IP Adresse eingehend sperren

[Giselher]

...vllt hat es das Thema schon: dann habe ich es nicht gefunden, sondern immer bloß "rauswärts" (und bin für einen Link dankbar).
.
Also: dieselbe Adresse versucht sich mit verschied. Aliasen an meiner FB anzumelden ( 7580, SW7.29, gibt keine neuere)
Habe also "Internet/ Filter/ Liste gesperrter" mit dieser Adresse versehen. ( So schreibt es AVM in seinen Hilfetexten)
Führt zu nix: die Adresse kommt dennoch "durch" und wird mit "Kennwort falsch" abgewiesen.
Mir scheint, dies FB-Einstellung ist nur gut für "rauswärts", also ins Internet.
Bleibt: wie sperre ich "inbound" ohne fremde Hardware?
"Muß" ich gar die 7580 gg eine alte ( noch ältere) 7490 tauschen, weil die es mit "7.50" womöglich könnte?

 

[Benares]

Gibt es bei der 7580 mit 7.29 den unteren Punkt schon?



Ich meine, der wurde erst mit der 7.39er-Reihe bzw. der 7.50 eingeführt.

 

[frank_m24]

Und wenn du die eine IP sperrst, kommt die nächste. Das bringt absolut gar nichts.

Da bleibt nur eins: Mach den Port zu und nutze VPN.

 

[alexandi]

Bei mir ist es seit einigen Tagen die 2.57.121.75

Juckt mich aber wenig, denn mein Passwort ist umfangreich und kompliziert

Und ich hoffe auf 2FA für externen Zugriff

 

[Benares]

Woher kennst du meine Sperrliste?

 

[alexandi]

Grad aus deiner FB kopiert. Nicht gemerkt ?

 

[ip-phoneforum72]

Ehrlich gesagt hätte da AVM viel besser ein Whitelisting integrieren sollen anstelle Blocking.

Man versteht die Berliner irgendwie nie.

 

[Peter_Lehmann]

Ich betrachte das manuelle Sperren ankommender IPs genauso sinnfrei, wie in einem MUA bestimmte Absender von SPAM manuell zu sperren. Beides werden wir garantiert verlieren.
Es gibt bei den (IMHO obsoleten) IPv4 rund 4 Milliarden Kandidaten für eine derartige Sperrung. Von den (zukunftsfähigen) IPv6 will ich erst gar nicht reden.
Jeder, der irgendein Gerät erreichbar ins Netz stellt, kann (wenn er es will und auch dazu in der Lage ist), ständig (!) irgendwelches Anklopfen diverser Bots und Scriptkiddies nachweisen. Man kann das auch das "normale Rauschen des Internet" nennen.
Gerade bei ssh ist das geradezu ein Volkssport.
(Ich habe mal den dummen Versuch gemacht, einen Server mit fail2ban schützen zu wollen, und mir bei jedem Angriffsversuch eine Mail schicken zu lassen. War echt eine sehr dumme Idee!)

Und dann sollte man auch immer im Kopf haben, dass ein abgewiesener Angriff ein misslungener Angriff ist, wenn nicht gerade selbiger ein DOS oder gar DDOS-Angriff ist. Aber davon habe ich bei einem schnöden privaten Internetrouter noch nichts gehört.

Das einzige, was uns schützt, ist entweder ankommende Ports dichtzumachen (also bspw. den Router nicht per https erreichbar zu machen => absolut zu empfehlen!) oder wenn es wirklich "unbedingt notwendig ist", aus der Ferne bestimmte Einstellungen vorzunehmen, ein VPN zu nutzen. Ein gern empfohlenes "Verbiegen" eines ankommenden Ports ist lediglich ein "Verstecken spielen". Es gibt genügend Tools, welche bei bekanntem host (IP bzw. DynDNS-Namen) recht schnell alle geöffneten Ports ermitteln - und dann darauf auch alle gängigen Benutzernamen und PW austesten.
Und dass generell nur richtig gute Passwörter und die Anwendung kryptologischer Verfahren (bspw. bei ssh niemals Anmeldung mit Benutzernamen/PW, sondern nur mit Public Key Authentifizierung) einen Schutz ermöglichen, muss hier ja nicht gesagt werden.

vy 73 de Peter


edit:
Ein Whitelisting zur Erreichbarkeit aus dem Internet? Was glaubst du, wie schnell du eine andere IP hast, welche dann nicht mehr auf deiner Liste steht?

 

[Benares]

Na ja, ganz so düster ist die Welt nun auch nicht.

Ich benutze MyFritz um meine Smart-Home-Geräte über Alexa zu steuern. Dazu nutze ich MyFritz und einen mehr oder minder zufälligen Port. Dahinter ist der Zugriff genau für einen Benutzer erlaubt. Und der hat ein komplexes Passwort und dürfe auch nur Smart-Home-Geräte steuern.



Das läuft so schon sehr lange so und ich hatte nur einige wenige Male fehlgeschlagene Anmeldeversuche darauf, aber die kamen immer von IPs aus dem gleichen Bereich (s. #5). Seit ich diese geblockt habe (und das nun geht), ist Ruhe und das ist schon Monate her.

Und selbst wenn da einer durch käme, könnte er höchstens ein paar Heizkörper-Temperaturen verstellen oder die Rollläden verfahren (selbst probiert).
Ich halte das Risiko für überschaubar, aber ja, es ist da.

 

[NDiIPP]

Dahinter ist der Zugriff genau für einen Benutzer erlaubt. Und der hat ein komplexes Passwort und dürfe auch nur Smart-Home-Geräte steuern.

Das alles nutzt nichts wenn sich wieder so was ähnliches ereignen sollte wie bspw. Ende 2013 bzw. Anfang 2014.

Und selbst wenn da einer durch käme, könnte er höchstens ein paar Heizkörper-Temperaturen verstellen oder die Rollläden verfahren (selbst probiert).

Bei einer entspr. Schwachstelle kann dann wesentlich mehr passieren… Es ist blauäugig davon auszugehen, dass dann nur die freigegebenen Funktionen für den Angreifer zur Verfügung stehen würden.

 

[Benares]

Was war Ende 2013 bzw. Anfang 2014?

Wenn du so willst, dürfte man gar keinen Router mehr betreiben. Es sind ja immer irgendwelche Ports offen, auch wenn man gar keine Portfreigaben/-weiterleitungen verwendet. Wenn man davor Angst hat, müsste man auch den Telefonie- und VPN-Zugang abschalten.

 

[NDiIPP]

Was war Ende 2013 bzw. Anfang 2014?

Der webcm-Bug/Gau.

Wenn du so willst, dürfte man gar keinen Router mehr betreiben. […]

Das habe weder ich noch @Peter_Lehmann behauptet bzw. vorgeschlagen. Man sollte aber nicht zu blauäugig an die Sache herangehen oder versuchen die Dinge quasi "herunterzuspielen" (so wie vielleicht in Beitrag #9) sondern die Gefahren im Hinterkopf behalten und entspr. Vorsichtsmaßnahmen ergreifen. Siehe bspw. #8.

 

[Benares]

Dessen bin ich mir durchaus bewusst.
Komfort vs. Risiko - die klassische Frage

Und wenn ich dann sehe, welche Massen von Diensten andere Benutzer ins Internet freigeben, fühl ich mich absolut sicher.

 

[ip-phoneforum72]

H

edit:
Ein Whitelisting zur Erreichbarkeit aus dem Internet? Was glaubst du, wie schnell du eine andere IP hast, welche dann nicht mehr auf deiner Liste steht?

Natürlich nur mit fester WAN IP.

 

[Peter_Lehmann]

Ein Internetvertrag, welcher dir eine dauerhaft feste IPv4 garantiert, ist aber garantiert nicht relevant für die Leser dieses Forums.
Und ja, solltest du wirklich einen derartigen Vertrag haben, dann ist das für dich eine gute, aber trotzdem keinesfalls die sicherste Lösung.

 

[NDiIPP]

Ob nun relevant für die Leser dieses Forums oder nicht (ich selbst kenne einige Anschlüsse mit fester IP-Adresse). Was hilft eine feste WAN-IP am Anschluss wo die Portfreigabe eingerichtet werden soll? Wenn man dagegen von außen von Anschlüssen aus mit fester IP auf den betreffenden Anschluss zugreift dürfte es sich i.d.R. um eine überschaubare Anzahl an solchen Anschlüssen handeln, warum dann nicht gleich VPN nutzen?

Wenn ich unterwegs bin kann ich mich jedenfalls nicht auf Anschlüsse mit fester bzw. bekannter IP-Adresse verlassen.

 

[Giselher]

Gibt es bei der 7580 mit 7.29 den unteren Punkt schon?

Anhang anzeigen 120934

Ich meine, der wurde erst mit der 7.39er-Reihe bzw. der 7.50 eingeführt.

...stimmt,DEN gibt es bei 7.29 nicht. DANKE, dann ist für mich soweit alles geklärt: muß ich halt doch die 7490 wieder rausholen.

Übrigens ist es bisher "nur" diese eine Adresse, die sich immer "bemüht".