HTTPS Verbindungen.
Sicherheit im Smarthome sollte immer Bedacht werden.
Vielen Dank an den betroffenen das er das bei Facebook geteilt hat, das ist nicht selbstverständlich.
my two (euro) cents
sabix
by the way: das cert für iobroker.net läuft morgen ab. Das heißt der cloud Adapter geht dann nicht mehr bis das cert erneutert wurde…
12. Dezember 2018, 20:02:09 GMT+1
(12. Dezember 2018, 19:02:09 GMT)
-
Ich habe mal kurz ein wenig in Shodan geschaut und gesehen, dass momentan sogar 642(!) Admin Instanzen öffentlich zugänglich sind. Schon schockierend. 569 alleine aus Deutschland.
-
Hallo,
ich nutze VPN über die Fritz.box, um in mein Heimnetzwerk zu gelangen.
Unser Sohn jedoch hat Portfreigaben für Teamspeak und eventuell das eine oder andere Onlinespiel. Das funktioniert ja nicht ohne Portfreigaben und Weiterleitung an seinen PC. Fällt das auch unter die Risiken? Wenn ja, wie habt ihr das gelöst?
Und was versteht man unter „Zugang per Cloud“?
Grüße
Ulf
-
Das anstecken eines Netzwerkkabels bzw. WLans ist schon eine potenzielle Gefahr. Ein offenes Port eine Größere. Kein Paßwort verwenden ein ganz Großes.
Oder anders gesagt: Eine Wohnungstür ist weniger sicher als eine Wand (offener Port). Allerdings kein Problem solange das Schloss gut genug ist. (Passwort)
Also solange die Absicherung der Software in Ordnung ist ist ein offener Port kein Problem. Jeder Webserver hat den Port 80 offen und das Internet steht immer noch.
-
Hallo Ulf,
solange die Port Weiterleitungen auf den Rechner oder die Spiele Console von Deinem Sohn gehen kommt so niemand auf deinen iobroker.
Du solltest aber darauf achen wie dein router die weiterleitungen macht. Es gibt router die nutzen interne IP Adressen um zu wissen an welches gerät sie einen port weiterleiten müssen. Das kann unschön sein wenn der DHCP die adresse an ein anderes Gerät vergibt dann ist der Port auf einmal zu einem anderen Gerät offen.
Ich würde aber vermuten das das nicht der Fall ist da sonst Dein Sohn dir schon gesagt hätte "das es nicht mehr funktionier" da sein Rechner die weiterleitung nicht mehr hat.
(Dein Sohn hat keinen Zugriff auf den router, richtig?)
Kannst Du einfach von Zeit zu Zeit mal kontrolieren.
Du solltest dennoch starke Kennwörter für iobroker und andere allgemeingültige Sicherheits vorkehrungen beachten: wie z.b. Installiere immer die neusten Sicherheitsupdate (für alle Geräte), nutze Firewalls und AntiVirus auf den Endgeräten und ganz wichtig verwenden KEINEN ADMIN account für die Tägliche arbeit / spielen. Wenn Du was instalieren/ deinstallieren musst melde dich mit einem anderen account an. Mehr als 99% von malware funktioniert nicht wenn Du nicht als admin angemeldet bist.
vg
sabix
Hallo,
ich nutze VPN über die Fritz.box, um in mein Heimnetzwerk zu gelangen.
Unser Sohn jedoch hat Portfreigaben für Teamspeak und eventuell das eine oder andere Onlinespiel. Das funktioniert ja nicht ohne Portfreigaben und Weiterleitung an seinen PC. Fällt das auch unter die Risiken? Wenn ja, wie habt ihr das gelöst?
Und was versteht man unter „Zugang per Cloud“?
Grüße
Ulf `
-
Danke für die schnelle Antwort.
Ich habe in der Fritz.box alles so eingestellt, dass die Geräte immer die selbe IP erhalten. Und mein Sohn hat keinen Zugriff auf den Router.
Dann scheint alles in Ordnung zu sein.
Grüße
Ulf
-
Dazu muss ich mal was fragen: Der Check sagt mir, dass der Port 443 offen ist. Ich habe eine Fritzbox und dort VPN eingerichtet. Ich bin der Meinung, das ging damals nicht einzurichten, ohne nach außen zu öffnen (https). Ich habe den Port nun erstmal umbenannt. Nur ganz deaktivieren kann ich nicht, da sonst mein VPN nicht funktioniert. Wie habt ihr das gelöst ? Viele haben doch VPN über die Fritzbox, da müsste also bei denen immer ROT sein in dem Heise Test ? Ansonsten ist bei mir alles Grün, Router Test usw.
Gruß Holger `
Hast du Zufällig einen Enigma2 Receiver? -
Wenn Du Dich per VPN bei Dir zu Hause einwählen willst dann musst Du einen Port aufmachen. Das geht gar nicht anders.
