Diskussionsforum
Menü

Internet-Provider (mit-)schuld...


10.10.2019 10:55 - Gestartet von a1x
Das ganze Problem liegt doch im Prinzip nur daran, dass die IoT Geräte nicht direkt aus dem Internet erreichbar sind. Und da sind die Provider die Schuldigen. Es macht bei IPv6 technisch nicht wirklich einen Sinn, dynamisch IPv6 Präfixe zu vergeben, von den Adressen gibt es genug. Und da man als Kunde meist ein /56 oder /64 bekommt, hat man genug Adressen für alle Geräte.
Im Moment will einfach kein IoT-Anbieter dem Kunden zumuten, neben dem Gerät auch noch DynDNS, Portweiterleitung, etc. zu konfigurieren, daher verbindet sich das Ding halt von innen nach außen zur Cloud, die dann Proxy spielt. Man erspart dem Kunden die (umfangreiche) Konfiguration und bringt dem Anbieter "Datenreichtum". Es würde auch ohne gehen, aber das würde die meisten Kunden überfordern.
Fehlt dann eigentlich nur noch eine "sichere" Version von UPNP im Router, die aktuelle Variante, alles zu erlauben und halt nicht ist ein ziemlich Sicherheitsloch. Hier wäre ein Option "Gerät darf für seine zugewiesene IPv6 Ports in der Firewall freigeben" hilfreich, um da auch eine sichere automatische Konfiguration zu ermöglichen.
Menü
[1] michaelmess antwortet auf a1x
17.10.2019 13:35

einmal geändert am 17.10.2019 13:39
Benutzer a1x schrieb:
Das ganze Problem liegt doch im Prinzip nur daran, dass die IoT Geräte nicht direkt aus dem Internet erreichbar sind. Und da sind die Provider die Schuldigen. Es macht bei IPv6 technisch nicht wirklich einen Sinn, dynamisch IPv6 Präfixe zu vergeben, von den Adressen gibt es genug. Und da man als Kunde meist ein /56 oder /64 bekommt, hat man genug Adressen für alle Geräte. Im Moment will einfach kein IoT-Anbieter dem Kunden zumuten, neben dem Gerät auch noch DynDNS, Portweiterleitung, etc. zu konfigurieren, daher verbindet sich das Ding halt von innen nach außen zur Cloud, die dann Proxy spielt. Man erspart dem Kunden die (umfangreiche) Konfiguration und bringt dem Anbieter "Datenreichtum". Es würde auch ohne gehen, aber das würde die meisten Kunden überfordern.
Fehlt dann eigentlich nur noch eine "sichere" Version von UPNP im Router, die aktuelle Variante, alles zu erlauben und halt nicht ist ein ziemlich Sicherheitsloch. Hier wäre ein Option "Gerät darf für seine zugewiesene IPv6 Ports in der Firewall freigeben" hilfreich, um da auch eine sichere automatische Konfiguration zu ermöglichen.

Für den Durchschnittsuser dürfte es ausreichen, wenn die Geräte im lokalen Netz erreichbar sind und nicht vom Internet.
Wer mehr will, kann sich auch einfach ein VPN einrichten und so sicheren Zugang haben.

Daß Geräte von außen direkt auf einem Port erreichbar sind, birgt große Gefahren, wenn z. B. Firmware-Bugs (Sicherheitslücken!) vom Hersteller nicht behoben werden oder vorhandene Updates vom Nutzer nicht eingespielt werden.
Viele unbedarfte Nutzer würden der Versuchung nicht widerstehn, es doch zu machen, Hauptsache es funktioniert!
Es wird einfach nicht gelingen, alle Geräte (vom Router, Drucker, IoT, InternetRadio, TV-Receiver, Mobiltelefone, etc.) im lokalen Netz auf einem sicheren und aktuellen Stand zu halten. Ein Einfallstor eröffnet Hackern Möglichkeiten...
Und dann werden irgendwann Geräte massenhaft gehackt und kompromittiert und dann gibt es Folgeprobleme, auf die man ganz gut verzichten kann...

Gerade im Rahmen der neuen Zweifaktor-Authentifizierung, wo Mobiltelefone eine zunehmende Rolle spielen, dürfte da noch einiges an Problemen auf uns zukommen.

Es ist zwar zweckmäßig, daß Port-Forwarding grundsätzlich möglich ist, aber als Nutzer sollte man damit sehr restriktiv umgehen und nicht jeder Anwendung oder jedem IoT-Gerät erlauben, einen Port öffnen.
Menü
[1.1] a1x antwortet auf michaelmess
17.10.2019 18:25
Hallo,

Benutzer michaelmess schrieb:
Für den Durchschnittsuser dürfte es ausreichen, wenn die Geräte im lokalen Netz erreichbar sind und nicht vom Internet. Wer mehr will, kann sich auch einfach ein VPN einrichten und so sicheren Zugang haben.

An die Variante VPN habe ich beim Erstellen des Postings nicht gedacht, du hast Recht, das ist die wesentlich bessere und sicherere Methode als die Portfreigabe.

Ändert aber leider am Problem der dynamischen IP Adressen nicht viel, eine feste IP würde auch VPN vereinfachen. Immerhin braucht man dann dieses unsägliche UPNP nicht mehr. Das Protokoll finde ich ganz böse, einmal "schreiben" aktiviert kann dann jede Malware (fast) jede Routereinstellung ändern.

Alex