Anmeldeversuche aus dem Internet

Frag besser AVM als Dich.

G., -#####o:
 
Option aktivieren und fünfstelligen Port verwenden kann ganze zumindest erschweren und hält zumindest 08/15 Bots fern welche Standardports probieren.

Solange man selbst Zugreifen kann, können es auch andere, da gibt es hin und wieder auch Sicherheitslücken welche ein Risiko darstellen.

Muss jeder für sich abwegen ob er Dienste freigeben möchte oder nicht.
 
BTW:
Solche Themen sind ja nicht neu, bspw.:

(Vielleicht zusammenführen? ;))

Jedenfalls "ganz normal" wenn man einen Dienst nach außen hin zur Verfügung stellt (und "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" gehört nun mal dazu, egal über welchen Port), damit muss man dann rechnen/leben.

Solange beim entspr. Dienst keine bekannte Sicherheitslücke vorh./ausgenutzt wird (die Software (hier FRITZ!OS), die den jeweiligen Dienst zur Verfügung stellt, also u.a. aktuell gehalten wird was natürlich auch keine 100% Sicherheit bedeutet, ich erinnere da bspw. mal an den "webcm-Gau" von Anfang 2014), man ausreichend sichere Zugangsdaten verwendet (nicht erratbar, nicht zu kurz, sicher vor Wörterbuchangriff oder anderweitig bspw. durch ein Datenbankleck aufgrund mehrfach verwendeter Zugangsdaten unsicher) und das ganze auch mit einem Fail2Ban ähnlichen Mechanismus abgesichert ist (was imo beim hier genannten Dienst der Fritzbox der Fall ist), dann kann bzw. muss man damit wohl auch leben können wenn man diesen Dienst auch von extern nutzen möchte. Ansonsten diesen Dienst nach außen hin einfach nicht zur Verfügung stellen, wenn man ihn nicht braucht.

Aber in (spätestens) einem Jahr haben wir sicherlich wieder ein neues Thema zur gleichen Problematik/Frage… ;)
 
Hab gestern den "Stealth-Mode" aktiviert und verwende einen 5-stelligen Port, aber die Anfragen sind immer noch da
(gleiche IP mit unterschiedlichen Nutzern). Da ich Quasselbüchsen von AMAZON nutze, will ich den Zugriff aus dem Internet
nicht abschalten und werde mit diesen Versuchen wohl leben müssen.

Alle anderen Zugriffe auf das Heimnetz laufen bei mir über myFritz/VPN.

Harry
 
Quasselbüchsen von Amazon & Co brauchen aber keinen Zugriff VON außen!

Die gehen immer nur „raus“ NACH außen.

Da kann die Firewall grundsätzlich erstmal „zu“ sein. Es braucht dafür also keine NAT Regel etc.
 
Wenn ich damit über Sprachbefehle mein SMART-Home bediene sehr wohl.
Dies gilt für die Shelly's als auch die AVM-Produkte über den Dienst hier.

Harry
 
Diese sogenannten "Anmeldeversuche" sind das normale "Rauschen" des Internets. Es gibt genügend gelangweilte Scriptkiddies, die mit heruntergeladenen "Angriffswerkzeugen" ihre Freizeit totschlagen.
Bei von Profis durchgeführten Angriffen wird das kaum einer der hier mitlesenden User bemerken. Wobei es zu bezweifeln ist, dass Profis (vom Staat bezahlte Hacker oder das sogenannte "Organisierte Verbrechen") Zeit und Lust haben, die Router von Privatpersonen anzugreifen.

Wie hier schon in einigen Beiträgen bemerkt wurde, sollte sich jeder fragen, ob es denn wirklich unbedingt notwendig ist, einfache Portweiterleitungen (IPv4) oder Firewallöffnungen (IPv6) zuzulassen. Wer das macht, braucht sich nicht zu wundern!
In dem Moment, wo ich dieses mache, hängt die Sicherheit einzig und allein vom genutzten Passwort ab. Und die allerwenigsten User nutzen gute Passwörter! Und da heutzutage auch kaum jemand sein PW ändert, haben diese "Angreifer" ja auch unendlich viel Zeit.
Letztendlich ist ein gemeldeter Anmeldeversuch ja auch immer ein fehlgeschlagener Versuch => und dieser verlief (in der Regel) ohne Schaden.

Solche Ratschläge, wie die Nutzung fünfstelliger Portnummern ist IMHO nichts anderes als "Sicherheit durch Verstecken". Wie schnell geht es wohl, mit einem geeigneten Tool alle Ports abzuklappern?

Echte Sicherheit kann man nur durch die Anwendung kryptografisch gesicherter Methoden "erzeugen". Ob ich dazu ssh (mit 8K langen Schlüsseln) oder ein modernes VPN wie Wireguard nutze, hängt von den persönlichen Bedürfnissen und natürlich auch Fähigkeiten/Kenntnissen ab.
 
