Hacker Doci1989 zu Ostern zu Besuch

[markus249]

Hallo Michael,
ja, das Zert in https nützt nix, das ist mir klar.
Ich habe bestimmte öffentliche IP-Adressen in der CCU erlaubt, damit ich aus einem Cloud-Service (Integromat) über die Fritzbox auf die CCU zugreifen konnte. Ich betreibe eine FeWo und am An- und Abreisetag, der sich aus einem Kalender ergibt, stelle ich die Temp-WErte dann auf 20 bzw. 15 Grad.
Der Troll kann aber nicht einfach eine Source-Adresse vorgaukeln, so einfach geht das mit dem Routing nicht.
Ich vermute eher, dass die "Whitelist" in der CCU nicht sauber funktioniert. Ärgerlich, aber das ist zunächst sekundär.
Markus

[MichaelN]

White list in der CCU? Wenn er bis zur CCU kommt, ist es eh zu spät. Die Whitelist muss in deinem Router sein!

[cmjay]

Ich vermute eher, dass die "Whitelist" in der CCU nicht sauber funktioniert.

Es ist ziemlich wurscht, was du in der Firewall der CCU einstellst. Es gibt Angriffsvektoren an der Firewall vorbei.
Nur um keine noch so unwahrscheinliche Option unversucht zu lassen: Hattest du SSH aktiviert? Mal diesen Zugang probiert?
Und nur zur Sicherheit die Nachfrage: Du greifst gerade aus dem lokalen Netz auf die CCU zu, nicht per Cloudmatic oder VPN? Nicht dass da der Hund für das Timeout begraben liegt.

[markus249]

Good to know. Das hätte ich mal vorher wissen sollen..

[MichaelN]

Ich verstehe nur nicht, warum man parallel zum VPN noch eine Portweiterleitung anlegt.

[markus249]

Ich verstehe nur nicht, warum man parallel zum VPN noch eine Portweiterleitung anlegt.

Michael, möchtest Du helfen oder tadeln?
Ich hatte es m.E. beschrieben. Das VPN nutze ich, aber die Cloud kann kein VPN zu meiner CCU aufbauen.

[blackhole]

Es ist ziemlich wurscht, was du in der Firewall der CCU einstellst. Es gibt Angriffsvektoren an der Firewall vorbei.

Tatsächlich?

Bei meinen Versuchen mit der Original-Firewall habe ich diese per WebUI-Konfiguration wie gewollt abdichten können.
Wie sah denn Deine Konfiguration aus, bei der Du festgestellt hast, dass nicht zugelassene Zugriffe, trotz deiner Einstellungen möglich waren?

Nicht dass ich ein Freund der WebUI-Firewall wäre, aber so löchrig wie du sie beschreibst, ist sie nun auch wieder nicht.

[cmjay]

Bei meinen Versuchen mit der Original-Firewall habe ich diese per WebUI-Konfiguration wie gewollt abdichten können.

Nach deinen Forenbeiträgen zu urteilen traue ich dir durchaus zu, dass du mehr IT- und Netzwerk-Kompetenz als ich besitzt. Vielleicht habe ich mich zu blöd angestellt.
Aber ich frage mal umgekehrt (ganz ehrlich und ohne Zynismus): kannst du ruhigen Gewissens empfehlen, die CCU per Portweiterleitung und entsprechend konfigurierter CCU-Firewall ins Netz zu stellen? Bist du dir sicher, dass mit "richtig" konfigurierter CCU-Firewall einem Hack ausreichend vorgebeugt ist?

[blackhole]

Vielleicht habe ich mich zu blöd angestellt.

Das wage ich ohne Weiteres nicht zu beurteilen, daher frug ich nach deiner Konfiguration.

Deine Aussage, dass es, egal was man in der Firewall der CCU einstellt, Angriffsvektoren an der Firewall vorbei gibt, klingt danach, dass Du eine entsprechende Expertise hast. Und genau das interessiert mich aus offensichtlichen Gründen natürlich.

[cmjay]

Und genau das interessiert mich aus offensichtlichen Gründen natürlich.

Ich habe die Absicht hinter deinen so feinsinnig formulierten Fragen schon sehr genau verstanden. Und ich glaube nicht, dass du auch nur im Entferntesten erwartest, von mir noch etwas lernen zu können.
Da die Kompetenzfrage aus meiner Sicht als geklärt angesehen werden kann, würde ich dich bitten, deine wasserdichte CCU-Firewall-Konfiguration hier einzustellen damit andere Leser, die mit einer Portweiterleitung auf ihre CCU liebäugeln, davon profitieren können.