[Hinweis] Gefahren durch Port-Freischaltungen
-
@oxident ich sehe das Risiko als ĂŒberschaubar an. Wenn natĂŒrlich jemand eingedrungen ist, hat er Zugriff auf deine GerĂ€te. Aber wenn man gute Passwörter verwendet und dann noch fail2ban gegen bruteforce Attacken, sehe ich es als ausreichend sicher an.
zum Thema ĂŒberschaubares Risiko (auch wenn das schon ein weilchen her ist)
hier sind die aktuellen SicherheitslĂŒcken in Node.
https://www.cvedetails.com/vulnerability-list/vendor_id-12113/Nodejs.html
der ioborker besteht ja nicht nur aus der iobroker software selbst, sondern zu hunderten, wenn nicht gar zu tausenden (hab sie nicht gezĂ€hlt) benutzen bibliotheken verschiedener versionsstĂ€nde. zu diesen gibt es immer bereits bekannte, aber nicht gefixte LĂŒcken
und dann sicherlich noch eine menge weiterer LĂŒcken die noch nicht entdeckt oder offiziell dokumentiert wurden.
Auch ein Reverseproxy hilft nicht gegen alles, da die SicherheitslĂŒcken, die mit http requests oder auf andere Ports ausgenutzt werden können, ja trotzdem durchgereicht werden.
wenn ich dadruch dann erst einmal code ausfĂŒhren kann, dann kommt man meist auch weiter bis man ĂŒber das Netzwerk auch auf andere GerĂ€te kommt.
Die meisten sind hier keine Netzwerkadministratoren, Security-Spezialisten oder gar Pen-Tester. -
@Ulfhednir
und trotzdem macht man es immer wieder:
Port offen
Port offen Part2
Was bringt die schönste Firewall, die vom Benutzer selbst ausgehebelt wird?
Deshalb steckt bei mir das ganze Equipment hinter einer, DMZ, Firewall, VLAN und Radius-Server
Wenn das nicht reicht, dann reicht eh nix mehr.
GruĂ,
Mathias@MathiasJ sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
@Ulfhednir
Was bringt die schönste Firewall, die vom Benutzer selbst ausgehebelt wird?Das halte ich fĂŒr den verkehrten Ansatz. Es gilt zunĂ€chst eigentlich immer der Grundsatz des Selbstschutzes. Ich nehme mal ein krasses Beispiel: In der RealitĂ€t haben alle Waffen einen SicherungsbĂŒgel. (Polizei und MilitĂ€r ausgenommen) Wenn man deinem Grundsatz verfolgen wĂŒrde, wĂ€re der SicherheitsbĂŒgel grundsĂ€tzlich hinfĂ€llig. Und warum gibt es diesen? Damit sich kein SchĂŒtze versehentlich ins Bein schieĂt. Was natĂŒrlich bei FahrlĂ€ssigkeit hin und wieder vorkommen kann. Soviel zum Aushebeln von Sicherheitsbestimmungen.
Es gibt technische Wege die HĂŒrden fĂŒr den "technisch unversierten" Nutzer höher zu legen bzw. das Risiko einzuschrĂ€nken. Das beginnt mit einer zwangsweisen Kennworteingabe beim Admin-Adapter. Dann kann man den Zugriffsbereich einschrĂ€nken (nur Netzwerkbereich von ioBroker + separen Bereich vom VPN-Netz) . Um noch ein Sicherheitsthema aufzureiĂen: Warum zum Teufel werden Kennwörter in der objects.json im Klartext gespeichert?
