Beitrag
von Familienvater » 18.02.2017, 19:31
Hi,
mir fällt grundsätzlich kein Grund ein, warum ich den SSH-Port meiner CCU aus dem Internet erreichbar machen muss, es gibt keine mir bekannte App, die irgendwie von unterwegs per SSH-Port auf der CCU irgendwie sinnvolle Zustände anzeigt.
Ja, man KÖNNTE durch den SSH auch den Zugriff auf die WebUi "tunneln" aber wenn jemand anfängt, auf Mobilgeräten SSH-Tunnel mit Forwarding einzusetzen, dann könnte der genausogut ein VPN einrichten, das ist ungefähr genauso viel arbeit (vielleicht kann man aus einem Zensur-Land wie China leichter einen SSH-Tunnel nach Hause aufbauen, als einen VPN-Tunnel, aber vielleicht muss ich von China aus auch nicht unbedingt das Licht zu Hause an und Ausstellen).
Ja, eine komplett "festgefahrene" CCU kann man evtl. noch über SSH zu einem Neustart überreden, selbst wenn die WebUI per Portfreigabe nicht mehr mit einem sprechen will.
Welche ungefixten "Bugs" in den SSH-Bibliotheken der CCU vorhanden sind, oder ob die "wasserdicht" und auf dem letzten Patchlevel sind, dafür würde ich nie meine Hand ins Feuer legen, deshalb ist für mich auch der SSH-Port der CCU grundsätzlich nicht dem Internet gegenüber zu öffnen.
Ich habe mir auf Shodan als unregistrierter nur die erste Seite der möglichen Kandidaten angeschaut, da sind teilweise auch Portfreigaben auf Port 8181 dabei, auch das ist mehr als gefährlich, der Port verlangt keinerlei Authentifizierung. Darüber kann man zwar nicht einfach per WebUI Blödsinn machen, aber mit jeglichen HM-Scripten auf der CCU rumrutschen, und damit zur Not auch eine Remote-Inventur durchführen lassen. Auch wer glaubt, per Security by Obscurity (Port 1234 von außen auf Port 80 intern weiterleiten, weil das wird schon keiner rausfinden, dann müsste der ja alle Ports durchprobieren) "sicher" zu sein, das ist eine trügerische Sicherheit!
Wie hier und auch in zig anderen Threads schon oft genug geschrieben: Keine Ports (egal ob http, https, ssh, telnet, ftp, ...) von extern im Router per Freigabe auf die CCU intern weiterleiten.
Nur per VPN, oder per Reverse Proxy mit Authentifizierung, wobei dann der Reverse Proxy up2date zu halten ist, für den Fall von heartblead-Lücken etc.
Ich hoffe, das die kostenpflichtigen Dienste sicher sind, diese nutze ich aber nicht, das muss sich jeder selbst überlegen, ob er selbst sein VPN einrichtet, und dabei vielleicht "fatale" Fehler macht, oder ob er das einem Dienstleister überläßt (im Falle von IPv6 Zugängen bzw. wg. der vom Provider zugewiesenen privaten IP evtl. machen muss), der hoffentlich mit der notwendigen "Sensibiltität" mit dem Zugang nach Hause umgeht.
Der Familienvater