Diskussion zu Portweiterleitungen
-
Falls noch Fragen zu der aktuellen Ankündigung https://forum.iobroker.net/topic/50895/sicherheitshinweis-portfreigaben-sind-auch-2022-gefährlich von euch gestellt werden sollen, mach das bitte hier, da es unter Announcements nicht geht
-
Hab grad gedacht, ob es evtl sinnvoll ist einen Adapter zu entwickeln, der das System auf das gröbste prüft.
Falls sowas möglich ist.
Diesen ggf sogar schon serienmäßig mit installieren.Er könnte die Linux Firewall Einstellungen prüfen und ggf einen der diversen Online Port Scanner einbinden. Oder auch die Passwortstärke vom iobroker, Adapter anzeigen die nicht aus dem offiziellen Reoro sind etc.
Denke zwar immer, jeder der mit iobroker arbeitet hat etwas Ahnung von EDV, jedoch irrt man sich da denke ich....
-
@david-g sagte in Diskussion zu Portweiterleitungen:
Denke zwar immer, jeder der mit iobroker arbeitet hat etwas Ahnung von EDV, jedoch irrt man sich da denke ich....
Das ist ganz genau anders herum. Von vielen Usern wird uns immer vorgeworfen, dass ioBroker nur etwas für Nerds sei.
Das ist es nicht und soll es nicht sein. Und Sicherheitseinstellungen, eigene Zertifikate im Netzwerk ist nochmal eine Nummer komplexerbei 60.000 Installationen sind sehr viele User, die nach irgendwelchen YouTube Videos oder Anleitungen im Netz "arbeiten" ohne zu wissen was sie da machen.
Leider fehlt diesen Usern die Vorstellung das zum einen auch die Youtuber manchmal gar nicht wissen was sie da machen, und zum anderen, dass der allerkleinste Fehler beim Nachbau bereits ein Scheunentor aufmacht.
@david-g sagte in Diskussion zu Portweiterleitungen:
Hab grad gedacht, ob es evtl sinnvoll ist einen Adapter zu entwickeln, der das System auf das gröbste prüft.
Falls sowas möglich ist.das wurde bereits im anderen Thread angesprochen.
Auch hier gilt das eben gesagte.
Und sollte dann durch einen Anwenderfehler eine Sicherheitslücke entstehen, glaubt sich der Anwender sicher, ist es aber nicht, und der Adapterprogrammierer ist "schuld"Diese Verantwortung können wir nicht übernehmen
-
@david-g sagte in Diskussion zu Portweiterleitungen:
Oder auch die Passwortstärke vom iobroker,
sorry, aber die passwortstärke geht keinen was an. willst du mir vorschreiben, ob mein passwort mit min 3 zahlen, 10 buchtaben in groß/kleinformat und 3 sonderzeichen haben muss und mindesten 50 zeichen lang sein muss?
-
Vielleicht kann jemand eine kurze Anleitung erstellen, wie man prüfen kann ob der OBroker oder die CCU von außen erreichbar sind. Einige wissen vielleicht nicht, dass sie das aktiviert haben.
Danke und ein gesundes neues Jahr 2022.
-
@da_woody sagte in Diskussion zu Portweiterleitungen:
aber die passwortstärke geht keinen was an.
natürlich geht die Passwortstärke deines Passworts keinen an.
Aber bei der Erstellung ist die Einschätzung der Passwortstärke schon eine Hilfe.
Ich glaube das wird bei der Erstinstalltion schon heute geprüft -
@siggi0904 sagte in Diskussion zu Portweiterleitungen:
Vielleicht kann jemand eine kurze Anleitung erstellen, wie man prüfen kann ob der OBroker oder die CCU von außen erreichbar sind
Auch hier möchte ich keine Anleitung geben, bei der wegen irgendwelcher Gegebenheiten oder Anwenderfehler eine vermeintliche Sicherheit gemeldet wird, die real nicht vorhanden ist.
Als Anhaltspunkt kann der Check über Heise wie er im anderen Thread gepostet wurde dienen.
(Hab den Link gerade nicht zur Hand) -
@homoran klar, aber wenn mir eine linux distri beim installieren schon erklärt, daß 7 zeichen zu wenig sind, weils 8 sein müssen, ist bei mir der ofen aus...
-
@homoran sagte in Diskussion zu Portweiterleitungen:
Und sollte dann durch einen Anwenderfehler eine Sicherheitslücke entstehen, glaubt sich der Anwender sicher, ist es aber nicht, und der Adapterprogrammierer ist "schuld"
Diese Verantwortung können wir nicht übernehmenDas stimmt natürlich.
Kann auch das Gefühl einer falschen Sicherheit geben. -
@da_woody sagte in Diskussion zu Portweiterleitungen:
... klar, aber wenn mir eine linux distri beim installieren schon erklärt, daß 7 zeichen zu wenig sind, weils 8 sein müssen, ist bei mir der ofen aus...
OT - geht es dabei NUR um eine Linux Distribution oder um allgemeine Passwortvorgaben? Zum allgemeinen, das ist doch mittlerweile fast Standard das der Inhalt eines Passworts vorgegeben ist. Und wie viele sicherlich wissen ist das aus gutem Grund so.
