[Hinweis] Gefahren durch Port-Freischaltungen
-
Also ich sehe das ein bischen anders. Wenn ich eine Website besuche, dann liefert der Webserver mir an den Router die Daten auf einem Port, den die beiden für diese Verbindung dafür verhandelt haben. Und dann ist dieser Port für diese Verbindung eben geöffnet. Und wenn dort Daten kommen, die für ihn Sinn ergeben (erwartet werden) dann wird er die verarbeiten. Und genauso sehe ich das bei VPN. Der Router erwartet auf einem bestimmten Port Daten, und wenn etwas kommt, mit dem er arbeiten kann, dann wird er auch das tun.
Für den User ist in beiden Fällen keine manuelle Portöffnung nötig. Und wenn er nicht möchte, dass irgendwelche Daten seinen Router überhaupt erreichen können, hilft nur Stecker ziehen. Ansonsten ist der Router zwangsläufig mit dem Internet verbunden und wird sehr viele Daten und Zugriffe abbekommen, die er (hoffentlich) aber zuverlässig blockt, weil sie eben auf Ports einlaufen, auf denen das nicht erwartet wird bzw. weil die Daten so wie sie kommen für den Router keinen Sinn ergeben.
Deswegen hatte ich ja auch vom "Port" der keiner ist geschrieben. Auch ohne Portöffnungen ist der Router von außen erreichbar, also mit dem Internet verbunden, er wird nur eben alle Daten verwerfen, die er nicht brauchen kann. Mit einer (manuellen oder auch für VPN vom Router erstellten Portregel) sage ich dem Router nur, dass eine bestimmte Art von Daten (die auf dem und dem Port ankommen, das und das im Header enthalten usw.) eben doch nicht gefiltert und verworfen werden sollen, sondern er die bitte verarbeiten soll.
Aber genug philosophiert. Georgius hatte es ja im Prinzip schon perfekt geschrieben: Ein offener Port (ob selbst geöffnet oder vom Router) per se ist noch nicht böse. Böse wird es erst, wenn der Router etwas ins Netz weitergibt, was er besser sofort verworfen hätte.
Gruss, Jürgen
-
Jein, das mit den zurückkommenden Daten ist zwar nicht falsch wenn eine Webseite aufgerufen wurde. Hat aber nichts mit Portfreischaltungen zu tun.
Es kommt darauf an wie die Verbindung initiiert wird: entweder von innen nach außen, oder von außen nach innen. Dein Beispiel mit dem Besuch der Webseite. Dafür benötigst Du keine Portfreuschaltung.
Soll aber eine Verbindung von außen nach innen bsp VPN initiiert werden dann benötigst Du eine Port Freigabe.
-
Ich habe inzwischen für mich eine brauchbare Lösung gefunden.
Der IObroker ist im Internet über eine spezielle URL und auch nur über diese per https erreichbar.
Ein ReverseProxy (läuft auf einem andren System) verlangt zu erst eine Authentifizierung alle Anfragen werden vom ReverseProxy gefiltert und an den IObroker weitergeleitet
Antworten vom Iobroker gehen ebenfalls über den R-Proxy.
Somit ist nur port https von extern offen und dieser nicht direkt auf den IOBroker.
Grüße
nsession
-
Und auf die Idee, das DLS/Kabel aus Router zu ziehen ist er nicht gekommen?!
-
Dank snips muss ich auf sprachsteuerung nicht verzichten.
-
Snips verwendet Google, also auch nicht lokal. Da kann ich gleich Alexa nehmen.
-
???? Snips läuft offline sehr gut!!!
Gesendet von meinem CLT-L09 mit Tapatalk
-
Ich hatte anfänglich eine weit entfernte iobroker Installation über Portfreigabe verwaltet.
Grundsätzlich ist diese schon länger auch über VPN erreichbar. Da ich das allerdings nicht von überall nutzen kann blieben die Ports erstmal offen.
Vor geraumer Zeit schrieb mir dann jemand freundlicherweise über meinen eigenen Telegram Adapter, ich möge doch bitte meinen iobroker sichern.
Seitdem sind die Ports zu, Kommunikation nur noch via VPN möglich und der Telegram Bot hat ein neues Passwort und nen neuen key bekommen.
Dann war auch ne ganze Weile Ruhe bis letzte Woche wieder eine Nachricht über Telegram kam.
