IPS Steuerung über Internet

Um nun auch noch meinen Senf dazu zu geben: Die Sicherheit muss immer in Relation zu den Kosten und Benutzbarkeit stehen.

• IPCop ist supper, braucht man aber extra Rechner mit 3 NICs.
• VPN ist klasse, schränkt die Nutzbarkeit aber ein um „schnell“ mal die Heizung hoch zu drehen.

Leute, ich bin auch vom Fach, kann aber Toni hier nur zustimmen. Überlegt euch, WAS ihr eigentlich schützen wollt!

Definitiv gehören keine vertraulichen Daten auf den Rechner mit IPS. PHP ist ein mächtiges Werkzeug was einem Tür und Tor öffnen kann. Btw, Tür und Tor… eine Türöffner gehört auch nicht auf ein IPS, wenn es von aussen erreichbar ist!
Und wie ihr alle richtig sagt: Es gibt keine 100% Sicherheit - aber warum auch? Selbst wenn jemand mein IPS-Rechner einnehmen sollte? was dann? Soll er halt meine Heizung ausschalten und meine Lichter anschalten. Wie schnell ist denn die Internetleitung getrennt? Kabel raus, fertig!
Und nach spätestens 24h hab ich eine neue IP - Solange derjenige nicht mein dyndns-nick kennt - findet er mich nie wieder im weiten Netz!

Die Gefahr sich beim Surfen im Netz irgend welche Viren oder Würmer über Exploids einzufangen ist glaube ich 10.000 mal größer - und HIER kann richtiger Schaden entstehen.

Sicherheit ist gut und wichtig, keine Frage! Aber Leute, bitte mit Verstand. Übertreibt es nicht und haltet euch im Hinterkopf WAS dann im schlimmsten Fall passieren kann (nicht viel) und WER sollte den überhaupt Interesse daran haben? Wenn euch einer nicht leiden kann, habt ihr eines Morgens Kratzer im Lack - aber kein Mensch wird Stunden und Tage damit verbringen euer IPS zu hacken - IMHO !

Moin,

interessante Diskussion.
Ich habe letztens aus dem Urlaub heraus mal den remoten Zugriff über die Konsole/Dashboard probiert auf meinen IPS-Server zu Hause probiert.
Das ist schon extrem praktisch - hab festgestellt dass ich in einem Zimmer die Heizung nicht runtergedreht habe und dies mal eben schnell nachgeholt.

Bzgl. der Sicherheit war mir aber auch mulmig.
Ich habe IPCop im Einsatz, der IPS-Server hängt aber (noch) nicht in einer DMZ, sondern ganz normal mit allen anderen Rechnern (Clients und NAS) in einem LAN-Segment.
Ich werde mein IPCop demnächst definitiv auf ein 3. Interface für eine DMZ erweitern und meinen IPS-Server dort reinstellen.
Das Ding ist nichts anderes als ein Windows-Recher, der aus dem Internet erreichbar ist und birgt somit IMHO ein hohes Gefährdungspotential.
Klar sind auf dem IPS-Server keine vertraulichen Daten gespeichert, auf dem NAS z.B. aber schon.
Und wenn ich auf den IPS-Server komme, dann komme ich auch weiter.

Es geht ja nicht darum, dass ein Hacker das Licht ein- und ausschalten kann (obwohl, bei mir läuft ja das ganze Heimkino über IPS - fände ich schon nicht so toll wenn im Urlaub die ganze Woche der Beamer läuft…), sondern diesen als Einstiegspunkt für weitere Hack-Versuche zu nutzen.
Der Hinweis auf wechselnde IP-Adressen ist hier wenig hilfreich, wenn erstmal ein Trojaner auf der Kiste drauf ist, dann nimmt der ja von innen mit Aussenwelt Kontakt auf, nicht umgekehrt. Spätestens dann nützt es herzlich wenig die IP gewechselt hat.

Ich stimme zu, man kann es auch übertreiben - aber sich mal ein wenig Gedanken zu machen und einen kleinen Stromspar-Rechner mit IPCop hinzustellen und sein Netzwerk mal ein wenig zu struktuieren halte ich für nicht übertrieben.

Dyndns ist kein Garant dafür dass man die Webseite nicht findet. Ich hatte in den letzten 2 Wochen 6 BruteForce „Angriffe“ aus China auf meinen lokalen FTP über meine Dyndns Addresse die eigentlich niemand kennt und die nirgends im Netz zu finden ist.

Naa? Wie haste denn das bitte festgestellt? Meinst du nicht vielleicht, dass deine IP ge-port-scannt worden ist? Das ist vollkommen normal. Nicht nett, aber normal.

Toni

Moin,

naja, er meinte ja wahrscheinlich dass nach einem IP-Wechsel der ursprüngliche Angreifer halt nicht an der gleichen Stelle weitermachen kann, weil sich hinter der ihm bekannten Adresse nun eben nicht mehr der selbe Rechner (Netz) verbirgt.

