[Hinweis] Gefahren durch Port-Freischaltungen
-
@MathiasJ
Hi, ich bin so ein DAU glaube ich :-(
Habe "eigentlich" gedacht das iobroker nur über die Fritz VPN erreichbar ist, zumindest habe ich nur diese Myfritz Freigaben unter Internet->Freigaben erstellt.
Dennoch hat mir auch einer über Telegram geschrieben meine iobroker Steuerung wäre offen ich solle meine Ports überprüfen.
Gebe ich jetzt meine tagesaktuelle IP Adresse gefolgt vom iobroker Admin Port ein ist diese Erreichbar. Habe jetzt ein Passwort vergeben aber sollte der Port nicht zu sein und nur über die kryptische VPN Adresse erreichbar sein?
Bin gerade erst auf eine Zotac NUC mit proxmox Installation umgezogen. Muß hier noch extra einen Firewall hin?@gcg67
Du kannst bin2fail installieren, dass ist so eine Firewall für Linux. Die überwacht aber nur ssh.
Wenn Du die Fritzbox über VPN erreichen willst, installiere Dir bitte die App myfritz! auf Dein Handy.
Den VPN-Zugang kannst Du nur einrichten, wenn Du zuhause bist und das Handy sich im heimischen WLAN befindet.
Oder wenn Du das Dir nicht zutraust, sende mir bitte eine PN. Dann machen wir das zusammen per Teamviewer :)
Wenn Du noch einen zweiten Router hast, anschließen! Dann basteln wir zusammen eine DMZ, was noch etwas sicherer ist.,IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weiß ich noch nicht. Vielleicht kommen auch nur Zigbee-Geräte ins Haus. -
@gcg67
Du kannst bin2fail installieren, dass ist so eine Firewall für Linux. Die überwacht aber nur ssh.
Wenn Du die Fritzbox über VPN erreichen willst, installiere Dir bitte die App myfritz! auf Dein Handy.
Den VPN-Zugang kannst Du nur einrichten, wenn Du zuhause bist und das Handy sich im heimischen WLAN befindet.
Oder wenn Du das Dir nicht zutraust, sende mir bitte eine PN. Dann machen wir das zusammen per Teamviewer :)
Wenn Du noch einen zweiten Router hast, anschließen! Dann basteln wir zusammen eine DMZ, was noch etwas sicherer ist., -
@gcg67
Du kannst bin2fail installieren, dass ist so eine Firewall für Linux. Die überwacht aber nur ssh.
Wenn Du die Fritzbox über VPN erreichen willst, installiere Dir bitte die App myfritz! auf Dein Handy.
Den VPN-Zugang kannst Du nur einrichten, wenn Du zuhause bist und das Handy sich im heimischen WLAN befindet.
Oder wenn Du das Dir nicht zutraust, sende mir bitte eine PN. Dann machen wir das zusammen per Teamviewer :)
Wenn Du noch einen zweiten Router hast, anschließen! Dann basteln wir zusammen eine DMZ, was noch etwas sicherer ist.,@MathiasJ
Teamviewer
DMZ
fail2ban Firewall?
😆 -
@MathiasJ Du meinst doch sicherlich fail2ban, oder habe ich da was verpasst?
@Meister-Mopper
Ja, habe ich was verwechselt?IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weiß ich noch nicht. Vielleicht kommen auch nur Zigbee-Geräte ins Haus. -
@Meister-Mopper
Ja, habe ich was verwechselt?@MathiasJ
Dann aber bitte nix verwechseln, wenn da per Teamviewer sowas eingerichtet werden soll... -
@MathiasJ
Dann aber bitte nix verwechseln, wenn da per Teamviewer sowas eingerichtet werden soll...@Thomas-Braun
Natürlich nicht, aber ich schicke Dir per PN ein paar Links, damit Du Dich mal einlesen kannst.......IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weiß ich noch nicht. Vielleicht kommen auch nur Zigbee-Geräte ins Haus. -
@Thomas-Braun
Natürlich nicht, aber ich schicke Dir per PN ein paar Links, damit Du Dich mal einlesen kannst....... -
@MathiasJ Nicht erforderlich.
aber @gcg67 hat ein paar Links bekommen.....
Auch noch interessant:
https://pve.proxmox.com/wiki/Firewall
https://pve.proxmox.com/wiki/Network_Configuration -
@MathiasJ Nicht erforderlich.
