Denn bzgl. Sicherheit traue ich dem IPS genau NULL.
Das sehe ich vor allem in Bezug auf das Webfront genau so.
haha, darum ging es hier ja nicht.
Wenn du deine Informationen aus IPS in einer HTML Datei zusammenfasst und die als „statische“ Seite auf deinen Internetauftritt legst, dann gibt es keine Verbindung in deine Haussteuerung (höheres Sicherheitsniveau --> niedriges Sicherheitsniveau).
Wenn du dein Webinterface „offen“ nach außen zugänglich machst, auch wenn es „nur lesend“ sein soll, dann öffnest du ein mögliches Einfallstor (ganz schlechtes Sicherheitsniveau --> hohes Sicherheitsniveau).
Die Sicherheit ist natürlich auch vom Betriebssystem-, Webserver-, Router-, Firewall-, … Hersteller abhängig und vom Anwender ;).
Naja, ich hatte ‚egal was‘ nicht auf den Thread bezogen, weil es dann ja nicht ‚egal was‘ wäre 
Michael
IPS ist Endanwender Software und in meinen Augen auf dem Level von Word und Excell. Es ist nicht die Aufgabe von IrfanView oder TotalCommander eine sichere Verbindung herzustellen. Wer diese Anwendungen dezentral nutzen will braucht Freigaben und die müssen geschützt werden. Der in IPS eingebaute Webserver dient dazu PHP Scripte lokal auszuführen und Inhalte lokal darzustellen.
Der Versuch ein gewisses Sicherheitskonzept zu integrieren ist der hohen Nachfrage geschuldet und in meinen Augen komplett inkonsequent. IPS sollte gar keine Sicherheitsmechanismen bieten, die dem unbedarften Anwender ein fälschliches Gefühl der Sicherheit bietet. Wer tatsächlich gar keine Ahnung hat ist mit dem jetzigen Konzept vielleicht aber dennoch besser bedient als gar nichts zu haben. Aber wer sich auskennt sollte sich dringen selbst um seine Sicherheit kümmern. In meinen Augen sollte das in der vollen Verantwortung des heimischen Webseiten-Betreibers liegen. So wie wenn man eine andere, normale Webseite betreibt.
Wie wärs denn wenn du ein Video machst, dass dem DAU erklärt wie er es besser macht? Die Community würde davon profitieren. Ich, zum Beispiel, könnte das auch nicht.
Gruß,
Toni
wer hiermit wirbt (Beispiel):
Fernwartung
IP-Symcon bietet auf der Basis gesicherter Verschlüsselungstechniken die Möglichkeit das eigene Haus aus der Ferne zu überwachen und zu steuern. Somit ist es problemlos möglich von unterwegs die Heizung oder die Sauna hochzufahren, um beim Eintreffen zu Hause ein wohliges Umfeld vorzufinden. Mit Hilfe von Kameras bleiben Sie stets im Bilde und können so gezielt Geräte situationsbedingt schalten.
Erhalten Sie bei kritischen Situationen Warnmeldungen auf Ihrem Smartphone.
suggeriert, dass IPS völlig unproblematisch (überspitzt: ohne weitere Sicherheitsvorkehrungen seitens des Anwenders ) auch remote nutzbar ist. Dann muss man sich nicht wundern, das diesbezüglich auch Wünsche geweckt werden, die wiederum Fragen aufwerfen. Und wenn diese Fragen nicht erhellend beantwortet werden, läuft man eben Gefahr, dass das Thema in Misskredit gerät. Und wer sich auskennt, wird am Ende auch nicht um ein paar Hersteller-Informationen herum kommen.
IPS ist aus meiner Sicht noch immer Freakware (im positiven Sinne). Diese so auf den „normalen“ User loszulassen…ich weiß nich…
Als Hersteller würde ich mich entscheiden: entweder das Thema Sicherheit komplett dem User überlassen (das dann auber auch klar und deutlich deklarieren) oder definierte Rahmenbedingungen nebst Transparenz schaffen. Dass der Hersteller dem User eigene Mitwirkungspflichten nicht abnehmen kann, sollte jedem bewusst sein. Andersrum aber auch nicht.
Nun, sich der „Onlinewelt“ und des „Cloud-Wahns“ zu entziehen wird vermutlich sowohl bei Freaks aber vor Allem bei Normal-Usern für Unverständnis sorgen. Den Zug darf man IMHO nicht verpassen - so sehr er mich, besonders der Cloud-Quatsch, auch ank*tzt. In so einer Produktbeschreibung müssen so viele Buzzwords untergebracht werden wie geht.
