Einlog Versuche von 91.92.255.218
- Ersteller sebbil
- Erstellt am
Ich weiß, sowas wird gerne gemacht, um von Ports abzulenken, die standardmäßig von einem Programm oder Dienst genutzt werden.
Aber, was soll es hier bringen ?
Mach mal einen Portscan von EXTERN auf deinen Rechner bzw. Router. Du siehst dann, das Port 8123 offen ist. Der HA Nutzer weiß natürlich, das es HomeAssistant sein wird. Der Hacker weiß das eventuell nicht. Was wird er also machen ?
http://externe_ip
in seinen Browser eingeben bzw. seinem Portscanner Programm sagen, das es sich mittels http verbinden soll.
Logischerweise wird eine Meldung angezeigt, das die Seite nicht erreichbar ist.
Als nächstes versucht man dann mal per https dran zu kommen.
https://eterne_ip
Auch hier ist die Seite nicht erreichbar.
Nun kann es also sein, das der Port gar keine Webseite dahinter hat oder das man den Port mit angeben muß.
Da Hacker in aller Regel nicht blöd sind, wird er also irgendwann mal
https://externe_IP:8123 eingeben und landet auf der Login Seite von HA.
Nehmen wir nun mal an, ich hätte im Router eingegeben, das der Port 5423 auf den Port 8123 weiter geleitet werden soll.
Der Hacker sieht also, das der Port 5423 offen ist und gibt.
https://externe_IP:5423 ein und landet auf der Login Seite von HA.
Frage: Was hat es uns nun genützt, einen anderen Port zu verwenden ?
Kommt immer darauf an, was ich will, welche Ressourcen mir zur Verfügung stehen.Es scannt aber niemand alle Ports eines Hosts, ausser es ist ein festgelegtes Ziel, somit sind die meisten breit angelegten Massen-Scans schon mal raus
Ich denke, im Zeitalter von Bot Netzen, ist deine Meinung nicht mehr up to date.
Seien wir mal ehrlich. Es gibt 65.535 mögliche Ports bei Windows. Wie lange braucht man wohl, um die alle mal anzutesten ?
Mein Handy hat gerade 65.000 Ports auf meiner IP via Mobilfunk gescannt und dafür knapp 4 Minuten gebraucht. 270 Ports pro Sekunde hat es untersucht. Gefunden wurden 5 offene Ports, unter anderem HA.
Das war ein Handy. Was denkst Du, wie schnell ein PC das hin bekommt und wie viele Full Scnas ein Bot Nets am Tag schafft ?
carsten_h
Well-known member
Dann müsste doch der Einsatz vom Nginx Proxy Manager sinnvoller sein, als den Port 8123 nach außen zu leiten. Dort ist natürlich der Port 443 offen, aber wenn man nur über die IP-Adresse „hereinkommt“, bekommt man ja keine Antwort, denn auch der Name des Rechners muß ja über Nginx stimmen. Ansonsten leitet Nginx ja nicht weiter.
Wenn ich von außen auf meine externe IP Adresse mit https zugreife kommt jedenfalls nur eine Fehlermeldung „Seite kann nicht geöffnet werden, da Safari keine sichere Verbindung zum Server herstellen konnte“.
Wenn ich von außen auf meine externe IP Adresse mit https zugreife kommt jedenfalls nur eine Fehlermeldung „Seite kann nicht geöffnet werden, da Safari keine sichere Verbindung zum Server herstellen konnte“.
Zuletzt bearbeitet:
Stimme ich Dir durchaus zu.
Nur ist bei mir aktuell das Problem, das ich auf manchen Geräten HA nicht erreichen kann, und das, obwohl ich mich im eigenen HomeNetz befinde. Manchmal reicht es zu warten, manchmal dauert es Stunden, bis ich wieder dran komme.
Da will ich momentan nicht noch eine Komponente rein bringen.
Für den Normaluser sehe ich hier das Problem, das er gar nicht weiß, was das ist und was er damit anfangen soll.
Ich habe mir auch nicht angesehen, wie kompliziert die Einrichtung ist.
Es ging mir hier aber auch nur darum, aufzuzeigen, das ein ändern des Port 8123 nach Außen wenig Sinn macht.
Ein nicht alltäglicher Benutzername und ein starkes Passwort sollten schon einen recht guten Schutz bieten.
Benutzername wie Hans, Dieter oder auch Karl-Heinz sind echt unpassend, da diese ganz sicher schon in einer Hackerdatei stehen. Solche Dateien sind teil schon Gigabyte groß und enthalten Millionen möglicher Benutzernamen.
