"Zugang auch aus dem Internet erlaubt" gefährlich?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
I

IP-Phone-tom

Neuer User
Mitglied seit
10 Jul 2015
Beiträge
111
Punkte für Reaktionen
4
Punkte
18
Hallo!
Eigentlich habe und will ich aus Sicherheitsgründen keinen Zugriff von außen auf mein lokales Netz (FB 7690).
Die AB-Steuerung in der MyFritz-App finde ich aber inzwischen richtig gut - und komfortabler als die Mail-Weiterleitungen von AB-Nachrichten.
Um die AB-Abfrage von extern zu realisieren, muss man für den Fritz!Box-Benutzer auch den "Zugang auch aus dem Internet erlaubt" aktivieren.

Ich habe einen langen Benutzernamen und ein langes komplexes pw eingerichtet.
Erforderlich empfielt hier:
"- Benutzername des Users mit "Zugang auch aus dem Internet erlaubt" absurd lang und kompliziert machen.
- Kennwort des Users mit "Zugang auch aus dem Internet erlaubt" absurd lang und kompliziert machen."

Welchen Zeichenlänge ist "absurd lang"?

Oder bleibt das trotzdem sehr riskant?

tom
 
Jeder geöffnete Port ist sozusagen ein Sicherheitsrisiko.

Die maximale Länger von Benutzer/Kennwort liegt imho aktuell bei 32 Zeichen, wichtig wäre hier die erlaubten Zeichen weitesgehenst auszunutzen (Buchstaben+groß+klein+Zahlen+Sondereichen).

Am sichersten fährst Du so oder so per VPN (WG nutzt in F!OS eh keine Default-Ports). Den Versand als einfache .wav per eMail finde ich auch wenn es eine coole Funktion/Möglichkeit sein mag, doch schon etwas kritisch, dann wäre der Zugriff auf die GUI per https schon sicherer (da auch hier mittlerweile ein zufälliger Port verwendet wird), wenn man die maximale Sicherheitsstufe des Logins berücksichtig.

PS: online sein ist zwar nicht sehr riskant, aber riskant auf jeden Fall, denn meist kommen die Bedrohungen/Angriffe eh von "innen" durch ein kompromittiertes Gerät, was imho meist deutlich einfacher zu bewerkstelligen, als eine Sicherheitslücke auszunutzen oder blauäugigen Nutzern, welche meinen Admin:Admin wäre ein sicherer Zugang.
 
Auch ein absurd langes und kompliziertes Passwort schützt nicht wenn eine Schwachstelle gefunden wird (wie bspw. Anfang 2014 oder Ende 2023 in FRITZ!OS). Die Schwachstelle muss auch nicht unbedingt in FRITZ!OS auftreten, es könnten auch Lücken auf anderen Geräten ausgenutzt werden wo dann evtl. die dort abgespeicherten Zugangsdaten abgegriffen werden könnten usw…

Lange Rede kurzer Sinn, das Passwort sollte natürlich nicht "simpel" sein und natürlich auch nicht in irgendeiner Passwort-Liste stehen oder leicht erratbar sein . Es muss aber auch nicht gleich "absurd lang" sein, denn es gibt auch eine Art Fail2Ban Funktion. Der Benutzername ist ggf. schon fast unwichtig bzw. sollte nicht als absolutes Geheimnis betrachtet werden.

Auf jeden Fall sollte einem klar sein: Ein Restrisiko bleibt immer. Und das letztlich sogar mit deaktiviertem "Zugang aus dem Internet". Wenn also irgendwo eine Lücke ausgenutzt wird hilft bzw. schützt im Zweifel weder ein "absurd langes und kompliziertes Passwort" noch Fail2Ban. Und ggf. noch nicht einmal ein deaktivierter "Zugang aus dem Internet". Wie so oft ist das eben ein Abwägung zwischen Sicherheit und Komfort…
 
Wie ist das eigentlich mit den SIP-Anmeldedaten, werden die bei "Zugang auch aus dem Internet erlaubt" komplett unverschlüsselt übertragen? In dem Falle sollte man die Verwendung "unterwegs" in offenen Hotel-WLANs wohl unbedingt vermeiden und besser generell VPN verwenden.
WireGuard ist übrigens noch einfacher und automatisierbar geworden, wenn man die WG Tunnel App verwendet.
 