Man kann natĂŒrlich jetzt argumentieren, dass die Adapter von der Community entwickelt werden - aber auch hier: Warum gibt es kein Standard bzw. Sicherheitsguidelines? -
@MathiasJ sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
@Ulfhednir
Was bringt die schönste Firewall, die vom Benutzer selbst ausgehebelt wird?Das halte ich fĂŒr den verkehrten Ansatz. Es gilt zunĂ€chst eigentlich immer der Grundsatz des Selbstschutzes. Ich nehme mal ein krasses Beispiel: In der RealitĂ€t haben alle Waffen einen SicherungsbĂŒgel. (Polizei und MilitĂ€r ausgenommen) Wenn man deinem Grundsatz verfolgen wĂŒrde, wĂ€re der SicherheitsbĂŒgel grundsĂ€tzlich hinfĂ€llig. Und warum gibt es diesen? Damit sich kein SchĂŒtze versehentlich ins Bein schieĂt. Was natĂŒrlich bei FahrlĂ€ssigkeit hin und wieder vorkommen kann. Soviel zum Aushebeln von Sicherheitsbestimmungen.
Es gibt technische Wege die HĂŒrden fĂŒr den "technisch unversierten" Nutzer höher zu legen bzw. das Risiko einzuschrĂ€nken. Das beginnt mit einer zwangsweisen Kennworteingabe beim Admin-Adapter. Dann kann man den Zugriffsbereich einschrĂ€nken (nur Netzwerkbereich von ioBroker + separen Bereich vom VPN-Netz) . Um noch ein Sicherheitsthema aufzureiĂen: Warum zum Teufel werden Kennwörter in der objects.json im Klartext gespeichert?
Man kann natĂŒrlich jetzt argumentieren, dass die Adapter von der Community entwickelt werden - aber auch hier: Warum gibt es kein Standard bzw. Sicherheitsguidelines?@Ulfhednir
Da hast Du schon recht, aber was bringt es dann, wenn vom DAU Ports im Router
geöffnet werden und kein Admin-Passwort gesetzt ist?
2 Beispiele habe ich ja weiter oben genannt, die doch noch recht aktuell sind.
Dabei ist es wirklich kein Hexenwerk in der Fritzbox eine VPN einzurichten. Mit der App myffritz! geht das recht einfach und schnell. -
@Ulfhednir
Da hast Du schon recht, aber was bringt es dann, wenn vom DAU Ports im Router
geöffnet werden und kein Admin-Passwort gesetzt ist?
2 Beispiele habe ich ja weiter oben genannt, die doch noch recht aktuell sind.
Dabei ist es wirklich kein Hexenwerk in der Fritzbox eine VPN einzurichten. Mit der App myffritz! geht das recht einfach und schnell.@MathiasJ dann verrate mir mal, wo der Dau wÀhrend des Installationsprozesses darauf achten kann / soll, dass er ein Admin Kennwort zu setzen hat. https://youtu.be/_wRB526QVtM
Es wÀre sinnig, dass man nachdem die Lizenzbestimmungen gelesen hat, zunÀchst ein Kennwort hinterlegen muss. Aber hier wird sogleich wÀhrend der Installation der Discovery-Adapter gestartet.
Das suggeriert dem Enduser ein "Plug&Play" - er muss sich um nichts mehr kĂŒmmern.Zu deinem Thema FritzBox - du kannst nicht davon ausgehen, dass jeder zu Hause eine FritzBox herumzustehen hat. Da gĂ€be es noch ausreichend Telekom-Kunden mit einem Speedport und Vodafone Kunden mit einer EasyBox.
Da ist VPN nicht ganz so einfach eingerichtet. Und hier liegt auch das eigentliche Problem: Der Aufwand den Admin-Adapter freizugeben ist geringer als einen VPN aufzubauen. -
@MathiasJ dann verrate mir mal, wo der Dau wÀhrend des Installationsprozesses darauf achten kann / soll, dass er ein Admin Kennwort zu setzen hat. https://youtu.be/_wRB526QVtM
Es wÀre sinnig, dass man nachdem die Lizenzbestimmungen gelesen hat, zunÀchst ein Kennwort hinterlegen muss. Aber hier wird sogleich wÀhrend der Installation der Discovery-Adapter gestartet.
