NEWS
[Hinweis] Gefahren durch Port-Freischaltungen
-
@astrakid
Danke, das weiß ich selbst.
Deshalb läuft noch opnsense auf einem anderen Mini-PC.
Fail2ban ist lediglich dazu da, brutforce-Attacken abzuwenden.
Deshalb gibt's ja die Einstellungen, nach wie vielen Versuchen in welcher Zeit ein ssh-Zugang für wie lange gesperrt werden sollte. Nur die Default-Eindtellungen von 600 - 5 600 sind meiner Meinung nach unzureichend. Was bringt es mir, wenn ein anderer in 10 Minuten 5 Versuche hat und dann nur für 10 Minuten gesperrt ist?@MathiasJ Richtig, ich sperre 24 Stunden.
-
Geht alles total am Thema vorbei. Welcher "DAU" betreibt eine DMZ, geschweige denn weiß überhaupt mit dem Begriff etwas anzufangen? Es ändert alles nichts an der Tatsache, dass es knapp über 700 offene Systeme gibt, die derzeit von Hackern gezielt angegriffen werden. Dabei werden z.T. die Systeme verschlüsselt, um Bitcoint zu craften. Aber kann dem Michel ja egal sein, solange sein eigenes System nicht betroffen ist. :face_with_rolling_eyes:
-
Geht alles total am Thema vorbei. Welcher "DAU" betreibt eine DMZ, geschweige denn weiß überhaupt mit dem Begriff etwas anzufangen? Es ändert alles nichts an der Tatsache, dass es knapp über 700 offene Systeme gibt, die derzeit von Hackern gezielt angegriffen werden. Dabei werden z.T. die Systeme verschlüsselt, um Bitcoint zu craften. Aber kann dem Michel ja egal sein, solange sein eigenes System nicht betroffen ist. :face_with_rolling_eyes:
Das lesen dieses Themas hat mich jetzt doch etwas verunsichert. Wenn ich keine Portfreigaben im Router habe und mein Raspian immer auf dem aktuellen Stand halte, dann dürfte ich doch schon mal "relativ" sicher sein, richtig?
Klar geht immer mehr, wie VLAN, DMZ, zusätzliche Firewall, etc. Aber das kostet und verkompliziert natürlich ungemein...
-
Das lesen dieses Themas hat mich jetzt doch etwas verunsichert. Wenn ich keine Portfreigaben im Router habe und mein Raspian immer auf dem aktuellen Stand halte, dann dürfte ich doch schon mal "relativ" sicher sein, richtig?
Klar geht immer mehr, wie VLAN, DMZ, zusätzliche Firewall, etc. Aber das kostet und verkompliziert natürlich ungemein...
@Markus84 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Wenn ich keine Portfreigaben im Router
Ja, i.d.R. liegst du damit hinter einem Router, der NAT betreibt und von außen kommt man nicht an die Ports ran. Mehr Gedöns zum Absichern brauchst du nur, wenn aktiv Ports nach außen geöffnet werden. Wobei die natürlich auch von Schadsoftware von Innen heraus geöffnet werden könnten, wenn man sich da was einfängt. (Nein, ein NAT-Router ist keine Firewall!)
Im Gegenteil kann man bei unbedarftem rumhantieren mit den oben genannten Tools und Konzepten genau das Gegenteil passieren. Es werden dann dadurch neue Angriffsvektoren erst ermöglicht.
-
@Markus84 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Wenn ich keine Portfreigaben im Router
Ja, i.d.R. liegst du damit hinter einem Router, der NAT betreibt und von außen kommt man nicht an die Ports ran. Mehr Gedöns zum Absichern brauchst du nur, wenn aktiv Ports nach außen geöffnet werden. Wobei die natürlich auch von Schadsoftware von Innen heraus geöffnet werden könnten, wenn man sich da was einfängt. (Nein, ein NAT-Router ist keine Firewall!)
Im Gegenteil kann man bei unbedarftem rumhantieren mit den oben genannten Tools und Konzepten genau das Gegenteil passieren. Es werden dann dadurch neue Angriffsvektoren erst ermöglicht.
