zweite Relaiserweiterung

[marvin78]

Du hälst einen einfachen Login für sicher? Ok. Das wäre er ggf. hinter einem ordentlich eingerichteten Reverse Proxy.

Ich will mich darüber nicht streiten aber einfache Portfreigabe und ein einfacher Login sind nicht gerade Stand der Technik, was die Sicherheit angeht. Und das gilt somit dann für ein gesamtes Netzwerk und nicht nur für die Procon. Für das Update der Procon gilt das gleiche. Damit will ich es aber gut sein lassen. Mir kräuseln sich die Zehennägel....

[Alex]

Ein "ordentlicher" (oder sagen wir mal normaler) Reverse-Proxy leitet am Ende erstmal nur 1:1 durch. Was macht der also "sicherer" am Login auf dem Client, der über eine Portfreigabe erreichbar ist?
Und was hat eine Portfreigabe immer mit dem Rest des Netzwerkes zu tun? Es ist genau dieser eine Port, für diesen einen Client und das entsprechende Protokoll erreichbar... mehr erstmal nicht.

Solange der Router keinen Murx macht (tun sie eher nicht) und Du nicht auf irgendein SSH Scheunentor mit miesen Zugangsdaten leitest, kommst da auch erstmal nicht weiter.

[marvin78]

Wenn du im Netzwerk bist und der erreicht Host nicht isoliert oder eben selbst sehr sicher ist, bist du im Netz. Ich werbe auch nicht für Reverse Proxy, sehe es aber als geringeres Übel an, wenn man die entsprechenden Maßnahmen ergreift. Besser wäre es, komplett ohne Portfreigaben auszukommen UND diese nicht zu empfehlen. Jede Fritzbox kann VPN und das entsprechend sicher. Ich halte es für falsch, jemandem Portfreigaben zu empfehlen. Ohne entsprechende Hinweise drumherum öffnet man damit Tür und Tor und macht Angriffe leichter.

Diese Diskussion gehört aber woanders hin. Das Thema ist komplex aber auch einfach. Portfreigaben vermeiden ist einfach.

[Alex]

...man öffnet aber halt eben nicht Tür und Tor (im Fall der ProCon) ... das is quatsch.

Du hast nen IP Telefonanschluss -> Dein Router hat automatisch ne Portfreigabe für mindestens einen (gerne auch mal mehr) Ports. Und damit is "Tür und Tor offen" und jeder kann Deinem Netzwerk nach belieben rumhacken? Du kannst mit diesen offenen Ports (hier für die Telefonie) auch nichts "im Netzwerk" anfangen.
Den http Port der ProCon frei zu geben bringt Dich "im Netzwerk" auch nicht weiter... Du könntest den Pool steuern, wenn die Zugangsdaten schwach sind... aber sonst - gibt es keinerlei Funktionalität in der Firmware mit der Du irgendwas im Netzwerk machen könntest.

[marvin78]

Das stimmt schlicht nicht. Es sei denn der Pool Controller ist Fort Knox und hat keinerlei Sicherheitslücke (es wäre das erste Comsumer System überhaupt). Woher hast du diese Erkenntnisse? Ein Tor mit Nutzername und Passwort bieten eine Absicherung, die gegen 0 geht. Wenn weiterhin Portfreigabe empfohlen wird, sollte es mit Reverse Proxy und MFA wenigstens etwas abgesichert werden. Sonst ist die Empfehlungen grob fahrlässig. Für das Netzwerk muss man nur etwas Code rein bringen. Mit genügend Energie geht da viel bis alles.

Es ist deshalb ganz ok, weil es nicht weit verbreitet ist und es keine weit bekannten Sicherheitslücke gibt, es vermutlich niemanden mit genügend Interesse gibt. Deine Behauptungen sind jedoch aus Security Sicht schlicht falsch. Vielleicht steckt da auch ein wenig Hoffnung hinter. Das macht es nicht besser. Selbst wenn ich "nur" den Pool steuern kann, kann ich eine ganze Menge anrichten....

[Alex]

>>Es sei denn der Pool Controller ist Fort Knox
Nein, aber ein selbst entwickeltes Realtime-OS, das halt schlichtweg keinerlei Funktionalität in dieser Richtung hat.


Und jetzt erklär mir bitte mal wie ein 08/15 Reverse Proxy den Login in irgendeiner Form "sicherer" macht...? Jeden Login-versuch jedes Brute-Forcing, jeden GET, POST, PUT (was auch immer) Request) ... leitet er einfach nur an das Gerät durch das hinten dran hängt. Da ist 0 zusätzliche "Sicherheit".

[marvin78]

Die Funktion baut man schnell dran, wenn man drin ist. Ich habe ja schon geschrieben, dass man viel Energie bbraucht, die vermutlich niemand aufbringen wird.

