NEWS
[Hinweis] Gefahren durch Port-Freischaltungen
-
Vielen Dank für die Hilfe! Der "freundliche Angreifer" hat sich im Skript verewigt.
Da hätte ich noch ewig nach gesucht…
Codeschnipsel gelöscht und alle Hintertüren wohl doch geschlossen.
Gruß
-
@bommel_030
> Um grundsätzlich weiterhin auch dort Zugriff auf den iobroker zu haben wollte ich einen reverse proxy aufsetzen. Spricht hier vom Sicherheitsaspekt etwas dagegen iobroker und reverse proxy auf der gleichen Hardware laufen zu lassen?Würde ich nicht machen den reverseProxy sollltest du auf einer anderen Hardware laufen lassen.
Wer eine Professeionelle Lösung einsetzen will kann sich ja mal die Sophos UTM anschauen da gibt es eine freie Lizenz für Privat welche man Virtuell oder eben auf einer günstigen stromspar hardware laufen lassen kann.
-
Danke für den Hinweis. Dann hat der Raspberry ja doch noch ne Aufgabe…
Die Sophos Geschichte klingt interessant, braucht aber ne Intelfähige Hardware.
Das muss ich mir dann mal in ner ruhigen Minute zu Gemüte führen.
Gruß
-
mensch bin ich froh, daß ich alles über VPN mache.
Man wird mich jetzt für verrückt erklären, aber ich wechsle den VPN-Schlüssel regelmäßig.
Ist zwar mit Arbeit verbunden, nach dem Bericht aber berechtigt.
Hoffentlch bricht nicht auch rgendwann ein "Poltergeist" bei mr ein.
Ach ja, Besucher surfen ausschließlich im Gastnetz. -
Ich halte es ebenso. Alles per VPN.
Ist eben sicherer und einfacher.Diese Suchmaschine kannte ich bisher auch nicht.
Echt erschreckend wenn man dort mal etwas stöbert...Weltweit sind gut 3.000 KNX Systeme zugänglich.
Wenn auch passwortgeschützt. Aber eben auffindbar.ioBroker Systeme findet man aktuell weltweit 47.
-
mal ne frage - die grundsätzliche gefahr ist offensichtlich. aber der einsatz eines VPNs macht die sache ein klein wenig komplexer, um "mal eben" von unterwegs auch ggf. von fremden computern was zu steuern. wäre es daher auch nciht an sich ausreichend (klar, ist eh subjektiv, was ausreichender schutz ist), einen reverse proxy einzusetzen, der mit fail2ban brute-force-attacken automatisch eindämmt?
im prinzip gibt es doch nur 2 angriffspunkte:- login daten sind vorhanden
- eine schwachstelle wird ausgenutzt
der 1. punkt würde mittels fail2ban nur auf fehlverhalten seitens des anwenders relevant werden, der 2. wäre durch ein aktuelles system (iobroker + reverseproxy) halbwegs überschaubar.
sehe ich das falsch? klar, das risiko ist höher als unter einsatz eines vpns, aber die komfortabilität (inkl. bei meinen familienmitgliedern) muss möglichst hoch bleiben, um meinem hobby der hausautomatisierung nachgehen zu drüfen. :smiley:
-
mal ne frage - die grundsätzliche gefahr ist offensichtlich. aber der einsatz eines VPNs macht die sache ein klein wenig komplexer, um "mal eben" von unterwegs auch ggf. von fremden computern was zu steuern. wäre es daher auch nciht an sich ausreichend (klar, ist eh subjektiv, was ausreichender schutz ist), einen reverse proxy einzusetzen, der mit fail2ban brute-force-attacken automatisch eindämmt?
im prinzip gibt es doch nur 2 angriffspunkte:- login daten sind vorhanden
- eine schwachstelle wird ausgenutzt
der 1. punkt würde mittels fail2ban nur auf fehlverhalten seitens des anwenders relevant werden, der 2. wäre durch ein aktuelles system (iobroker + reverseproxy) halbwegs überschaubar.
sehe ich das falsch? klar, das risiko ist höher als unter einsatz eines vpns, aber die komfortabilität (inkl. bei meinen familienmitgliedern) muss möglichst hoch bleiben, um meinem hobby der hausautomatisierung nachgehen zu drüfen. :smiley:
@astrakid sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
der 1. punkt würde mittels fail2ban nur auf fehlverhalten seitens des anwenders relevant werden, der 2. wäre durch ein aktuelles system (iobroker + reverseproxy) halbwegs überschaubar.
sehe ich das falsch? klar, das risiko ist höher als unter einsatz eines vpns, aber die komfortabilität (inkl. bei meinen familienmitgliedern) muss möglichst hoch bleiben, um meinem hobby der hausautomatisierung nachgehen zu drüfen.
Aus meiner Sicht ist das nur akzeptabel sicher wenn
- der Proxy auf eigener Hardware läuft.
