NEWS
Steht offen im Internet ???
-
@wildbill
Na die sind immer noch gut, man sollte eben wissen was man tut und ich habe bis jetzt noch nichts offizielles von AVM dazu gelesen.
Wobei ich auch nicht verstehe, warum in der myfritz APP der kinderleichte Aufbau einer VPN Verbindung raus genommen wurde. Die Begründung dazu verstehe ich nicht wirklich, da einfach gesagt wird, dass der Zugriff über die APP auf das Fritz WebIf eh über ne VPN geht. OK, aber was wenn ich gar nicht da hin will, sondern einfach ne VPN vom Handy zur Fritz möchte um mein IOBroker zu bedienen?
Aber auch egal, habe mir dann eben manuell ne VPN mit der Fritz eingereichte, was ja auch kein Hexenwerk istDie myfritz Port Geschichte ist aber wirklich etwas seltsam, da wie ich schon mehrfach geschrieben habe, es so kein Sinn macht und außer brandgefährlich sonst nix ist.
-
@jan1
Laut AVM war das noch nie anders.
Glücklicherweise scheine ich wirklich nicht der Einzige zu sein der das anders kennt.
Vielleicht wollen die ihren VPN vermarkten und haben das deshalb aus MyFritz ausgegliedert ...... oder was auch immer.
Da die die Einzigen sind die mir hier 50 MBit Upload liefern muß ich leider mit der Krüppelbox leben. -
@chaot
Ja aber das was sie da schreiben stimmt eben nicht da das eben kein DynDNS Service ist, aber genau das war es mal. Ich denke die wissen nicht was da gerade läuft. Der angesprochene Service müsste dann wie früher auch über den myfritz Server laufen und das tut er nicht.Ok, Jungs das Thema ist seltsam und die Diskussion läuft etwas ins unendliche. Fakt, lasst den Mist einfach und richtet wenn gewünscht ne VPN ein um auf die Box vom Internet aus zu kommen. Ich konnte es zu Beginn ja auch nicht glauben und erst als Chaot mich mal zum Testen mit seiner IP tatsächlich auf sein IOBroker gelassen hat, habe ich es geglaubt.
-
Hat das Verhalten jetzt auch mal jemand verifiziert?
-
@thomas-braun
Ja ich bei Chaot, er hats aktiviert und ich kam mit der IP und dem Port auf sein IOBroker. Normal wird ein Link generiert wenn über myfritz was freigegeben wird (zumindest war das mal so) und über den und den myfritz Server hatte man dann Zugriff auf die Box.
Ich habs bei mir mehrfach getestet und nun wird einfach stur eine Port geöffnet. -
@thomas-braun Welches Verhalten meinst du?
Das die MyFritz Freigabe einfach den Port öffnet? Das hat (siehe Screenshot) sogar AVM verifiziert und als normal behandelt. -
Konnte es auch nachstellen.
Hatte MyFritz aktiv für meine Box.
Der Heise Scan gab sofort eine Warnung aus.
Port 80 und was mit WebServer.Habe MyFritz deaktiviert und Scan verlief danach ohne Warnung
Als DAU vermute ich mal , dass es daran lag.
-
@hydrotec Ein Besucher der zum Tag der offenen Tür vorbeikommt
-
@all
Der Check ist allgemein gesehen nicht schlecht, doch ein offener Port ist nicht automatisch ein Sicherheitsrisiko, wenn man weiss was man macht.
An erster Stelle, bei einer Fritzbox, würde ich erst einmal auf der Fritzbox Oberfläche unter Diagnose->Sicherheit nachsehen.
Da werdem einem schon sehr viele Informationen aufgelistet.
Wenn einem etwas auffällt, hat man die Möglichkeit sich gezielter zu Informieren, was für einen Zusammenhang dahinter steckt.
Nützlich sind auch die folgenden zwei Seiten.
(Auf den Seiten kann man oben rechts seine Fritzbox einstellen)
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590-AX/3467_FRITZ-Box-absichern/
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590-AX/57_Sicherheitsfunktionen-Firewall-der-FRITZ-Box/
Eventuell hilft es ja zu dem ersten Schritt in die sichere Richtung.Angenehmen Tag noch
Gruß, Karsten -
@jan1 sagte in Steht offen im Internet ???:
@chaot
Ja aber das was sie da schreiben stimmt eben nicht da das eben kein DynDNS Service ist, aber genau das war es mal.Du weist aber schon für was DynDNS steht? Lies mal bitte hier
https://de.wikipedia.org/wiki/Dynamisches_DNSEin DynDNS aktuallisiert zu deiner Domain deine dynamische IP Adresse des Internetanschluss. Die IP Adressen von privaten Internetanschlüssen werden von Zeit zu Zeit geändert und die neue IP wird dann von dem Dienst im DNS eingetragen - mehr nicht.
