Steht offen im Internet ???

Jan1

@rmortan sagte in Steht offen im Internet ???:

Allerdings nutze ich myfritz um per Fritz app zugreifen zu können..

Die App hat ein eigenes VPN drin, somit ist das absolut überflüssig.

Wildbill

Vor Jahren, als ich noch eine Fritzbox hatte, war die myfritz-Freigabe nix anderes als ein simples Firewall hole punching. Die Box hat einen Kanal zum myfritz-Server geöffnet, dort hat man sich angemeldet und durch diesen Kanal lief dann der Verkehr. IMHO war das sogar sicher, da verschlüsselt und mit Benutzer und passwort. Ports wurden da keine geöffnet.
Wenn das Einrichten einer myfritz-Freigabe jetzt wirklich (zusätzlich?) den Port öffnet, dann kann das eigentlich nur ein Bug und nicht gewollt sein. Dann könnte man sich myfritz wirklich gleich sparen.
Gruß, Jürgen

Jan1

@wildbill sagte in Steht offen im Internet ???:

Wenn das Einrichten einer myfritz-Freigabe jetzt wirklich (zusätzlich?) den Port öffnet

Nicht zusätzlich, das macht sonst nix anderes mehr. Es gibt kein Link mit dem man dann über den myfritz Server auf die Box kommt.

Chaot

@wildbill sagte in Steht offen im Internet ???:

Vor Jahren, als ich noch eine Fritzbox hatte, war die myfritz-Freigabe nix anderes als ein simples Firewall hole punching. Die Box hat einen Kanal zum myfritz-Server geöffnet, dort hat man sich angemeldet und durch diesen Kanal lief dann der Verkehr. IMHO war das sogar sicher, da verschlüsselt und mit Benutzer und passwort. Ports wurden da keine geöffnet.
Wenn das Einrichten einer myfritz-Freigabe jetzt wirklich (zusätzlich?) den Port öffnet, dann kann das eigentlich nur ein Bug und nicht gewollt sein. Dann könnte man sich myfritz wirklich gleich sparen.
Gruß, Jürgen

Ist laut AVM kein Bug und wirklich nur als DynDNS Service zu verstehen.
Wie gesagt, war ich mir auch recht sicher das das früher anders war, aber auch das ist angeblich schon immer so gewesen.

Aber deine Folgerung ist Richtig. Hierfür kann man sich das MyFritz wirklich sparen.

Jan1

@chaot sagte in Steht offen im Internet ???:

Ist laut AVM kein Bug und wirklich nur als DynDNS Service zu verstehen

Das ist es eben nicht, da man so immer über ein und die selbe IP, oder Link auf die Box zugreifen könnte und hier wird schlicht ein Port geöffnet, mehr nicht. Wechselt Deine IP durch die Zwangstrennung, dann kommst auch nur mit der neuen wieder drauf und ein DynDNS Service macht eben nicht anderes, als den IP Wechsel wieder in eine quasi Feste IP über deren Server zu wandeln. Hier gehst ja nicht mal über den myfritz Server, sondern direkt rein in die Box

Wildbill

Wenn hier AVM behauptet, dass wäre gewollt beziehungsweise gar schon immer so (war es nicht), bekräftigt das zumindest meine Meinung, die ich im Lauf der letzten Jahre von dieser Firma gewonnen habe und bestätigt, dass es richtig war, um Fritzboxen einen Bogen zu machen.
Früher waren das mal Boxen, die für unbedarfte User sehr sicher und einfach einzurichten waren. Mit den Jahren häuften sich die Bugs, und jetzt jubelt man dem User sogar noch Sicherheitslücken (IMHO ist es genau das) als Feature unter?!
Gruß, Jürgen

