XT2 und myfritz.net

[2311]

Hallo,

ich will eine XT2 plus über myfritz.net von ausserhalb des heimnetzes erreichen. In der fritzbox habe ich die interne IP der XT2 sowie Portweiterleitung eingetragen.
Bei den IP-Cams klappt es wunderbar, die XT2 ist nicht erreichbar...

Hat jemand eine Idee?

[Torte]

gelöscht

[Torte]

Ja, lass es die XT2 per Portweiterleitung direkt in das Internet zu hängen! Auch wenn Du gute Passwörter vergeben hast, würde ich mich nicht darauf verlassen, das das Linux System auf den XT-Anlagen einem Hackversuch oder DoS-Angriff stand hält.

Besser ist, du machst den Zugriff auf deine XT2 über VPN mit deiner Fritzbox, dazu gibt es bei AVM sehr brauchbare Anleitungen, auch hier im Forum z.B.
http://www.alarmforum.de/Thread-Internet...8#pid62538

[pamp]

Wenn jemand die Anlage hacken wollte, um bei mir einzubrechen, dann stellt sich mir die Frage, woher derjenige wissen will, dass das genau meine Anlage ist. Im Netz nach ner XT2 scannen und die dann hacken OK, wenn jemand Spaß dran hat, kann er die dann lahm legen, aber was nützt ihm das, wenn er den Standort nicht kennt. Und im Webinterface sehe ich ja auch nicht wo die Anlage steht und selbst wenn. Ich hacke doch nicht irgendeine Alarmanlage, versuche dann raus zubekommen, wo die steht und fahre dann dort hin, um einzubrechen. Oder schätze ich das völlig falsch ein?

[Torte]

Das ein Einbrecher erst die Anlage hackt und dann einbricht, halte ich auch für relativ unwahrscheinlich. Ich möchte aber das die Anlage zu jeder Zeit funktioniert und eine Anlage die im Einbruchsfalls abgestürzt ist und nicht alarmiert, weil irgendein Scriptkiddie die Anlage abgeschossen hat, kann ich nicht gebrauchen.

Das Bild meiner eingebundenen Kamera möchte ich auch nicht im Internet haben, deshalb hängt sie auch nicht direkt am Internetzugang. Gerade die diversen IP-Kameras sind bekannt dafür das sie über alle möglichen Wege die Router Firewall umgehen, damit der ach so bequeme Appzugriff funktioniert, einfach mal googeln...

Auch öffnest du dein Netzwerk durch die Portfreigabe quasi für jedermann, der bei einer Sicherheitslücke o.ä. z.B. auf die Dateien deines NAS oder PC zugreifen kann. Profis isolieren eine Alarmanlage vom normalen Netzwerk bzw. hängen sie erst garnicht ins Netzwerk, dann ist sie auch nicht angreifbar.

[jamfx]

Okay, alle genannten Punkte sind richtig. Es sollte also ein Kompromiss zwischen Nutzenbarkeit und Sicherheit gefunden werden. Ich habe es für mich so gelöst, dass ich meinen eigenen DNS genommen habe und nicht von Lupussec. Dann habe ich für alle Geräte wilde Ports ausgesucht, die nicht in der Nähe des Standardports liegen. Ein Angriff auf die Anlage sollte Dank der htaccess-Abfrage höchstens über eine Bruteforce-Attacke machbar sein. Hier konnte Lupussec noch eine Verbesserung vornehmen, die dann bremst. Zum Beispiel Sperre für X Minuten nach y Fehlersuchen. Aber mit ausreichend langem Passwort müsste es eigentlich passen.
Grüße JamFX

[Torte]

(10-10-2016 08:59)jamfx schrieb:  Okay, alle genannten Punkte sind richtig. Es sollte also ein Kompromiss zwischen Nutzenbarkeit und Sicherheit gefunden werden.

richtig, jeder muss sein Sicherheitsbedürfnis selbst einschätzen

Das die Gefährdung nicht nur Theorie ist, kann man hier nachlesen:

http://www.alarmforum.de/Thread-Hilfe-Un...2-via-DDNS
http://www.alarmforum.de/Thread-Hausaufg...ausaufgabe

[jamfx]

@Torte, völlig richtig! Eine VPN-Einwahl ist natürlich optimal und die sicherste Methode. Das verbietet allerdings (fast) die Nutzung der App. Sicher ist, Standardport geht schon mal gar nicht und auch kein Standardpasswort.

Das musste ich meiner Alarmanlagenfirma allerdings auch erst einmal beibringen. Denn die wollten so eine gefährliche Kombination einrichten. Unglaublich. Erst als ich dem sagte, dass ich weder Standardpasswort, noch Standardport wollte, wurde das auf mein mehrfaches Drängen erst geändert. Peinlich³... Wenn du mal schmunzeln und dir vor die Stirn klatschen möchtest --> http://www.alarmforum.de/Thread-Verlust-...Stimmt-das

Grüße
JamFX