- eine Anmeldung auf dem Proxy notwendig ist um diesen nutzen zu können
- das System mit dem Proxy genau diesen einen Port nach außen offen hat
- der Proxy sicherheitstechnische auf dem neusten Stand gehalten wird.
Ob das dann von der Nutzung noch einen höheren WAF als VPN hat halte ich für fraglich.
A.
-
@astrakid sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
der 1. punkt würde mittels fail2ban nur auf fehlverhalten seitens des anwenders relevant werden, der 2. wäre durch ein aktuelles system (iobroker + reverseproxy) halbwegs überschaubar.
sehe ich das falsch? klar, das risiko ist höher als unter einsatz eines vpns, aber die komfortabilität (inkl. bei meinen familienmitgliedern) muss möglichst hoch bleiben, um meinem hobby der hausautomatisierung nachgehen zu drüfen.
Aus meiner Sicht ist das nur akzeptabel sicher wenn
- der Proxy auf eigener Hardware läuft.
- eine Anmeldung auf dem Proxy notwendig ist um diesen nutzen zu können
- das System mit dem Proxy genau diesen einen Port nach außen offen hat
- der Proxy sicherheitstechnische auf dem neusten Stand gehalten wird.
Ob das dann von der Nutzung noch einen höheren WAF als VPN hat halte ich für fraglich.
A.
@Asgothian mein proxy läuft auf einem eigenen server, allerdings ohne separate authentifikation. dafür muss der korrekte DNS genutzt werden, da der reverseproxy anhand der URI den entsprechenden server anspricht. d.h. mit reinen IP-scans dürfte meine installation überhaupt nicht zugänglich sein, da nur der proxy reagiert, aber nicht durchschaltet.
-
@Asgothian mein proxy läuft auf einem eigenen server, allerdings ohne separate authentifikation. dafür muss der korrekte DNS genutzt werden, da der reverseproxy anhand der URI den entsprechenden server anspricht. d.h. mit reinen IP-scans dürfte meine installation überhaupt nicht zugänglich sein, da nur der proxy reagiert, aber nicht durchschaltet.
@astrakid
Hmm.. verhindert das "korrekten DNS nutzen" nicht die Verwendung auf fremden Rechnern - bei denen kannst du doch nicht mal eben die DNS Einstellungen anpassen.Ansonsten stimmt das schon - per IP-Scan oder Port-Scan sollte der ioBroker nicht "mal eben" zu finden sein - der Proxy aber schon - was neugierige Zeitgenossen schon zum Stöbern und/oder nutzen auffordern kann. Deswegen der Ansatz mit Authentifizierung "am Eingang", nicht "an jedem erreichbaren Objekt"
-
@astrakid
Hmm.. verhindert das "korrekten DNS nutzen" nicht die Verwendung auf fremden Rechnern - bei denen kannst du doch nicht mal eben die DNS Einstellungen anpassen.Ansonsten stimmt das schon - per IP-Scan oder Port-Scan sollte der ioBroker nicht "mal eben" zu finden sein - der Proxy aber schon - was neugierige Zeitgenossen schon zum Stöbern und/oder nutzen auffordern kann. Deswegen der Ansatz mit Authentifizierung "am Eingang", nicht "an jedem erreichbaren Objekt"
@Asgothian sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Hmm.. verhindert das "korrekten DNS nutzen" nicht die Verwendung auf fremden Rechnern - bei denen kannst du doch nicht mal eben die DNS Einstellungen anpassen.
nein, es geht nur um die REQUEST_URI. die DNS-konfiguration liegt hinter der domain, über die ich meinen server ansteuere.
-
@astrakid
Hmm.. verhindert das "korrekten DNS nutzen" nicht die Verwendung auf fremden Rechnern - bei denen kannst du doch nicht mal eben die DNS Einstellungen anpassen.Ansonsten stimmt das schon - per IP-Scan oder Port-Scan sollte der ioBroker nicht "mal eben" zu finden sein - der Proxy aber schon - was neugierige Zeitgenossen schon zum Stöbern und/oder nutzen auffordern kann. Deswegen der Ansatz mit Authentifizierung "am Eingang", nicht "an jedem erreichbaren Objekt"
@Asgothian sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Deswegen der Ansatz mit Authentifizierung "am Eingang", nicht "an jedem erreichbaren Objekt"
ja, deshalb auch die idee, fail2ban einzusetzen - dadurch wird herumprobiererei eingeschränkt.
-
Mal so ein paar Security-Aspekte von meiner Seite dazu.
