Steht offen im Internet ???

ostseereiter

@lessthanmore
habe ich getan kommt dies bei rum.

fastfoot

@homoran sagte in Steht offen im Internet ???:

aber der Part über die aktuelle öffentliche IP ist nicht im letzten Teil.

doch, rufe dien Link auf, da ist die Struktur besser zu erkennen als in meinem Posting!

es können ja keine 2 Adressen gemeint sein, man hat nur eine. letlich ist doch MyFritz nur ein DynDns Service welcher zu einem Namen eine IP liefert. Ich betreibe seit vielen Jahren Fritzboxen, da hat sich nicht wirklich was geändert. Um das erwartete Verhalten zu erreichen müsste ja die URL über myFritz gerouted werden, das war noch nie der Fall. Beispiel VPN, das ist die gleiche URL nur anderer Port, da muss man sich doch auch nicht an myFritz erst anmelden um durchgeroutet zu werden. Nun ja, warten wir ab was der Support dazu sagt

Homoran

@fastfoot sagte in Steht offen im Internet ???:

letlich ist doch MyFritz nur ein DynDns Service welcher zu einem Namen eine IP liefert

da sind wir uns einig

@fastfoot sagte in Steht offen im Internet ???:

Um das erwartete Verhalten zu erreichen müsste ja die URL über myFritz gerouted werden,

das war meine Vermutung, und dann eine dort vergebene IP, was es aber auch nicht besser macht, wenn diese ungesichert offen ist.

@fastfoot sagte in Steht offen im Internet ???:

es können ja keine 2 Adressen gemeint sein, man hat nur eine

s.o. (eine myFritz-IP)

wenn es so ist und immer war, wundert es mich auch nicht, dass ich über diese vermeintliche Lücke nichts im Netz finde

Dr. Bakterius

@ostseereiter Passt!

ostseereiter

@dr-bakterius
super danke

Chaot

@homoran , @fastfoot , @Jan1
Laut AVM ist die Nutzung von MyFritz eine normale Portfreigabe.
Also führt jede Nutzung von MyFritz unweigerlich dazu das der ioBroker offen im Netz steht.
Wie @fastfoot schon sagte ist das mehr oder weniger ein DynDNS Service mit einer Komfortoberfläche zur Portfreigabe.

Ich bin mir zwar wirklich sicher das das früher nicht so war, kann es aber nicht belegen. Ich kann mich irgendwo daran erinnern das ich für die Freigabe einen separaten Link hatte.
Aber ist ja am Ende auch egal, da der aktuelle Status eben so ist wie es derzeit ist.

In den Ausführungen zu MyFritz bei AVM steht das recht undeutlich beschrieben, so das man denken könnte das der Zugriff sicher über MyFritz erfolgt. Von einer kompletten Freigabe steht dort blöderweise kein Wort.
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6591-Cable/1376_MyFRITZ-Freigaben-einrichten/

Also kann es durchaus sein das die "zugänglichen" ioBroker im Netz öfter mal durch eine vermeintlich sichere MyFritz Freigabe Zustandekommen.

Homoran

@chaot Danke für das Feedback!

Jan1

@chaot
Das war auch früher anders und da hast schon recht. Warum man für die Portfreigabe überhaupt noch myfritz brauchen soll, verstehe ich nicht, da das nicht wirklich weniger Klicks und Wissen bedeutet, als würde man die Freigabe eben manuelle einrichten.

hydrotec

Eventuell bringt das etwas Licht ins Dunkel.

Generell ist die Fritzbox über die öffentliche IP-Adresse im Internet erreichbar.
Sonst hätte man kein Internet zur Verfügung.
Damit man auf die Fritzbox über das Internet zugreifen möchte, müssen erst diverse Einstellungen vorgenommen werden.
Ansonsten ist der Port zur Fritzbox Oberfläche nicht geöffnet.
Das hat erst einmal nichts mit den Portfreigaben zu tun.
In den Fritzbox Einstellungen auf der Seite Internet->Freigaben->FRITZ!Box-Dienste sieht man die Adressen,
unter welcher die Fritzbox aus dem Internet erreichbar ist.

myfritz.net ist ein reiner DynDNS Dienst, welcher von AVM für seine Nutzer der Fritzbox zur Verfügung gestellt wird.
Wenn ein Nutzer diesen Dienst verwenden möchte, ist seine Fritzbox über den myfritz.net Link, und der öffentlichen IP-Adresse erreichbar.
(sofern in den Fritzbox Einstellungen Internet->Freigaben->FRITZ!Box-Dienste bei "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" der Haken gesetzt wird)
Diesen DynDNS-Dienst konnte man früher nur mit einer öffentlichen IPv4-Adresse nutzen.
Da gab es noch keine myfritz Freigaben. (Nagelt mich nicht fest, ist wirklich schon lange her)
Die wurden erst im Zuge der Kabelanbieter eingeführt, damit man seine Fritzbox auch über die IPv6 im Internet erreichen kann.