Jan1

@wildbill
Na die sind immer noch gut, man sollte eben wissen was man tut und ich habe bis jetzt noch nichts offizielles von AVM dazu gelesen.
Wobei ich auch nicht verstehe, warum in der myfritz APP der kinderleichte Aufbau einer VPN Verbindung raus genommen wurde. Die Begründung dazu verstehe ich nicht wirklich, da einfach gesagt wird, dass der Zugriff über die APP auf das Fritz WebIf eh über ne VPN geht. OK, aber was wenn ich gar nicht da hin will, sondern einfach ne VPN vom Handy zur Fritz möchte um mein IOBroker zu bedienen?
Aber auch egal, habe mir dann eben manuell ne VPN mit der Fritz eingereichte, was ja auch kein Hexenwerk ist

Die myfritz Port Geschichte ist aber wirklich etwas seltsam, da wie ich schon mehrfach geschrieben habe, es so kein Sinn macht und außer brandgefährlich sonst nix ist.

Chaot

@jan1
Laut AVM war das noch nie anders.
Glücklicherweise scheine ich wirklich nicht der Einzige zu sein der das anders kennt.
Vielleicht wollen die ihren VPN vermarkten und haben das deshalb aus MyFritz ausgegliedert ...... oder was auch immer.
Da die die Einzigen sind die mir hier 50 MBit Upload liefern muß ich leider mit der Krüppelbox leben.

Jan1

@chaot
Ja aber das was sie da schreiben stimmt eben nicht da das eben kein DynDNS Service ist, aber genau das war es mal. Ich denke die wissen nicht was da gerade läuft. Der angesprochene Service müsste dann wie früher auch über den myfritz Server laufen und das tut er nicht.

Ok, Jungs das Thema ist seltsam und die Diskussion läuft etwas ins unendliche. Fakt, lasst den Mist einfach und richtet wenn gewünscht ne VPN ein um auf die Box vom Internet aus zu kommen. Ich konnte es zu Beginn ja auch nicht glauben und erst als Chaot mich mal zum Testen mit seiner IP tatsächlich auf sein IOBroker gelassen hat, habe ich es geglaubt.

Thomas Braun

Hat das Verhalten jetzt auch mal jemand verifiziert?

Jan1

@thomas-braun
Ja ich bei Chaot, er hats aktiviert und ich kam mit der IP und dem Port auf sein IOBroker. Normal wird ein Link generiert wenn über myfritz was freigegeben wird (zumindest war das mal so) und über den und den myfritz Server hatte man dann Zugriff auf die Box.
Ich habs bei mir mehrfach getestet und nun wird einfach stur eine Port geöffnet.

Chaot

@thomas-braun Welches Verhalten meinst du?
Das die MyFritz Freigabe einfach den Port öffnet? Das hat (siehe Screenshot) sogar AVM verifiziert und als normal behandelt.

haselchen

@chaot
@Jan1
@Thomas-Braun

Konnte es auch nachstellen.
Hatte MyFritz aktiv für meine Box.
Der Heise Scan gab sofort eine Warnung aus.
Port 80 und was mit WebServer.

Habe MyFritz deaktiviert und Scan verlief danach ohne Warnung

Als DAU vermute ich mal , dass es daran lag.

apollon77

@hydrotec Ein Besucher der zum Tag der offenen Tür vorbeikommt

hydrotec

@apollon77

@all

Der Check ist allgemein gesehen nicht schlecht, doch ein offener Port ist nicht automatisch ein Sicherheitsrisiko, wenn man weiss was man macht.
An erster Stelle, bei einer Fritzbox, würde ich erst einmal auf der Fritzbox Oberfläche unter Diagnose->Sicherheit nachsehen.
Da werdem einem schon sehr viele Informationen aufgelistet.
Wenn einem etwas auffällt, hat man die Möglichkeit sich gezielter zu Informieren, was für einen Zusammenhang dahinter steckt.
Nützlich sind auch die folgenden zwei Seiten.
(Auf den Seiten kann man oben rechts seine Fritzbox einstellen)
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590-AX/3467_FRITZ-Box-absichern/
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590-AX/57_Sicherheitsfunktionen-Firewall-der-FRITZ-Box/
Eventuell hilft es ja zu dem ersten Schritt in die sichere Richtung.