Nun bin ich etwas ratlos, was ich noch sichern kann / muss um quasi wieder alleiniger Herr über meinen iobroker zu werden.
Bin für Hinweise aller Art dankbar. Lediglich Neuinstallation ist aufgrund der Entfernung gerade keine Option.
Admin und Telegram sind natürlich mit (neuem) Passwort versehen, Kommunikation nur über VPN (2x Fritzbox), keine weiteren Ports offen.
Lediglich die TR069 Schnittstelle ist noch offen. Die lässt sich bei dem Provider leider auch nicht (ohne weiteres) schließen.
Um grundsätzlich weiterhin auch dort Zugriff auf den iobroker zu haben wollte ich einen reverse proxy aufsetzen. Spricht hier vom Sicherheitsaspekt etwas dagegen iobroker und reverse proxy auf der gleichen Hardware laufen zu lassen?
Danke & Gruß
-
Sind noch "Fremde" in deiner Telegram Instanz authentifiziert? Wenn ja - löschen über den Mülleimer..
Gruß
-
Danke für den Tip,
hatte alle Nutzer gelöscht und aktuell stehe nur ich da.
-
> Dann war auch ne ganze Weile Ruhe bis letzte Woche wieder eine Nachricht über Telegram kam.Von wem hast du denn "schon wieder" eine Nachricht im Telegram bekommen?
Von deinem eigenen Bot?
Gruß
-
Der Adapter startet wie gewollt täglich gegen 5 Uhr neu.
Das Schreibt er mir auch brav. Warum auch immer er um 19:01 noch gestartet ist, dann kam wieder die Meldung.
(Hatte kurz nachgeschaut, Wortlaut der Meldung ist immer identisch, auch der Neustart davor)
Für mich sieht es daher so aus wie alle Nachrichten die vom iobroker kommen.
6430_telegram.png -
Hat der "Angreifer" eventuell ein Skript erstellt?
Gruß
-
Mit Sicherheit kann ich das erst heute Abend sagen wenn ich wieder Zugriff via VPN habe.
Da dort aktuell nur zwei Skripte laufen wäre mir ein zusätzliche wahrscheinlich aufgefallen.
Das überprüfe ich aber und schaue mir auch an, ob evtl. eigene Skripte modifiziert wurden.
Danke & Gruß
-
Einfach im Skriptebereich alle Skripte als ZIP exportieren und in der ZIP dann über alle Dateien z.B. nach dem Inhalt "frohes" suchen.
-
Vielen Dank für die Hilfe! Der "freundliche Angreifer" hat sich im Skript verewigt.
Da hätte ich noch ewig nach gesucht…
Codeschnipsel gelöscht und alle Hintertüren wohl doch geschlossen.
Gruß
-
@bommel_030
> Um grundsätzlich weiterhin auch dort Zugriff auf den iobroker zu haben wollte ich einen reverse proxy aufsetzen. Spricht hier vom Sicherheitsaspekt etwas dagegen iobroker und reverse proxy auf der gleichen Hardware laufen zu lassen?Würde ich nicht machen den reverseProxy sollltest du auf einer anderen Hardware laufen lassen.
Wer eine Professeionelle Lösung einsetzen will kann sich ja mal die Sophos UTM anschauen da gibt es eine freie Lizenz für Privat welche man Virtuell oder eben auf einer günstigen stromspar hardware laufen lassen kann.
-
Danke für den Hinweis. Dann hat der Raspberry ja doch noch ne Aufgabe…
Die Sophos Geschichte klingt interessant, braucht aber ne Intelfähige Hardware.
Das muss ich mir dann mal in ner ruhigen Minute zu Gemüte führen.
Gruß
-
wie kann ich rausfinden, wie "gut" meine instanz geschützt ist?
hab meine ip bei shodan gefunden, dort sieht es ganz gut aus - aber die frage ist, wie das für "andere" aussieht...gruß,
andre -
mensch bin ich froh, daß ich alles über VPN mache.
Man wird mich jetzt für verrückt erklären, aber ich wechsle den VPN-Schlüssel regelmäßig.
Ist zwar mit Arbeit verbunden, nach dem Bericht aber berechtigt.
Hoffentlch bricht nicht auch rgendwann ein "Poltergeist" bei mr ein.
Ach ja, Besucher surfen ausschließlich im Gastnetz.
