NEWS
[Hinweis] Gefahren durch Port-Freischaltungen
-
Kann man mal zum Thema lesen:
Wie ich oben schrieb:
Ein handelsüblicher Router, der nebenbei als Firewall arbeitet, lehnt alle Anfragen von außen grundsätzlich ab und schützt die Geräte im Netz vor Anfragen aus dem Internet.
-
@MathiasJ sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Was man als Vorbereitung zu einem Angriff verwenden kann, kann man auch als Maßnahme nutzen, um Angriffe zu vermeiden.
Auch richtig, aber wie bereits mehrfach gesagt, sind alle diese komplexen Maßnahmen nicht für Otto Normalverbraucher geeignet.
Und die sind es, deren Installationen im Netz zu finden sind.Und eine wegen fehlenden Kenntnissen falsch konfiguriert Firewall ist noch schlechter, weil der User denkt er sei sicher, was er aber u.U. eben nicht ist.
-
@Ulfhednir sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Geht alles total am Thema vorbei. Welcher "DAU" betreibt eine DMZ, geschweige denn weiß überhaupt mit dem Begriff etwas anzufangen? Es ändert alles nichts an der Tatsache, dass es knapp über 700 offene Systeme gibt, die derzeit von Hackern gezielt angegriffen werden. Dabei werden z.T. die Systeme verschlüsselt, um Bitcoint zu craften. Aber kann dem Michel ja egal sein, solange sein eigenes System nicht betroffen ist.
Wenn in einschlägigen Foren davor gewarnt wird, Ports zu öffnen......und man tut es trotzdem, sorry dem kann man nicht mehr helfen! Sorry mein Fehler. Es ist leichter Ports zu öffnen. Die Arbeit, die man sich machen muß, eine vernünftige VPN einzurichten, nervt ja.
-
@holger76 Hallo , https 443 ist dein Zugriff fuer die Fritzbox von aussen ueber den DNS von AVM wenn ich das richtig in erinnerung habe...
VPN only! -
Hallo Zusammen,
ich hänge mich mal direkt an thread dran, hoffe das ist okay.
In der ioBroker-Welt bin ich noch ziemlich neu und auch wenn ich mich als recht IT-affin bezeichnen würde, hab ich von dem Thema Netzwerk-Security wenig Ahnung.Ich möchte es tunlichst vermeiden, dass es mir so geht wie dem Kollegen der im Eingangspost erwähnt wurde.
Der ioBroker läuft über Docker auf meinem NAS. Passwort gesetzt, HTTPS (mit den Standard-Zertifikaten) aktiviert. In meiner Fritzbox sind keine Ports freigeben.Ich muss und will auch von außerhalb nicht auf den ioBroker zugreifen können, wahrscheinlich bau nicht einmal eine Visualisierung.
Mein Ziel ist es eigentlich nur, einige Geräte für Homekit verfügbar zu machen.
Da ich in der Beziehung ein Angsthase bin, meine Frage: Gibt es sonst noch was zu beachten? Oder ratet ihr mir, bei den (noch) nicht vorhanden Grundkenntnissen erstmal von so einem „Projekt“ ab?Natürlich weiß ich auch, dass 100 % Sicherheit nur eine Illusion ist, aber das Ding sollte von außen nicht auffindbar bzw. aufrufbar sein.
Vielen Dank im Voraus und sorry für die beginner Fragen.
Gruß & schönen Feiertag!
-
@nevada19 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
In meiner Fritzbox sind keine Ports freigeben.
Dann ist auch nichts von außen erreichbar.
-
@nevada19
Du kannst Dir aber sehr wohl eine VPN Verbindung bereit stellen, dann sind die Geräte zwar für andere unsichtbar, für Dich aber von außen bedienbar. -
@thomas-braun sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
@nevada19 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
In meiner Fritzbox sind keine Ports freigeben.
Dann ist auch nichts von außen erreichbar.
Das ist nicht ganz richtig.
Es kommt darauf an aus welcher Richtung die Kommunikation eröffnet wird.
Wenn keine Ports offen sind, kann keine keine Verbindung von außen nach innen gestartet werden.
Wenn allerdings von innen nach außen die Verbindung eröffnet wird und entsprechend gehalten wird, dann geht das auch, wenn keine extra Ports geöffnet und intern weitergeleitet werden.
Vor den websockets ging das über das http Protokoll mit Long polling Mechanismen oder dem comet Protokoll , die dafür sorgen, dass die Verbindung nicht irgendwann mal abgebaut wird.
Nachteil ist, das im Internet ein immer verfügbarer Service existiert, der die Anfragen dann an die von innen geöffneten Verbindungen durchreichen kann.
Meines Wissens funktioniert genau so der Service von Iobroker, den man für kleines Geld buchen kann.Im Fall von HomeKit benötigt man ein Apple Gerät im internen Netz, der hier die interne Stelle spielt, die die Verbindung von innen nach außen öffnet. Idealerweise ein AppleTV Gerät. Soll aber auch über ein tablet funktionieren.