@Thomas-Braun
deshalb habe ich ja einen Draytek-Router. da ist alles drin, was man so braucht.
VLAN, DMZ, Radius......IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weiß ich noch nicht. Vielleicht kommen auch nur Zigbee-Geräte ins Haus. -
@Thomas-Braun
deshalb habe ich ja einen Draytek-Router. da ist alles drin, was man so braucht.
VLAN, DMZ, Radius......@MathiasJ Wenn man es denn alles richtig zu nutzen weiß.
-
@MathiasJ Wenn man es denn alles richtig zu nutzen weiß.
@Thomas-Braun
Bin in naher Zukunft dabei. In meiner Wohnung will ich das nicht mehr aufbauen. In's Haus kommt dann ein Netzbwerkschrank, wo alles drin sein soll.IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weiß ich noch nicht. Vielleicht kommen auch nur Zigbee-Geräte ins Haus. -
@Thomas-Braun
Bin in naher Zukunft dabei. In meiner Wohnung will ich das nicht mehr aufbauen. In's Haus kommt dann ein Netzbwerkschrank, wo alles drin sein soll.@MathiasJ
Hobby-Admin oder mit Expertise?
Also ich würde von mir nicht behaupten, dass ich ein Netz gescheit abdichten könnte. -
@MathiasJ
Hobby-Admin oder mit Expertise?
Also ich würde von mir nicht behaupten, dass ich ein Netz gescheit abdichten könnte.@Thomas-Braun
Abichten? Wenn Du in ein fremdes Netz willst, dann kommst Du auch da rein. Man muß es denen halt so schwer wie möglich machen.
Ja, ich mache mir alles selber. Wenn ich nicht mehr weiter weiß, frage ich einen Bekannten, der zertifiziert ist.
Bisher habe ich seine Hilfe eher selten in Anspruch nehmen müssen. Nur das eine, es ist immer gut, wenn man jemanden hat, der nach einer Installation versucht, in Dein Netzwerk einzubrechen und Dir dann auch noch die entsprechenden Tipps zur Verhinderung gibt. -
@gcg67
Du kannst bin2fail installieren, dass ist so eine Firewall für Linux. Die überwacht aber nur ssh.
Wenn Du die Fritzbox über VPN erreichen willst, installiere Dir bitte die App myfritz! auf Dein Handy.
Den VPN-Zugang kannst Du nur einrichten, wenn Du zuhause bist und das Handy sich im heimischen WLAN befindet.
Oder wenn Du das Dir nicht zutraust, sende mir bitte eine PN. Dann machen wir das zusammen per Teamviewer :)
Wenn Du noch einen zweiten Router hast, anschließen! Dann basteln wir zusammen eine DMZ, was noch etwas sicherer ist., -
@MathiasJ
fail2ban ist keine firewall, sondern überwacht logfiles - anhand definierter events kann damit in der firewall etwas ausgelöst werden. und das widerum nicht nur für ssh, sondern im prinzip für alles.@astrakid
Danke, das weiß ich selbst.
Deshalb läuft noch opnsense auf einem anderen Mini-PC.
Fail2ban ist lediglich dazu da, brutforce-Attacken abzuwenden.
Deshalb gibt's ja die Einstellungen, nach wie vielen Versuchen in welcher Zeit ein ssh-Zugang für wie lange gesperrt werden sollte. Nur die Default-Eindtellungen von 600 - 5 600 sind meiner Meinung nach unzureichend. Was bringt es mir, wenn ein anderer in 10 Minuten 5 Versuche hat und dann nur für 10 Minuten gesperrt ist?IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weiß ich noch nicht. Vielleicht kommen auch nur Zigbee-Geräte ins Haus. -
@astrakid
Danke, das weiß ich selbst.
Deshalb läuft noch opnsense auf einem anderen Mini-PC.
Fail2ban ist lediglich dazu da, brutforce-Attacken abzuwenden.
Deshalb gibt's ja die Einstellungen, nach wie vielen Versuchen in welcher Zeit ein ssh-Zugang für wie lange gesperrt werden sollte. Nur die Default-Eindtellungen von 600 - 5 600 sind meiner Meinung nach unzureichend. Was bringt es mir, wenn ein anderer in 10 Minuten 5 Versuche hat und dann nur für 10 Minuten gesperrt ist?@MathiasJ Richtig, ich sperre 24 Stunden.