Das suggeriert dem Enduser ein "Plug&Play" - er muss sich um nichts mehr kĂŒmmern.Zu deinem Thema FritzBox - du kannst nicht davon ausgehen, dass jeder zu Hause eine FritzBox herumzustehen hat. Da gĂ€be es noch ausreichend Telekom-Kunden mit einem Speedport und Vodafone Kunden mit einer EasyBox.
Da ist VPN nicht ganz so einfach eingerichtet. Und hier liegt auch das eigentliche Problem: Der Aufwand den Admin-Adapter freizugeben ist geringer als einen VPN aufzubauen.Ich verstehe nicht, warum die User gezwungen werden immer kompliziertere und aufwÀndigere Passwörter zu benutzten aber die Loginversuche nicht begrenzt werden können.
Gerade beim iob und auf iobroker.pro nach 15 bewusst falschen Eingaben aufgehört zu probieren.
Warum wird nicht generell fail2ban oder pam_tally2 oder ... aktiviert?
Ein Login der nach jedem Fehlversuch die Eingabezeit stark verzögert oder ganz verhindert ist meiner Meinung nach besser und sicherer als stÀndig mit immer kryptischeren Passwörtern zu nerven aber die Loginversuche nicht zu begrenzen. -
@MathiasJ dann verrate mir mal, wo der Dau wÀhrend des Installationsprozesses darauf achten kann / soll, dass er ein Admin Kennwort zu setzen hat. https://youtu.be/_wRB526QVtM
Es wÀre sinnig, dass man nachdem die Lizenzbestimmungen gelesen hat, zunÀchst ein Kennwort hinterlegen muss. Aber hier wird sogleich wÀhrend der Installation der Discovery-Adapter gestartet.
Das suggeriert dem Enduser ein "Plug&Play" - er muss sich um nichts mehr kĂŒmmern.Zu deinem Thema FritzBox - du kannst nicht davon ausgehen, dass jeder zu Hause eine FritzBox herumzustehen hat. Da gĂ€be es noch ausreichend Telekom-Kunden mit einem Speedport und Vodafone Kunden mit einer EasyBox.
Da ist VPN nicht ganz so einfach eingerichtet. Und hier liegt auch das eigentliche Problem: Der Aufwand den Admin-Adapter freizugeben ist geringer als einen VPN aufzubauen.@Ulfhednir
Das war meine erste Arbeit, ein umstĂ€ndliches PaĂwort zu setzen und die Seite ssl verschlĂŒsseln.
Aber eine Eingabebegrenzung falscher Passwörter ist auch nicht schlecht. Wobei man dann bei der nĂ€chsten Schwachstelle, dem PaĂwort-Manager ist.
Was bringt ein kryptisches Passwort, wenn das Passwort fĂŒr den Passwort-Manager 1234567890 lautet? Nicht jeder hat eine Fritzbox, ich auch nicht. Aber Dank der RouterfreizĂŒgigkeit, die den Netzbetreibern ein Dorn im Auge sind, kann man sich die Hardware eben selber kaufen. Mein Router ist im Ăbrigen ein Draytek Vigor 2865. -
@Ulfhednir
Da hast Du schon recht, aber was bringt es dann, wenn vom DAU Ports im Router
geöffnet werden und kein Admin-Passwort gesetzt ist?
2 Beispiele habe ich ja weiter oben genannt, die doch noch recht aktuell sind.
Dabei ist es wirklich kein Hexenwerk in der Fritzbox eine VPN einzurichten. Mit der App myffritz! geht das recht einfach und schnell.@MathiasJ
Hi, ich bin so ein DAU glaube ich :-(
Habe "eigentlich" gedacht das iobroker nur ĂŒber die Fritz VPN erreichbar ist, zumindest habe ich nur diese Myfritz Freigaben unter Internet->Freigaben erstellt.
Dennoch hat mir auch einer ĂŒber Telegram geschrieben meine iobroker Steuerung wĂ€re offen ich solle meine Ports ĂŒberprĂŒfen.