Trotzdem. Das Sicherheitsbedürfnis ist ziemlich individuell und nicht mal ich, ich zähle mich mal zu den Freaks, kann einen IPCop vernünftig bedienen. Nicht mein Gebiet, hab ich auch keine Lust zu. Warum sollte einem „Normalo“ also ein Sicherheitskonzept „verordnet“ werden dass einen vor Dingen beschützt von denen er nicht einmal die Problemstellung versteht und zu dessen Wartung er womöglich eh nicht befähigt ist. Viele bekommen es nicht mal gebacken das automatische Update des Virenscanners zu kontrollieren. Diesen Leuten kann man kein Sicherheitspaket verkaufen.
Wer Schreiben will braucht ein Schreibprogramm, wer Haus steuern will braucht ein Haus-Steuerprogramm und wer Sicherheit will braucht entsprechende Sicherheitssoftware. Und gerade weil das so ein komplexes Thema ist muss das jeder im Rahmen seiner geistigen und finanziellen Möglichkeiten wählen.
Edit:
Das Sicherheitskonzept mag ein Kompromiss sein. Aber ein guter Kompromiss zeichnet sich halt dadurch aus, dass alle Parteien in gleichem Maße unzufrieden sind
[QUOTE=Tonic1024;240032
Edit:
…Aber ein guter Kompromiss zeichnet sich halt dadurch aus, dass alle Parteien in gleichem Maße unzufrieden sind
sehr geil
Das halte ich aber für eine etwas zu sehr simplifizierte Darstellung der Realität. Wie Rakete das schon völlig richtig verlinkt hat - wer mit Sicherheit wirbt und Begriffe wie „Sicher-“, „Fern-“, „Remote-“, etc. in der Produktbeschreibung verwendet, sollte zumindest einen Basis-Schutz mitliefern.
U.a. gehören dazu ja auch sicherheitsrelevante Updates. Bei Word oder Excel, um den etwas platten Vergleich zu ziehen, erwarte ich auch, dass der Hersteller entsprechend liefert, wenn Sicherheitslücken im Code auftauchen. IPS ist meiner Meinung nach auf einem guten Weg, auch wenn es beim Thema Security IMMER Verbesserungspotential gibt.
Interessant ist immer, dass die Leutchen oft die Ohren im Bezug auf Sicherheit spitzen, weil eine Hausautomation am Start ist. Da war man „jahrelang ohne Kondom im Internet und es ist nie etwas passiert“ hüstel, aber wenn ein böser Bube das Licht in der Küche über den DSL-Anschluss einschalten könnte … da hört der Spaß auf! 
Zusammengefasst: IT-Sicherheit ist teuer - das meint in diesem Fall außer Geld auch Hinschmalz, Zeit- und Pflegeaufwand. Das Sicherheitsbewusstsein ist allgemein in letzter Zeit aber auf jeden Fall erheblich präsenter geworden und ich bin immer wieder begeistert, wenn sich fast völlige IT-Laien auf ihrer Fritze VPN für den Fernzugriff auf die Hausautomation einrichten. Für den Nicht-IT-Spezi sicher eine sehr gute Wahl.
Cheers
/Jens
Ich finde du denkst hier „zu IT“. Hier wird sich ziemlich deutlich auf Überwachungs-, Einbruch- und Brandmeldesysteme bezogen. Genau so könnte ich jetzt überspitzt fordern, dass ein Sicherheits-Schließzylinder zum Lieferumfang gehören sollte. Klar sollte man den haben und hier wird schließlich mit Sicherheit geworben. Aber wer einen Fensterkontakt, einen Rauchmelder und eine Panikknopf will muss sich den separat besorgen. Genau wie eine VPN-Lösung oder eine Firewall. Ob man sich dann für Baumarkqualität entscheidet oder lieber etwas mehr ausgibt muss dann jeder selbst wissen.
Gleiches gilt IMO für die „gesicherten Verschlüsselungstechniken“. Es sind welche im Einsatz. Denen kann man vertrauen oder die kann man hinterfragen. Ich persönlich würde ohne zu wissen was genau das ist im Zweifel immer lieber selbst für einen sicheren Kanal sorgen. Jedem steht das frei.
Wärst du glücklicher wenn der Satz umformuliert würde? Was würde das am Produkt ändern?