Eingerichtete Portfreigaben, egal ob myfritz oder nicht, sind generell zum Internet geöffnet, wenn sie aktiv sind.
Sonst würden diese Dienste ja auch keinen Sinn machen, oder.

Gruß, Karsten

Jan1

@hydrotec
Nicht ganz richtig, da man früher eben nicht über die öffentliche IP durch die myfritz Freigabe auf die Box gekommen ist, sondern nur mit dem dadurch generierten Link, was ja auch ein DynDNS Dienst darstellt und man eben nicht immer die wechselnde öffentliche IP in Erfahrung bringen musst um auf die Box zu gelangen.

Somit konnte man sich einfach den Link in die Favoriten legen und hatte einen sicheren Zugriff auf die Box.
Nun ist es schlicht ne Portweiterleitung, nicht mehr und nicht weniger, was mit DynDNS Dienst wenig zu tun hat

Chaot

@jan1 Ich bin zwar auch recht sicher das das früher so war, aber es hilft ja auch nichts.
Aktuell ist es eben so, das eine Freigabe über MyFritz den ioBroker offen ins Internet stellt. Ob das dem Nutzer dabei bewusst wird wage ich in den meisten Fällen zu bezweifeln, weil AVM selbst hier ja auch mehr wirbt als warnt.

Jan1

@chaot
Es reicht wenn man weiß, dass man es nicht tun sollte und alles andere als ein DynDNS Dienst ist

Homoran

@chaot sagte in Steht offen im Internet ???:

Ob das dem Nutzer dabei bewusst wird wage ich in den meisten Fällen zu bezweifeln

Ich versuche mal die Aussage von @fastfoot hier mit einzubauen.

Vielleicht war es schon immer so, dass eine myFritz Freigabe eine allgemeine Portweiterleitung für die öffentliche IP anlegte (anders nutzt es ja auch nichts) und erst mit dem Update wird dieses deutlich sichtbar in der GUI(, damit es den Usern bewusst wird)

hydrotec

@chaot sagte in Steht offen im Internet ???:
..., aber es hilft ja auch nichts.

Stimmt, hilft dem eigentlichen Problem nicht wirklich weiter.

Generell würde ich jedem empfehlen, keine, oder nur wirklich benötigte Portfreigaben, an einem Router einzurichten.
Und wenn man wirklich eine Freigabe zu ioBroker benötigt, dann nur mit Https und echtem Zertifikat, user:password nicht zu vergessen.
Es wird leider immer schlimmer mit den scanbots.

Wenigstens war in dem hier genannten Fall der hacker ja so freundlich und hat nur einen Hinweis gestartet.

Jan1

@hydrotec
Das war kein Hacker, da ein Hacker keine Portfreigabe benötigt um Dein System zu entern

hydrotec

@jan1
"personmitadministrativemzugangaufdieheimischeiobrokersystemverwaltung"

Besser?

Meister Mopper

Es bleibt:

• VPN-Zugang oder

• reverse proxy mit echten Zertifikaten und zusätzlicher Authentifizierung und (wenn möglich) 2FA

RMortan

Hey... Gibt's ne möglichkeit zu test ob man offen ist... Habe mal de Port scann bei Heisse gemacht der sagt alles ist gut...

Habe auch keine Portfrei gabe in der Fritte an...

Allerdings nutze ich myfritz um per Fritz app zugreifen zu können..

Sonst nutze ich VPN um ins heim Netz zukommen..

Lieben Dank..

Jan1

@rmortan sagte in Steht offen im Internet ???:

Allerdings nutze ich myfritz um per Fritz app zugreifen zu können..

Die App hat ein eigenes VPN drin, somit ist das absolut überflüssig.

Wildbill

Vor Jahren, als ich noch eine Fritzbox hatte, war die myfritz-Freigabe nix anderes als ein simples Firewall hole punching. Die Box hat einen Kanal zum myfritz-Server geöffnet, dort hat man sich angemeldet und durch diesen Kanal lief dann der Verkehr. IMHO war das sogar sicher, da verschlüsselt und mit Benutzer und passwort. Ports wurden da keine geöffnet.
Wenn das Einrichten einer myfritz-Freigabe jetzt wirklich (zusätzlich?) den Port öffnet, dann kann das eigentlich nur ein Bug und nicht gewollt sein. Dann könnte man sich myfritz wirklich gleich sparen.
Gruß, Jürgen