Mehr bietet AVM auch nicht an mit ihrem Service myFritz und das war schon immer so.
Es wurde noch nie ein geschützter Kanal (VPN) von myFritz zur FritzBox aufgebaut. -
@uwerlp Les doch mal, was ich oben geschrieben hatte. Bei myfritz lief der Verkehr früher (zumindest vor einigen Jahren, als ich noch eine Fritzbox hatte) eben doch durch deren Server. Man bekam eine kryptische ID bei der sich die Fritzbox angemeldet hatte. Dort konnte man sich anmelden und der Verkehr wurde dann dort getunnelt.
Wann das weg fiel weiß ich nicht, aber es scheint von AVM stillschweigend entfernt und durch simples Öffnen eines Ports ersetzt worden zu sein.
Gruß, Jürgen -
@wildbill Das war nicht so, myFritz war schon immer ein einfacher DynDNS Service von AVM, bequem und einfach einzurichten auch von einem DAU
Hier ein Artikel von Heise zu myFritz von 2016
https://www.heise.de/newsticker/meldung/AVMs-Fritzbox-Router-Ausfaelle-bei-DynDNS-Dienst-MyFritz-3111974.htmlAber das war jetzt auch nicht mein Anlass zu schreiben sondern das @Jan1 wohl nicht verstanden hat für was DynDNS steht bzw. was die Abkürzung bedeutet.
-
@uwerlp Dann haben ich und andere es wohl jahrelang falsch bedient, als wir bei Zugriff über den Myfritz-Link den Verkehr durch einen AVM-Server geleitet haben?!
Zumindest offene Ports hatte ich damals nie, aber Zugriff von außen war möglich und ist erfolgt.
Aber vielleicht bin ich ja auch nur der DAU, der das Ganze dann immer falsch bedient hat. Drum bin ich ja weg von Fritzboxen, viel zu kompliziert...
Ich bezog mich im Übrigen auf Deinen zweiten Absatz, dass das Ganze schon immer so hewesen sei, und das stimmt eben definitiv nicht. Sonst wäre der ganze Thread ja auch nicht entstanden und diverse andere bei denen User jammern, dass wohl aus heiterem Himmel irgendjemand Zugriff auf ihre iobroker hatten und stündliche Warnmeldungen per Telegram oder Alexa ausgaben und dergleichen, obwohl sie niemals einen Port geöffnet hatten. Ergebnis: Die bisherigen myfritz-Freigaben, bei denen man sich mit User und Passwort an einem AVM-Server mittels myfritz-Link angemeldet hatte, wurden von AVM in ein simples dynDNS umgewandelt und praktischerweise einfach die Ports geöffnet. Nun hatte halt jeder Zugriff, nur eben ohne vorherige Anmeldung mit User/Passwort, weil der krypische myfritz-Link eben nichts mehr gegen einen simplen IP-Scan nach offenen Ports ausrichten kann. Aber war ja schon immer so...Gruss, Jürgen
-
@wildbill https://www.heise.de/newsticker/meldung/AVMs-Fritzbox-Router-Ausfaelle-bei-DynDNS-Dienst-MyFritz-3111974.html
Also 2016 war es schon ein DynDNS Dienst...
2014 wohl auch schon
https://www.heise.de/ct/hotline/Lange-Myfritz-DNS-Namen-abkuerzen-2120327.html -
@uwerlp Wie gesagt, seit wann das geändert wurde, weiss ich nicht, war aber eben damals so. HIER habe ich auf die Schnelle zumindest bei AVM eine Anleitung gefunden, die es so beschreibt, wie ich es kannte. Und da die für die 7590 ist, kann es noch nicht lange anders sein... Und zumindest "zu meiner Zeit" waren da keinerlei Ports offen, was auch Portscans bestätigt hatten, sondern der Verkehr lief über den AVM-Server. Vielleicht war das für AVM ja langfristig zu kosten- und wartungsintensiv und sie haben simples DynDNS drauss gemacht?!
