openWB Forum

LutzB hat geschrieben: ↑Mi Sep 18, 2024 5:58 pm Und was ist, wenn der "Bekannte" bei der Einrichtung der Portweiterleitung Port 88 verwendet hat? Oder einen der anderen zigtausenden, die nicht in der Liste stehen?

Ist ja nur ein beispiel.
Auf die schnelle bekomm ich das gerade nicht hin mit einem Portbereich von 1-65000.

Das muss ja keine 100% Sicherheit bieten, sondern dient mehr nur als Hinweis dass so etwas konfiguriert ist falls es erkannt wird. Falls nichts erkannt wird, gibt's keinen Hinweis.
Ggf. Müsste man den check noch dahingehend erweitern ob tatsächlich auf die openwb zugegriffen wird (bekannte Datei anrufen) und ob der Zugriff erfolgreich war.

Wenn man mal außen vor lässt, dass man noch irgendwie prüfen muss, ob der entdeckte Port wirklich auf die openWB führt, bietet das Skript eine 0,0076%-ige Sicherheit. Wenn man dann noch bedenkt, dass das Skript bei den Leuten Alarm schlägt, die die Weiterleitung absichtlich eingerichtet haben, halte ich den Nutzen für verdammt nah an 0.

Nochmal: von alleine passiert da nichts. Das muss aktiv eingerichtet werden.

Dann vielleicht lieber IP-Filter aktivieren, dass nur Zugriffe aus privaten Adressbereichen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) möglich sind?
Dann sind die Portweiterleitungen wirkungslos.
VPN-Zugriffe werden auch aus privaten Adressen zugreifen, die openWB Cloud ist aus Sicht der openWB vermutlich eine ausgehende Verbindung.
Dumm wäre dann nur, wenn jemand aus Versehen in seinem internen Netzwerk aus Unwissenheit einen "öffentlichen" Adressbereich verwendet. (Schon oft genug gesehen) Es müsste also zusätzlich das lokale Netzwerk freigegeben werden.

Aber eigentlich sollte man halt einfach nicht jeden "Experten" an seine sicherheitsrelevanten Komponenten ran lassen...
Eine solche Portweiterleitung, auch nur temporär, ist einfach grob fahrlässig.
Nicht umsonst gibt es so viele erfolgreiche Cyberangriffe.

ChristophR hat geschrieben: ↑Mi Sep 18, 2024 6:41 pm Dann vielleicht lieber IP-Filter aktivieren, dass nur Zugriffe aus privaten Adressbereichen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) möglich sind?
Dann sind die Portweiterleitungen wirkungslos.
VPN-Zugriffe werden auch aus privaten Adressen zugreifen, die openWB Cloud ist aus Sicht der openWB vermutlich eine ausgehende Verbindung.
Dumm wäre dann nur, wenn jemand aus Versehen in seinem internen Netzwerk aus Unwissenheit einen "öffentlichen" Adressbereich verwendet. (Schon oft genug gesehen) Es müsste also zusätzlich das lokale Netzwerk freigegeben werden.

Aber eigentlich sollte man halt einfach nicht jeden "Experten" an seine sicherheitsrelevanten Komponenten ran lassen...
Eine solche Portweiterleitung, auch nur temporär, ist einfach grob fahrlässig.
Nicht umsonst gibt es so viele erfolgreiche Cyberangriffe.

VETO

Ich kenne einige Installationen, eine von mir eingeschlossen, die public Adressen verwenden. Ja sogar ganz wissendlich und offiziell...
Denkt bitte nicht immer nur an einfache Consumer Internetanschlüsse.

Folgendes könnte gehen - wenn es ein Interesse und begründeten Bedarf gibt an der beschriebenen Situation etwas zu verbessern: Der womöglich nicht gewollten, oder zumindest unüberlegten Öffnung der openWB in Richtung öffentliches Internet.

Kategorie 'mal laut gedacht':
* Apache bekommt eine ACL welche Verbindungen nur aus dem lokalen Netzwerk zulässt
* lokales Netzwerk definiert sich über die tatsächliche IP Konfiguration (lokales Subnetz) des Netzwerkadapters, diese wird z.b. beim Start des openWB service ausgelesen und die Konfig ggf. aktualisiert. So oder so ähnlich.
* Zusätzlich gibts einen Konfigurationsschalter 'Zugriff aus allen Netzen erlauben' welchen man im Vollbesitz seiner geistigen Kräfte aktivieren kann, dann wird die ACL nicht mehr gesetzt und eine bereits konfigurierte wieder entfernt.
* ggf. brauchts etwas ähnliches noch für MQTT