Der Reverse Proxy muss etwas Funktionalität bieten (MFA, Firewall, Filter etc.). Wie ich schon schrieb, er muss vernünftig konfiguriert sein. Das ist nicht leicht. VPN nutzen ist leichter.

Worauf ich hinaus will ist aber nicht der Reverse Proxy auf dem du offenbar rum reitest, weil das Thema unangenehm ist, es ist die offene Empfehlung für Portweiterleitung an vielen Stellen. Das halte ich für falsch. Es wird auch auf andere Dinge übertragen.

Nichts für ungut, ich will dir gar nichts. Der Job, den du hier machst ist herausragend. Das Update der Procon gehört jedoch anders gestaltet und für Support muss es einen anderen Weg als Portweiterleitung geben. Dann ist das Produkt das beste auf dem Markt.

[Camper53]

Bei mir funktioniert die zweite Relaiserweiterung vollkommen ohne VPN, Portfreigaben und auch ohne Zugang vom Internet.
Einfach einbauen, die zusätzlichen Geräte anschließen und programmieren.
Bei mir hat auch noch keiner ohne mein Wissen etwas über die ProCon gesteuert und ich habe es auch von keinem anderen Nutzer gehört.
Es kann jeder selbst entscheiden ob ein Zugang aus dem Internet genutzt wird oder nicht. Wem das zu "gefährlich" ist der kann auch eine Poolsteuerung ohne Internetzugang für seinen Pool benutzen. Sicherheitsthemen von Heimnetzwerken sollten in anderen Forum diskutiert werden und haben meiner Meinung nach nichts mit der Relaiserweiterung an der Poolsteuerung zu tun.
Ich bin von der sicheren Funktion der ProCon überzeugt und ich freue mich auf den kommenden Sommer mit dem Pool.

[marvin78]

Wie ich es oben schon sagte. Du hast recht, es ist Off Topic aber durch einen Beitrag zur Portweiterleitung hier ausgelöst. Für mich ist das auch erledigt. Wie es weiter gehandhabt wird, ist mir egal. Ob es generell nur woanders hin gehört und ob man dem User, der ggf nur schnell weiter kommen will, wirklich einfach alles selbst überlassen möchte, halte ich zumindest für fraglich und zu diskutieren. Aber nicht in diesem Thread, da hast du recht. Sorry für's Kapern.

[Alex]

>>Die Funktion baut man schnell dran, wenn man drin ist.
Sorry, das is genauso Käse... Es gibt auch dafür keine Möglichkeit "an die Software irgendwas dran zu bauen", zu verändern oder zu bearbeiten.

>>Worauf ich hinaus will ist aber nicht der Reverse Proxy auf dem du offenbar rum reitest,
Ne, Du hast den Reverse Proxy in den Raum geworfen ... erstmal ohne weitere Bedingung, Konfiguration oder Funktion ... nicht ich.

Und nein, das Thema ist nicht unangenehm.


>>Das halte ich für falsch.
Das mag Deine Meinung sein... die kommt aber halt von der "allgemeinen" Meinung bei manchen, dass man damit Tür und Tor öffnen würde... genauso wie die "allgemeine" Meinung ja auch ist, dass eine https Verbindung ggü. einer http Verbindung ein vermeintlich enormen Zuwachs an Sicherheit bieten würde weil sonst jeder an jeder Stelle alles sofort "mitlesen" könnte (so wird es ja im "allgemeinen" auch suggeriert).

[marvin78]

Reverse Proxy vernünftig konfiguriert habe ich geschrieben. Das bedeutet, dass er die entsprechenden Maßnahmen mitbringt. Wie ich ebenfalls schrieb. Du hast es für dich anders interpretiert. Nichts weiter. Es ist ziemlich klar, dass man nicht nur den Proxy hinstellt. Dann ist der Sinn verfehlt.

Und nein, meine Meinung ist nicht allgemein. Ich beschäftige mich mit solchen Themen täglich im Job. Dass ich so allgemein bleibe, liegt daran, dass ich es nicht für den richtigen Ort halte, ins Detail zu gehen. Und das mit https und http willst du mir jetzt in den Mund legen. Dazu habe ich nie was gesagt. Interessant jedenfalls.

Und so sicher, wie es hier suggeriert wird, ist die Procon aus sich selbst heraus nicht (damit sage ich nicht, dass sie besonders unsicher ist, das ist sie nicht, im Gegenteil. Unsicher wird sie höchstens durch falsche Empfehlungen). Sie steht im Netz. Damit kann man, wenn man will, eine Menge anfangen. Proprietär oder nicht...