- zusätzlichen User verwenden, am besten einen, den ihr nicht als Pseudonym im Netz einsetzt
- Zugang per SSH via SSH-Key und fail2ban absichern, SSH-Key NICHT in einer Cloud speichern
- Zugang ausschließlich per VPN
- iobroker Benutzerverwaltung aktivieren, damit man sich nicht einfach so anmelden kann
-
...und von meiner Seite:
SSH-Port ändern
Benutzername "pi" in ein anderes ändern,
Zugang ausschließlich über VPN
Eine vernünftige Firewall einsetzen (ich nutze pfSense)
einen vernünftigen Switch einsetzen, so läßt sich VLAN realisieren,
IObroker Passwort setzen (sollte meiner Meinung nach schon bei der Installation so sein,
wegen Bequemlichkeit einiger Nutzer),
fail2ban wurde schon erwähnt
Im Router gucken, dass auch kein Port geöffnet ist. -
...und von meiner Seite:
SSH-Port ändern
Benutzername "pi" in ein anderes ändern,
Zugang ausschließlich über VPN
Eine vernünftige Firewall einsetzen (ich nutze pfSense)
einen vernünftigen Switch einsetzen, so läßt sich VLAN realisieren,
IObroker Passwort setzen (sollte meiner Meinung nach schon bei der Installation so sein,
wegen Bequemlichkeit einiger Nutzer),
fail2ban wurde schon erwähnt
Im Router gucken, dass auch kein Port geöffnet ist.@MathiasJ wenn du eine firewall einsetzt, dann ist die portweiterleitung im router doch nur schall und rauch - wird an der firewall eh abprallen?
ich bin auch der meinung, dass viele schutzmaßnahmen nicht verkehrt sind.
dennoch soll auch alles möglichst einfach nutzbar sein. die balance ist schwierig und selten eher in richtung sicherheit gehen.
wenn man allerdings seine systeme aktuell hält, nicht mehr als nötig nach außen zugänglich macht und sichere passwörter (ausreichende komplexität und nicht bereits kompromittiert) in kombination mit bruteforce-attack-erkennung paart ist man schon ganz gut gesichert.gruß,
andre -
@MathiasJ wenn du eine firewall einsetzt, dann ist die portweiterleitung im router doch nur schall und rauch - wird an der firewall eh abprallen?
ich bin auch der meinung, dass viele schutzmaßnahmen nicht verkehrt sind.
dennoch soll auch alles möglichst einfach nutzbar sein. die balance ist schwierig und selten eher in richtung sicherheit gehen.
wenn man allerdings seine systeme aktuell hält, nicht mehr als nötig nach außen zugänglich macht und sichere passwörter (ausreichende komplexität und nicht bereits kompromittiert) in kombination mit bruteforce-attack-erkennung paart ist man schon ganz gut gesichert.gruß,
andre@astrakid
Ich wollte eigentlich mein System durch ein DMZ absichern.
Nun habe ich aber pfsense gefunden, den man als Router aber auch als mächtige Firewall einrichten kann.
Erfreulicher weise habe ich mir einen smartmanaged Switch gekauft.
da ich mir alles im Format rack 19" zugelegt habe, paßt sogar alles in einen Netzwerkschrank.
Ich muß mir nur noch einen leeren 19" Einschub zulegen, vllt paßt da auch noch IObroker und die Raspberrymatic rein.
ich denke halt so: lieber zu viel Sicherheit.
Bruteforce-Attacken gehen ja auch gut mit fail2ban zu verhindern.
Natürlich ist jeder für seine eigene Sicherheit verantwortlich, öffnen Ports und setzen keine Paßwörter.
Dann wundert man sich, wenn ein Miesling das System übernommen hat.IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weiß ich noch nicht. Vielleicht kommen auch nur Zigbee-Geräte ins Haus. -
Hallo zusammen,
ich bin voll und ganz bei Euch, die Sicherheit hoch zuhalten, um auch wirklich nur den "Berechtigten" Zugriff auf den ioBroker samt Visualisierung, etc. zu bieten. Aus Erfahrung kenne ich nur leider auch den Effekt, wie Anwender sich verhalten, wenn der Komfort zu sehr leidet: Das Leben findet einen Weg! Hier einen komfortablen und möglichst sicheren Weg zu finden, ist wohl dann unsere Herausforderung.
In diesem Zusammenhang interessiert mich Eure Meinung zur Absicherung der Visualisierung mit Client-Zertifikaten statt Benutzername und Kennwort. Die "externe" Anmeldung an einer Test-Visualisierung habe ich mittels Radius-Authentifizierung realisiert, angereichert um einen zweiten Faktor über DUO Security. Der WAF ist dabei nur leider nicht sehr hoch; dafür habe ich eine deutliche Erwartungshaltung genannt bekommen: Nach Möglichkeit keine Eingabe von Benutzername und Kennwort. Es müsse einfach über das Gerät funktionieren. Kommt das hier irgendjemandem bekannt vor? ;-)
Bin auf Euer Feedback gespannt.
-
Jeder Dienst auf den von außen zugegriffen werden soll braucht einen oder mehrere offene Ports.
Das ist an sich nichts böses, wenn dahinter alles richtig funktioniert.
Nur wenn man den Port des IO-Brokers nach außen frei schaltet der ohne weitere Paßworteingabe funktioniert ist das wenig intelligent.
762
Online32.5k
Benutzer81.6k
Themen1.3m
Beiträge