Zuletzt bearbeitet:
stoney schrieb:
Den Versand als einfache .wav per eMail finde ich auch wenn es eine coole Funktion/Möglichkeit sein mag, doch schon etwas kritisch, dann wäre der Zugriff auf die GUI per https schon sicherer (da auch hier mittlerweile ein zufälliger Port verwendet wird), wenn man die maximale Sicherheitsstufe des Logins berücksichtig.
Zum Vergrößern anklicken....
Danke!
Wie meinst du das? Was ist da "etwas kritisch"? Meinst Du, dass Dritte die Sprachnachrichten (.wav-files) mitlesen können? Oder wie sollte jemand durch eine von der FB versandte E-Mail auf die FB zugeifen können ...?

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

NDiIPP schrieb:
Wie so oft ist das eben ein Abwägung zwischen Sicherheit und Komfort…
Zum Vergrößern anklicken....
Danke!

Nach euren Hinweisen habe ich mich doch wieder für die etwas weniger komfortable und damit aber sicherere Variante entschieden und "Zugang auch aus dem Internet erlaubt" wieder deaktiviert.

Wireguard VPN ist auch unter iOS (hier gibt es keine WG Tunnel-App, oder?) schon sehr komfortabel (Mensch kann nie genug davon bekommen ;)) . VPN "an" und gefühlt 1 sec später bin ich auch unterwegs im lokalen Netz und kann Nachrichten vom AB über die MyFritz-App abrufen.
 
Zuletzt bearbeitet von einem Moderator:
Erforderlich schrieb:
Wie ist das eigentlich mit den SIP-Anmeldedaten, werden die bei "Zugang auch aus dem Internet erlaubt" komplett unverschlüsselt übertragen?
Zum Vergrößern anklicken....
Kommt auf die verwendete Authentifizierung an. Weiß gar nicht ob FRITZ!OS die BasicAuth (das SIP-Passwort wird dabei unverschlüsselt übertragen) überhaupt zulässt, müsste man mal probieren…
Grundsätzlich kann jedenfalls bei FRITZ!OS auch bei unverschlüsseltem SIP das Passwort verschlüsselt (gehasht) übertragen werden (DigestAuth).

Aber selbst mit DigestAuth würde ich SIP unverschlüsselt zur eigenen Box per Hotel-WLAN o.ä. nur sehr ungern verwenden wollen.


IP-Phone-tom schrieb:
Wie meinst du das? Was ist da "etwas kritisch"?
Zum Vergrößern anklicken....
Bei den Push-Mails von FRITZ!OS gibt es leider nach wie vor keine Ende zu Ende Verschlüsselung:
https://www.ip-phone-forum.de/threads/wünsche-für-neue-firmware-features.97726/post-2330171
https://www.ip-phone-forum.de/threads/wünsche-für-neue-firmware-features.97726/post-2216033
 
IP-Phone-tom schrieb:
keine WG Tunnel-App, oder?
Zum Vergrößern anklicken....
Wie du schon geschrieben hast, ist die iOS-WireGuard-App schon komfortabel genug, was auf die offizielle recht spartanische Android-App leider nicht so richtig zutrifft. Klartext: Die Aktivierung "on demand" wie bei der iOS-App fehlt einfach und da setzt WG Tunnel u.a. an.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 501 (Mitglieder: 34, Gäste: 467)

Neueste Beiträge

Statistik des Forums

Themen
246,508
Beiträge
2,253,266
Mitglieder
374,323
Neuestes Mitglied
bmre6561
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück