NEWS
[Hinweis] Gefahren durch Port-Freischaltungen
-
Jeder Dienst auf den von außen zugegriffen werden soll braucht einen oder mehrere offene Ports.
Das ist an sich nichts böses, wenn dahinter alles richtig funktioniert.
Nur wenn man den Port des IO-Brokers nach außen frei schaltet der ohne weitere Paßworteingabe funktioniert ist das wenig intelligent.
-
Vpn hat aber anderer Port Adressen! 443 ist wenn nicht vpn (zumindest wäre mir das neu)
Gesendet vom Handy …
-
OT: Könntet ihr evtl. ein Unterforum einrichten, wo nur das Team wichtige Infos bzw. Ankündigungen rein schreibt? Dieses Thema hier hatte ich auch nur zufällig gefunden und geht schnell unter…. `
Dieses Thema steht in allen Unterforen als gepinnter Beitrag ganz oben … in allen Unterforen.Wenn man es da nicht sieht, sieht man es Wahlmöglichkeit auch nicht, wenn es in nur einem Unterforum steht, oder? [emoji6]
Gruß,
Eric
Von unterwegs getippert
-
Hallo,
was mich interessieren würde was bei der Port Weiterleitung die Unsicherheit ergibt. Ist es der Web-Adapter der nicht sicher ist? Vis? Mobilview?
Mit dem Port 8082 kommt man ja auf die gleiche Oberfläche wie in der Cloud … was ist hier dann anders? Wenn in der Cloud wer auf mein Vis kommt dann hab ich ja das gleiche Problem.
Ich nehme mal an das die Port Weiterleitung nicht auf einen ioBroker ohne Passwort und ohne SSL war.
Danke für die Info.
lg,
Thorsten
hatte bis vor kurzem auch die Weiterleitung - jetzt die proCloud
-
Entweder war kein Paßwortgesetzt oder es war zu einfach. Azs der Formulierung "Er hat ein Passwort gesetzt" leite ich ab das keines gesetzt war.
-
Portweiterleitung ist wie eine offene Haustüre und auf der Straße hängt ein Zettel und weißt auf diesen Umstand hin.
Cloud funktioniert genau andersrum. Das Heimnetz verbindet sich mit der Cloud und fragt dort alles ab. Die Verbindung funktioniert von der Installation nach außen und nicht wie bei der Portweiterleitung nach innen.
-
Vpn hat aber anderer Port Adressen! 443 ist wenn nicht vpn (zumindest wäre mir das neu) `
Doch. Zumindest mein Firmen-VPN nutzt auch den Port 443. Für iobroker habe ich nicht mal VPN im Einsatz. Alles was ich öfters brauche steuere ich über Telgram-Befehle und wenn ich mal direkt draufschauen muss mache ich das per TeamViewer - ich hoffe, der ist sicher…
-
Zusätzlich zu den Port Freischaltungen: Solltet ihr den Cloud Adapter mit Fernzugriff verwenden, verwendet bitte ein starkes Kennwort und verwendet das Kennwort nur dafür (das heißt auch nicht für das Forum o.ä.).
Auch die Admin, VIS (+Editor), Node Red, (Dashboard und Admin) solltet ihr mit Kennwörtern schützen (nicht nur wenn ihr eine Portfreischaltung habt).
Das Musik Staubauger o.ä. nachts losgehen ist ärgerlich und in dem Moment auch erschreckend. Falls über iobroker auch Rolläden, Elekronische Türschlösser geöffnet werden können kann das auch andere Folgen haben.
Bitte dies nicht als Panikmache verstehen, es geht darum sich bewust zu sein welche Möglichkeiten es gibt und auch welche Risiken. Daher sollte ein Mindestmaß an Sorgfaltspflicht gelten. Dazu gehören VPN Verbindungen, Kennwörter, und sichere HTTPS Verbindungen.
Sicherheit im Smarthome sollte immer Bedacht werden.
Vielen Dank an den betroffenen das er das bei Facebook geteilt hat, das ist nicht selbstverständlich.
my two (euro) cents
sabix
by the way: das cert für iobroker.net läuft morgen ab. Das heißt der cloud Adapter geht dann nicht mehr bis das cert erneutert wurde…
12. Dezember 2018, 20:02:09 GMT+1
(12. Dezember 2018, 19:02:09 GMT)
-
Ich habe mal kurz ein wenig in Shodan geschaut und gesehen, dass momentan sogar 642(!) Admin Instanzen öffentlich zugänglich sind. Schon schockierend. 569 alleine aus Deutschland.
-
Hallo,
ich nutze VPN über die Fritz.box, um in mein Heimnetzwerk zu gelangen.
Unser Sohn jedoch hat Portfreigaben für Teamspeak und eventuell das eine oder andere Onlinespiel. Das funktioniert ja nicht ohne Portfreigaben und Weiterleitung an seinen PC. Fällt das auch unter die Risiken? Wenn ja, wie habt ihr das gelöst?
Und was versteht man unter „Zugang per Cloud“?
Grüße
Ulf
-
Das anstecken eines Netzwerkkabels bzw. WLans ist schon eine potenzielle Gefahr. Ein offenes Port eine Größere. Kein Paßwort verwenden ein ganz Großes.
Oder anders gesagt: Eine Wohnungstür ist weniger sicher als eine Wand (offener Port). Allerdings kein Problem solange das Schloss gut genug ist. (Passwort)
Also solange die Absicherung der Software in Ordnung ist ist ein offener Port kein Problem. Jeder Webserver hat den Port 80 offen und das Internet steht immer noch.
-
Hallo Ulf,
solange die Port Weiterleitungen auf den Rechner oder die Spiele Console von Deinem Sohn gehen kommt so niemand auf deinen iobroker.