Gruß,
Toni
Unabhängig davon, ob IPS nun ein ausreichendes Sicherheitskonzept liefert oder nicht: der Laie wird es bei fast jedem Konzept schaffen, unwissend eine so große Lücke hineinzureißen, die das komplette System unbrauchbar macht.
Hi Toni!
Wenn du mich zitierst, dann doch bitte komplett und nicht nur einen Satz heraussuchen und dann „darauf losgehen“…
Wie du vlt. gelesen hast habe ich nämlich noch genauer ausgeführt, was ich damit im Bezug auf die Sicherheit bei IPS meine… Also hier nochmal den kompletten Absatz von mir im Zitat und nicht nur einen Satz aus dem Zusammenhang gerissen… Du du du
Also entweder klar sagen >> das ist ein Kundenproblem, macht euch das mit VPN oder sonst wie. Oder aber das Thema Sicherheit im IPS richtig umsetzen und offen kommunizieren! Denn bzgl. Sicherheit traue ich dem IPS genau NULL.
>> Wichtig wäre das offen kommunizieren…
Auch habe ich eine Möglichkeit zum Absichern genannt > VPN … habe aber auch dazu mehr geschrieben. Vielleicht solltest du meinen Beitrag einfach nochmal genauer lesen und verstehen 
Aber wenn du gerne einen Vorschlag bzgl. Sicherheit hättest, dann bitte >> Sophos UTM (nutzen wir in der Firma und ich ebenfalls bei Root-Servern und zu Hause). Eine geniale, mächtige und trotzdem einfach zu bedienende Software und es gibt sogar eine kostenlose Variante die mehr als ausreichend für jede Privatperson und sogar für kleine Unternehmen ist
Grüße,
Chris
Ich möchte nicht, dass sich jetzt mit meiner folgenden überspitzten Formulierung jemand direkt angesprochen fühlt. Insbesondere du nicht, Chris, weil es jetzt aus dem Kontext den Anschein erwecken könnte.
Es gibt intern eine klare Liste von „Tabu-Themen“ für Moderatoren. Darin ist geregelt welche Art von Beiträgen hier geduldet werden und welche nicht. Dazu gehört neben der obligatorischen Nettiquette zum Beispiel auch das Verfahren mit Spam, Bedingungen für den Marktplatz oder der Umgang mit dem Austausch und das veröffendlichen von geschützen Protokollen (reverse engeneeing). Was definitiv nicht drin steht ist das Sicherheitskonzept. Das darf hier frei kritisiert und diskutiert werden. Lösungen um sein Heimnetz sicher zu machen sind sehr Willkommen.
Wo aber in anderen Bereichen haarklein jedes Byte analysiert und für „Dummies“ aufgearbeitet wird, wird beim Thema IT-Sicherheit nur genörgelt und vereinzelnd ein Schlagwort in den Raum gestellt als ob damit alles klar gestellt sei. Das wirkt für einen Außenstehenden manchmal nicht nur arrogant und abweisend, es ist für einen Interessierten manchmal nicht einmal genug für eine Googlesuche. Es gibt, soweit ich weiss, nicht ein einziges von Nutzern angeregtes „Step-by-Step Kochbuch“ zu diesem Thema. Auch wurde mehrfach ein IT-Sicherheitsforum als Unterrubrik gefordert in dem Sicherheitsthemen zusammengefasst werden sollen. Was für Themen denn? Ich habe danach gesucht, aber es gibt effektiv keine nenneswerte Anzahl von Threads, ich würde fast sagen keinen Einzigen, den man „zusammen fassen“ könnte.
Ich bin in Sachen Netzwerktechnik und IT-Security ein echter Laie, bin aber gerne bereit mich der Sache organisatorisch anzunehmen. Solange es aber keine Beiträge, von wem auch immer, gibt die eine echte, einfache und bezahlbare Verbesserung der heimischen Installation versprechen drehen wir uns im Kreis.
Ich bleibe, bis auf Weiteres, bei meinem Standpunkt. Wer ein sicheres Netzwerk will ist gut bereiten bei einem Hersteller für IT-Security Hard- und Software. Dies ist Heimautomation. Wer Automation will ist hier richtig.
Toni
Kann gut sein … gentechnischer Defekt
Grundsätzlich sollte derartiges immer hinterfragt werden, schon weil die Entwicklung ja nicht stehen bleibt.
