Inwiefern von außen möchtest Du zugreifen? Aus dem Internet?

Via I Phone bzw auch Internet,

Hast Du den Port von dem Du aus dem Internet zugreifst in deinem Router Auf den Port für den Hs umgeleitet ( Standard Port 80 TCP) ?


Sent from my iPhone using Tapatalk

Ich glaub, genau da liegt das Problem, da wir einen Business Anschluss haben und keinen Zugriff auf den Router sprich Portforwarding müssen wir bei der Telekom beantragen die schalten dann die Ports frei, ob die den Port jetzt wirklich freigeschalten haben kann ich nicht sagen.

Das ist so natürlich absolut harikiri! Eine portweiterleitung nach innen bedeutet, dass jeder (also ungefähr eine Milliarde Rechner am Internet) über diesen Port auf den HS zugreifen können.

Es ist allgemein nicht so bekannt, aber es gibt etwa 3 bis 10.000 Portscans pro IP-Adresse pro Tag! D.h. es dauert manchmal nur Minuten bis der erste drauf ist. Wir hatten das erst letztens wieder, Makki hat nur eben was getestet und nach wenigen Minuten war schon der erste drauf der versucht hat einzudringen.

Daher: Es gibt keinen mal-eben-schnell-testen oder mich-kennt-ja-keiner Versuche im Internet. Es sind permanent mehrere zehntausend Hacker / Nachrichtendienste nebst ihren Tools / Viren / Würmer im Internet aktiv und scannen einfach das gesamte Netz nach "Futter" ab.

Verstehe, aber gibt es dann eine andere Lösung?? Wie machen es die anderen? Wenn ich meinen HS bei Gira registriert hab, muss ich dann auch den Port freischalten?

Ja sicher, der Router muss ja wissen auf welches interne Gerät du zugreiffen willst. Der öffentliche Port (im Idealfall irgendwas anderes als 80) musst Du dann auf Port 80 auf die HS_IP routen.

Sehe ich nicht ganz so. Egal welche Port-Nummer du verwendest - die wird immer angesehen... Und wenn die nicht 80 ist, dann nur noch von den gefährlicheren Jungs.

Meinen SSH-Port habe ich von 22 auf was anderes verlegt - und habe trotzdem immer wieder Wörterbuch basierte Zugriffsversuche. Der einzige Unterschied ist der, dass auf Port 22 die Zahl der Versuche deutlich höher war - und die mir so das Log zugespammt hatten.

NEIN, bitte nicht, genau das ist ja Harikiri! Und es ist auch egal, dafür nicht Port 80 zu verwenden, weil auf die "Idee" kommen die Hacker mit ihren Scripts auch, d.h. die fahren sämtliche Ports durch und sehen ob dann was mit http-protokoll antwortet und schon sind sie drin!

Das EINZIGE das hilft, ist eine entsprechende Funktionalität im Router, die ZUERST eine Authentifizierung durchführt (im schlechten Fall mit Username / Passwort [schlecht, weil erratbar / durchprobierbar], im besseren Fall mit Zertifikaten oder noch besser mit Einmalpasswortsystemen). Zusätzlich könnte man es noch verschlüsseln, aber das ist gar nicht so wichtig wie eine SICHERE Authentifizierung. Nach erfolgter Authentifizierung schaltet der Router dann durch.

Einige Systemintegratoren lösen einen solchermaßen Zugriff mit dem Wiregate Multifunktionsgateway (und einer angepassten Konfig durch uns) . Das WG kann sowohl revers-Proxy (also auf Webseiten im Gebäude für Visu usw.) als auch Remote-Access-VPN so dass alles mit IP erreicht werden kann.

Z.B. läuft in einem Freizeitpark in Bayern der Zugriff vom iPhone per PPTP über das Wiregate auf die Visu einer KNX-Installation.

Das läßt sich natürlich auch mit anderen Routern lösen, sei es auf Basis Cisco 8damit verdienen wir übrigens unser eigentliches Geld) oder auf Basis Linux.

Bist du dir sicher das es pptp ist ?

Jep, soweit ich das mitbekommen habe, das iPhone kann out-of-the Box PPTP & MSCHAPv2 oder L2TP/IPSec & MSCHAPv2.

Mit einem Client auf dem iPhone könnte man mehr.

Die Probleme mit PPTP in der ursprünglichem Implementierung von M$ sind natürlich bekannt, aber das wird hier nicht verwendet,

Wir bieten auch IPSec-VPN mit Zertifikaten und RSA SecurID (wir vermieten die zu tausenden inkl. Authentifizierungsservice) optional an, aber das kostet ein wenig mehr und nicht jeder Kunde entscheidet sich für "felsensicher".

Geht mir ja nur darum, dass jedem, der sich zu diesen unsicheren Portverbiegereien hinreißen lassen will auch klar ist welches Risiko er eingeht.

IPSEC geht AFAIK
Cisco Security Expert: How to build iPhone profiles for Cisco VPN | Network World

der DNS-resolver ist jedoch (wie bei den anderen VPN's auch ) broken