[Hinweis] Gefahren durch Port-Freischaltungen
-
Jein, das mit den zurückkommenden Daten ist zwar nicht falsch wenn eine Webseite aufgerufen wurde. Hat aber nichts mit Portfreischaltungen zu tun.
Es kommt darauf an wie die Verbindung initiiert wird: entweder von innen nach außen, oder von außen nach innen. Dein Beispiel mit dem Besuch der Webseite. Dafür benötigst Du keine Portfreuschaltung.
Soll aber eine Verbindung von außen nach innen bsp VPN initiiert werden dann benötigst Du eine Port Freigabe.
-
Ich habe inzwischen für mich eine brauchbare Lösung gefunden.
Der IObroker ist im Internet über eine spezielle URL und auch nur über diese per https erreichbar.
Ein ReverseProxy (läuft auf einem andren System) verlangt zu erst eine Authentifizierung alle Anfragen werden vom ReverseProxy gefiltert und an den IObroker weitergeleitet
Antworten vom Iobroker gehen ebenfalls über den R-Proxy.
Somit ist nur port https von extern offen und dieser nicht direkt auf den IOBroker.
Grüße
nsession
-
Und auf die Idee, das DLS/Kabel aus Router zu ziehen ist er nicht gekommen?!
-
Dank snips muss ich auf sprachsteuerung nicht verzichten.
-
Snips verwendet Google, also auch nicht lokal. Da kann ich gleich Alexa nehmen.
-
???? Snips läuft offline sehr gut!!!
Gesendet von meinem CLT-L09 mit Tapatalk
-
Ich hatte anfänglich eine weit entfernte iobroker Installation über Portfreigabe verwaltet.
Grundsätzlich ist diese schon länger auch über VPN erreichbar. Da ich das allerdings nicht von überall nutzen kann blieben die Ports erstmal offen.
Vor geraumer Zeit schrieb mir dann jemand freundlicherweise über meinen eigenen Telegram Adapter, ich möge doch bitte meinen iobroker sichern.
Seitdem sind die Ports zu, Kommunikation nur noch via VPN möglich und der Telegram Bot hat ein neues Passwort und nen neuen key bekommen.
Dann war auch ne ganze Weile Ruhe bis letzte Woche wieder eine Nachricht über Telegram kam.
Nun bin ich etwas ratlos, was ich noch sichern kann / muss um quasi wieder alleiniger Herr über meinen iobroker zu werden.
Bin für Hinweise aller Art dankbar. Lediglich Neuinstallation ist aufgrund der Entfernung gerade keine Option.
Admin und Telegram sind natürlich mit (neuem) Passwort versehen, Kommunikation nur über VPN (2x Fritzbox), keine weiteren Ports offen.
Lediglich die TR069 Schnittstelle ist noch offen. Die lässt sich bei dem Provider leider auch nicht (ohne weiteres) schließen.
Um grundsätzlich weiterhin auch dort Zugriff auf den iobroker zu haben wollte ich einen reverse proxy aufsetzen. Spricht hier vom Sicherheitsaspekt etwas dagegen iobroker und reverse proxy auf der gleichen Hardware laufen zu lassen?
Danke & Gruß
-
Sind noch "Fremde" in deiner Telegram Instanz authentifiziert? Wenn ja - löschen über den Mülleimer..
Gruß
-
Danke für den Tip,
hatte alle Nutzer gelöscht und aktuell stehe nur ich da.
-
> Dann war auch ne ganze Weile Ruhe bis letzte Woche wieder eine Nachricht über Telegram kam.Von wem hast du denn "schon wieder" eine Nachricht im Telegram bekommen?
Von deinem eigenen Bot?
Gruß
-
Der Adapter startet wie gewollt täglich gegen 5 Uhr neu.
Das Schreibt er mir auch brav. Warum auch immer er um 19:01 noch gestartet ist, dann kam wieder die Meldung.
(Hatte kurz nachgeschaut, Wortlaut der Meldung ist immer identisch, auch der Neustart davor)
Für mich sieht es daher so aus wie alle Nachrichten die vom iobroker kommen.
6430_telegram.png -
Hat der "Angreifer" eventuell ein Skript erstellt?
Gruß
-
Mit Sicherheit kann ich das erst heute Abend sagen wenn ich wieder Zugriff via VPN habe.
Da dort aktuell nur zwei Skripte laufen wäre mir ein zusätzliche wahrscheinlich aufgefallen.
Das überprüfe ich aber und schaue mir auch an, ob evtl. eigene Skripte modifiziert wurden.
Danke & Gruß
-
Einfach im Skriptebereich alle Skripte als ZIP exportieren und in der ZIP dann über alle Dateien z.B. nach dem Inhalt "frohes" suchen.
-
Vielen Dank für die Hilfe! Der "freundliche Angreifer" hat sich im Skript verewigt.
Da hätte ich noch ewig nach gesucht…
Codeschnipsel gelöscht und alle Hintertüren wohl doch geschlossen.
Gruß
-
@bommel_030
> Um grundsätzlich weiterhin auch dort Zugriff auf den iobroker zu haben wollte ich einen reverse proxy aufsetzen. Spricht hier vom Sicherheitsaspekt etwas dagegen iobroker und reverse proxy auf der gleichen Hardware laufen zu lassen?Würde ich nicht machen den reverseProxy sollltest du auf einer anderen Hardware laufen lassen.
Wer eine Professeionelle Lösung einsetzen will kann sich ja mal die Sophos UTM anschauen da gibt es eine freie Lizenz für Privat welche man Virtuell oder eben auf einer günstigen stromspar hardware laufen lassen kann.
-
Danke für den Hinweis. Dann hat der Raspberry ja doch noch ne Aufgabe…
Die Sophos Geschichte klingt interessant, braucht aber ne Intelfähige Hardware.
Das muss ich mir dann mal in ner ruhigen Minute zu Gemüte führen.
Gruß
-
wie kann ich rausfinden, wie "gut" meine instanz geschützt ist?
hab meine ip bei shodan gefunden, dort sieht es ganz gut aus - aber die frage ist, wie das für "andere" aussieht...gruß,
andre -
mensch bin ich froh, daß ich alles über VPN mache.
Man wird mich jetzt für verrückt erklären, aber ich wechsle den VPN-Schlüssel regelmäßig.
Ist zwar mit Arbeit verbunden, nach dem Bericht aber berechtigt.
Hoffentlch bricht nicht auch rgendwann ein "Poltergeist" bei mr ein.
Ach ja, Besucher surfen ausschließlich im Gastnetz. -
Ich halte es ebenso. Alles per VPN.
Ist eben sicherer und einfacher.Diese Suchmaschine kannte ich bisher auch nicht.
Echt erschreckend wenn man dort mal etwas stöbert...Weltweit sind gut 3.000 KNX Systeme zugänglich.
Wenn auch passwortgeschützt. Aber eben auffindbar.ioBroker Systeme findet man aktuell weltweit 47.
