Anmeldeversuche aus dem Internet
- Ersteller wutz65
- Erstellt am
Option aktivieren und fünfstelligen Port verwenden kann ganze zumindest erschweren und hält zumindest 08/15 Bots fern welche Standardports probieren.
Solange man selbst Zugreifen kann, können es auch andere, da gibt es hin und wieder auch Sicherheitslücken welche ein Risiko darstellen.
Muss jeder für sich abwegen ob er Dienste freigeben möchte oder nicht.
Solange man selbst Zugreifen kann, können es auch andere, da gibt es hin und wieder auch Sicherheitslücken welche ein Risiko darstellen.
Muss jeder für sich abwegen ob er Dienste freigeben möchte oder nicht.
NDiIPP
IPPF-Promi
- Mitglied seit
- 13 Apr 2017
- Beiträge
- 9,267
- Punkte für Reaktionen
- 2,151
- Punkte
- 113
BTW:
Solche Themen sind ja nicht neu, bspw.:
www.ip-phone-forum.de
www.ip-phone-forum.de
(Vielleicht zusammenführen?
)
Jedenfalls "ganz normal" wenn man einen Dienst nach außen hin zur Verfügung stellt (und "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" gehört nun mal dazu, egal über welchen Port), damit muss man dann rechnen/leben.
Solange beim entspr. Dienst keine bekannte Sicherheitslücke vorh./ausgenutzt wird (die Software (hier FRITZ!OS), die den jeweiligen Dienst zur Verfügung stellt, also u.a. aktuell gehalten wird was natürlich auch keine 100% Sicherheit bedeutet, ich erinnere da bspw. mal an den "webcm-Gau" von Anfang 2014), man ausreichend sichere Zugangsdaten verwendet (nicht erratbar, nicht zu kurz, sicher vor Wörterbuchangriff oder anderweitig bspw. durch ein Datenbankleck aufgrund mehrfach verwendeter Zugangsdaten unsicher) und das ganze auch mit einem Fail2Ban ähnlichen Mechanismus abgesichert ist (was imo beim hier genannten Dienst der Fritzbox der Fall ist), dann kann bzw. muss man damit wohl auch leben können wenn man diesen Dienst auch von extern nutzen möchte. Ansonsten diesen Dienst nach außen hin einfach nicht zur Verfügung stellen, wenn man ihn nicht braucht.
Aber in (spätestens) einem Jahr haben wir sicherlich wieder ein neues Thema zur gleichen Problematik/Frage…
Solche Themen sind ja nicht neu, bspw.:
[Problem] - Anfgriff auf 7490? Anmeldeversuche gescheitert
Hallo, verwalte die 7490 mit 6.83 meiner Eltern aus der Ferne. Fernzugang über myFritz. IP-Anschluss bei der T seit 2 Wochen. Seit gestern sind da viele Anmeldeversuche (>40) mit Usernamen root, test, admin von einer bestimmten IP gescheitert. In regelmässigen Abständen dazwischen "Der...
www.ip-phone-forum.de
[Frage] - Merkwürdige Anmeldeversuche im FB Log
Hallo Leute, habe heute ins FB Log gesehen und dort komische Anmeldeversuche entdeckt, versucht da etwa jemand aus dem Internet in meine Box zu kommen ? Die 7590 ist im Router Modus hinter einem anderen dummen Router am WAN. In diesem arbeitet ein Dyn Dns Dienst mit Portfreigabe zur FB um...
www.ip-phone-forum.de
(Vielleicht zusammenführen?
)Jedenfalls "ganz normal" wenn man einen Dienst nach außen hin zur Verfügung stellt (und "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" gehört nun mal dazu, egal über welchen Port), damit muss man dann rechnen/leben.
Solange beim entspr. Dienst keine bekannte Sicherheitslücke vorh./ausgenutzt wird (die Software (hier FRITZ!OS), die den jeweiligen Dienst zur Verfügung stellt, also u.a. aktuell gehalten wird was natürlich auch keine 100% Sicherheit bedeutet, ich erinnere da bspw. mal an den "webcm-Gau" von Anfang 2014), man ausreichend sichere Zugangsdaten verwendet (nicht erratbar, nicht zu kurz, sicher vor Wörterbuchangriff oder anderweitig bspw. durch ein Datenbankleck aufgrund mehrfach verwendeter Zugangsdaten unsicher) und das ganze auch mit einem Fail2Ban ähnlichen Mechanismus abgesichert ist (was imo beim hier genannten Dienst der Fritzbox der Fall ist), dann kann bzw. muss man damit wohl auch leben können wenn man diesen Dienst auch von extern nutzen möchte. Ansonsten diesen Dienst nach außen hin einfach nicht zur Verfügung stellen, wenn man ihn nicht braucht.
Aber in (spätestens) einem Jahr haben wir sicherlich wieder ein neues Thema zur gleichen Problematik/Frage…
HarryP_1964
Aktives Mitglied
- Mitglied seit
- 5 Aug 2017
- Beiträge
- 1,876
- Punkte für Reaktionen
- 460
- Punkte
- 83
Hab gestern den "Stealth-Mode" aktiviert und verwende einen 5-stelligen Port, aber die Anfragen sind immer noch da
(gleiche IP mit unterschiedlichen Nutzern). Da ich Quasselbüchsen von AMAZON nutze, will ich den Zugriff aus dem Internet
nicht abschalten und werde mit diesen Versuchen wohl leben müssen.
Alle anderen Zugriffe auf das Heimnetz laufen bei mir über myFritz/VPN.
Harry
(gleiche IP mit unterschiedlichen Nutzern). Da ich Quasselbüchsen von AMAZON nutze, will ich den Zugriff aus dem Internet
nicht abschalten und werde mit diesen Versuchen wohl leben müssen.
Alle anderen Zugriffe auf das Heimnetz laufen bei mir über myFritz/VPN.
Harry
Quasselbüchsen von Amazon & Co brauchen aber keinen Zugriff VON außen!
Die gehen immer nur „raus“ NACH außen.
Da kann die Firewall grundsätzlich erstmal „zu“ sein. Es braucht dafür also keine NAT Regel etc.
Die gehen immer nur „raus“ NACH außen.
Da kann die Firewall grundsätzlich erstmal „zu“ sein. Es braucht dafür also keine NAT Regel etc.
HarryP_1964
Aktives Mitglied
- Mitglied seit
- 5 Aug 2017
- Beiträge
- 1,876
- Punkte für Reaktionen
- 460
- Punkte
- 83
Peter_Lehmann
Mitglied
- Mitglied seit
- 13 Mrz 2007
- Beiträge
- 673
- Punkte für Reaktionen
- 265
- Punkte
- 63
Diese sogenannten "Anmeldeversuche" sind das normale "Rauschen" des Internets. Es gibt genügend gelangweilte Scriptkiddies, die mit heruntergeladenen "Angriffswerkzeugen" ihre Freizeit totschlagen.
Bei von Profis durchgeführten Angriffen wird das kaum einer der hier mitlesenden User bemerken. Wobei es zu bezweifeln ist, dass Profis (vom Staat bezahlte Hacker oder das sogenannte "Organisierte Verbrechen") Zeit und Lust haben, die Router von Privatpersonen anzugreifen.
Wie hier schon in einigen Beiträgen bemerkt wurde, sollte sich jeder fragen, ob es denn wirklich unbedingt notwendig ist, einfache Portweiterleitungen (IPv4) oder Firewallöffnungen (IPv6) zuzulassen. Wer das macht, braucht sich nicht zu wundern!
In dem Moment, wo ich dieses mache, hängt die Sicherheit einzig und allein vom genutzten Passwort ab. Und die allerwenigsten User nutzen gute Passwörter! Und da heutzutage auch kaum jemand sein PW ändert, haben diese "Angreifer" ja auch unendlich viel Zeit.
Letztendlich ist ein gemeldeter Anmeldeversuch ja auch immer ein fehlgeschlagener Versuch => und dieser verlief (in der Regel) ohne Schaden.
Solche Ratschläge, wie die Nutzung fünfstelliger Portnummern ist IMHO nichts anderes als "Sicherheit durch Verstecken". Wie schnell geht es wohl, mit einem geeigneten Tool alle Ports abzuklappern?
Echte Sicherheit kann man nur durch die Anwendung kryptografisch gesicherter Methoden "erzeugen". Ob ich dazu ssh (mit 8K langen Schlüsseln) oder ein modernes VPN wie Wireguard nutze, hängt von den persönlichen Bedürfnissen und natürlich auch Fähigkeiten/Kenntnissen ab.
Bei von Profis durchgeführten Angriffen wird das kaum einer der hier mitlesenden User bemerken. Wobei es zu bezweifeln ist, dass Profis (vom Staat bezahlte Hacker oder das sogenannte "Organisierte Verbrechen") Zeit und Lust haben, die Router von Privatpersonen anzugreifen.