@Thomas-Braun said in [Hinweis] Gefahren durch Port-Freischaltungen:
Ja
Das wollte ich hören ;-)
Ich habe bei mir tatsächlich noch ein VLAN über Unifi eingerichtet, um alles was IOT betrifft vom Rest zu trennen. Mein ioBroker ist hier natürlich die Schnittstelle zwischen "sicherem" Netzwerk und IOT Netzwerk. Alle PCs/iPads/etc. haben Zugriff auf den ioBroker und der ioBroker steuert die IOT Geräte im IOT Netzwerk und überwacht z.B. auch mein NAS.
Worst case scenario ist daher, dass jemand den ioBroker hackt. Habt ihr noch eine gute Idee, wie ich durch Firewall regeln den Zugriff weiter einschränken kann, ohne das mir aber das NAS nicht mehr überwacht werden kann oder die PCs/Tablets nicht mehr auf die VIS kommen?
-
@Thomas-Braun said in [Hinweis] Gefahren durch Port-Freischaltungen:
Ja
Das wollte ich hören ;-)
Ich habe bei mir tatsächlich noch ein VLAN über Unifi eingerichtet, um alles was IOT betrifft vom Rest zu trennen. Mein ioBroker ist hier natürlich die Schnittstelle zwischen "sicherem" Netzwerk und IOT Netzwerk. Alle PCs/iPads/etc. haben Zugriff auf den ioBroker und der ioBroker steuert die IOT Geräte im IOT Netzwerk und überwacht z.B. auch mein NAS.
Worst case scenario ist daher, dass jemand den ioBroker hackt. Habt ihr noch eine gute Idee, wie ich durch Firewall regeln den Zugriff weiter einschränken kann, ohne das mir aber das NAS nicht mehr überwacht werden kann oder die PCs/Tablets nicht mehr auf die VIS kommen?
Klopf halt mal (von außen!) mit einem Portscanner deine IPs ab.
-
Klopf halt mal (von außen!) mit einem Portscanner deine IPs ab.
-
@Thomas-Braun Das habe ich gemacht. Da kommt nichts. Danke für den Tipp!
@Markus84
Du kannst mal bei Tante G nach open IoT fragen.
Da gibt's eine Suchmaschine, die weltweit nach offene Ports sucht.
Ich darf den Link hier leider nicht posten. Böse Zungen könnten sonst behaupten, wir würden einen Angriff auf Netzwerke vorbereiten.IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weiß ich noch nicht. Vielleicht kommen auch nur Zigbee-Geräte ins Haus. -
@Markus84
Du kannst mal bei Tante G nach open IoT fragen.
Da gibt's eine Suchmaschine, die weltweit nach offene Ports sucht.
Ich darf den Link hier leider nicht posten. Böse Zungen könnten sonst behaupten, wir würden einen Angriff auf Netzwerke vorbereiten.Dieser Beitrag wurde gelöscht! -
@Markus84
Du kannst mal bei Tante G nach open IoT fragen.
Da gibt's eine Suchmaschine, die weltweit nach offene Ports sucht.
Ich darf den Link hier leider nicht posten. Böse Zungen könnten sonst behaupten, wir würden einen Angriff auf Netzwerke vorbereiten.@MathiasJ sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Ich darf den Link hier leider nicht posten.
nicht leider, sondern gottseidank.
-
@Markus84
Du kannst mal bei Tante G nach open IoT fragen.
Da gibt's eine Suchmaschine, die weltweit nach offene Ports sucht.
Ich darf den Link hier leider nicht posten. Böse Zungen könnten sonst behaupten, wir würden einen Angriff auf Netzwerke vorbereiten. -
@Markus84
Bitte gern geschehen!
@Homoran
Doch, leider, die Medalie hat 2 Seiten.
Was man als Vorbereitung zu einem Angriff verwenden kann, kann man auch als Maßnahme nutzen, um Angriffe zu vermeiden.IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weiß ich noch nicht. Vielleicht kommen auch nur Zigbee-Geräte ins Haus. -
Kann man mal zum Thema lesen:
Wie ich oben schrieb:
Ein handelsüblicher Router, der nebenbei als Firewall arbeitet, lehnt alle Anfragen von außen grundsätzlich ab und schützt die Geräte im Netz vor Anfragen aus dem Internet.
-
@MathiasJ sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Was man als Vorbereitung zu einem Angriff verwenden kann, kann man auch als Maßnahme nutzen, um Angriffe zu vermeiden.