Gegenstücke im Internet ist dann ein Apple Service. -
@nevada19 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Hallo Zusammen,
ich hänge mich mal direkt an thread dran, hoffe das ist okay.
In der ioBroker-Welt bin ich noch ziemlich neu und auch wenn ich mich als recht IT-affin bezeichnen würde, hab ich von dem Thema Netzwerk-Security wenig Ahnung.Ich möchte es tunlichst vermeiden, dass es mir so geht wie dem Kollegen der im Eingangspost erwähnt wurde.
Der ioBroker läuft über Docker auf meinem NAS. Passwort gesetzt, HTTPS (mit den Standard-Zertifikaten) aktiviert. In meiner Fritzbox sind keine Ports freigeben.Ich muss und will auch von außerhalb nicht auf den ioBroker zugreifen können, wahrscheinlich bau nicht einmal eine Visualisierung.
Mein Ziel ist es eigentlich nur, einige Geräte für Homekit verfügbar zu machen.
Da ich in der Beziehung ein Angsthase bin, meine Frage: Gibt es sonst noch was zu beachten? Oder ratet ihr mir, bei den (noch) nicht vorhanden Grundkenntnissen erstmal von so einem „Projekt“ ab?Natürlich weiß ich auch, dass 100 % Sicherheit nur eine Illusion ist, aber das Ding sollte von außen nicht auffindbar bzw. aufrufbar sein.
Vielen Dank im Voraus und sorry für die beginner Fragen.
Gruß & schönen Feiertag!
Hast du bei dir im Netzwerk bereit HomeKit eingerichtet? Wie gesagt benötigst du ein Apple Gerät, das sich bei dir zuhause befindet, sowie mindest ein weiteres Apple Gerät, mit dem du von außerhalb steuern möchtest.
Wenn du das eingerichtet hast und auch etwas steuern kannst, dann kannst du den yahka Adapter konfigurieren und mit diesem dann ebenfalls Skript gesteuert HomeKit Geräte steuern. Der Adapter kommuniziert dann mit dem einen Apple Gerät das sich ständig im Netz befindet.
Der Adapter selbst ersetzt kein applegerät -
Vielen Dank Euch, für die schnellen Antworten.
@OliverIO ja habe bereits Apple HomeKit eingerichtet und nutze es seit einiger Zeit. Verwende aktuell noch ein altes iPad werde aber auf den neuen Apple TV umsteigen.
Heißt also die Adapter (Geräte) die ich über den yahka Adapter einbinde kann ich auch von außerhalb meines Netzwerks über die Home-App steuern.
Sowie ich das aber verstehe muss ich mir, solange ich keinen Ports freigebe, grundsätzliche keine Sorgen vor fremden Zugriffen machen.
Besten Dank & schönes WE!
-
@nevada19 said in [Hinweis] Gefahren durch Port-Freischaltungen:
Vielen Dank Euch, für die schnellen Antworten.
@OliverIO ja habe bereits Apple HomeKit eingerichtet und nutze es seit einiger Zeit. Verwende aktuell noch ein altes iPad werde aber auf den neuen Apple TV umsteigen.
Heißt also die Adapter (Geräte) die ich über den yahka Adapter einbinde kann ich auch von außerhalb meines Netzwerks über die Home-App steuern.
Sowie ich das aber verstehe muss ich mir, solange ich keinen Ports freigebe, grundsätzliche keine Sorgen vor fremden Zugriffen machen.
Besten Dank & schönes WE!
ja genau.
ports darf man nur freigeben, wenn man genau weiß was man da macht.
nur wenig software ist vertrauenswürdig genug, um offen im Internet zu stehen.
Selbst die router firmware ist da nicht immer sicher.
Node/javascript in der iobroker geschrieben ist, gibt es immer wieder neu entdeckte Lücken und damit ist iobroker uU je nach Szenario ebenfalls angreifbar.
https://www.cvedetails.com/product/30764/Nodejs-Node.js.html?vendor_id=12113
(die meisten davon sind aber schon behoben)Wenn Vermittlung über einen Dritt-Anbieter wie bspw hier Apple erfolgt, bist du relativ sicher bzw. hast jemand, der mit Hochdruck an der Behebung so einer Lücke dran ist.
-
@oliverio
Und auch deswegen sollte man schauen das seine Systeme durchgepatcht sind. Die wenigsten neuen Versionen kommen nur wegen einer schöneren Versionsnummer heraus. -
Das ist schon klar, das Problem ist aber, daß von vielen Leuten die Sicherheit zu kurz kommt.
Ich möchte nicht wissen, wann bei manchen Leuten z. B. der Router das letzte Mal aktualisiert wurde, nur um ein Beispiel zu nennen. -
@mathiasj sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Das ist schon klar, das Problem ist aber, daß von vielen Leuten die Sicherheit zu kurz kommt.