-
@michmein nein, das ist mir nur auf grund von ioB jetzt eingefallen. es geht ums allgemeine.
tut mir leid, aber wenn wer zu dämlich ist sich abzusichern, ist das nicht mein problem. es ist rein mein problem, mit welchem PW ich mich absichere. ich bekomm auch einen dicken hals, wenn mir jemand dann auch noch mit 2FA daherkommt.
ok, es kann vorgeschlagen werden (1x), wenn ich das aber ablehne, will ich nicht dauernd damit belästigt werden. -
@homoran sagte in Diskussion zu Portweiterleitungen:
Als Anhaltspunkt kann der Check über Heise wie er im anderen Thread gepostet wurde dienen.
(Hab den Link gerade nicht zur Hand) -
@klassisch sagte in Diskussion zu Portweiterleitungen:
Der da?
Danke!
aber ich meinte den Link in deinem Link
-
@david-g Finde ich nicht gut. Dann sagt der Adapter "alles grün" und dann wird gemeckert weil dem doch nicht so war.
finde ich sehr gefährlich.Wenn im Router (FritzBox & Co) nichts weitergeleitet ist, ist das System erst einmal gegen Angriffe von außen sicher (bis jemand etwas im Inneren startet oder klickt).
Jetzt kannst du bei 1.000 und einem Router erklären wie man dort sieht ob es eine (ggf. automatische) Portfreigabe gibt.Man könnte - von innen - testen welche Ports von außen erreichbar sind. 08/15 Router die zu Hause üblich sind lassen den Zugriff von Innen über Außen nach Innen zu.
-
@da_woody sagte in Diskussion zu Portweiterleitungen:
aber wenn mir eine linux distri beim installieren schon erklärt, daß 7 zeichen zu wenig sind, weils 8 sein müssen, ist bei mir der ofen aus
doch, das finde ich sehr vernünftig!
Passwörter umso länger, umso besser
Mein WLAN Passswort hat zB 64 Zeichen
-
Ich hab da mal eine andere Frage zum Thema Sicherheit und Darstellung nach aussen:
Ich möchte einen View in eine frei zugängliche Seite für andere einbinden. Dazu kann man eine eigene web Instanz installieren, dort einen eigenen User als default verwenden und diesen so weit geht beschränken. Schön und gut, nur wer die Syntax kennt kann sich den vis Editor und flot zumindest anzeigen oder andere views aufrufen.
Wäre es da nicht sinnvoll eine vis/web Instanz zu haben, mit definierbaren Rechten, die keinen editor oder flot sehen kann und nur die views, die ausgewählt wurden?
Es geht nicht alles über die viel propagierte VPN Verbindung und wenn man eine beschränkte Instanz hätte, die über reverse proxy erreichbar ist, nur bestimmte views sehen kann und nur lesen oder vielleicht einen Schalter bedienen, wäre das möglich.Oder geht das heute bereits auf einem Weg, den ich noch nicht gefunden habe?
-
@negalein als mündiger mensch sollte das aber schon mir überlassen bleiben...
Mein WLAN Passswort hat zB 64 Zeichen
und klebt aufgeschrieben auf einem postit unter der tastatur.
-
Ernstgemeite Frage: Ist dieses Thema (mittlerweile) ein ioBroker spezifisches Thema? Ich ordne das dem Router zu, in meinem Fall einer Fritte. Die hat keine Portweiterleitung nach aussen, myFritz und Clouds nutze ich nicht, sollte also alles safe sein.
Oder gibt es mittlerweile ioBroker Adapter oder Dienste, die das Thema für ioBroker aktuell machen? -
Es ist sehr aufwändig seine software so sicher zu machen das sie frontal vom Internet aus erreicht werden kann. Auch die Sicherheit nur von der passwortlänge fest zu machen ist zu kurz gedacht solange es für die zugrundeliegende Sprache oder Betriebssystem immer wieder neue sicherheitslücken gibt.
Iobroker ist keine software welche ich offen ins Internet stellen würde. Auch Reverse Proxy ist nicht wirklich eine Lösung.
https://www.cvedetails.com/product/30764/Nodejs-Node.js.html?vendor_id=12113Nur VPN wäre eine annehmbare Lösung oder ein zwischenprovider. Aber dann muss ich mich auf die Sicherheit dieser auch verlassen können
-
@matis du könntest einen "Webseitenscreenshot" regelmäßig machen (oder getriggert bei änderungen), das Bild an einem ungefährlichen Ort hochladen und anzeigen lassen
Es gibt es sogar einen Adapter dafür: https://github.com/ioBroker/ioBroker.phantomjsDAS würde ich für sicher genug halten. Dann hat man aber eben Null Interaktivität.
Oder deine Webseite müsste auswerten wo auf dem Bild hingeklickt wurde und das an den ioBroker zurückmelden, deine View steuerst du dann halt per Script. Ob diese Art von Webseite beim Screenshot dann eine Instance-ID hat?Du könntest zwar - z.B. per Reverse Proxy - URLs filtern bzw. z.B. das Vorkommen von bestimmten Text in der URL. Aber das wäre ein Wettrennen das du nicht machen möchtest.
