# Fernzugriff via DYNDNS



## mike_roh_soft (26 Februar 2012)

Hallo zusammen,

ich hoffe mal das Thema ist hier richtig angesieselt...

Das Thema wurde DYNDNS schon mehr mals behandelt.
Zum Thema Sicherheit habe ich mir etwas überlegt und würde gerne eure Meinung dazu haben.

Ich habe eine Haussteuerung auf der ein Webserver mit meiner Visu läuft.

Wenn ich nun via DYNDNS meine Haussteuerung erreichen will gehe ich wie folgt vor:
1. Webserverport von 80 auf z.B. 34259 ändern
2. Portforwarding des Webservers an der Fritzbox einrichten
3. DYNDNS Eintrag erstellen z.B. 13254673456.dyndns.org <-> aktuelle IP meiner Frtzbox
4. Unterordner "myVisu" mit den html-seiten erstellen, statt direkt im root-verzeichnis abzulegen
5. Nicht index.html als Startseite sondern einstieg.html (damit muss man die html-seite direkt im Browser eingeben und nicht nur den Verzeichnisnamen)
6. Die einstieg.html prüft als erstes ob der User angemeldet ist. Falls nicht kommt ein redirect zu einem LoginFenster. Benutzname und PW sind auf der Steuerung fest hinterlegt.

Jetzt kommt die Frage:
Ist das (13254673456.dyndns.org:34259/myVisu/einstieg.html) nicht schon sicherer als meine Logindaten bei der Bank?
Benutername: 13254673456.dyndns.org
PIN: 34259

Wenn jemand meine DYNDNY Adresse, Port, Unterordner und einstiegsseite kennt, kommt er auf meine Haussteuerung. Daort muss er sich aber auch noch einloggen.

Wie sicher würdet ihr das einstufen?
Damit ist zwar die Nutzung der Visu recht gut geblockt aber der Zugriff auf den Webserver trotzdem offen.
Ist das gefährlich?

Danke Mike


----------



## Matze001 (26 Februar 2012)

Hallo,

du kannst deinen Webserver auf Port 80 (oder 8080) weiter betreiben. Das hat für dich Vorteile wenn du in deinem Lokalen Netzwerk unterwegs bist, denn dann musst du deinen Port nicht mit anhängen.

Die Fritzbox unterstützt es einen Port an einen anderen weiterzuleiten. So könntest du Port 3141592 extern auf Port 80 intern weiterleiten.

Die Sicherheit ist immer so eine Sache. Nichts ist 100% sicher. Wenn du es anders Lösen würdest, und jemand würde alle nötigen Informationen wissen, ist es mit der Sicherheit auch dahin!

Wenn du sagst das Benutzername und Kennwort fest auf dem Webserver hinterlegt sind, dann hoffe ich das sie das nicht in Klartext, sondern mindestens MD5-gewandelt sind, weil du sonst mit der information wie die Datei heißt, und wo sie liegt, diese einfach im Browser anzeigen kannst.

Vielleicht willst du dir auch mal .htaccess angucken. Das könnte ein zusätzlicher Schutz sein!

Ich hoffe das ist erstmal Information genug, wenn nicht immer her mit den Fragen!

Grüße

Marcel


----------



## mike_roh_soft (26 Februar 2012)

Hi,

stimmt ich kann ja einen externen Port auf den internen 80er umleiten.. das war von mir zu quergedacht - danke!

Die Zugangsdaten liegen nicht auf dem Webserver sondern in der Haussteuerung/Beckhoff-SPS als Stringvariable unverschlüsselt. Darauf sollte aber keiner zugreifen können.

.htaccess geht nicht weil der Beckhoff Webserserver kein PHP beherrscht. Sonst könnte man ja einfach das Verzeichnis damit schützen...

Ich habe mit dem Beckhoff Webserver einfach keine Möglichkeit serverseitig die Zugriffe von außen einzuschränken, oder?