Auch richtig, aber wie bereits mehrfach gesagt, sind alle diese komplexen Maßnahmen nicht für Otto Normalverbraucher geeignet.
Und die sind es, deren Installationen im Netz zu finden sind.Und eine wegen fehlenden Kenntnissen falsch konfiguriert Firewall ist noch schlechter, weil der User denkt er sei sicher, was er aber u.U. eben nicht ist.
-
Geht alles total am Thema vorbei. Welcher "DAU" betreibt eine DMZ, geschweige denn weiß überhaupt mit dem Begriff etwas anzufangen? Es ändert alles nichts an der Tatsache, dass es knapp über 700 offene Systeme gibt, die derzeit von Hackern gezielt angegriffen werden. Dabei werden z.T. die Systeme verschlüsselt, um Bitcoint zu craften. Aber kann dem Michel ja egal sein, solange sein eigenes System nicht betroffen ist. :face_with_rolling_eyes:
@Ulfhednir sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Geht alles total am Thema vorbei. Welcher "DAU" betreibt eine DMZ, geschweige denn weiß überhaupt mit dem Begriff etwas anzufangen? Es ändert alles nichts an der Tatsache, dass es knapp über 700 offene Systeme gibt, die derzeit von Hackern gezielt angegriffen werden. Dabei werden z.T. die Systeme verschlüsselt, um Bitcoint zu craften. Aber kann dem Michel ja egal sein, solange sein eigenes System nicht betroffen ist. :face_with_rolling_eyes:
Wenn in einschlägigen Foren davor gewarnt wird, Ports zu öffnen......und man tut es trotzdem, sorry dem kann man nicht mehr helfen! Sorry mein Fehler. Es ist leichter Ports zu öffnen. Die Arbeit, die man sich machen muß, eine vernünftige VPN einzurichten, nervt ja.
-
Dazu muss ich mal was fragen: Der Check sagt mir, dass der Port 443 offen ist. Ich habe eine Fritzbox und dort VPN eingerichtet. Ich bin der Meinung, das ging damals nicht einzurichten, ohne nach außen zu öffnen (https). Ich habe den Port nun erstmal umbenannt. Nur ganz deaktivieren kann ich nicht, da sonst mein VPN nicht funktioniert. Wie habt ihr das gelöst ? Viele haben doch VPN über die Fritzbox, da müsste also bei denen immer ROT sein in dem Heise Test ? Ansonsten ist bei mir alles Grün, Router Test usw.
Gruß Holger
@holger76 Hallo , https 443 ist dein Zugriff fuer die Fritzbox von aussen ueber den DNS von AVM wenn ich das richtig in erinnerung habe...
VPN only! -
Hallo Zusammen,
ich hänge mich mal direkt an thread dran, hoffe das ist okay.
In der ioBroker-Welt bin ich noch ziemlich neu und auch wenn ich mich als recht IT-affin bezeichnen würde, hab ich von dem Thema Netzwerk-Security wenig Ahnung.Ich möchte es tunlichst vermeiden, dass es mir so geht wie dem Kollegen der im Eingangspost erwähnt wurde.
Der ioBroker läuft über Docker auf meinem NAS. Passwort gesetzt, HTTPS (mit den Standard-Zertifikaten) aktiviert. In meiner Fritzbox sind keine Ports freigeben.Ich muss und will auch von außerhalb nicht auf den ioBroker zugreifen können, wahrscheinlich bau nicht einmal eine Visualisierung.
Mein Ziel ist es eigentlich nur, einige Geräte für Homekit verfügbar zu machen.
Da ich in der Beziehung ein Angsthase bin, meine Frage: Gibt es sonst noch was zu beachten? Oder ratet ihr mir, bei den (noch) nicht vorhanden Grundkenntnissen erstmal von so einem „Projekt“ ab?Natürlich weiß ich auch, dass 100 % Sicherheit nur eine Illusion ist, aber das Ding sollte von außen nicht auffindbar bzw. aufrufbar sein.
Vielen Dank im Voraus und sorry für die beginner Fragen.
Gruß & schönen Feiertag!
-
Hallo Zusammen,
ich hänge mich mal direkt an thread dran, hoffe das ist okay.