Ist aber immer auch eine „Kosten-Nutzen“-Geschichte. Da sich nicht jeder einfach mal tiefer mit der Thematik beschäftigen will oder kann ist es doch ein netter Zug (Verkaufsargument?!) des Herstellers, wenn er zumindest schon eine Basis liefert und diese auch in der Produktbeschreibung realistisch darstellt
Nö, warum?
So oder so: nichts! Mein Anliegen war: wir wissen alle, dass IPS eine umfassende Absicherung ALLEINE nicht liefern kann - heißt aber nicht, dass seitens IPS nicht alle Möglichkeiten ausgeschöpft werden sollten um den Sicherheits-Level zu erhöhen.
Cheers
/Jens
Dem gegenüber steht aber die höhere Einstiegs-Schwelle für Leute, die zwar Automation wollen aber nicht in der Lage sind echte Security zu warten und in Betrieb zu nehmen. Wer schon eine funktionierende (bessere) Security betreibt, wäre eh nur genervt alle Einstellungen doppelt machen zu müssen. Ausserdem besteht immer noch ein gewisses Risiko, dass sich die verschiedenen Sicherheitsmaßnahmen der verswchiedenen Systeme gegenseitig aushebeln.
Grad der Laie, der sich gerade so mit hängen und würgen eine Portweiterleitung eingerichtet hat, verkonfiguriert sich dann schnell mal seine „out-of-the-Box-Software“, die er ja ausdrücklich erworben hat. Und in dem Moment könnte ich alle deine Argumente in verdrehter Form gegen deinen Standpunkt verwenden. Schon wieder drehen wir uns nur im Kreis.
Ich hätte absolut gar kein Problem damit, wenn IPS sagt „Sicherheit - nicht unser Thema - muss der Kunde sich selbst drum kümmern“ … aber dieses nicht klar zu etwas Stellung beziehen oder scheinbar zu etwas Stellung beziehen aber dann doch nicht machen oder den Eindruck vermitteln von etwas das nicht der Fall ist … das sagt mir nicht so sehr zu.
Es wird einfach nicht offen genug über das Thema gesprochen. Ich hatte an anderer Stelle mal ein paar Fragen gestellt, welche mir nur „solala“ beantwortet wurden. Das vermittelt nicht nur mir den Eindruck, als wolle man nicht so recht mit der Sprache rausrücken!
Ich wiederhole mich gerne nochmal, ich erwarte nicht, dass IPS eine MEGA SICHERHEITSLÖSUNG bietet, aber ich kann erwarten, dass IPS sagt „wir sichern gar nicht ab“, „wir sichern dies und das auf diese oder jene Art ab“, „dies oder das ist gar nicht abgesichert“, „der Kunde muss noch dies und das absichern, wenn er sein IPS ins Internet stellt“, …
Versteht ihr nicht was ich meine? Ich mein das gar nicht bös, ich erwarte nur, dass die Karten offen auf den Tisch gelegt werden wie wo was genau läuft bzw. nicht läuft. Meinetwegen auch in einem internen Letter nur an Kunden mit Vertraulichkeit oder keine Ahnung…
Grüße,
Chris
PS: Ich bin auch kein super mega Security Pro, aber das muss man auch nicht sein, um zu merken, dass der Sicherheitsaspekt bei IPS nicht korrekt „behandelt“ wird.
Was m.E. sehr helfen würde, wäre mehr Transparenz, über welche Kanäle IPS zu welchem Zweck kommuniziert/kommunizieren kann (Konsole, WEB, JSON etc etc.). Ich hab schon lange den Überblick verloren.
Wenn z.B. im WFC steht:
„Basis Authentifizierung wirkt nur für den speziellen „user“ Ordner bei Webfront Webservern“
kann ich nicht ohne Weiteres erkennen, was genau abgesichert ist und was nicht. Was davon ist für meine Umgebung relevant, wo kann/muss ich besonders aufpassen?
Das ist im Kern das, was ich mit „mangelnder Intransparenz“ meine. Solange ich hier keine Übersicht habe welche Komponenten von IPS mit der Aussenwelt kommunizieren (könnten) - und wie sie das tun, kann ich mir kein Bild machen, ob ich die Software meinen Sicherheitsansprüchen entsprechend korrekt in meine Umgebung eingebettet habe.
Und zu bewerten, ob der Hersteller im Design irgendwo Fehler gemacht hat, kann ich schon gar nicht - darum geht es mir nicht (ich denke, den anderen Beitragserstellern auch nicht).