Die fünfstelligen Ports helfen minimal gegen die einfach Port Scans wo nur die üblichen gecheckt werden wie 21,22,23,80,443 usw., aber klar wenn wer alle Ports scannt, da hilft es nicht wirklich.

Und es hängt immer vom Server ab (Sicherheitslücken im kernel, dem Software vom Serverdienst selbst usw.). Und vieles ist halt immer ein Kompromiss, wo sehr viele auch nicht bereit wären diesen Weg zu gehen.

z.B. würde wohl bis auf wenige Nerds wohl nicht zum Abrufen von Mails nen statt Login nen Zertifikat mit 8k verwenden + 2FA für jeden Abruf oder Versand. Mal von Speziellen Mailclient abgesehen die sowas überhaupt unterstützen würden.
 
Naja, ich denke, jeder sollte sich klar sein, dass jede Software bugs hat.

Cisco ist gerade negativ aufgefallen. Und wer glaubt, dass AVM das besser im Griff hat?

Letztlich ist vieles heutzutage bei solchen Geräten zudem auch „Open Source“ und das bedeutet nicht gleichzeitig „keine Lücken“.

Wer NAT Einträge macht, muss die Mindestregeln ala IP Whitelisting, Geoblocking etc. kennen und umsetzen.

Sonst darf man sich halt nicht wundern.
 
vieles ist halt immer ein Kompromiss …
Bleiben wir mal beim Thread-Ersteller und seinem Fern-Zugriff auf eine FRITZ!Box. Hier bietet AVM von sich aus bereits 2FA. Und der Zugriff muss nicht dauerhaft freigeschaltet sein. Instruiert man den Bewohner vor Ort, kann er das fallweise freischalten. Oder wenn man selbst unterwegs ist, schaltet man es vorher ein (und nachher wieder aus).
 
  • Like
Reaktionen: genuede
Man kann alles ändern bis auf Telefonie und DNS, woooow, tolles 2FA.

Als wenn wer die Fernwartung regelmäßig an- und ausschaltet, ist genauso wahrscheinlich wie man ja bei Gewitter alle Geräte vom Strom trennt und am besten Hauptsicherung abschaltet.

Genau wenn die Funktion aus ist, möchtest von unterwegs zugreifen, also bleibt die in der Praxis wohl doch eher dauerhaft an.
 
Danke für die vielen Antworten.

Hab das jetzt bei fast allen Boxen deaktiviert. Rest folgt sobald dort jemand vor Ort ist (wegen 2 Fa-Bestätigung).
 
Bei mir auch (daheim und im Büro) ständige Anmeldeversuche von der IP 193.46.255.150. Kann man da nicht (auf Providerseite) irgendwas machen und den dauerhaft blockieren - es hinterlässt halt kein gutes Gefühl und nervt...
 
Seit Samstag ist bei mir Ruhe - vielleicht sind dem "Hacker" die Ideen für Benutzer ausgegangen! :p:cool:
BTW: Wer sagt Dir, dass das die "wirkliche" IP ist?

Harry
 
du hast recht - der letzte Versuch war bei uns auch am Samstag... Ansonsten - klar - könnte auch eine falsche IP sein... wobei ich dann an dessen stelle auch durchwechseln würde was er ja auch nicht tut...
 
Fauli geht bestimmt dass Anbieter sowas blockt, ob es bezahlen willst… sowas wird nicht für Privat klappen.
 
Kann man da nicht (auf Providerseite) irgendwas machen und den dauerhaft blockieren
Man hat ja nicht umsonst einen (eigenen) Router/IAD mit Firewallfunktionalität… Warum sollen jetzt die Provider diese Funktion übernehmen? Wenn es dich stört einfach den "Internetzugriff auf die FRITZ!Box über HTTPS" deaktivieren. Und wenn du diese Funktion benötigst einfach mit den Meldungen leben, kann doch imo nicht so schwer sein diese zu ignorieren/überlesen (wenn man der Meinung ist man hat u.a. ausreichend sichere Zugangsdaten).
 
Kann man da nicht (auf Providerseite) irgendwas machen und den dauerhaft blockieren
Ich bin auch dafür, dass da was gemacht wird. Es gibt ja schon einige Länder, wo man sehen kann, dass das sehr gut funktioniert: China, Russland, Iran, Türkei, Thailand, ...
 
  • Like
Reaktionen: HabNeFritzbox
Fehlt da nicht noch Nordkorea?
 
Nordkorea fehlt da ganz.

Selbstverständlich sollte man meine Kollegen, wenn sie mal wieder in China sind, providerseitig ganz aussperren, Wer benötigt schon E-Mail etc., wenn man Tik-Tok etc. hat? </ironie>

Das kann man schön selbst ganz auf der Anwenderseite machen. Schaut mal, was man alles so bei NextCloud aussperrn kann.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.