In der ioBroker-Welt bin ich noch ziemlich neu und auch wenn ich mich als recht IT-affin bezeichnen würde, hab ich von dem Thema Netzwerk-Security wenig Ahnung.Ich möchte es tunlichst vermeiden, dass es mir so geht wie dem Kollegen der im Eingangspost erwähnt wurde.
Der ioBroker läuft über Docker auf meinem NAS. Passwort gesetzt, HTTPS (mit den Standard-Zertifikaten) aktiviert. In meiner Fritzbox sind keine Ports freigeben.Ich muss und will auch von außerhalb nicht auf den ioBroker zugreifen können, wahrscheinlich bau nicht einmal eine Visualisierung.
Mein Ziel ist es eigentlich nur, einige Geräte für Homekit verfügbar zu machen.
Da ich in der Beziehung ein Angsthase bin, meine Frage: Gibt es sonst noch was zu beachten? Oder ratet ihr mir, bei den (noch) nicht vorhanden Grundkenntnissen erstmal von so einem „Projekt“ ab?Natürlich weiß ich auch, dass 100 % Sicherheit nur eine Illusion ist, aber das Ding sollte von außen nicht auffindbar bzw. aufrufbar sein.
Vielen Dank im Voraus und sorry für die beginner Fragen.
Gruß & schönen Feiertag!
@nevada19 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
In meiner Fritzbox sind keine Ports freigeben.
Dann ist auch nichts von außen erreichbar.
-
Hallo Zusammen,
ich hänge mich mal direkt an thread dran, hoffe das ist okay.
In der ioBroker-Welt bin ich noch ziemlich neu und auch wenn ich mich als recht IT-affin bezeichnen würde, hab ich von dem Thema Netzwerk-Security wenig Ahnung.Ich möchte es tunlichst vermeiden, dass es mir so geht wie dem Kollegen der im Eingangspost erwähnt wurde.
Der ioBroker läuft über Docker auf meinem NAS. Passwort gesetzt, HTTPS (mit den Standard-Zertifikaten) aktiviert. In meiner Fritzbox sind keine Ports freigeben.Ich muss und will auch von außerhalb nicht auf den ioBroker zugreifen können, wahrscheinlich bau nicht einmal eine Visualisierung.
Mein Ziel ist es eigentlich nur, einige Geräte für Homekit verfügbar zu machen.
Da ich in der Beziehung ein Angsthase bin, meine Frage: Gibt es sonst noch was zu beachten? Oder ratet ihr mir, bei den (noch) nicht vorhanden Grundkenntnissen erstmal von so einem „Projekt“ ab?Natürlich weiß ich auch, dass 100 % Sicherheit nur eine Illusion ist, aber das Ding sollte von außen nicht auffindbar bzw. aufrufbar sein.
Vielen Dank im Voraus und sorry für die beginner Fragen.
Gruß & schönen Feiertag!
-
@nevada19 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
In meiner Fritzbox sind keine Ports freigeben.
Dann ist auch nichts von außen erreichbar.
@thomas-braun sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
@nevada19 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
In meiner Fritzbox sind keine Ports freigeben.
Dann ist auch nichts von außen erreichbar.
Das ist nicht ganz richtig.
Es kommt darauf an aus welcher Richtung die Kommunikation eröffnet wird.
Wenn keine Ports offen sind, kann keine keine Verbindung von außen nach innen gestartet werden.
Wenn allerdings von innen nach außen die Verbindung eröffnet wird und entsprechend gehalten wird, dann geht das auch, wenn keine extra Ports geöffnet und intern weitergeleitet werden.
Vor den websockets ging das über das http Protokoll mit Long polling Mechanismen oder dem comet Protokoll , die dafür sorgen, dass die Verbindung nicht irgendwann mal abgebaut wird.
Nachteil ist, das im Internet ein immer verfügbarer Service existiert, der die Anfragen dann an die von innen geöffneten Verbindungen durchreichen kann.
Meines Wissens funktioniert genau so der Service von Iobroker, den man für kleines Geld buchen kann.Im Fall von HomeKit benötigt man ein Apple Gerät im internen Netz, der hier die interne Stelle spielt, die die Verbindung von innen nach außen öffnet. Idealerweise ein AppleTV Gerät. Soll aber auch über ein tablet funktionieren.
Gegenstücke im Internet ist dann ein Apple Service.
780
Online32.5k
Benutzer81.6k
Themen1.3m
Beiträge