Und die Schaffung dieser Transparenz kann nur durch den Hersteller erfolgen. Der muss ja irgend ein Konzept in der Tasche haben, welche Komponenten seiner Software Schnittstellen nach außen haben und zu welchem Zweck.
Daraus mögen sich weitere Detailfragen ergeben, aber (zumindest mein) Ziel dieser Übung ist es, für mich als Anwender genau zu verstehen, wie ich IPS auch unter Sicherheitsaspekten in meine, ganz individuelle Umgebung so einbette, dass ich mir nicht aus Unwissenheit Scheunentore aufmache (wäre mir vor ein paar Monaten fast passiert).
Und da braucht sich dann auch niemand wundern, wenn die Fragen dazu im Forum auch mal kritischer und nörgeliger werden.
Sicher gibt es übers Forum verstreut mal hier ein Bröckchen, da mal eine Antwort auf eine spezielle Userfrage - aber eine Zusammenfassung und grafische Aufbereitung des „IST“ finde ich nirgends - und kann diese auch nicht durch Eigeninitiative zusammenpuzzlen.
Ich denke es geht nicht um die Frage „warum arbeitet IP-Symcon so?“ sondern vielmehr: „wie genau arbeitet IP-Symcon?“ (natürlich immer schön im Kontext dieses Threads)
Ich würde mich nicht wundern, wenn es den Security-Spezialisten unter uns (die schon beruflich tagtäglich mit sowas zu tun haben) nicht viel anders geht: man muss ja auf irgend ein Basiswissen (sprich: produktspezifisches Wissen) aufsetzen können - wenn das nicht da ist, kann man nur noch Vermutungen anstellen. Oder so ähnlich.
Vielleicht wird es jetzt etwas „nachvollziehbarer“
Nicht falsch verstehen, aber Ihr habt Euch die Antwort(en) doch eigentlich im Verlauf der Diskussion selbst gegeben:
- über die „Arbeitsweise“ von IPS (im Tenor dieses Freds) gibt es für Eure Ansprüche nur unzureichende Informationen
- generell werden Sicherheitslücken selten vom Hersteller selbst, sondern eher von den Nutzern/der Community entdeckt
- … (Selbst)versuch mach kluch
Folgerung daraus: das „Ding“ gehört nicht ungeschützt ins Internet!
Mögliche Szenarien / infrastruktureller Bezug:
- die Minimal-Sicherheits-Konfiguration wäre https auf einen „offenen“ Port (NAT/PAT) und das vielleicht sogar noch zeitlich begrenzt bzw. mit „Türöffner“.
- besser: VPN und Zugriff auf bestimmte Source-IPs/Ports beschränken
- optimal: sämtliche IP-fähigen Heimautomations-Geräte/Hosts in einem eigenen, Firewall-geschützten Netzsegment, Zugriff sowohl von „innen“ als auch von „außen“ auf das Minimal-Maß beschränkt, Zugriff nur von als „intern“ definierten Adressen/Hosts
Neben den „üblichen Lästigkeiten“ wie das OS und die installierten Komponenten auf dem aktuellen Stand zu halten, regelmäßige Backups durchzuführen (… und mal den einen oder anderen Restore-Test - was nützt das beste Backup wenn man’s im Ernstfall nicht zurückgenudelt bekommt; nebenbei: RAID ist kein Backup!) etc., lässt sich das Ganze beliebig und nach eigenem Gutdünken weitertreiben: Virtualisierung, 2-Faktor-Authentisierung, hin und wieder selbst mal einen Pen-Test durchführen, usw., usw., …
Im Endeffekt muss man versuchen es realistisch, mit eigenem Menschenverstand einzuschätzen:
- wie weit traue ich dem/den Hersteller(n) des Produktes (im „Fall“ IPS halte ich die Produktbeschreibung nicht für überzogen)
- macht ein zusätzlicher, selbst erbrachter Aufwand Sinn bzw. ist er es (mir) wert?
- was wäre denn überhaupt der maximal zu erwartende Schaden/die Folgen bei einem eventuellen Missbrauch (ist mein Aufwand dafür vertretbar?) und wie wahrscheinlich ist es, dass dieser Fall eintritt?
