Ja sowas kann passieren wenn man auf Security by Obscurity setzt

Also um das mal einzugrenzen was ein externer wissen muss.

1. Das du einen HS hast (steht hier im Forum)
2. Das du die AJAX Visu einsetzt. (steht hier im Forum)
3. Port ist warscheinlich auf Port 80(geraten)
4. IP-Addresse von dir (Admins von Foren,Webservern,chat,skype,p2p) oder du hast deinen Zugang irgendwo öffentlich gemacht(Forum,Dacom...)
5. admin.htm (geraten.......)


um das zu verhindern.

1. keine Einstiegsurls verwenden die man eraten kann. (auch der hsav odner muss nicht so heißen)
2. admin und andere Nutzer die keinen Zugang von Aussen benötigen im IP Bereich im HS einschränken, und nur von intern oder über vpn oder über statische IP von extern.
3. SSL vorschalten (Cisco oder Apache-mod_proxy) und Zertifikate verwenden ( suche mal hier im Forum nach mod_proxy)

1. ok
2. ja
3. stimmt (ich sollte den wohl ändern?)
4. da kann keiner was erfahren haben. (ich bin kein Foren Admin, Chatte nie, skype und p2p seit Monaten nicht gestartet und auch kein Webserver) Daher sind die anderen 4 Punkte meiner Einschätzung nach eher unwichtig. Bleibt die Frage, woher er die IP hatte?? dann sind sie es nämlich gar nicht!
5. ja leider

Finde ich dann trotz meiner Fehler recht bedenklich, dass es jemand darauf geschafft hat.

Nennst du die hsav im /proj Verzeichnis einfach in irgendeinname um??


Gruß bernd

Gibt es für den Port irgendwelche Beschränkungen??

kann ich da irgend etwas von 1-1000000 eingeben?

Bernd

Ich meinte nicht das du ein Foren admin bist sondern das die Admins und Moderatoren von Foren(auch diesem) deine IP neben deinem Beitrag sehen. Webserver meinte ich nicht deinen eigenen sondern den von jemand anderem, auch z.B. knx-user-forum.de. Wenn di dort etwas aufrufst ist sowohl in den Logfiles als auch durch Serverseitige Scripte sowohl deine IP als auch dein Referer(die Seite von wo du kommst), die kann z.B. wenn du in der xxAPI XXIFRAME oder XXHTTP verwendest dann ist der Referer http://deineIP/opt/hsav/start.htm nach dem Pfad könnte selbst ein dritter(der nix vom HS weiß) mit google rauskriegen was das ist.
Ja

Danke Nils

habe auf meinem rechner das adon "Noreferer" laufen. Die Referer Geschichte sollte also nicht gehen - oder? Aber der rest könnte ja sein.
Das sag ich aber besser nicht meiner Frau (ist das WAF-Manipulation?? ;-))


Bernd

Nunja, Nils hat bereits auf den Punkt gebracht: Auf was Dacom/Gira hier setzt ist nunmal "Security by obscurity".
Das hat - zurecht - keine guten Ruf; das ganze EIB-Thema ist leider, leider by Design nahezu völlig frei von Gedanken an Netzwerksicherheit Interessieren tut das zwar offenbar kaum jemanden, aber das macht die Sache nicht besser..

Zur Sache:
3) finde ich mit nmap binnen Sekunden heraus. Ports gehen übrigens von 0-65535..
4) Deine IP finde ich auch ganz leicht, da binde ich in einen Post eine Grafik ein, die auf meinen Webserver zeigt; ich will das nicht nochmal zeigen, wenn Du es hier findest solltest Du wissen was ich meine.. In dem Thread (lange bevor ich nen HS hatte!) kann man auch nachlesen, was IMHO bis heute Bestand hat.
5) durchprobieren, (nehmen wir mal an ich wüsste nicht wie es einfacher geht): ein script braucht dafür höchtens ein paar Stunden, egal wie kreativ Du bei der wahl des Dateinamen warst..
Der Noreferrer hilft Dir da auch nur beschränkt (ich müsste ein bisschen länger suchen) und wird IMHO eher solange Probleme bei legitimen Seiten verursachen, bis er abgeschaltet wird.

Fazit: Mein HS wird sicherlich niemals direkt ins Internet "durchgeschaltet". Das ist in diesem Kontext eine Schönwetterapplikation(tm), da gehört IMHO ein Reverse-Proxy mt gescheiter Authentisierung, SSL-VPN oder whatever davor, ohne geht garnicht.
Anders ist nicht zu verhindern dass Nachbarskind oder Hanni und Nanni auch mal Zugriff auf die Visu oder gleich den ganzen Bus haben (wenn sie es denn können und wollen).
(EIBlib und) KNXnet/IP beinhaltet keines der drei essentiellen Sicherheitansätze auch nur ansatzweise (AAA = Authentisierung, Authorisierung, Protokollierung[Accounting]). Das ist IMHO desatrös falsch, aber der HS folgt nur diesem..
Meine Meinung..

Makki

Da kann ich mich Makki nur anschließen.

Bei mir ist nichts direkt erreichbar, sondern alles nur übber SSH Tunnel.
Der Zugriff über SSH ist nicht per Passwort möglich sondern nur über ein Zertifikat.

Ok, es gibt vielleicht auch hier Sicherheitslücken in der OpenSSL Lib, aber da muss man halt sehen,
dass man sein System immer auf dem aktuellen Stand hält.

Ganz sicher ist man IMHO sowieso nicht, da es immer das berüchtigte Katz und Maus Spiel zwischen Hacker und Gegenseite gibt.

Danke Makki (4Uhr26 - ist das seniele Bettflucht:-))

scheinbar bin ich noch zu naiv, was die Hackerei angeht
Die VPN Geschichte, die ich bisher immer aufgeschoben habe ist zügig anzugehen ......

Gruß bernd

Nee, ich nenne das verschobenen Tagesablauf

Ich bin mal so frei, siehe dem PM-Post von MatthiasS

Ich verwendete ein SSL-VPN auf einem Cisco 1812 dafür bzw. IPSec, weil "ehda"; Nun haben vermutlich die wenigsten Normalsterblichen nen Cisco-Router zuhause..

Aber zwecks "eat your own dog food", ist es jetzt OpenVPN.. Reverse-Proxy mit authentisierung und SSL wäre noch ne Sache für den direkten visu-Zugriff, ist bisher aber nur gedanklich realisiert und mal angetestet, weil ichs aktuell schlicht nicht brauche..

Makki