Deswegen hier schon möglichst einen wählen, der nicht so einfach ist. Heins_NAS_Dieter wäre vermutlich einer, der in keiner Hackerdatenbank drin steht.
Beim Passwort gibt es eigentlich einen simplen Trick.
Denkt euch einen Satz aus, den ihr euch leicht merken könnt.
"Unser Hund Bello ist jetzt 12 Jahre alt und wir haben ihn doll Lieb"
Nein, das ist nicht das Passwort, sondern "UHBij12JauwhidL"
Dazu jetzt noch 2, 3 Sonderzeichen
"&UHBij12JauwhidL)"
Und fertig ist ein recht gutes Passwort, was nicht so leicht geknackt werden kann und sicher so auch in keiner Hackerdatenbank steht.
Ich persönlich denke, das man mit diesen Maßnahmen schon recht sicher unterwegs sein kann.
100% Schutz gibt es eh nicht, deswegen von allem immer Backup machen und Fehler in irgendwelchen Programmen können wir eh nicht verhindern, da hilft auch kein VPN oder ähnliches. Deswegen immer schön alle Updates machen.
Nur ist bei mir aktuell das Problem, das ich auf manchen Geräten HA nicht erreichen kann, und das, obwohl ich mich im eigenen HomeNetz befinde. Manchmal reicht es zu warten, manchmal dauert es Stunden, bis ich wieder dran komme.
Da will ich momentan nicht noch eine Komponente rein bringen.
Für den Normaluser sehe ich hier das Problem, das er gar nicht weiß, was das ist und was er damit anfangen soll.
Ich habe mir auch nicht angesehen, wie kompliziert die Einrichtung ist.
Es ging mir hier aber auch nur darum, aufzuzeigen, das ein ändern des Port 8123 nach Außen wenig Sinn macht.
Ein nicht alltäglicher Benutzername und ein starkes Passwort sollten schon einen recht guten Schutz bieten.
Benutzername wie Hans, Dieter oder auch Karl-Heinz sind echt unpassend, da diese ganz sicher schon in einer Hackerdatei stehen. Solche Dateien sind teil schon Gigabyte groß und enthalten Millionen möglicher Benutzernamen.
Deswegen hier schon möglichst einen wählen, der nicht so einfach ist. Heins_NAS_Dieter wäre vermutlich einer, der in keiner Hackerdatenbank drin steht.
Beim Passwort gibt es eigentlich einen simplen Trick.
Denkt euch einen Satz aus, den ihr euch leicht merken könnt.
"Unser Hund Bello ist jetzt 12 Jahre alt und wir haben ihn doll Lieb"
Nein, das ist nicht das Passwort, sondern "UHBij12JauwhidL"
Dazu jetzt noch 2, 3 Sonderzeichen
"&UHBij12JauwhidL)"
Und fertig ist ein recht gutes Passwort, was nicht so leicht geknackt werden kann und sicher so auch in keiner Hackerdatenbank steht.
Ich persönlich denke, das man mit diesen Maßnahmen schon recht sicher unterwegs sein kann.
100% Schutz gibt es eh nicht, deswegen von allem immer Backup machen und Fehler in irgendwelchen Programmen können wir eh nicht verhindern, da hilft auch kein VPN oder ähnliches. Deswegen immer schön alle Updates machen.
blurrrr
Well-known member
Ob PC oder nicht, spielt da eher eine untergeordnete Rolle, Bandbreite wäre ein viel wesentliches Thema, aber egal... Viel wesentlich ist das Thema der Effizienz/Wirtschaftlichkeit.
Ich pack mal eines meiner Lieblingsbeispiele aus... Man ist Einbrecher und hat nun die Wahl:
a) Man sucht sich auf der gesamten Strasse "irgendein" Haus, welches im Erdgeschoss ein Fenster aufhaut und bricht dort ein.
(Breit angelegter Massenscan auf "bestimmte" Ports, wobei man dort auch der Suche nach angreifbaren Dienstversionen ist.)
b) Man weiss genau in welches Haus man einbrechen möchte und es spielt auch kein Rolle, ob es die Kellertür, oder das Dachfenster der Zugang ist. Man sucht solange, bis man etwas gefunden hat, um in das festgelegte Objekt einbrechen zu können.
(Ziel ist festgelegt, nebst Portscans der kompletten Range, kommen auch anderweitige Dinge zum Einsatz wie Phishing, etc.)