Gruss, Jürgen -
@wildbill Dort kann ich aber nicht ersehen das myFritz mehr ist wie ein DynDNS Dienst. Dort wird noch zusätzlich VPN behandelt das eine hat aber nix mit dem anderen zu tun. Mit der myFritz Adresse kanns du dann eine VPN Verbindung aufbauen das mußt dann Du aber erledigen dass macht nicht myFritz.
-
@uwerlp sagte in Steht offen im Internet ???:
@wildbill Das war nicht so, myFritz war schon immer ein einfacher DynDNS Service von AVM, bequem und einfach einzurichten auch von einem DAU
Hier ein Artikel von Heise zu myFritz von 2016
https://www.heise.de/newsticker/meldung/AVMs-Fritzbox-Router-Ausfaelle-bei-DynDNS-Dienst-MyFritz-3111974.htmlAber das war jetzt auch nicht mein Anlass zu schreiben sondern das @Jan1 wohl nicht verstanden hat für was DynDNS steht bzw. was die Abkürzung bedeutet.
Das weiß er schon, nur wo bitte bekommst dann bei AVM die statische Adresse (Link) des DynDNS? Eben, nirgends und somit ist das eben nicht das für was es verkauft wird. Das war mal so, man hat über myfritz die Freigabe gemacht und hatte dann ein Link generiert bekommen, mit dem man immer auf die Fritz drauf kam und wo ist der nun? Das ist ne ganz normale Freigebe ohne DynDNS, nicht mehr und nicht weniger. Man kommt schön auf die öffentliche IP die sich alle 24 Stunden ändert aber die musst eben erst mal selber nachschauen, als nix mit DynDNS
So viel dazu, dann war das früher auch noch schön verschlüsselt, da man scannen konnte so viel man wollte, war über myfritz ne Freigabe gemacht, waren die Ports zu und das ist es eben nun auch nicht mehr.
Jungs mir ist es wurscht, ich habe das schon lange nicht mehr über myfritz laufen und das über ne VPN, deshalb bin ich hier nun auch endgültig fertig
-
@uwerlp Wie gesagt, ich bin wohl der DAU, Du nicht. Ich (und viele andere) haben es wohl falsch bedient und trotz fehlender Portfreigaben jahrelang Zugriff bekommen. Passiert, wenn man keine Ahnung hat...
Du musst mir nix glauben, ich muss Dir nix glauben, keiner muss irgendwem was glauben. Ich hatte es schon erwähnt, dass ich den Entschluss, mich komplett von AVM abzuwenden, nie bereut habe. Wem es gefällt und wer zufrieden ist, der darf es gerne so handhaben. Löst aber nix am eigentlichen Problem, dass die myfritz-Freigaben (in der jetzigen Form) hochgradig unsicher sind, da sie eben einfach Ports öffnen und ansonsten einen simplen dynDNS-Dienst bieten, was man (wenn man dem, was ich erlebt haben will, glaubt) früher eben manuell tun musste und wohl nur tat, wenn man wusste, warum man es tat, oder weil einem alles egal war.
Gruss, Jürgen
@Jan1 hat es ja dann eben nochmal bestätigt, dass es früher so war, wie ich sagte. Ist eben auch ein DAU. -
@wildbill
Ich denke wir reden nur aneinander vorbei. Du hast ja recht, das ging jahrelang auch so und das tuts so eben nicht mehr. Genau darum gehts ja. AVM hat das komplett geändert und in den Anleitungen dazu steht es auch noch so wie es mal war.
Aber auch egal, Du hast keine Fritz mehr und ich ne VPN. Also beide nix mit dem Problem am Hut und der Rest kann sich es nun raus suchen was er tun möchte, oder eben nicht. -
@jan1 Zumindest wir beide reden absolut nicht aneinander vorbei, sondern sind wohl exakt gleicher Meinung. Ich hatte Dich (und mich) auch nur als DAU bezeichnet (IRONIE), weil wir offenbar jahrelang zu dumm waren, den myfritz-Service korrekt (nur als DynDNS mit Portöffnungen) zu nutzen, sondern Zugriff ohne offene Ports hatten.
Wie gesagt, jeder soll nutzen, was er mag. Nur wenn ein großer Hersteller hier mit einem Mal Sicherheitslücken aufreisst, die anscheinend nicht (gut) dokumentiert werden und das gar als Feature verkauft, was schon immer so war, da hört eigentlich der Spass auf.
Gruss, Jürgen