Gebe ich jetzt meine tagesaktuelle IP Adresse gefolgt vom iobroker Admin Port ein ist diese Erreichbar. Habe jetzt ein Passwort vergeben aber sollte der Port nicht zu sein und nur ĂŒber die kryptische VPN Adresse erreichbar sein?
Bin gerade erst auf eine Zotac NUC mit proxmox Installation umgezogen. MuĂ hier noch extra einen Firewall hin? -
@MathiasJ
Hi, ich bin so ein DAU glaube ich :-(
Habe "eigentlich" gedacht das iobroker nur ĂŒber die Fritz VPN erreichbar ist, zumindest habe ich nur diese Myfritz Freigaben unter Internet->Freigaben erstellt.
Dennoch hat mir auch einer ĂŒber Telegram geschrieben meine iobroker Steuerung wĂ€re offen ich solle meine Ports ĂŒberprĂŒfen.
Gebe ich jetzt meine tagesaktuelle IP Adresse gefolgt vom iobroker Admin Port ein ist diese Erreichbar. Habe jetzt ein Passwort vergeben aber sollte der Port nicht zu sein und nur ĂŒber die kryptische VPN Adresse erreichbar sein?
Bin gerade erst auf eine Zotac NUC mit proxmox Installation umgezogen. MuĂ hier noch extra einen Firewall hin?@gcg67
Du kannst bin2fail installieren, dass ist so eine Firewall fĂŒr Linux. Die ĂŒberwacht aber nur ssh.
Wenn Du die Fritzbox ĂŒber VPN erreichen willst, installiere Dir bitte die App myfritz! auf Dein Handy.
Den VPN-Zugang kannst Du nur einrichten, wenn Du zuhause bist und das Handy sich im heimischen WLAN befindet.
Oder wenn Du das Dir nicht zutraust, sende mir bitte eine PN. Dann machen wir das zusammen per Teamviewer :)
Wenn Du noch einen zweiten Router hast, anschlieĂen! Dann basteln wir zusammen eine DMZ, was noch etwas sicherer ist.,IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weià ich noch nicht. Vielleicht kommen auch nur Zigbee-GerÀte ins Haus. -
@gcg67
Du kannst bin2fail installieren, dass ist so eine Firewall fĂŒr Linux. Die ĂŒberwacht aber nur ssh.
Wenn Du die Fritzbox ĂŒber VPN erreichen willst, installiere Dir bitte die App myfritz! auf Dein Handy.
Den VPN-Zugang kannst Du nur einrichten, wenn Du zuhause bist und das Handy sich im heimischen WLAN befindet.
Oder wenn Du das Dir nicht zutraust, sende mir bitte eine PN. Dann machen wir das zusammen per Teamviewer :)
Wenn Du noch einen zweiten Router hast, anschlieĂen! Dann basteln wir zusammen eine DMZ, was noch etwas sicherer ist.,@MathiasJ Du meinst doch sicherlich fail2ban, oder habe ich da was verpasst?
Proxmox und HA - dank KI/AI endlich "blocklyfrei"
-
@gcg67
Du kannst bin2fail installieren, dass ist so eine Firewall fĂŒr Linux. Die ĂŒberwacht aber nur ssh.
Wenn Du die Fritzbox ĂŒber VPN erreichen willst, installiere Dir bitte die App myfritz! auf Dein Handy.
Den VPN-Zugang kannst Du nur einrichten, wenn Du zuhause bist und das Handy sich im heimischen WLAN befindet.
Oder wenn Du das Dir nicht zutraust, sende mir bitte eine PN. Dann machen wir das zusammen per Teamviewer :)
Wenn Du noch einen zweiten Router hast, anschlieĂen! Dann basteln wir zusammen eine DMZ, was noch etwas sicherer ist.,@MathiasJ
Teamviewer
DMZ
fail2ban Firewall?
đ -
@MathiasJ Du meinst doch sicherlich fail2ban, oder habe ich da was verpasst?