Welcher Port das ist 443 oder ein anderer ist eigentlich egal. Dein VPN Client muss wissen welchen Port er verwenden muss.
Ich sage eigentlich da viele Wifi oder bsp. Gastzugänge von Freunden oder Unternehmen aus “Ihrem Netzwerk” z.b. Nur E-Mail und www Verkehr zulassen. Und wie machen die das? Die sagen einfach: die standard ports schalten wir frei: z.b. 80 für http oder 443 für https oder 25 für E-Mail (plaintext) oder 465/587 E-Mail via TLS (verschlüsselt ähnlich wie https).
Wenn du Dein VPN aus deinem Netzwerk erreichen willst und das hinter einem Port liegt der nicht freigeschaltet ist kannst du dich nicht verbinden.
Du kannst also Port 443 benutzen um auf Dein VPN zuzugreifen. Das ist nicht mehr oder weniger sicher als jeder andere x beliebige andere Port.
Was wichtig ist das Dein VPN verschlüsselt ist und du eine starke Authentifizierung durchführst.
Dazu muss ich mal was fragen: Der Check sagt mir, dass der Port 443 offen ist. Ich habe eine Fritzbox und dort VPN eingerichtet. Ich bin der Meinung, das ging damals nicht einzurichten, ohne nach außen zu öffnen (https). Ich habe den Port nun erstmal umbenannt. Nur ganz deaktivieren kann ich nicht, da sonst mein VPN nicht funktioniert. Wie habt ihr das gelöst ? Viele haben doch VPN über die Fritzbox, da müsste also bei denen immer ROT sein in dem Heise Test ? Ansonsten ist bei mir alles Grün, Router Test usw.
Gruß Holger
Hast du Zufällig einen Enigma2 Receiver? -
Ich habe mal über shodan meine ip gescannt.
Es wird irgendein port 8089 angezeigt obwohl ich in der Fritzbox kein Port offen habe.
Muss ich mir sorgen machen ?
4720_8089.jpg -
Steht bei sohan von wann das Ergebnis ist? Das kann noch von jemand sein der vorher deine IP hatte.
Hiermit kannst du deine eigene IP/ den Port scannen.
-
Steht bei sohan von wann das Ergebnis ist? Das kann noch von jemand sein der vorher deine IP hatte.
Hiermit kannst du deine eigene IP/ den Port scannen.
Da steht Last Update 2018-12-10T18:50:29.288279
Bei Port Scanning bekomme ich folgendes als Ausgabe
"Meine IP " is responding on port 8089 ()
-
-
Wenn der responding ist dann ist er offen ja.
Aber das die Fritzbox das nicht anzeigt ist sehr merkwürdig. Sicher das deine IP die richtige ist?
Schau auch mal ob der fritzbox ob die UPNP portfreigaben erlaubt. Evtl hat ein Gerät selbst einen Port aufgemacht.
-
Und was sagr heise
https://www.heise.de/security/dienste/p … ?scanart=1
Gruß
Rainer `
Da scheint es ok zu sein.
Hhhm komisch, hatte mal irgendwo gelesen das die Fritzbox auch einen Port benutzt für die Fernwartung.
Kann das sein?
Geräte in der Fritzbox alle durchgeschaut, es ist keine Selbstständige Portfreigaben für diese Gerät aktiviert.
4720_check.jpg -
Gerade nochmal bei Shodan gescannt und jetzt kommt Port 5060 obwohl ich nichts verstellt hatte.
4720_shodan.jpg -
Hast du einen all ip Anschluss?
Sip ist für Telefonie
Wenn der zu ist kannst du nicht telefonieren
Gruß
Rainer
-
Hast du einen all ip Anschluss?
Sip ist für Telefonie
Wenn der zu ist kannst du nicht telefonieren
Gruß
Rainer `
Ja habe o2 voip
-
Also zum Thema shodan und "scannen": Soweit mir bekannt ist kann man mit shodan selbst keinen scann auslösen (bitte korrigiert mich wenn das nicht stimmt.)
Das geht nur mit einem Premium account.
shodan scannt selbst das internet aber wenn man nach seiner IP sucht dann sind das die Ergebinsse des letzen scannes den shodan ausgeführt hat und die Daten können noch von jemand stammen der Eure IP vorher hatte.
vg
sabix
-
Moin,
Port 8089 wird z.B. von der Fritzbox geöffnet, wenn man automatische Einrichtung durch den Diensteanbieter erlaubt. (Internet >> Zugangsdaten >> Anbieterdienste)
-
Was soll man da sagen.
Wer so "blöd" ist den Menüpunkt "Selbstständige Portfreigaben für dieses Gerät erlauben." auszuwählen, hat es nicht besser verdient.
Zum Glück sind wirklich nur wenige so unschlau.
Vorallem WOFÜR ?!
Ist ja nicht so als würde Iobroker mit dynamischen Ports um sich schmeissen.