- wie weit reichen meine Fähigkeiten um das Sicherheitsniveau überhaupt entsprechend anzuheben
Ich hoffe ich konnte den Kreis damit zumindest ein wenig aufbiegen
Cheers
/Jens
Und genau hier sind wir wieder am Ursprung der Diskussion. Wo wird Sicherheit „gemacht“? Zuhause beim Endanwender ist die allererste Instanz der Router. Da passieren 80-90% der Gesamtsicherheit würde ich mal tippen. Der Rest wird lokal am Server erledigt. Erster Anlaufpunkt ist dort die Windows-Firewall oder eine alternative Software. An beiden Punkten macht man erst einmal alles dicht. Kein Verkehr rein, kein Verkehr raus. An dieser Stelle ist die Hausautomation - vollkommen ohne Eingriff vom Hersteller - so sicher wie man es einem Durchschnittsanwender zutrauen kann. Das ganz normale surfen am Notebook, und damit auch das Lesen dieses Beitrags ;), ist an diesem Punkt vermutlich die größte Schwachstelle im heimischen Netzwerk.
Router einrichten:
Um jetzt an den Server und das Webfront zu gelangen muss von Hand am Router eine Portweiterleitung eingerichtet werden. Nehmen wir exemplarisch den IPS-Webserver. Der Endanwender legt beliebig viele Instanzen davon an und legt die „Port-Nummern“ selbst fest. Welche Info braucht ihr hierzu vom Hersteller? Diesen Port, den ihr dort eingetragen habt, teilt ihr dem Router mit. Jetzt ist nur dieser eine Port von außen erreichbar und der gelangt nur an eine einzige Maschine. Diese Maschine, der IPS-Server ist gemeint, „wehrt sich“ nun, wenn man ihn an diesem Port beim idlen stört, mit der Startseite vom Webfront. Der Rest des Netzwerks mit all seinen WLAN-Geräten, NAS-Boxen und PCs ist komplett unsichtbar und nicht erreichbar - also immer noch geschützt. Das ist Standardsicherheit. Das hat noch nichts mit IPS zu tun. Alle anderen Ports, die im internen LAN erreichbar sind, die IPS-Konsole oder eure Netzwerkkamera zum Beispiel, würden von außen durch den Router abgeblockt. Niemand kommt da dran. Auch ihr selbst nicht.
Webfront schützen:
Jetzt kann aber jeder, der die IP-Adresse und den Port kennt an das Webfront (aber NUR das Webfront) gelangen. Dafür lässt sich die ganze Kommunikation mit einem Benutzernamen und Passwort sperren (Basis Authentifikation aktivieren). Für 99% der Script-Kiddies und neugierigen Nachbarn ist an dieser Stelle jetzt schon Schluß. Aber wir sind noch gar nicht fertig…
Damit ein Dritter, ein Profi müsste es schon sein, nicht belauschen kann wie wir auf diesem geöffneten Port mit unserem Server kommunizieren, um eventuell Dinge herauszufinden die es ihm erleichtern sich dem Server gegenüber in einer späteren Sitzung für uns auszugeben, können wir diese Sitzung mit SSL verschlüsseln. Da muss man sich kurz einarbeiten. Aber das ist kein IPS-Phänomen. Das Netz hilft da ungemein mit Ratschlägen.
Allein an diesem Beispiel wird deutlich dass der Hersteller gar keine Auskunft über die Ports geben kann. Die Anzahl und die Nummern der Ports legt der User selbst fest. Jedes Mal wenn eine Server-Instanz hinzu geklickt wird, wird ein weiterer Port geöffnet, der dank des Routers von außen nicht erreichbar und somit nicht angreifbar ist. Nichts davon steht in direktem Zusammenhang mit IP-Symcon. Ihr kopiert euch ein Script aus dem Forum, dass einen Server-Socket verwendet. Zack… Noch ein neuer Port offen. Ihr macht das. Niemand ausser euch selbst kann sagen was ihr da alles offen habt.
VPN einrichten:
Jetzt kommen alle die, denen das immernoch zu unsicher scheint. Die vergessen all dies und installieren sich ein VPN iherer Wahl. Informationen dazu gibt es beim VPN-Hersteller. Es wurden bereits verschiedene genannt. Das bewirkt, dass von Außen nichts, aber auch gar nichts, erreichbar ist. Die IP-Adresse, sofern sie dem Angreifer bekannt ist, scheint, ordentlich konfigurierter Router vorausgesetzt, tot zu sein. Ein Handy, Notebook oder Tablet, dass sich am VPN angemeldet hat, scheint für IPS nun wie durch Zauberhand von intern zu kommen, ganz als wärt ihr mit nem langen Kabel direkt an eurem Router/eurem Switch angeschlossen. Diese verschiedenen VPN Softwares gelten gemeinhin als sicher. Aber für viel Geld bekommt man welche die sicherererererer sind als Andere. Das darf jeder selbst wissen wie er das macht.