Ich möchte nicht wissen, wann bei manchen Leuten z. B. der Router das letzte Mal aktualisiert wurde, nur um ein Beispiel zu nennen.die meisten wissen darüber einfach nichts.
bspw die router müssen eine große bandbreite an funktionen bereitstellen. dann denkt ein normalanwender das alles auch safe zu bedienen ist. eigentlich (bspw bei port freigaben) müssten da große warnschilder stehen, aber viele werden sich da eh drüber weg setzen und hinter her dann zum heulen anfangen.
manche denken ja, das Internet ist so groß, da wird mein router schon nicht entdeckt.
wenn man einen port öffnet, braucht es manchmal nur sekunden bis ein scanner vorbeikommt und das entdeckt. manchmal ist es ganz interessant die logs der webserver zu lesen, was da alles für zugriffe erfolgen. oder wer mal was ganz nerdiges machen will, dann kann man sich mal einen ssh honeypot hinstellen. ist mit docker relativ einfach und sicher
https://github.com/cowrie/cowrieirgendwo kommt dann auch der Irrglaube her, dass wenn man sich ein Zertifikat holt und nur mit https zugreift dann ebenfalls sicher ist.
-
@oliverio
Ein gutes Beispiel:
Wenn man sich eine RaspberryMatic neu aufsetzt, kommt eine Warnmeldung, man soll keine Ports öffnen. Das kommt dabei raus:
https://homematic-forum.de/forum/viewtopic.php?f=26&t=60245 -
Hi,
ich würde gerne dieses Thema nutzen um zu Fragen wie Ihr eure DMZ umgesetzt habt bzw. falls vorhanden eure Clouds/Webserver/Mailserver oder was auch immer vom Internet aus zugänglich gemacht habt.
Ich betreibe zu Hause derzeit eine Nextcloud installation in einem Proxmox Container welche aktuell vom Internet nur per VPN erreichbar ist.
Jetzt ist der Schrei laut geworden (Familie) das man die Cloud gerne auch von Unterwegs erreichen möchte ohne jedesmal vorher einen VPN aufbauen zu müssen.
Als DSL Router arbeitet aktuell eine FB7590, WLAN über 4x Unifi AP, zweite FB7490 wäre noch vorhanden.
Router welche DMZ können oder andere HW müsste gekauft werden wenn der Aufwand und die Kosten sich halbwegs im Rahmen halten. (zwischen 200-300€ würde ich investieren)
Auf dem Proxmox System laufen natürlich noch andere Sachen welche aber nur Intern erreichbar sein sollen. Wie sollte man da am besten vorgehen? Die Nextcloud komplett auf eine extra HW umziehen oder reicht es dem Proxmox Server eine weitere Netzwerkkarte zu verpassen welche dann in der DMZ hängt und diese dem Container zuweisen?
Freue mich auf euer Feedback und euren Input
Gruß und schönen Sonntag
-
Ich habe das mit einem Nginx Proxy Manager in einem Proxmox LXC und Portainer realisiert.
Die Ports 80 und 443 werden auf diesen LXC geroutet. Weiterhin wurde im NPM eine zusätzliche PW-auth eingerichtet und die Nextcloud mit 2FA (OTP) abgesichert. -
@wendy2702 In einer VM auf Proxmox und in einem eigenen VLAN. Natürlich regelmäßig Updates fahren. DMZ würde ich nicht verwenden, sondern nur benötigte Ports weiterleiten.
Aber warum nicht bei VPN bleiben? Ich habe unsere Androiden so eingerichtet, dass bei verlassen des eigenen WLAN VPN automatisch aktiviert wird. Somit ist man sozusagen immer im Heimnetz ohne etwas tun zu müssen. Somit auch immer werbefrei dank Pihole. Geht mit der App 'tasker' und dem 'openVPN Tasker Plugin'.
-
@dr-bakterius sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Ich habe unsere Androiden so eingerichtet, dass bei verlassen des eigenen WLAN VPN automatisch aktiviert wird
Wie hast du das gemacht?
Ich habs schon mit Tasker & Co. probiert, mit manchen Autom. Apps, aber nichts brauchbares gefunden, oder Tasker einfach nicht gecheckt. -
Danke für die Antworten.
@Meister-Mopper : habe meine NC mit Apache konfiguriert. Da müsste ich erst auf Nginx umstellen oder gibt es so einen Manager auch für Apache.
@Dr-Bakterius : das mit dem VPN wäre grundsätzlich die beste Lösung allerdings sind wir 4 Personen und davon nur eine mit Android unterwegs. Für IOS ist mir nicht bekannt das es so etwas gibt.
Wenn du eigenes VLAN verwendest, welchen Router/DSL Modem nutzt du dann und was spricht aus deiner Sicht gegen DMZ?