https sichere Verbindung bers Internet an welchen Port?

[casi]

Hallo,

ich erreiche meine Lupus XT2 übers Internet über einen ddns Anbieter den ich schon immer nutze. Auch der Zugriff über Lupus ddns funktioniert, nur steht im Browser natürlich nur http. Wäre eine https Verbindung nicht sicherer? Leider finde ich im Handbuch nichts darüber Bei meinem NAS sind die Ports immer angegeben über denen man wahlweise mit http oder https zugreifen kann. Gibt es so einen Port bei der XT2 auch?

Gruß.

Dirk

[smith007]

Ich hab leider keine Lupus von daher kann ich dir das nicht ganz genau beantworten.

Https (SSL) wird i.d.R. immer über Port 443 abgewickelt.
Ist jetzt die Frage ob die XT2 auch SSL kann.
Wenn nicht kannst du keine https Verbindung zur XT2 aufbauen.

Was passiert denn wenn du anstatt http https eingibst?

Gruß Christian

[pamp]

Die XT2 kann kein https. Nur die XT2 Plus und die XT3.

[PeterF]

Wenn du über das Internet zugreifst dann solltest du das über eine VPN-Verbindung tun, das ist viel sicherer.
Gruß PeterF

[casi]

Morgen,

es ist eine XT2 Plus. Also muss ich über den 443 Port ran?

In der Lupus Anlage unter Netzwerk/UPNP den Port 443 eintragen ?
In der Fritzbox den Port 443 an Port 80 weiterleiten?

und dann im Browser https\\(ddns Adresse):443 eingeben?

Habe gerade noch mal geschaut, habe schon 443 in der Anlage eingetragen. Trage aber im Broser https\\(ddns Adresse):53080 ein und es geht. In der FritzBox hebe ich bisher nur 53080 an 80 freigegeben. Eigentlich dürfte das doch gar keine Verbindung geben?.

Gruß.

Dirk

---

Doch was in der Anleitung gefunden.

Also den dort vorgeschlagenen Port 8080 an Port 443 in der Fritzbox.

In der XT2Plus 443 als ext Port und nun geht es. Im Browser steht jetzt auch https aber bei Firefox muss ich doch eine Ausnahme der Sicherheit hinzufügen. Ist das nun sicherer oder nicht. Sollte ich den Port 8080 in einen anderen tauschen?

Gruß.

[bastelheini]

Du musst per Portfreigabe/weiterleitung einen externen Port auf die interne IP der XT2+ auf Port 443 einstellen.

Ich rate aber generell davon ab, die Alarmanlage ins öffentliche Netz zu routen. Auch nicht per HTTPS!

Du schreibst, du hast eine Fritzbox? Ein halbwegs aktuelles Modell? Die haben eine eingebaute VPN-Funktion, die man mit aktuellen Smartphones gut nutzen kann. Ein VPN ist quasi eine Art verschlüsselter Tunnel in dein internes Netz zu Hause.

https://avm.de/service/vpn/tipps-tricks/...inrichten/

https://avm.de/service/vpn/tipps-tricks/...inrichten/

Jeweils ab Punkt 2, dieses myfritz Geraffel braucht man nicht, du hast ja schon einen dyndns-Dienst angebunden. Die bessere Wahl!

Über dieses VPN kann man dann auch sicher in öffentlichen WLANs surfen, z.B. Hotel, Bahnhof usw... Die Daten werden durch den verschlüsselten Tunnel über deinen DSL-Anschluss geroutet. Ein Datendieb im gleichen WLAN kann dann also nicht sehen, was du machst.


> Im Browser steht jetzt auch https aber bei Firefox muss ich doch eine Ausnahme der Sicherheit hinzufügen. Ist das nun sicherer oder nicht. Sollte ich den Port 8080 in einen anderen tauschen?
Das ist normal, denn da ist ein "selbst-signiertes" SSL-Zertifikat installiert. Das geht nicht anders, denn Zertifikate müssen zu einer öffentlichen Domain gehören, die XT2 hat aber keine (wie alle derartigen Geräte).

Ich würde auch stehts zu Hause die Verbindung per SSL benutzen.

[casi]

Danke Dir,

das hat mir geholfen. Eine VPN Verbindung habe ich auch schon. Habe so viele Verbindungsmöglichkeiten das ich den Überblick verloren habe. :-)

Das mit dem VPN ist etwas mühselig für mich aber machbar, für meine Frau eher nicht.

Also wenn ins Netz nur verschlüsselt, besser aber nur per VPN.

Mal sehen, ob ich jetzt alles sperre.

Gruß.

Dirk.

