[Hinweis] Gefahren durch Port-Freischaltungen
-
@oliverio sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
wenn netcloud bzw. die ganze netcloud infrastruktur (inklusive datenbank und proxy) in einem normalen container läuft, dann läuft ja alles in einem eigenen netz (erkennbar an ip-adressen meist mit 172..., welches vom hauptnetzt separiert ist. daher kann jemand wenn er in nextcloud drin ist erstmal nur in diesem netz operieren, da alle ip packchen welche für ein anderes netzt bestimmt sind vom router (in diesem fall übernimmt das containermanagement das routing) nicht weitergeleitet werden.
du redest explizit von docker containern, ja, da ist das so im default fall.
ich nutze lxc container in den meisten fällen, und dort im bridged mode. sonst müsste ich ja wieder weitere routing-instanzen oder vlan-switches einsetzen. das halte ich bei mir derzeit recht einfach (dafür fail2ban und authentification vorne weg und zusätzlich FW-Regeln auf Netze, die durch Port-Scans und Brute-Force-Attacken etc. aufgefallen sind). -
Hey Leute,
ihr habt mich jetzt ganz schön verunsichert hier
Habe den ioBroker auf einem Raspberry Pi 4 installiert und bewusst keine Ports irgendwo hin freigegeben.
Wo müsste man das denn machen? Oder wo kann ich in ioBroker nachschauen, ob irgendwelche Ports offen sind?
In der Fritz!Box habe ich ich unter INTERNET - FREIGABEN nachgeschaut, da steht "Keine Portfreigabe vorhanden"...
Grüße, Andi
-
-
-
@snowman78
Zumindest sind die üblichen Ports über ipv4 nicht erreichbar.Mit ShieldsUp! kann man aber auch mal schauen:
-
@snowman78 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Also ist bei mir Alles safe?
in Zusammenhang mit
@snowman78 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
bewusst keine Ports irgendwo hin freigegeben.
@snowman78 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
In der Fritz!Box habe ich ich unter INTERNET - FREIGABEN nachgeschaut, da steht "Keine Portfreigabe vorhanden"...
und dann noch der Heise Check....
...müsstest du alles richtig gemacht haben.
-
@thomas-braun: Und wo kann ich noch nachschauen außer in der Fritz!Box? Im ioBroker irgendwo?
Also hier von zu Hause greife ich über die durch die Fritz!Box fest vergebene IP-Adresse auf Port 8081 auf den ioBroker zu...
-
@snowman78 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Also hier von zu Hause greife ich über die durch die Fritz!Box fest vergebene IP-Adresse auf Port 8081 auf den ioBroker zu...
In deinem lokalen Netz ist das ja auch kein Problem.
Der Port sollte halt nicht 'nach draußen gebogen' werden. Das muss man aber aktiv in der Fritzbox (Router) machen. -
@thomas-braun: Also richtet man im ioBroker so eine Portfreigabe nicht ein? Auch nicht in irgendeiner Instanz? Da habe ich nach Außen nur den Zugriff auf mein innogy SmartHome machen müssen und halt den Zugriff von ioBroker auf meine Fritz!Box, um die DECT-Geräte abzufragen...
-
@snowman78 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Da habe ich nach Außen nur den Zugriff auf mein innogy SmartHome machen müssen
Da weiß ich nicht genau was du damit meinst.
Zugriff von ioBroker auf meine Fritz!Box, um die DECT-Geräte abzufragen...
Innerhalb deines privaten Netzes. Kein Problem.
-
@thomas-braun sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
@snowman78 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Da habe ich nach Außen nur den Zugriff auf mein innogy SmartHome machen müssen
Da weiß ich nicht genau was du damit meinst.
Die Instanz für das innogy SmartHome greift auf den Webdienst mit Benutzername und Kennwort zu. Aber dafür braucht es meines Wissens nach keine Portfreigabe?!?
-
@snowman78 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Die Instanz für das innogy SmartHome greift auf den Webdienst mit Benutzername und Kennwort zu.
Das ist aber doch dann von 'drinnen' nach 'draußen'.
-
@thomas-braun: Genau...damit die Instanz quasi auf meine Rollladensteuerungen zugreifen kann...weil das Ganze, soweit ich weiß, Cloud-basiert ist.
Aber noch was:
@thomas-braun sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
@snowman78
Zumindest sind die üblichen Ports über ipv4 nicht erreichbar.Mit ShieldsUp! kann man aber auch mal schauen:
Kann man auf der Internet-Seite bedenkenlos auf "Proceed" drücken? Kenne mich da nicht so aus und die Seite kenne ich auch nicht.
-
@snowman78 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Kenne mich da nicht so aus und die Seite kenne ich auch nicht.
Ich kenne mich auch nicht aus. Und die Seite hat sich mir auch nicht vorgestellt. Hab aber schon mal öfters da mein System abklopfen lassen (Damals, als ich noch reines ipv4 hatte...)
So als Hinweis:
Es werden nur die ersten 1056 Ports gescannt, höhere Portnummern müssen von Hand gescannt werden.
