Geisterhaus

Bayaro · 3. Juni 2020 um 18:24

Es ist nicht völlig egal wie der Zugriff stattgefunden ht … der Zugriff über eine Portweiterleitung wurde gescannt und ist einfach - aber einen Zugriff über Connect kann man eher schlecht scannen und würde mich deutlich mehr „irritieren“!

Grüße,
Chris

ralf · 3. Juni 2020 um 18:38

Ich hatte ja geschrieben „connect macht das anders“.

Zugriff über connect halte ich für sehr unwahrscheinlich, wenn auch nicht für absolut unmöglich, da mit einem slow brute force Angriff die Buchstaben durchgetestet werden könnten und vorhandene Sicherheitsmaßnahmen unterlaufen werden könnten.

Das würde aber (sehr) lange dauern und hoffentlich meist zu einem passwortgeschützten Webfront führen, bei dem dann noch das Passwort durchprobiert werden müsste.

Nichts ist im Security Bereich unmöglich, deshalb müssen die Hürden möglichst hoch sein.

Bayaro · 3. Juni 2020 um 18:43

Ich arbeite im IT-Bereich, bin da also nicht ganz unbedarft…deshalb wäre die Zugriffsmethode schon interessant - auch wenn ich mir sicher bin, dass es über eine Portweiterleitung ging. Shodan lässt grüßen

Was auch interessant wäre - hat IPS im Connect Dienst auch eine „Sicherheit“ eingebaut? Zum Beispiel eine Überwachung, ob eine IP verschiedene Connects durchprobiert, oder allgemein, ob es „Auffälligkeiten“ beim Zugriffsverhalten über den Connect Dienst gibt - auch hier gibt es ja anonyme Analysemöglichkeiten.

-Chris-

DerStandart · 3. Juni 2020 um 18:45

Ich wollte mit meinem Beitrag ausdrücken, dass ein Webfront mit Passwort zu schützen ist … ohne wenn und aber. Wenn ein Kennwort gesetzt ist, ist es egal worüber der Angreifer kommt, denn er kommt nicht rein.

Aber ich weiß schon, woher der Wind weht …

volkerm · 3. Juni 2020 um 20:19

Im ersten Beitrag ja angeblich doch, trotz Passwort … Ich wollte auch gar nicht theoretisieren, sondern fragen wie hier der Zugriffsweg war. Oder kann man das gar nicht nachvollziehen?

paresy · 3. Juni 2020 um 21:43

Man kann am access.log leider nicht differenzieren zwischen Port Weiterleitung und dem Connect Dienst.

Die lange URL im Connect Dienst bietet jedoch niemals irgendeine Sicherheit. Darauf darf man nicht vertrauen.
Wie es so gerne heißt… Security by Obscurity ist nix

paresy

Bayaro · 3. Juni 2020 um 21:49

Passwort ist natürlich die Grundvoraussetzung und Pflicht Ob es auch mit Passwort eine Sicherheitslücke gibt die einen Zugriff ermöglicht - wer weiß das schon - nichts ist unmöglich

Wenn es eine Portweiterleitung gibt, weiß man das ja und kann sich schon denken wie der Zugriff erfolgte - wenn es keine Portweiterleitung gibt, bleibt nur der Connect.

-Chris-

paresy · 3. Juni 2020 um 22:07

Meiner Meinung nach auch vernachlässigen die Information. Der Connect Dienst ist im weitesten Sinne eine über uns geroutete Port-Weiterleitung. Somit ist der Angriffsvektor fast genau der selbe. Nur die Domain zu erraten ist etwas schwieriger. Wobei die IP zu erraten auch nicht simpel ist

paresy

Bayaro · 3. Juni 2020 um 22:10

Um die IP kümmert sich Shodan ganz von alleine Wenn man eine Firewall bei sich laufen hat, sieht man regelmäßig die Scans von denen

@paresy: Habt ihr im Connect irgendwelche Mechanismen die „aufpassen“, oder wird einfach alles ohne „Kontrolle“ weitergeleitet?

-Chris-

ralf · 3. Juni 2020 um 22:12

Die IP Bänder sind öffentlich dokumentiert, den jeweiligen Providern zugeordnet und jedes Script-Kiddie kann Software zum Portscan aufgerufen.

Oder „professioneller“ Kali-Linux mit allen notwendigen Tools und etwas mehr Know-how-Bedarf ;).