-
Geht alles total am Thema vorbei. Welcher "DAU" betreibt eine DMZ, geschweige denn weiß überhaupt mit dem Begriff etwas anzufangen? Es ändert alles nichts an der Tatsache, dass es knapp über 700 offene Systeme gibt, die derzeit von Hackern gezielt angegriffen werden. Dabei werden z.T. die Systeme verschlüsselt, um Bitcoint zu craften. Aber kann dem Michel ja egal sein, solange sein eigenes System nicht betroffen ist. :face_with_rolling_eyes:
-
Geht alles total am Thema vorbei. Welcher "DAU" betreibt eine DMZ, geschweige denn weiß überhaupt mit dem Begriff etwas anzufangen? Es ändert alles nichts an der Tatsache, dass es knapp über 700 offene Systeme gibt, die derzeit von Hackern gezielt angegriffen werden. Dabei werden z.T. die Systeme verschlüsselt, um Bitcoint zu craften. Aber kann dem Michel ja egal sein, solange sein eigenes System nicht betroffen ist. :face_with_rolling_eyes:
Das lesen dieses Themas hat mich jetzt doch etwas verunsichert. Wenn ich keine Portfreigaben im Router habe und mein Raspian immer auf dem aktuellen Stand halte, dann dürfte ich doch schon mal "relativ" sicher sein, richtig?
Klar geht immer mehr, wie VLAN, DMZ, zusätzliche Firewall, etc. Aber das kostet und verkompliziert natürlich ungemein...
-
Das lesen dieses Themas hat mich jetzt doch etwas verunsichert. Wenn ich keine Portfreigaben im Router habe und mein Raspian immer auf dem aktuellen Stand halte, dann dürfte ich doch schon mal "relativ" sicher sein, richtig?
Klar geht immer mehr, wie VLAN, DMZ, zusätzliche Firewall, etc. Aber das kostet und verkompliziert natürlich ungemein...
@Markus84 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Wenn ich keine Portfreigaben im Router
Ja, i.d.R. liegst du damit hinter einem Router, der NAT betreibt und von außen kommt man nicht an die Ports ran. Mehr Gedöns zum Absichern brauchst du nur, wenn aktiv Ports nach außen geöffnet werden. Wobei die natürlich auch von Schadsoftware von Innen heraus geöffnet werden könnten, wenn man sich da was einfängt. (Nein, ein NAT-Router ist keine Firewall!)
Im Gegenteil kann man bei unbedarftem rumhantieren mit den oben genannten Tools und Konzepten genau das Gegenteil passieren. Es werden dann dadurch neue Angriffsvektoren erst ermöglicht.
-
@Markus84 sagte in [Hinweis] Gefahren durch Port-Freischaltungen:
Wenn ich keine Portfreigaben im Router
Ja, i.d.R. liegst du damit hinter einem Router, der NAT betreibt und von außen kommt man nicht an die Ports ran. Mehr Gedöns zum Absichern brauchst du nur, wenn aktiv Ports nach außen geöffnet werden. Wobei die natürlich auch von Schadsoftware von Innen heraus geöffnet werden könnten, wenn man sich da was einfängt. (Nein, ein NAT-Router ist keine Firewall!)
Im Gegenteil kann man bei unbedarftem rumhantieren mit den oben genannten Tools und Konzepten genau das Gegenteil passieren. Es werden dann dadurch neue Angriffsvektoren erst ermöglicht.
@Thomas-Braun said in [Hinweis] Gefahren durch Port-Freischaltungen:
Ja
Das wollte ich hören ;-)
Ich habe bei mir tatsächlich noch ein VLAN über Unifi eingerichtet, um alles was IOT betrifft vom Rest zu trennen. Mein ioBroker ist hier natürlich die Schnittstelle zwischen "sicherem" Netzwerk und IOT Netzwerk. Alle PCs/iPads/etc. haben Zugriff auf den ioBroker und der ioBroker steuert die IOT Geräte im IOT Netzwerk und überwacht z.B. auch mein NAS.
Worst case scenario ist daher, dass jemand den ioBroker hackt. Habt ihr noch eine gute Idee, wie ich durch Firewall regeln den Zugriff weiter einschränken kann, ohne das mir aber das NAS nicht mehr überwacht werden kann oder die PCs/Tablets nicht mehr auf die VIS kommen?
636
Online32.7k
Users82.5k
Topics1.3m
Posts