[smith007]

Nun https sagt nur aus, dass die Verbindung zur XT2 plus verschlüsselt wird.
Es verhindert nicht, dass auch andere versuchen könnten Zugriff darauf zu bekommen.
Https bitte nicht verwechseln mit alles ist sicher keiner kommt auf meine Anlage.

Um auszuschließen das nicht Hinz und Kunz mal eben mit irgendwelchen Attacken
oder einer Sicherheitslücke versucht Zugriff zu bekommen,
nimmt man eine VPN-Verbindung.

Wie bastelheini und PerterF schon richtig sagten ist VPN sehr ratsam.
Vielen ist nicht bewusst das sie nur mit einer Portweiterleitung aus dem öffentlichen Netz ohne VPN
auch anderen damit Zugriff auf die Anlage ermöglichen.
Das Problem hier ist, dass die Anlage direkt angesprochen wird.

Internet bedeutet das jeder auf dem Globus da die Türen abklappert und schaut was machbar ist.
Ich denke das wirst du sicher nicht wollen. Auch wenn bisher augenscheinlich nichts passiert ist
ist das ein sehr hohes Risiko. App-Zugriff bequem von überall ist zwar schön und gut aber in dem Fall
eine verdammt riskante Sache.

Ich kann es nie genug betonen das im Grunde EMAS nix im Internet zu suchen haben.
Wenn es unbedingt sein muss dann zumindest mit geeigneten Schutzmaßnahmen wie VPN.
Und ja es mag etwas komplexer sein und ggf. auch "umständlicher" aber was nutzt dir dann deine Anlage
wenn sie auf einmal rumspinnt oder im Worst-Case deine Bude ausgeräumt ist
aber die Anlage aus ist, weil da jemand grade was über das Internet bei dir rumschraubt.
Da wirst man vielleicht etwas in Erklärungsnot kommen und sich ggf. von anderer Seite erklären lassen müssen
was die bösen Buben so alles auch aus dem Internet anstellen können.

Bitte das jetzt nicht falsch verstehen aber leider wird dieser Aspekt viel zu wenig betrachtet und auch gerne unter den Teppich gekehrt.
Tu dir selber einen Gefallen und nutze die Möglichkeiten die machbar sind.
Schau ins Netzt und du wirst zig aktuelle Sachen finden was alles wieder gehackt wurde oder wo sich wieder
Sicherheitslücken aufgetan haben von denen noch keiner bisher wusste.

Die Anlage von außen erstmal bis auf weiteres dicht zu machen,
wie du erwähnt hast, ist schon mal der Schritt in die richtige Richtung.

Gruß Christian

[Torte]

Genau, wenn Zugriff von Aussen dann nur über VPN. Das lässt sich mit ein paar Kniffs auch so einstellen, das bei Aufruf der App automatisch VPN aufgebaut wird.

Zumal mein Firefox beim https Zugriff immer meckert, das nicht alle Teile der Seite sicher übertragen werden. Von daher würde ich da dem https Zugriff nicht vollständig vertrauen.

[smith007]

Ja wenn die Seite nicht alle Komponenten die sie nachlädt via SSL gehen, hast du so eine Meldung.
Scheint als wenn da die SSL Unterstützung nicht ganz sauber implementiert wurde.
Wenn du im FF die Netzwerkanalyse anschaust siehst du welche Komponenten es sind.

Nun HTTPS bzw. eine SSL Verbindung hat u.a. die Aufgabe das "Man in the Middle" Attacken verhindert werden sollen.
Also das da einer mitlauscht um es mal einfach auszudrücken.
Das ist der eigentliche Sinn darin, dass nur die Quelle und das Ziel die Daten sehen aber alle Stationen dazwischen nur kryptische Zeichen sehen.
Mal eben eine Man in the Middle Attacke im eigenen Heim Netz zu bewerkstelligen ist nicht ganz einfach aber machbar.
Das aber im öffentlichen Netz auszuführen ist schon ne ganz andere Nummer.
Da haben die bösen Jungs es im Grunde auf ganz andere Ziele abgesehen.

Nun im Zeitalter von Edward Snowden sind wir da ja nun hoffentlich sensibler geworden.
Und wenn wir die Möglichkeit einer SSL Verbindung haben sollten wir sie auch nutzen.
Kostet nix aber ist wieder eine Hürde mehr für einen potentiellen Eindringling oder Mitlauscher.

Hat mal jemand geschaut wie lange das Zertifikat bei den XT gültig ist?
Werden die auch über ein Firmware Update ausgetauscht bzw. verlängert?
Ich habe jetzt keine sondern nur eine OASIS aber würde mich mal schon interessieren.

Gruß Christian