Du solltest aber darauf achen wie dein router die weiterleitungen macht. Es gibt router die nutzen interne IP Adressen um zu wissen an welches gerät sie einen port weiterleiten müssen. Das kann unschön sein wenn der DHCP die adresse an ein anderes Gerät vergibt dann ist der Port auf einmal zu einem anderen Gerät offen.
Ich würde aber vermuten das das nicht der Fall ist da sonst Dein Sohn dir schon gesagt hätte "das es nicht mehr funktionier" da sein Rechner die weiterleitung nicht mehr hat.
(Dein Sohn hat keinen Zugriff auf den router, richtig?)
Kannst Du einfach von Zeit zu Zeit mal kontrolieren.
Du solltest dennoch starke Kennwörter für iobroker und andere allgemeingültige Sicherheits vorkehrungen beachten: wie z.b. Installiere immer die neusten Sicherheitsupdate (für alle Geräte), nutze Firewalls und AntiVirus auf den Endgeräten und ganz wichtig verwenden KEINEN ADMIN account für die Tägliche arbeit / spielen. Wenn Du was instalieren/ deinstallieren musst melde dich mit einem anderen account an. Mehr als 99% von malware funktioniert nicht wenn Du nicht als admin angemeldet bist.
vg
sabix
Hallo,
ich nutze VPN über die Fritz.box, um in mein Heimnetzwerk zu gelangen.
Unser Sohn jedoch hat Portfreigaben für Teamspeak und eventuell das eine oder andere Onlinespiel. Das funktioniert ja nicht ohne Portfreigaben und Weiterleitung an seinen PC. Fällt das auch unter die Risiken? Wenn ja, wie habt ihr das gelöst?
Und was versteht man unter „Zugang per Cloud“?
Grüße
Ulf `
-
Danke für die schnelle Antwort.
Ich habe in der Fritz.box alles so eingestellt, dass die Geräte immer die selbe IP erhalten. Und mein Sohn hat keinen Zugriff auf den Router.
Dann scheint alles in Ordnung zu sein.
Grüße
Ulf
-
Dazu muss ich mal was fragen: Der Check sagt mir, dass der Port 443 offen ist. Ich habe eine Fritzbox und dort VPN eingerichtet. Ich bin der Meinung, das ging damals nicht einzurichten, ohne nach außen zu öffnen (https). Ich habe den Port nun erstmal umbenannt. Nur ganz deaktivieren kann ich nicht, da sonst mein VPN nicht funktioniert. Wie habt ihr das gelöst ? Viele haben doch VPN über die Fritzbox, da müsste also bei denen immer ROT sein in dem Heise Test ? Ansonsten ist bei mir alles Grün, Router Test usw.
Gruß Holger `
Hast du Zufällig einen Enigma2 Receiver? -
Wenn Du Dich per VPN bei Dir zu Hause einwählen willst dann musst Du einen Port aufmachen. Das geht gar nicht anders.
Welcher Port das ist 443 oder ein anderer ist eigentlich egal. Dein VPN Client muss wissen welchen Port er verwenden muss.
Ich sage eigentlich da viele Wifi oder bsp. Gastzugänge von Freunden oder Unternehmen aus “Ihrem Netzwerk” z.b. Nur E-Mail und www Verkehr zulassen. Und wie machen die das? Die sagen einfach: die standard ports schalten wir frei: z.b. 80 für http oder 443 für https oder 25 für E-Mail (plaintext) oder 465/587 E-Mail via TLS (verschlüsselt ähnlich wie https).
Wenn du Dein VPN aus deinem Netzwerk erreichen willst und das hinter einem Port liegt der nicht freigeschaltet ist kannst du dich nicht verbinden.
Du kannst also Port 443 benutzen um auf Dein VPN zuzugreifen. Das ist nicht mehr oder weniger sicher als jeder andere x beliebige andere Port.
Was wichtig ist das Dein VPN verschlüsselt ist und du eine starke Authentifizierung durchführst.
Dazu muss ich mal was fragen: Der Check sagt mir, dass der Port 443 offen ist. Ich habe eine Fritzbox und dort VPN eingerichtet. Ich bin der Meinung, das ging damals nicht einzurichten, ohne nach außen zu öffnen (https). Ich habe den Port nun erstmal umbenannt. Nur ganz deaktivieren kann ich nicht, da sonst mein VPN nicht funktioniert. Wie habt ihr das gelöst ? Viele haben doch VPN über die Fritzbox, da müsste also bei denen immer ROT sein in dem Heise Test ? Ansonsten ist bei mir alles Grün, Router Test usw.
Gruß Holger
Hast du Zufällig einen Enigma2 Receiver?
-
Ich habe mal über shodan meine ip gescannt.
Es wird irgendein port 8089 angezeigt obwohl ich in der Fritzbox kein Port offen habe.
Muss ich mir sorgen machen ?
4720_8089.jpg -
Steht bei sohan von wann das Ergebnis ist? Das kann noch von jemand sein der vorher deine IP hatte.
Hiermit kannst du deine eigene IP/ den Port scannen.
-
Steht bei sohan von wann das Ergebnis ist? Das kann noch von jemand sein der vorher deine IP hatte.
Hiermit kannst du deine eigene IP/ den Port scannen.
Da steht Last Update 2018-12-10T18:50:29.288279
Bei Port Scanning bekomme ich folgendes als Ausgabe
"Meine IP " is responding on port 8089 ()
-
-
Wenn der responding ist dann ist er offen ja.
Aber das die Fritzbox das nicht anzeigt ist sehr merkwürdig. Sicher das deine IP die richtige ist?
Schau auch mal ob der fritzbox ob die UPNP portfreigaben erlaubt. Evtl hat ein Gerät selbst einen Port aufgemacht.