Angenehmen Tag noch
Gruß, Karsten

UweRLP

@jan1 sagte in Steht offen im Internet ???:

@chaot
Ja aber das was sie da schreiben stimmt eben nicht da das eben kein DynDNS Service ist, aber genau das war es mal.

Du weist aber schon für was DynDNS steht? Lies mal bitte hier
https://de.wikipedia.org/wiki/Dynamisches_DNS

Ein DynDNS aktuallisiert zu deiner Domain deine dynamische IP Adresse des Internetanschluss. Die IP Adressen von privaten Internetanschlüssen werden von Zeit zu Zeit geändert und die neue IP wird dann von dem Dienst im DNS eingetragen - mehr nicht.
Mehr bietet AVM auch nicht an mit ihrem Service myFritz und das war schon immer so.
Es wurde noch nie ein geschützter Kanal (VPN) von myFritz zur FritzBox aufgebaut.

Wildbill

@uwerlp Les doch mal, was ich oben geschrieben hatte. Bei myfritz lief der Verkehr früher (zumindest vor einigen Jahren, als ich noch eine Fritzbox hatte) eben doch durch deren Server. Man bekam eine kryptische ID bei der sich die Fritzbox angemeldet hatte. Dort konnte man sich anmelden und der Verkehr wurde dann dort getunnelt.
Wann das weg fiel weiß ich nicht, aber es scheint von AVM stillschweigend entfernt und durch simples Öffnen eines Ports ersetzt worden zu sein.
Gruß, Jürgen

UweRLP

@wildbill Das war nicht so, myFritz war schon immer ein einfacher DynDNS Service von AVM, bequem und einfach einzurichten auch von einem DAU
Hier ein Artikel von Heise zu myFritz von 2016
https://www.heise.de/newsticker/meldung/AVMs-Fritzbox-Router-Ausfaelle-bei-DynDNS-Dienst-MyFritz-3111974.html

Aber das war jetzt auch nicht mein Anlass zu schreiben sondern das @Jan1 wohl nicht verstanden hat für was DynDNS steht bzw. was die Abkürzung bedeutet.

Wildbill

@uwerlp Dann haben ich und andere es wohl jahrelang falsch bedient, als wir bei Zugriff über den Myfritz-Link den Verkehr durch einen AVM-Server geleitet haben?!
Zumindest offene Ports hatte ich damals nie, aber Zugriff von außen war möglich und ist erfolgt.
Aber vielleicht bin ich ja auch nur der DAU, der das Ganze dann immer falsch bedient hat. Drum bin ich ja weg von Fritzboxen, viel zu kompliziert...
Ich bezog mich im Übrigen auf Deinen zweiten Absatz, dass das Ganze schon immer so hewesen sei, und das stimmt eben definitiv nicht. Sonst wäre der ganze Thread ja auch nicht entstanden und diverse andere bei denen User jammern, dass wohl aus heiterem Himmel irgendjemand Zugriff auf ihre iobroker hatten und stündliche Warnmeldungen per Telegram oder Alexa ausgaben und dergleichen, obwohl sie niemals einen Port geöffnet hatten. Ergebnis: Die bisherigen myfritz-Freigaben, bei denen man sich mit User und Passwort an einem AVM-Server mittels myfritz-Link angemeldet hatte, wurden von AVM in ein simples dynDNS umgewandelt und praktischerweise einfach die Ports geöffnet. Nun hatte halt jeder Zugriff, nur eben ohne vorherige Anmeldung mit User/Passwort, weil der krypische myfritz-Link eben nichts mehr gegen einen simplen IP-Scan nach offenen Ports ausrichten kann. Aber war ja schon immer so...

Gruss, Jürgen

UweRLP

@wildbill https://www.heise.de/newsticker/meldung/AVMs-Fritzbox-Router-Ausfaelle-bei-DynDNS-Dienst-MyFritz-3111974.html

Also 2016 war es schon ein DynDNS Dienst...

2014 wohl auch schon
https://www.heise.de/ct/hotline/Lange-Myfritz-DNS-Namen-abkuerzen-2120327.html