Danke


----------



## Matze001 (26 Februar 2012)

Ich kenne mich leider mit Beckhoff nicht so gut aus! Daher kann ich dazu nicht viel sagen.

Eine alternative Idee wäre es, Verbindungen von Außen nur über einen VPN-Tunnel zuzulassen.
D.H. Die Rechteverwaltung passiert mit dem VPN-Server, und du brauchst dir mit deiner Haussteuerung keine
großen Gedanken mehr machen. Das Problem: Es müsste ein PC mitlaufen, oder du hast ein Spezielles Fritzbox-Modell welches einen eigenen VPN-Server mitbringt, oder eines das über ein paar Umwege OpenVPN unterstützt.

Ob sich der Aufwand lohnt ist deine Entscheidung. Ich persönlich habe es genau so gelöst wie du es beschrieben hast, und habe einfach im Haus einen Taster (Hardware) mit dem ich die Funktionen der Visu abschalten kann. Falls die mal jmd. gekapert hat, könnte ich ihm damit die chance nehmen in irgend einer Form einzugreifen, und entziehe damit die komplette Grundlage schaden anrichten zu können.

Ich habe auch darüber nachgedacht die Visu variablen zu loggen, und bei zu vielen zu schnellen oder sich widersprechenden eingaben eine sperre auszulösen, aber habe es nicht umgesetzt.

Grüße

Marcel


----------



## Klärmolch (26 Februar 2012)

mike_roh_soft schrieb:


> 2. Portforwarding des Webservers an der Fritzbox einrichten
> 
> Danke Mike



Richte Dir in der Fritzbox den Fernzugang ein.
Das ist ein IPSec VPN. Mit dem Apfelfon geht das astrein. Wie es mit Androids aussieht, weiß ich nicht.
Ein Zugang für Zugriff über PC und einer für das Mobile-Fon und Du bist auf der sicheren Seite.

Gruß
Klaus


----------



## Matze001 (26 Februar 2012)

Wie ich sagte, hängt das vom Modell der Fritzbox ab!

Grüße

Marcel


----------



## mike_roh_soft (26 Februar 2012)

Aha interessant ... das Thema muss ich mal ausleuchten!

VPN Tunnel geht vom MobilFon nicht, oder?


----------



## Matze001 (26 Februar 2012)

Siehe Beitrag von Klärmolch!

OpenVPN leider nicht 

Grüße

Marcel


----------



## Jochen Kühner (26 Februar 2012)

Matze001 schrieb:


> OpenVPN leider nicht



http://www.wehavemorefun.de/fritzbox/OpenVPN


----------



## Matze001 (26 Februar 2012)

Ich meinte das iPhone Jochen,

auf meiner Fritzbox läuft ein OVPN Server 

Grüße

Marcel


----------



## Jochen Kühner (26 Februar 2012)

Matze001 schrieb:


> Ich meinte das iPhone Jochen,
> 
> auf meiner Fritzbox läuft ein OVPN Server
> 
> ...



Auf einem gejailbreaktem geht auch openvpn


----------



## Matze001 (26 Februar 2012)

Sowas tut doch niemand 

Ab IOS5 gibt es auch die Möglichkeit Kernelerweiterungen zu laden. Leider ist die API nicht dokumentiert... deshalb macht sich das OVPN-Team wohl leider nicht daran... schade eigtl!

Grüße

Marcel


----------



## Klärmolch (26 Februar 2012)

Hi,
wie schon gesagt, VPN mit dem Iphone und der Fritzbox geht ohne großen Aufwand.
Hier ist alles beschrieben.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interoperabilitaet/16206.php?portal=VPN
Wenn dann noch ein RDP-Client (ich werwende ITAP-RDP) auf dem Iphone ist, kann man sich sogar Remote auf einem Windows-Rechner anmelden. 
 So mache ich schon über zwei Jahre Fernwartung, Überwachung von Webcams, PV-Anlagen usw.