Hinter einem NAT-Router (sind die allermeisten Geräte bzw. Internet-Zugänge in Deutschland) musst du eh Klimmzüge machen, um erreichbar zu sein. -
HI,
wie löst ihr das z.B. mit Lets Encrypt und der automatischen Zertifikatserneuerung einer Maschine?
Öffnet ihr alle drei Monate den entsprechenden Port und stosst die Erneuerung manuell an oder macht ihr ein Port "WEITERLEITUNG" auf den entsprechenden Server?
Gruß
-
Guten Morgen,
eine Frage habe ich noch dazu...habe jetzt alle Freigabe-Einstellungen für alle angemeldeten Geräte in der Fritz!Box kontrolliert und keinerlei Portfreigabe finden können.
Aber was mir aufgefallen ist: Ich habe für den Raspberry Pi 4 einen Benutzer "iobroker" in der Fritz!Box angelegt, damit Fritz!DECT-Instanz auf die DECT-Geräte in der Fritz!Box zugreifen und deren Zustand prüfen bzw. sie steuern kann. In den Ereignissen habe ich gesehen, dass der Benutzer "iobroker" von der intern vergebenen IP-Adresse alle 5 Minuten auf die Benutzeroberfläche zugreift...ist das normal oder stimmt da was nicht? Es sind exakt 5 Minuten...
Hatte, nachdem ich den Thread hier gesehen habe, den Raspberry Pi direkt vom Strom genommen, weil ich sowas von verunsichert war und es eigentlich immer noch bin...könnt ihr mir die Angst, eine offene Tür zu haben, etwas nehmen?
Grüße, Andi
-
@snowman78 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Aber was mir aufgefallen ist: Ich habe für den Raspberry Pi 4 einen Benutzer "iobroker" in der Fritz!Box angelegt, damit Fritz!DECT-Instanz auf die DECT-Geräte in der Fritz!Box zugreifen und deren Zustand prüfen bzw. sie steuern kann. In den Ereignissen habe ich gesehen, dass der Benutzer "iobroker" von der intern vergebenen IP-Adresse alle 5 Minuten auf die Benutzeroberfläche zugreift...ist das normal oder stimmt da was nicht? Es sind exakt 5 Minuten...
Da stelle ich doch mal eine dumme Gegenfrage:
Wie soll die Fritz!DECT-Instanz auf die DECT-Geräte der Fritz Box zugreifen ohne das sie sich mit der Fritz-Box verbindet ? Einen eigenen DECT Empfänger hat der PI nicht.
A.
-
@snowman78 hast ein polling alle 5 min angegeben ??
-
Oh man, ich glaube, ich sehe schon Gespenster...mich hat das Wort "Benutzeroberfläche" in dem Ereignis-Eintrag total irritiert...
Dass das Ganze nicht über DECT geht, ist schon klar...
@arteck : Das kann sein, müsste ich mal nachschauen, wenn ich mich wieder traue, den Raspberry Pi mit Strom zu versorgen...
-
Wo genau kommt die Angst aktuell her ? Hast Du in Deinem Netzwerk Probleme mit zugriffen von Aussen / unerklärlichem Verhalten ?
Wenn Nein, dann stellt sich die Frage ob Du nicht vollständig überreagierst.
Zum Thema Portweiterleitung kann man die folgenden Grundregeln aufstellen:
- Betriebssystem des DSL/Kabelmodems aktuell halten, damit keine versteckte Port-Weiterleitung durch Fehler im Betriebssystem vorkommen können. AVM (der Hersteller der Fritz Boxen ist da sehr aktiv.
- Keine Portweiterleitung auf der Fritz-Box selber aktivieren (ohne das notwendige Expertenwissen bzw. eine entsprechende Absicherung - wer weiss was er tut kann mit dem dadurch entstehenden Risiko zumeist umgehen)
- Keinen Zugang auf das Management Interface der Fritz-Box von aussen zulassen. Dieses kann über den (von Dir bereits durchgeführten Portscan verifiziert werden)
- Sofern Du deinem eigenen System misstraust (das tust Du anscheinend): UPnP auf der Fritz Box abschalten, da über UPnP auch Portweiterleitungen dynamisch von jedem Gerät in Deinem Netzwerk angelegt werden können. Falls Dir UPnP jetzt nichts sagt dann hast Du da kein Problem - AVM hat UPnP im Standard immer deaktiviert, Du müsstest es also von Hand über die Oberfläche erst einmal aktiviert haben - dann wüsstest Du davon.
Wichtig: Hier ist weniger der PI mit dem ioBroker das gefährliche Gerät sondern alle "normalen" Rechner und Telefone in Deinem Netz. Das gilt zumindest so lange wie Du auf dem PI nicht "aktiv" arbeitest sondern primär den ioBroker als Sever betreibst. Natürlich musst Du dann den Entwicklern der darauf laufenden Software ein gewisses Vertrauen entgegen bringen - das ist aber bei der Nutzung von fremder Software immer so.
Ich hoffe das ich Dir mit dieser Auflistung ein wenig Sicherheit zurück geben konnte.
A.