Wie hier schon in einigen Beiträgen bemerkt wurde, sollte sich jeder fragen, ob es denn wirklich unbedingt notwendig ist, einfache Portweiterleitungen (IPv4) oder Firewallöffnungen (IPv6) zuzulassen. Wer das macht, braucht sich nicht zu wundern!
In dem Moment, wo ich dieses mache, hängt die Sicherheit einzig und allein vom genutzten Passwort ab. Und die allerwenigsten User nutzen gute Passwörter! Und da heutzutage auch kaum jemand sein PW ändert, haben diese "Angreifer" ja auch unendlich viel Zeit.
Letztendlich ist ein gemeldeter Anmeldeversuch ja auch immer ein fehlgeschlagener Versuch => und dieser verlief (in der Regel) ohne Schaden.
Solche Ratschläge, wie die Nutzung fünfstelliger Portnummern ist IMHO nichts anderes als "Sicherheit durch Verstecken". Wie schnell geht es wohl, mit einem geeigneten Tool alle Ports abzuklappern?
Echte Sicherheit kann man nur durch die Anwendung kryptografisch gesicherter Methoden "erzeugen". Ob ich dazu ssh (mit 8K langen Schlüsseln) oder ein modernes VPN wie Wireguard nutze, hängt von den persönlichen Bedürfnissen und natürlich auch Fähigkeiten/Kenntnissen ab.
Die fünfstelligen Ports helfen minimal gegen die einfach Port Scans wo nur die üblichen gecheckt werden wie 21,22,23,80,443 usw., aber klar wenn wer alle Ports scannt, da hilft es nicht wirklich.
Und es hängt immer vom Server ab (Sicherheitslücken im kernel, dem Software vom Serverdienst selbst usw.). Und vieles ist halt immer ein Kompromiss, wo sehr viele auch nicht bereit wären diesen Weg zu gehen.
z.B. würde wohl bis auf wenige Nerds wohl nicht zum Abrufen von Mails nen statt Login nen Zertifikat mit 8k verwenden + 2FA für jeden Abruf oder Versand. Mal von Speziellen Mailclient abgesehen die sowas überhaupt unterstützen würden.
Und es hängt immer vom Server ab (Sicherheitslücken im kernel, dem Software vom Serverdienst selbst usw.). Und vieles ist halt immer ein Kompromiss, wo sehr viele auch nicht bereit wären diesen Weg zu gehen.
z.B. würde wohl bis auf wenige Nerds wohl nicht zum Abrufen von Mails nen statt Login nen Zertifikat mit 8k verwenden + 2FA für jeden Abruf oder Versand. Mal von Speziellen Mailclient abgesehen die sowas überhaupt unterstützen würden.
Naja, ich denke, jeder sollte sich klar sein, dass jede Software bugs hat.
Cisco ist gerade negativ aufgefallen. Und wer glaubt, dass AVM das besser im Griff hat?
Letztlich ist vieles heutzutage bei solchen Geräten zudem auch „Open Source“ und das bedeutet nicht gleichzeitig „keine Lücken“.
Wer NAT Einträge macht, muss die Mindestregeln ala IP Whitelisting, Geoblocking etc. kennen und umsetzen.
Sonst darf man sich halt nicht wundern.
Cisco ist gerade negativ aufgefallen. Und wer glaubt, dass AVM das besser im Griff hat?
Letztlich ist vieles heutzutage bei solchen Geräten zudem auch „Open Source“ und das bedeutet nicht gleichzeitig „keine Lücken“.
Wer NAT Einträge macht, muss die Mindestregeln ala IP Whitelisting, Geoblocking etc. kennen und umsetzen.
Sonst darf man sich halt nicht wundern.
Bleiben wir mal beim Thread-Ersteller und seinem Fern-Zugriff auf eine FRITZ!Box. Hier bietet AVM von sich aus bereits 2FA. Und der Zugriff muss nicht dauerhaft freigeschaltet sein. Instruiert man den Bewohner vor Ort, kann er das fallweise freischalten. Oder wenn man selbst unterwegs ist, schaltet man es vorher ein (und nachher wieder aus).
Man kann alles ändern bis auf Telefonie und DNS, woooow, tolles 2FA.
Als wenn wer die Fernwartung regelmäßig an- und ausschaltet, ist genauso wahrscheinlich wie man ja bei Gewitter alle Geräte vom Strom trennt und am besten Hauptsicherung abschaltet.