[Alex]

Doch ich halte das schon für den richtigen Ort... Wenn Du die Leute "verrückt machst" (mal überspitzt) und Dinge in den Raum stellst die Deiner Aussage nach pauschal "unsicher" sind, dann erkläre sie auch. Wie funktioniert es, was funktioniert und was kann ich damit anstellen? Wie komme ich von einem einzelnen (http) Port an einem Gerät (mal egal ob ProCon, ein NAS oder meinetwegen ein Raspberry) technisch gesehen denn in einem "fremden" Netzwerk weiter... Was kann ich damit alles anstellen, was nicht und wie ist das technisch überhaupt machbar...?


>>Damit kann man, wenn man will, eine Menge anfangen.
...siehe oben... was kann man denn damit anfangen? (und wir reden nicht davon, den Login der Benutzeroberfläche raus zu bekommen)

[marvin78]

Gegenfrage: Bist du die sicher, dass die Software auf der Procon nicht exploitbar ist? Wenn du dir da 100%ig sicher bist, halte ich von nun an die Klappe....selbst wenn ich es anders sehe. Bisher gehst du nämlich auch sehr pauschal über meine Postings. Das ist ok, aber nicht, wenn du eine detaillierte Diskussion verlangst, die wir im Übrigen hier nicht führen können, da fehlt schlicht die Zeit und die Lust zu tippen.

Es geht hier um ein, wie ich schon gesagt habe, geringes Risiko. Nichts desto trotz halte ich eine "pauschale" Empfehlung für Portweiterleitung für Grundfalsch. Meine Erfahrung zeigt, dass ich Recht habe.

Und nein, ich gehe nicht weiter ins Detail. Es ist mir schlicht zu anstrengend und nicht wichtig genug. Ich mache hier auch keine Leute scheu, ich verstehe aber, dass die Angst davor natürlich ein Problem darstellt. Deshalb bin ich ruhig. Sicherheit kann nicht groß genug sein. So lasse ich das stehen. Ich nutze die Procon sehr sehr gerne und halte es für ein herausragendes Produkt. Mich stört nur diese eine Praxis.

[AlPi]

Moinsen alle zusammen ...
ich glaube ich stell mal eine Kanne Kaffee in die Mitte, damit sich alle wieder beruhigen und zum Thema zurück kommen ... denn wellnessmaster hat ein Problem mit seiner Relais Erweiterung und nicht mit einer Port-Weiterleitung ...

Sorry ... aber mit der aktuellen ganzen Diskussion ist ihm nicht geholfen

Schönes Bergfest, AlPi

[Alex]

>>aber mit der aktuellen ganzen Diskussion ist ihm nicht geholfen
...das Thema mit der Extension is ja auch seit Dienstag Abend erledigt.



>>Gegenfrage: Bist du die sicher, dass die Software auf der ProCon nicht exploitbar ist?
Ja bin ich... Du bekommst keinen "zusätzlichen" Code da rein und ans laufen. Auch wenn Du das jetzt scheinbar einfach überträgst von anderen Servern/Geräten mit z.B. nem Linux als underlying - wie schon gesagt: das Betriebssystem hier hat schlichtweg keinerlei Funktionen mit denen man irgendwas anfangen könnte - und Du bekommst da auch nichts "dazu gestrickt".

Du kannst Dich ein paar Monate hinsetzen und ein komplett neues OS schreiben (für nen 50MHz Prozessor dem 64kB RAM zur Verfügung stehen), versuchen dem alles bei zu bringen was Dir später hilft und dann versuchen das auf die Steuerung zu bekommen ... wäre ungefähr so wie wenn Du ein neues OS für 'nen Speedport oder ne Fritz schreibst und den Router dann zu nem Update zwingst ... aber mit dem Betriebssystem das auf der ProCon drauf ist, machst Du nichts - weil es "nichts kann".
In der Zeit die Du da investierst (und der relativ kleinen Chance das Du es überhaupt ans laufen bekommst) hättest wohl auch schon nen Bot auf ein paar Millionen Handys untergebracht und hast wesentlich mehr Daten und "Nutzen" davon.


>>Bisher gehst du nämlich auch sehr pauschal über meine Postings
Eigentlich nicht... Ich wollte von Dir erklärt haben wie Du (rein aus technischer Sicht) über einen http Port - oder auch 5060 für Deine Telefonie (ist ja auch nur ne Portfreigabe) - Dich mal direkt in ein Netzwerk hackst. Dazu wollte ich eigentlich keine Gegenfrage, sondern explizit den Weg wie der hacker-schorsch das anstellt, wenn das über die Freigabe erreichbare Gerät nicht direkt selber "das Scheunentor" ist. Ich kenne keinen... Du brauchst da immer ein Gerät dran das irgendwo ein "Loch" hat und das dann auch noch Funktionalität bieten kann mit der man weiter kommt.