Wenn diese Ausführung hier und da ungenau/unvollständig sein sollte bitte ich das zu Entschuldigen. Wie ich bereits mehrfach betont habe ich ich kein Fachmann dafür.
Toni
Sehr schön ausgeführt Toni Nur leider mehr oder weniger am Thema vorbei Also zumindest hab ich was anderes gemeint. Die Möglichkeiten mit Router, Ports, VPN, … dürften den meisten bekannt sein - hoffentlich g
Ich geh mal genauer auf deinen Punkt „WebFront schützen“ ein, dass ist ein sehr gutes Beispiel
Wie ich in einem anderen Thread bereits angemerkt hatte, kann man einmal das WebFront selbst mit einem Passwort belegen - ok. Und man kann den /webfront/user Ordner mit einem htaccess schützen - ok. Und die restlichen Ordner /webfront/* sind für jeden frei über den WebFront Port zugänglich - nicht ok. Da wollte ich ein paar mehr Infos zu haben, was steckt in den anderen Ordnern, etwas kritisches? Was ist kritisch? Keine Ahnung, dazu müsste ich mehr über die IPS-Basis wissen… Anfragen dazu wurden mir, wie bereits gesagt, nur „solala“ oder gar nicht beantwortet.
> und DAS steht beispielhaft für das was andere und ich meinen! Ich hoffe, dass ich es damit noch etwas mehr verdeutlichen konnte, dass nicht die Router, Firewall, VPN oder sonst etwas das Problem ist, sondern das von mir beispielhafte genannte „Problem“.
Ich möchte nochmal betonen, ich liebe mein IPS und möchte es nie mehr missen! 
Aber mein genanntes Beispiel und was damit noch so gleichzusetzen ist an Beispielen ist das was auch andere „annörgeln“ …und das ist nicht toll…so von der Art und Weise her…nicht unbedingt von der Technik an sich.
Versteht denn wirklich kaum einer worauf ich hinaus will oder will es einfach nicht verstanden werden? 
Grüße,
Chris
@Tonic1024 Absolut d’accord!
Es ist ja auch nicht immer gleich „Missbrauch“ durch einen Dritten im Sinne von „da hat mir einer meine Heizung abgedreht“. Reicht ja schon wenn einer den Webfront-Port beballert und man selbst dadurch nicht mehr das System erreicht.
Was ich mir (nicht ich persönlich, sondern der geschätzte User im Allgemeinen) jedoch von einem Hersteller noch wünsche ist, dass mir entsprechend deutliche Hinweise an die Hand gegeben werden inwieweit schon für Sicherheit gesorgt ist (wurde im Fred auch bereits angesprochen). Ehrlich gesagt habe ich keine Ahnung ob das hier bereits irgendwo umgesetzt ist, den Teil in der Doku habe ich, da mich IT-Sicherheit schon eine Weile beschäftigt, scheinbar ausgelassen (gibt es den?) Ganz klasse wäre gleich eine Empfehlung/Umsetzung wie man so manche Klippe so gut als möglich umschifft. Salopp gesagt, nicht ausformuliert, hieße das in ganz praktischen, simplen Beispielen …
(1) „Lieber User: solltest Du unverschlüsselt auf Dein Webfront aus dem Internet zugreifen ist das sicherheitstechnisch grober Unfug! - Setze bitte zumindest https ein!“
(2) „nur komplexe Passwörter zulassen“ - zumindest als Option anbieten
(3) eine konfigurierbare Wartezeit nach fehlerhaftem Login
(4) Information per E-Mail wenn Versionen released werden, die sicherheitsrelevante Fixes enthalten
(5) …
(6) …
(7) .
Nur ein paar Punkte zu verschiedensten Unteraspekten mal eben aus der Hüfte geschossen
Klar, es ist immer ein „Eiertanz“ zwischen Sicherheit und Aufwand/Benutzbarkeit. Wenn es allerdings geschickt umgesetzt wird sorgt es für mehr Vertrauen und Transparenz-Gefühl beim Kunden.