Genau wenn die Funktion aus ist, möchtest von unterwegs zugreifen, also bleibt die in der Praxis wohl doch eher dauerhaft an.
Als wenn wer die Fernwartung regelmäßig an- und ausschaltet, ist genauso wahrscheinlich wie man ja bei Gewitter alle Geräte vom Strom trennt und am besten Hauptsicherung abschaltet.
Genau wenn die Funktion aus ist, möchtest von unterwegs zugreifen, also bleibt die in der Praxis wohl doch eher dauerhaft an.
Danke für die vielen Antworten.
Hab das jetzt bei fast allen Boxen deaktiviert. Rest folgt sobald dort jemand vor Ort ist (wegen 2 Fa-Bestätigung).
Hab das jetzt bei fast allen Boxen deaktiviert. Rest folgt sobald dort jemand vor Ort ist (wegen 2 Fa-Bestätigung).
Bei mir auch (daheim und im Büro) ständige Anmeldeversuche von der IP 193.46.255.150. Kann man da nicht (auf Providerseite) irgendwas machen und den dauerhaft blockieren - es hinterlässt halt kein gutes Gefühl und nervt...
HarryP_1964
Aktives Mitglied
- Mitglied seit
- 5 Aug 2017
- Beiträge
- 1,876
- Punkte für Reaktionen
- 460
- Punkte
- 83
Seit Samstag ist bei mir Ruhe - vielleicht sind dem "Hacker" die Ideen für Benutzer ausgegangen!
BTW: Wer sagt Dir, dass das die "wirkliche" IP ist?
Harry
BTW: Wer sagt Dir, dass das die "wirkliche" IP ist?
Harry
du hast recht - der letzte Versuch war bei uns auch am Samstag... Ansonsten - klar - könnte auch eine falsche IP sein... wobei ich dann an dessen stelle auch durchwechseln würde was er ja auch nicht tut...
Fauli geht bestimmt dass Anbieter sowas blockt, ob es bezahlen willst… sowas wird nicht für Privat klappen.
NDiIPP
IPPF-Promi
- Mitglied seit
- 13 Apr 2017
- Beiträge
- 9,267
- Punkte für Reaktionen
- 2,151
- Punkte
- 113
Man hat ja nicht umsonst einen (eigenen) Router/IAD mit Firewallfunktionalität… Warum sollen jetzt die Provider diese Funktion übernehmen? Wenn es dich stört einfach den "Internetzugriff auf die FRITZ!Box über HTTPS" deaktivieren. Und wenn du diese Funktion benötigst einfach mit den Meldungen leben, kann doch imo nicht so schwer sein diese zu ignorieren/überlesen (wenn man der Meinung ist man hat u.a. ausreichend sichere Zugangsdaten).
Ich bin auch dafür, dass da was gemacht wird. Es gibt ja schon einige Länder, wo man sehen kann, dass das sehr gut funktioniert: China, Russland, Iran, Türkei, Thailand, ...
kleinkariert
Aktives Mitglied
- Mitglied seit
- 21 Mai 2019
- Beiträge
- 2,310
- Punkte für Reaktionen
- 387
- Punkte
- 83
Nordkorea fehlt da ganz.
Selbstverständlich sollte man meine Kollegen, wenn sie mal wieder in China sind, providerseitig ganz aussperren, Wer benötigt schon E-Mail etc., wenn man Tik-Tok etc. hat? </ironie>
Das kann man schön selbst ganz auf der Anwenderseite machen. Schaut mal, was man alles so bei NextCloud aussperrn kann.
Selbstverständlich sollte man meine Kollegen, wenn sie mal wieder in China sind, providerseitig ganz aussperren, Wer benötigt schon E-Mail etc., wenn man Tik-Tok etc. hat? </ironie>
Das kann man schön selbst ganz auf der Anwenderseite machen. Schaut mal, was man alles so bei NextCloud aussperrn kann.
Neueste Beiträge
-
[Problem] F!B 6591 Bootloop- Letzte: NDiIPP
-
Vorlage für LED500 und Sensor 350, Farbwechsel möglich ?!?
- Letzte: Quarkjoghurt
-
Wie bekomme ich die IKEA FBs Rodret & Styrbar an das Fritz Gateway angemeldet ?!?
- Letzte: Quarkjoghurt
-
Doorbird an Auerswald Compact
- Letzte: nyota