@Meister-Mopper
Ja, habe ich was verwechselt?IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weià ich noch nicht. Vielleicht kommen auch nur Zigbee-GerÀte ins Haus. -
@Meister-Mopper
Ja, habe ich was verwechselt?@MathiasJ
Dann aber bitte nix verwechseln, wenn da per Teamviewer sowas eingerichtet werden soll... -
@MathiasJ
Dann aber bitte nix verwechseln, wenn da per Teamviewer sowas eingerichtet werden soll...@Thomas-Braun
NatĂŒrlich nicht, aber ich schicke Dir per PN ein paar Links, damit Du Dich mal einlesen kannst.......IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weià ich noch nicht. Vielleicht kommen auch nur Zigbee-GerÀte ins Haus. -
@Thomas-Braun
NatĂŒrlich nicht, aber ich schicke Dir per PN ein paar Links, damit Du Dich mal einlesen kannst....... -
@MathiasJ Nicht erforderlich.
aber @gcg67 hat ein paar Links bekommen.....
Auch noch interessant:
https://pve.proxmox.com/wiki/Firewall
https://pve.proxmox.com/wiki/Network_Configuration -
@MathiasJ Nicht erforderlich.
@Thomas-Braun
deshalb habe ich ja einen Draytek-Router. da ist alles drin, was man so braucht.
VLAN, DMZ, Radius......IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weià ich noch nicht. Vielleicht kommen auch nur Zigbee-GerÀte ins Haus. -
@Thomas-Braun
deshalb habe ich ja einen Draytek-Router. da ist alles drin, was man so braucht.
VLAN, DMZ, Radius......@MathiasJ Wenn man es denn alles richtig zu nutzen weiĂ.
-
@MathiasJ Wenn man es denn alles richtig zu nutzen weiĂ.
@Thomas-Braun
Bin in naher Zukunft dabei. In meiner Wohnung will ich das nicht mehr aufbauen. In's Haus kommt dann ein Netzbwerkschrank, wo alles drin sein soll.IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weià ich noch nicht. Vielleicht kommen auch nur Zigbee-GerÀte ins Haus. -
@Thomas-Braun
Bin in naher Zukunft dabei. In meiner Wohnung will ich das nicht mehr aufbauen. In's Haus kommt dann ein Netzbwerkschrank, wo alles drin sein soll.@MathiasJ
Hobby-Admin oder mit Expertise?
Also ich wĂŒrde von mir nicht behaupten, dass ich ein Netz gescheit abdichten könnte. -
@MathiasJ
Hobby-Admin oder mit Expertise?
Also ich wĂŒrde von mir nicht behaupten, dass ich ein Netz gescheit abdichten könnte.@Thomas-Braun
Abichten? Wenn Du in ein fremdes Netz willst, dann kommst Du auch da rein. Man muà es denen halt so schwer wie möglich machen.
Ja, ich mache mir alles selber. Wenn ich nicht mehr weiter weiĂ, frage ich einen Bekannten, der zertifiziert ist.
Bisher habe ich seine Hilfe eher selten in Anspruch nehmen mĂŒssen. Nur das eine, es ist immer gut, wenn man jemanden hat, der nach einer Installation versucht, in Dein Netzwerk einzubrechen und Dir dann auch noch die entsprechenden Tipps zur Verhinderung gibt.
Hey! Du scheinst an dieser Unterhaltung interessiert zu sein, hast aber noch kein Konto.
Hast du es satt, bei jedem Besuch durch die gleichen BeitrĂ€ge zu scrollen? Wenn du dich fĂŒr ein Konto anmeldest, kommst du immer genau dorthin zurĂŒck, wo du zuvor warst, und kannst dich ĂŒber neue Antworten benachrichtigen lassen (entweder per E-Mail oder Push-Benachrichtigung). Du kannst auch Lesezeichen speichern und BeitrĂ€ge positiv bewerten, um anderen Community-Mitgliedern deine WertschĂ€tzung zu zeigen.
Mit deinem Input könnte dieser Beitrag noch besser werden đ
Registrieren Anmelden525
Online32.9k
Benutzer83.1k
Themen1.3m
BeitrÀge