Bei Variante a) steht die Performance im Vordergrund. Ein hoher Durchsatz, schnelle Scans, man weiss ja was man zu suchen hat. Dementsprechend sind die Ergebnisse auch recht flott da. Variante b) hingegen erfordert dann doch einiges mehr an Zeit (auf Summe gerechnet) und mitunter auch an Hirnschmalz, vor allem, wenn sich keine offenen Ports finden lassen und man zu alternativen Methoden greifen muss, um sich irgendwie Zugang zu verschaffen. Wenn für den "zu beklauenden" alles tutti läuft, funktioniert keine der ausgewählten Versuche und der Angreifer geht einfach leer aus und das bei einem nicht zu unterschätzenden Zeitaufwand.
Variante b nimmt man also nur, wenn man wirklich zum "Ziel" will und nicht die "total egal, hauptsache irgendwas"-Schiene fährt, wobei letzteres zum Großteil der Fall ist (z.B. um Botnetze aufzubauen, oder sich Jumphosts zu verschaffen). Wobei auch "Ziele" bewusst zwecks Hopping genutzt werden können (grade in der heutigen Zeit), um man wieder der bösen Partei/dem bösen Land "X" die Schuld in die Schuhe zu schieben.
Faktisch geht es in den meisten Fällen aber einfach um die breite Masse, denn "mehr für weniger" lässt sich ja meist besser verkaufen
Es macht derweil auch schon einen Unterschied in der Summe (egal ob Zeit, Geld oder beides). Wenn der Scan ausführlich ist (inkl. Versionsbestimmung des Dienstes), dauert es halt ein bisschen längert und es ist halt schon ein Unterschied, ob Du das jetzt "1x" oder "65535x" machst. 10€ vs. z.B. 10.000€ (inkl. Mengenrabatt) macht halt schon ein "bisschen" was aus... ein bisschen ökonomisch müssen die bösen Jungs auch schon sein, sonst würde sich das ja alles garnicht rentieren.... Das war bisher natürlich nur mit Bezug zu IPv4, von IPv6 wollen wir erst garnicht anfangen, aber...:
Natürlich gibt es Institutionen die sogar regelmässig alles abscannen und jetzt das Highlight: Das ist noch nichtmals schlecht, ganz im Gegenteil! Wäre dem nicht so, würden Provider z.B. ihre CERT-Bund-Reports nicht bekommen, wo durch regelmässige Scans festgestellt wird, ob z.B. offene SQL/RDP/LDAP/etc.-Ports vorhanden sind, oder ob sich ggf. irgendwo Schadsoftware befinden könnten. Kann man aber auch alles nachlesen unter: CERT-Bund-Reports:
Wie heisst es doch so schön: lieber den Spatz in der Hand, als die Taube auf dem Dach.
P.S.: Den ganzen Passwort-Kram hab ich bei mir zum Großteil verbannt - alles im Passwort-Manager und dynamisch generierte Credentials. Zugang zum Passwort-Manager muss halt entsprechend abgesichert werden und fertig. Unterwegs verzichte ich generell auf die Anforderung an meine Passwörter zu müssen.
Ich pack mal eines meiner Lieblingsbeispiele aus... Man ist Einbrecher und hat nun die Wahl:
a) Man sucht sich auf der gesamten Strasse "irgendein" Haus, welches im Erdgeschoss ein Fenster aufhaut und bricht dort ein.
(Breit angelegter Massenscan auf "bestimmte" Ports, wobei man dort auch der Suche nach angreifbaren Dienstversionen ist.)
b) Man weiss genau in welches Haus man einbrechen möchte und es spielt auch kein Rolle, ob es die Kellertür, oder das Dachfenster der Zugang ist. Man sucht solange, bis man etwas gefunden hat, um in das festgelegte Objekt einbrechen zu können.
(Ziel ist festgelegt, nebst Portscans der kompletten Range, kommen auch anderweitige Dinge zum Einsatz wie Phishing, etc.)
Bei Variante a) steht die Performance im Vordergrund. Ein hoher Durchsatz, schnelle Scans, man weiss ja was man zu suchen hat. Dementsprechend sind die Ergebnisse auch recht flott da. Variante b) hingegen erfordert dann doch einiges mehr an Zeit (auf Summe gerechnet) und mitunter auch an Hirnschmalz, vor allem, wenn sich keine offenen Ports finden lassen und man zu alternativen Methoden greifen muss, um sich irgendwie Zugang zu verschaffen. Wenn für den "zu beklauenden" alles tutti läuft, funktioniert keine der ausgewählten Versuche und der Angreifer geht einfach leer aus und das bei einem nicht zu unterschätzenden Zeitaufwand.
