NEWS
Probleme nach Update (Windows)
-
Nach außen freigegebene Ports waren ohne weitere Sicherungsmaßnahmen wie VPN oder Reverse-Proxy noch nie eine gute Idee.
Anscheinend dürfen das die Anwendungen auf der Fritzbox selbst
Dann hast Du vermutlich "Selbständige Portfreigabe" aktiviert.
Das ist dann eine noch schlechtere Idee
Natürlich ist das alles so schön einfach und komfortabel.
Aber vom Standpunkt der Sicherheit aus gesehen eine mittelschwere Katastrophe.Nur mal zwei einzelne Beispiele:
https://forum.iobroker.net/topic/72310/your-iobroker-is-on-the-internet-auf-allen-vis-views
https://forum.iobroker.net/topic/47748/steht-offen-im-internetWenn Du ein bisschen suchst, findest mit Sicherheit etliche Beiträge mit ähnlichen Erfahrungen.
Auch wenn Du nicht gleich den Port 8081 für ioBroker nach außen freigegeben hast: Auch TV hat immer wieder Sicherheitslücken. Und die werden nicht gleich öffentlich.
Welche Schwachstellen da existieren und möglicherweise als ZeroDayExploit bereits genutzt werden, weißt Du nicht.Danke für den Hinweis, ich werde mich mal mit dem VPN-Thema beschäftigen.
-
Danke für den Hinweis, ich werde mich mal mit dem VPN-Thema beschäftigen.
@steely2 @Codierknecht Nur zur Info. Teamviewer (TV?) benötigt keine Portfreigaben. Die jeweiligen Clients melden sich bei einem Teamviewer-Server an und wenn man zugreift, wird die jeweilige IP übermittelt. Für den Zugriff wird ann auf dem Client von der Software quasi von innen ein Loch in die Firewall gebohrt. Dazu sind keine Portfreigaben nötig. Wenn beide Clients im selben LAN sind und sich direkt sehen können, erfolgt AFAIK eine etwas schnellere Direktverbindung.
Und ja, dass Anwendungen selbst bei der Fritzbox Portfreigaben öffnen dürfen gehört nicht nur sofort abgestellt, sondern verboten. Das macht ja nicht nur jede gewünschte Software so, sondern öffnet eventueller Malware Tür und Tor.Gruss, Jürgen
EDIT: Teamviewer, wie auch Andydesk würde ich aber generell nicht (mehr) verwenden. Anydesk hatte kürzlich erst ein massives Problem welches heruntergespielt wurde, Teamviewer fiel auch schon vielfach negativ auf. Wenn Zugriff auf einen Rechner-Desktop von außen benötigt wird, empfehle ich Rustdesk. Da kann man auch einen eigenen Verbindungsserver aufsetzen und ist komplett autark. Habe ich als Docker auf der Synology. Aber, für iobroker und auch Proxmox braucht man keinerlei Desktop. Für Zugriffe von außen tunnel ich die jeweiligen GUIs per SSH. Ist genauso sicher wie VPN und läuft. Und ja, für SSH muss ich einen Port freigeben, der ist für andere Zwecke eh aber eh nötig und SSH würde ich per se als sehr sicher betrachten, zumindest wenn man nicht gerade einen root-Zugang erlaubt und als Passwort 1234 verwendet…
-
@steely2 @Codierknecht Nur zur Info. Teamviewer (TV?) benötigt keine Portfreigaben. Die jeweiligen Clients melden sich bei einem Teamviewer-Server an und wenn man zugreift, wird die jeweilige IP übermittelt. Für den Zugriff wird ann auf dem Client von der Software quasi von innen ein Loch in die Firewall gebohrt. Dazu sind keine Portfreigaben nötig. Wenn beide Clients im selben LAN sind und sich direkt sehen können, erfolgt AFAIK eine etwas schnellere Direktverbindung.
Und ja, dass Anwendungen selbst bei der Fritzbox Portfreigaben öffnen dürfen gehört nicht nur sofort abgestellt, sondern verboten. Das macht ja nicht nur jede gewünschte Software so, sondern öffnet eventueller Malware Tür und Tor.Gruss, Jürgen
EDIT: Teamviewer, wie auch Andydesk würde ich aber generell nicht (mehr) verwenden. Anydesk hatte kürzlich erst ein massives Problem welches heruntergespielt wurde, Teamviewer fiel auch schon vielfach negativ auf. Wenn Zugriff auf einen Rechner-Desktop von außen benötigt wird, empfehle ich Rustdesk. Da kann man auch einen eigenen Verbindungsserver aufsetzen und ist komplett autark. Habe ich als Docker auf der Synology. Aber, für iobroker und auch Proxmox braucht man keinerlei Desktop. Für Zugriffe von außen tunnel ich die jeweiligen GUIs per SSH. Ist genauso sicher wie VPN und läuft. Und ja, für SSH muss ich einen Port freigeben, der ist für andere Zwecke eh aber eh nötig und SSH würde ich per se als sehr sicher betrachten, zumindest wenn man nicht gerade einen root-Zugang erlaubt und als Passwort 1234 verwendet…
@wildbill
Ich muss gestehen, dass meine Kenntnisse zu TV noch aus dessen Steinzeit stammen.Sowas setze ich sowieso nicht ein.
Wer bei mir Support über TV haben will, hat dann leider schlechte Karten
746
Online32.4k
Benutzer81.4k
Themen1.3m
Beiträge