Aber wie Toni schon sagte - Deine Beobachtung ist völlig normal. Ich werde schon unruhig wenn ich mal 2 Tage mal keinen Angriff beobachte

Ein Scan ist kein Angriff, auch wenn die Panikmacher ala Norton das gern so verkaufen. Ist eher eine Art statistische Erhebung.

Naja, das ist für mich so wie das Rütteln an Türen und Fenstern.
Wenn die beim ersten Versuch aufspringen, dann wird der Rüttler auch mal einen Blick in´s Haus werfen.
Insofern ist es für mich zumindest ein versuchter Angriff - man macht das ja nicht ohne Grund.

Wenn du so willst, dann ist ein Portscan eher das „übern Zaun gucken“ von der Straße aus um festzustellen ob dein Haus überhaupt Fenster hat. Der Scan allein gibt nämlich noch keine infos darüber ob man von dort aus weiter kommt.

Ein offener Port ist keine offene Haustüre. Bloß weil ich weiss, dass du deinen PC, der im Internet ist, zum surfen im Internet nutzt (wofür auch sonst), komm ich ja noch nicht weiter.

Alles richtig - nur geschieht das alles eben mit der bösen Absicht beim Auffinden einer Schwachstelle weiter zu forschen und eben ultimativ tatsächlich einzubrechen.
Insofern ist für mich eben auch das „übern Zaun gucken ob das Haus Fenster hat“ bereits ein Angriff. Warum macht jemand das? Eben nur in böser Absicht.
Es sei denn er ist tatsächlich vom Statistischen Bundesamt und macht eine Erhebnung über Häuser ohne Fenster…

Stimmt. Aber eben nicht bei dir speziell sondern bei allen angemeldeten IP-Adressen. Deine Tore müssten auffällig offen stehen um aus der Masse an Daten als lohnendes Ziel herauszustechen. Ein Schwarm Fische schützt sich auf die selbe Art und Weise vor Fressfeinden.

Dazu kommt, dass die IP-Adressen blockweise gescannt werden und du tatsächlich alle x Stunden eine neue IP bekommst. Der Hacker müsste also, wenn er sich Abends hunderttausende von offenen Ports anschaut, ausgerechnet deinen auspicken und deine IP müsste noch immer stimmen und dann müsste er immernoch den Dienst bestimmen und eine Idee haben wie man damit kommuniziert. Und selbst dann hat er nur das herausgefunden was du sowieso freiwillig von dir preis gibst.

Nachtrag:
Wenn bei dir Port 4842 offen ist wird ein Hacker annehmen dass dort ein „nCode ICE-flow - Service“ läuft und eine „nCode ICE-flow - Attacke“ fahren. Falls es soetwas gibt, er diese Methode kennt und die Mittel hat sie einzusetzen. Die wird aber ins leere laufen weil IPS eben nicht „nCode ICE-flow“ ist und keine „nCode ICE-flow - Schwachstellen“ besitzt - falls es Schwachstellen gibt und diese bekannt sind…

Spätestens hier wird er aufgeben, weil hier ein Sonderfall vorliegt, in den er viel Zeit und Schweiß investieren müsste ohne Aussicht auf Erfolg und ohne Aussicht auf „guten Lohn“. Wie immer der für ihn auch aussehen mag. Die nächste IP klappt vielleicht auf anhieb und er hat hunderte zur Auswahl.

In Wirklichkeit wird es aber wahrscheinlich so laufen: Ein Hacker hat aus der Scene von einem Sicherheitsleck im XYServer2009 gehört. Hat sich in der Gruppe einen sogenannten Exploit (ein Stück Schadcode) getippt und sucht nun Möglichkeiten sein Werk anzuwenden. Er weiss, dass XYServer2009 über Port 123 im Netz erreichbar ist. Nun scannt er alle IP-Adressen, die er finden kann und sucht sich explizit die heraus auf denen XYServer2009 installiert ist. Das erkennt er am offenen Port 123.

Wenn also jemand eure Ports scannt, dann sucht er etwas. Wahrscheinlich aber nicht euch. Er attakiert euch auch nicht. Das wäre erst der nächste Schritt wenn ihr in sein Suchmuster passt.

Wenn auf eurem Server Outlook oder WinXP SP1 läuft (als Beispiel) ist das wohl mehrere 1000 mal gefährlicher weil es deutlich verbreiteter ist als IPS, weil Sicherheitslücken bekannt sind in die er einhaken kann und weil davon ausgegangen werden kann, dass noch einige ungepatchte Systeme irgendwo laufen. Und um diese Systeme zu finden wird jeder, der von einem Hacker zufällig oder systematisch gefunden wird, nach bestimmten, ihm (dem Hacker) bekannten, Schwachstellen abgeklopft.

Toni

[Edit](„nCode ICE-flow“ ist zufällig ausgewählt - keine Ahnung um was es sich dabei handelt - fand den Namen irgendwie stylish)[/Edit]

Na gut, Toni,

darauf können wir uns einigen
Mein IPS kommt trotzdem in eine DMZ.

Absolut keine Einwände…