Variante b nimmt man also nur, wenn man wirklich zum "Ziel" will und nicht die "total egal, hauptsache irgendwas"-Schiene fährt, wobei letzteres zum Großteil der Fall ist (z.B. um Botnetze aufzubauen, oder sich Jumphosts zu verschaffen). Wobei auch "Ziele" bewusst zwecks Hopping genutzt werden können (grade in der heutigen Zeit), um man wieder der bösen Partei/dem bösen Land "X" die Schuld in die Schuhe zu schieben.
Faktisch geht es in den meisten Fällen aber einfach um die breite Masse, denn "mehr für weniger" lässt sich ja meist besser verkaufen
Es macht derweil auch schon einen Unterschied in der Summe (egal ob Zeit, Geld oder beides). Wenn der Scan ausführlich ist (inkl. Versionsbestimmung des Dienstes), dauert es halt ein bisschen längert und es ist halt schon ein Unterschied, ob Du das jetzt "1x" oder "65535x" machst. 10€ vs. z.B. 10.000€ (inkl. Mengenrabatt) macht halt schon ein "bisschen" was aus... ein bisschen ökonomisch müssen die bösen Jungs auch schon sein, sonst würde sich das ja alles garnicht rentieren.... Das war bisher natürlich nur mit Bezug zu IPv4, von IPv6 wollen wir erst garnicht anfangen, aber...:
Natürlich gibt es Institutionen die sogar regelmässig alles abscannen und jetzt das Highlight: Das ist noch nichtmals schlecht, ganz im Gegenteil! Wäre dem nicht so, würden Provider z.B. ihre CERT-Bund-Reports nicht bekommen, wo durch regelmässige Scans festgestellt wird, ob z.B. offene SQL/RDP/LDAP/etc.-Ports vorhanden sind, oder ob sich ggf. irgendwo Schadsoftware befinden könnten. Kann man aber auch alles nachlesen unter: CERT-Bund-Reports:
Kurzum: Scans allein sind auch kein Weltuntergang, oftmals wird sowas auch einfach nur zu statistischen Zwecken durchgeführt, oder wie im Falle des BSI halt zur Erhöhung der Sicherheit (durch Mails mit Hinweisen an die Betreiber)
Sowas lässt sich konfigurieren und ist nicht nur auf den NPM beschränkt, sondern eher ein generelles Ding bzgl. der Reverse-Proxy-Thematik. Kennst Du den benötigten FQDN nicht, wird es halt schwierig, irgendwelche Infos vom System hinter dem RP zu bekommen. Grundsätzlich aber schon mal richtig
Kümmer Dich vielleicht erstmal darum und zwar im OSI-Modell von unten (L1) nach oben (L7). Verkabelung prüfen, IPs prüfen, ggf. Routing prüfen, DNS/Namensauflösung prüfen.
Das hab ich früher auch gern gesagt, aber das hinkt halt alles ein bisschen (auch Sätze folgen irgendwo gewissen Regeln), denn was meinste, wie oft Kennwörter in z.B. diese Richtung unterwegs sind "#MThLui3Ja!" (#Meine Tochter heisst Laura und ist 3 Jahre alt!"? Alternativ sowas wie "7-4 Jahre alt" für noch mehr Sonderzeichen-Spass. Sicherlich werden solche Dinge nicht in den Top10 der häufig genutzten Passwörter geführt, aber da simma wieder.... Nu haste einen offenen Dienst gefunden... wieviele verschiedene Logins probierst Du durch? Nutzen/Kosten? Auch hier wird definitiv wieder wirtschaftlich agiert, denn alles andere wäre schon ziemlicher Schwachsinn - heisst a) irgendwelchen Standard-Müll, oder b) abgezogene Infos von realen Accounts durchprobieren. Sieht man meist auch, dass die Loginnamen teilweise "typisch" sind (admin, adm, administrator, root, etc.), oder doch eher von irgendwelchen sonstigen Infos stammen (da diese definitiv nix mit dem eigenen Umfeld zu tun haben).
Wie heisst es doch so schön: lieber den Spatz in der Hand, als die Taube auf dem Dach.
P.S.: Den ganzen Passwort-Kram hab ich bei mir zum Großteil verbannt - alles im Passwort-Manager und dynamisch generierte Credentials. Zugang zum Passwort-Manager muss halt entsprechend abgesichert werden und fertig. Unterwegs verzichte ich generell auf die Anforderung an meine Passwörter zu müssen.