MaLu · 4. Juni 2020 um 09:07

Hallo @all,

interessanter Thread - wobei ich nun sehe - meine natürliche Abneigung gegen Connect Dienst und Port Forwards für IPS irgendwie bestätigt ist. Ich bleibe wohl bei VPN für jegliche Zugriffe nach intern (wobei man da ja auch nen Port Forward braucht .

Grüße,
MaLu

ralf · 4. Juni 2020 um 11:42

VPN ist defintiv die „eher sichere“ Methode, wobei es in der jeweiligen Software auch Lücken geben kann und der Weg über den offenen Port möglicherweise missbraucht werden könnte.

stern · 5. Juni 2020 um 01:25

Hallo,
dazu habe ich einmal eine Frage. Ich habe keinerlei Fernzugriff von außen auf IPS eingerichtet. Bei einem WebFront den ich zum testen benutze ist kein Passwort gesetzt und im Widget „Sicherheit“ ist das Häkchen.

Betrifft das offene Scheunentor (ein WebFront ohne Passwort) jetzt nur Leute mit eingerichtetem Fernzugriff oder jeden?

VG
Thomas

Bayaro · 5. Juni 2020 um 07:24

Hi Thomas!

Betrifft jeden dessen IPS über das Internet erreichbar ist - egal ob über eine eigene Portweiterleitung im Router zu Hause (gefährlichste Variante), oder über den Connect Dienst!
Aktiviertes Connect = Zugriff von Extern auf WebFront möglich (auch ohne eigene Portweiterleitung im Router zu Hause)!

Der Fernzugriff ist nur für den Zugriff auf deine IPS-Console. Selbst bei inaktivem Fernzugriff ist das WebFront über aktiven Connect Dienst (oder eigene Portweiterleitung im Router zu Hause) vom Internet aus erreichbar, weil das 2 verschiedene Baustellen sind.

Viele Grüße,
Chris

DerStandart · 5. Juni 2020 um 07:46

Ich kann mich nur wiederholen: Es gibt keinen Grund, ein WebFront nicht mit einem Passwort zu versehen. Es würde auch niemand auf die Idee kommen, seine Haustür permanent offen stehen zu lassen nur weil man in einer sicheren Gegend wohnt.

Hagbard235 · 5. Juni 2020 um 09:25

Ich hätte aber einen Wunsch @paresy:
Kann man den Webfrontzugang von außen komplett abschalten? Connect abschalten geht wegen z.B. Assistent etc. nicht!

Mir ist es nämlich gerade passiert, dass ich zum probieren mir „mal schnell“ ein Webfront angelegt habe und ZACK ist die Bude für die ganze Welt offen, weil ein neues Webfront ja auch kein Standard-Passwort hat! Natürlich hab ich vergessen nach dem rumprobieren es wieder zu löschen und so Stand bis zu dieser Diskussion, die mich angeregt hat nochmal selber drauf zu schauen, die Tür quasi sperrangelweit offen.

Das mindeste wäre, das ein neues Webfront gesperrt oder per neu genierten Passwort vor Zugriffen von anderen unzugänglich gemacht wird. Lieber wäre mir, ich würde es ganz abschalten können, denn ich nutze die Webfronts nur Intern oder per VPN!

Und alles was ein PW hat, kann geknackt werden. Soweit ich das sehe gibt es ja auch keinen Alarm-Mechanismus oder eine Sperre bei zu vielen Versuchen…

Bayaro · 5. Juni 2020 um 09:31

https://www.symcon.de/service/dokumentation/entwicklerbereich/spezialschalter/
>> Stichworte „MaxLoginAttempts“ und „ServerLogging“

Wie das genau wann greift bin ich mir grad unsicher…

-Chris-

paresy · 5. Juni 2020 um 10:19

@Hagbard235: Ja, wir planen bereits das Standardverhalten vom WebFront dem vom Fernzugriff anzupassen. Ohne Kennwort ist ein WebFront dann standardmäßig nicht aus dem Internet aufrufbar. Es sei denn man setzt dafür explizit einen Schalter der mit einer großen Warnung versehen ist.

paresy

Hagbard235 · 5. Juni 2020 um 12:10

Danke, btw. in der Doku fehlt der Eintrag ProxyWatch

paresy · 5. Juni 2020 um 12:20

Pflegen wir nach. Der ist aber aktuell nur für die RTSP Streams zuständig und liefer mehr Debug Infos

paresy