Es ist nicht völlig egal wie der Zugriff stattgefunden ht … der Zugriff über eine Portweiterleitung wurde gescannt und ist einfach - aber einen Zugriff über Connect kann man eher schlecht scannen und würde mich deutlich mehr „irritieren“!
Ich hatte ja geschrieben „connect macht das anders“.
Zugriff über connect halte ich für sehr unwahrscheinlich, wenn auch nicht für absolut unmöglich, da mit einem slow brute force Angriff die Buchstaben durchgetestet werden könnten und vorhandene Sicherheitsmaßnahmen unterlaufen werden könnten.
Das würde aber (sehr) lange dauern und hoffentlich meist zu einem passwortgeschützten Webfront führen, bei dem dann noch das Passwort durchprobiert werden müsste.
Nichts ist im Security Bereich unmöglich, deshalb müssen die Hürden möglichst hoch sein.
Ich arbeite im IT-Bereich, bin da also nicht ganz unbedarft…deshalb wäre die Zugriffsmethode schon interessant - auch wenn ich mir sicher bin, dass es über eine Portweiterleitung ging. Shodan lässt grüßen
Was auch interessant wäre - hat IPS im Connect Dienst auch eine „Sicherheit“ eingebaut? Zum Beispiel eine Überwachung, ob eine IP verschiedene Connects durchprobiert, oder allgemein, ob es „Auffälligkeiten“ beim Zugriffsverhalten über den Connect Dienst gibt - auch hier gibt es ja anonyme Analysemöglichkeiten.
Ich wollte mit meinem Beitrag ausdrücken, dass ein Webfront mit Passwort zu schützen ist … ohne wenn und aber. Wenn ein Kennwort gesetzt ist, ist es egal worüber der Angreifer kommt, denn er kommt nicht rein.
Im ersten Beitrag ja angeblich doch, trotz Passwort … Ich wollte auch gar nicht theoretisieren, sondern fragen wie hier der Zugriffsweg war. Oder kann man das gar nicht nachvollziehen?
Man kann am access.log leider nicht differenzieren zwischen Port Weiterleitung und dem Connect Dienst.
Die lange URL im Connect Dienst bietet jedoch niemals irgendeine Sicherheit. Darauf darf man nicht vertrauen.
Wie es so gerne heißt… Security by Obscurity ist nix
Passwort ist natürlich die Grundvoraussetzung und Pflicht Ob es auch mit Passwort eine Sicherheitslücke gibt die einen Zugriff ermöglicht - wer weiß das schon - nichts ist unmöglich
Wenn es eine Portweiterleitung gibt, weiß man das ja und kann sich schon denken wie der Zugriff erfolgte - wenn es keine Portweiterleitung gibt, bleibt nur der Connect.
Meiner Meinung nach auch vernachlässigen die Information. Der Connect Dienst ist im weitesten Sinne eine über uns geroutete Port-Weiterleitung. Somit ist der Angriffsvektor fast genau der selbe. Nur die Domain zu erraten ist etwas schwieriger. Wobei die IP zu erraten auch nicht simpel ist
interessanter Thread - wobei ich nun sehe - meine natürliche Abneigung gegen Connect Dienst und Port Forwards für IPS irgendwie bestätigt ist. Ich bleibe wohl bei VPN für jegliche Zugriffe nach intern (wobei man da ja auch nen Port Forward braucht .
VPN ist defintiv die „eher sichere“ Methode, wobei es in der jeweiligen Software auch Lücken geben kann und der Weg über den offenen Port möglicherweise missbraucht werden könnte.
Hallo,
dazu habe ich einmal eine Frage. Ich habe keinerlei Fernzugriff von außen auf IPS eingerichtet. Bei einem WebFront den ich zum testen benutze ist kein Passwort gesetzt und im Widget „Sicherheit“ ist das Häkchen.
Betrifft das offene Scheunentor (ein WebFront ohne Passwort) jetzt nur Leute mit eingerichtetem Fernzugriff oder jeden?
Betrifft jeden dessen IPS über das Internet erreichbar ist - egal ob über eine eigene Portweiterleitung im Router zu Hause (gefährlichste Variante), oder über den Connect Dienst!
Aktiviertes Connect = Zugriff von Extern auf WebFront möglich (auch ohne eigene Portweiterleitung im Router zu Hause)!
Der Fernzugriff ist nur für den Zugriff auf deine IPS-Console. Selbst bei inaktivem Fernzugriff ist das WebFront über aktiven Connect Dienst (oder eigene Portweiterleitung im Router zu Hause) vom Internet aus erreichbar, weil das 2 verschiedene Baustellen sind.
Ich kann mich nur wiederholen: Es gibt keinen Grund, ein WebFront nicht mit einem Passwort zu versehen. Es würde auch niemand auf die Idee kommen, seine Haustür permanent offen stehen zu lassen nur weil man in einer sicheren Gegend wohnt.
Ich hätte aber einen Wunsch @paresy:
Kann man den Webfrontzugang von außen komplett abschalten? Connect abschalten geht wegen z.B. Assistent etc. nicht!
Mir ist es nämlich gerade passiert, dass ich zum probieren mir „mal schnell“ ein Webfront angelegt habe und ZACK ist die Bude für die ganze Welt offen, weil ein neues Webfront ja auch kein Standard-Passwort hat! Natürlich hab ich vergessen nach dem rumprobieren es wieder zu löschen und so Stand bis zu dieser Diskussion, die mich angeregt hat nochmal selber drauf zu schauen, die Tür quasi sperrangelweit offen.
Das mindeste wäre, das ein neues Webfront gesperrt oder per neu genierten Passwort vor Zugriffen von anderen unzugänglich gemacht wird. Lieber wäre mir, ich würde es ganz abschalten können, denn ich nutze die Webfronts nur Intern oder per VPN!
Und alles was ein PW hat, kann geknackt werden. Soweit ich das sehe gibt es ja auch keinen Alarm-Mechanismus oder eine Sperre bei zu vielen Versuchen…
@Hagbard235: Ja, wir planen bereits das Standardverhalten vom WebFront dem vom Fernzugriff anzupassen. Ohne Kennwort ist ein WebFront dann standardmäßig nicht aus dem Internet aufrufbar. Es sei denn man setzt dafür explizit einen Schalter der mit einer großen Warnung versehen ist.