Die Fritzbox ist mit ein bischen Know-How recht flexibel.

Hier unverbindlich eine Anleitung für Android.
http://www.android-hilfe.de/android-allgemein/111801-howto-vpn-mit-fritzbox.html

Gruß
Klaus


----------



## Jochen Kühner (26 Februar 2012)

Matze001 schrieb:


> Sowas tut doch niemand



Warum?? Ist doch nicht verboten....

Ich möchte die paar zusätzlichen Funktionen die mir der Jailbreak bringt nicht missen (Taschenlampe auf Doppelklick des Power Buttons brauch Ich so oft...)


----------



## pvbrowser (28 Februar 2012)

*Mein Vorschlag*

- Linux für den Webserver im Haus verwenden
- Darauf einen ssh account einrichten. (mit dummy shell, keine bash)
- Mit ssh bzw. Putty verbinden und Port forwarding benutzen
  putty -ssh -L 80:deine_dyn_dns_adresse:80 benutzername
- firefox localhost
- rsa keys verwenden

PS: Mit http://pvbrowser.org würdest Du eingeben
      pvbrowser pvssh://benutzername@deine_dyn_dns_adresse
      Dabei würde noch nicht mal http verwendet werden.


----------



## mike_roh_soft (28 Februar 2012)

Hi,
danke für deinen Vorschlag aber mir geht eigentlich darum mobile von unterwegs (Restaurant, Bahnhof, Urlaub) via iPhone oder Hotel-PC auf die Steuerung zu Hause zu gelangen.. ok im Hotel sollte man auch aufpassen wegen der Browser-History etc. 

Es soll einfach ohne zusätzliche Software gehen und wenn möglich plattformunabhängig.

Gruß


----------



## pvbrowser (28 Februar 2012)

Für paranoide Zeitgenossen,

könnte man den Fernzugriff z.B. nur von Rechnern erlauben, die sich über t-online angemeldet haben.

Die t-online Adressbereiche findet man hier:
http://postmaster.t-online.de/-/id_17018130/index

Nur Rechner aus den obigen Bereichen mit iptables akzetieren.
Siehe z.B.:
http://networking.ringofsaturn.com/Unix/iptables.php

Alle anderen Bereiche bleiben draußen.


----------



## mike_roh_soft (28 Februar 2012)

Wenn es tatsächlich so sicher sein soll dann würde ich einfach einen VPN-Dienstleister nehmen und nen VPN-Client auf den Fernwartungs-PCs installieren.
Aber das ist irgendwie für ne Haussteuerung overkill und unpraktikabel obendrein.

Natürlich kann man den eigenen Laptop mit in den Urlaub nehmen. Aber wer macht das schon... Urlaub ist Urlaub vom PC


----------



## pvbrowser (28 Februar 2012)

mike_roh_soft schrieb:


> Hi,
> danke für deinen Vorschlag aber mir geht eigentlich darum mobile von unterwegs (Restaurant, Bahnhof, Urlaub) via iPhone oder Hotel-PC auf die Steuerung zu Hause zu gelangen.. ok im Hotel sollte man auch aufpassen wegen der Browser-History etc.
> 
> Es soll einfach ohne zusätzliche Software gehen und wenn möglich plattformunabhängig.
> ...



ssh ist plattformunabhängig:

iPhone clients:
http://www.messagingnews.com/onmess...ssh-clients-reviewed-issh-pterm-and-touchterm

Windows -> Putty
Linux, OS-X -> ssh

Hotel-PC könnte problematisch werden.
Sollte man aus den von Dir genannten Gründen eh nicht machen.


----------



## pvbrowser (28 Februar 2012)

*Oh, iPhone ist doch Mist :-(*

Denn:
"None of the clients supported host-based public key authentication, ssh-agent, or port forwarding."
http://www.messagingnews.com/onmess...ssh-clients-reviewed-issh-pterm-and-touchterm


----------

