DynDNS für SmartDNS Anbieter nicht so sicher?

[Placeholder2022]

Hi
entschuldigung für die blöde Frage als absoluter Laie:
Die Bequemlichkeit eines DynDNS Services bzw dessen Adresse im Interface eines SmartDNS Anbieters wie DNS4me oder Controld oder SmartDNS eben ist ein Angriffspunkt?
Laut Google auf den zweiten Blick schon?
Wer klärt mich denn mal kurz in zwei Sätzen für Laien verständlich auf ob und wo da ein Risiko liegt vs täglich einmal einloggen und manuell update IP zu drücken im Account des Anbieters statt in der Fritte?

Lieben Dank

 

[Renegade334]

Das kommt aufs gleiche Raus.
Ob du die Adresse händisch aktualisierst, per Programm auf deinem Endgerät oder per integrierter Funktion der FritzBox ist irrelevant für die Sicherheit. Ok theoretisch könne das Programm auf dem Endgerät noch Sicherheitslücken haben, aber davon abgesehen ruft man zum aktualisieren meist nur eine WebAPI auf mit einem Identifikationsschlüssel, Accountnamen bzw. DynDNS Adresse und der neuen IPv4/6 Adresse.

Ein theoretischer Sicherheitsverlust wäre, dass dein dynamisch angeschlossener Router dann immer unter der gleichen Adresse erreichbar ist, aber da er über die IP auch immer erreichbar ist wäre das für mich kein Argument. Entweder man vertraut darauf, dass der Router "normale" Angriffe abwehren kann, oder man sollte sich einen anderen kaufen.

Deine IP hat im Zweifel jeder Webserver den du besuchst, Empfänger von Mails die du versendest (wird meist im Header mitgegeben), Mitspieler in vielen Spielen (kommt auf den Server an) oder jeder Serverbetreiber (Teamspeak oder ähnliches z.B.), daher sollte man sich auf die Sicherheit einer täglich wechselnden IP nicht verlassen.

 

[redjack1000]

Ist beides das gleiche Risiko. In beiden Fällen werden Logindaten übergeben und die IP-Adresse ausgewertet.

CU
redjack

 

[Placeholder2022]

Zitat:
Ein solcher Eingriff in das eigene Netzwerk ist laut Sicherheitsexperten allerdings für Otto Normalverbraucher nicht zu empfehlen. „Der Router funktioniert wie eine Sicherheitsbarriere zwischen dem Netzwerk und Zugriffen von außen. Um DynDNS zu nutzen, muss ein Nutzer Löcher in diese Schutzwand bohren“, mahnt Stefan Wesner. „Damit sind alle Geräte im Heimnetzwerk einem erhöhten Sicherheitsrisiko ausgesetzt.“
Auch Stiftung Warentest warnt PC-Anfänger davor, Türen in das Heimnetzwerk zu öffnen. „Das ist nur etwas technisch versierte Nutzer“, sagt Marcus Pritsch. Markus Jung vom Karlsruher Institut für Technologie schließt sich dem an: „Verbraucher sollten ohne Fachkenntnis besser nichts am eigenen Netzwerk verändern, und es erst recht nicht von außen leichter angreifbar machen“, betont der Wissenschaftler. Seiner Ansicht nach das größte Risiko: „Gerade bei Smart-Home-Geräten, Netzwerkspeichern und IP-Kameras wird die Software oft nicht aktuell gehalten, so dass diese besonders viele Sicherheitslücken aufweisen kann“, ergänzt Jung.

Quelle:
https://www.saarbruecker-zeitung.de...-dynamischen-domain-name-systems_aid-35349333

DynDNS ist ungleich Zugriff von unterwegs aufs Heimnetz zulassen? was ja ein Risiko ist?

 

[kartoffelpü]

DynDNS und Löcher in Schutzwand hängen erst mal nicht miteinander zusammen, nur dass DynDNS ohne Loch in Schutzwand nicht viel Sinn ergibt.

DynDNS ist ja quasi nur ein Telefonbucheintrag für deine aktuelle IP-Adresse.

 

[redjack1000]

Und damit hat der Sicherheitsexperte auch Recht. Hat aber nichts mit DynDNS zu tun, da das funktioniert ohne Ports zu öffnen.

Wenn Du dem Risiko aus dem Weg gehen möchtest, benutze ein VPN. Dort muss man, je nach VPN auch Ports nach aussen öffnen aber ein Zugriff auf die komplette Infrastruktur, ist halt nur mit einem VPN-Client möglich

CU
redjack

 

[TheManneken]

Ich erkenne das Missverständnis...

Die Saarbrücker Zeitung warnt vor DynDNS-Diensten, meint aber eigentlich Portweiterleitungen.

Kurz: ein DynDNS-Dienst übersetzt deine öffentliche, meist dynamische IP-Adresse mit einem festen Namen, einem sog. Domain Name. DynDNS = Dynamic Domain Name System. Es dient dazu, dein Netzwerk auch bei sich verändernder IP-Adresse von außen erreichen zu können. Am Ende stehst du aber trotzdem vor verschlossener Tür, es sei denn...

...und hier kommen Portweiterleitungen ins Spiel. Das sind Einträge im Router, mit denen bestimmte "Türen" über welche Internet-/Netzwerkdienste kommunizieren, zu öffnen und auf ein Zielgerät in deinem Netzwerk, z.B. einen Server, ein NAS oder eine IP-Kamera weiterzuleiten, sodass du von extern auf diese zugreifen kannst.

 

[s1ave77]

Wenn Du dem Risiko aus dem Weg gehen möchtest, benutze ein VPN.

Eine Möglichkeit. Ein guter Proxy wie Traefik v2 mit Google OAuth2 Integration (Login via Konto mit 2FA Verifikation mit meinem Telefon) und Fail2Ban für Neugierige sind auch eine ordentliche Hürde .

 

[Placeholder2022]

OK. Kurzum, Portweiterleitungen, das war früher mal wenn dem Teenie in Call of Duty die NAT strikt angezeigt hat, dann hat er sich per Portweiterleitung zig Adressen freigeschalten und da potentielle Lücken gerissen.

Wenn ich aber nen DynDNS Anbieter wähle gewähre ich nur dem Zugriff darauf ab und an mal anzufragen wie meine aktuelle hausnummer ist, das aber von außen vor und der SmartDNS Anbieter wiederum, von dem man ja nicht weiss was er so treibt, ist eh außen vor da er nur vom DynDNS Anbieter per Stille Post vom Ergebnis dessen Anfrage bei meiner Fritte bekommt.

Am sichersten und seriösesten ist dann der AVM eigene Dienst da integriert oder eher unsicher da eben integriert und lieber einen externen Anbieter? Meinetwegen ddnss.de

 

[redjack1000]

Das kannst Du dir aussuchen.

CU
redjack

 

[snaxilian]

gewähre ich nur dem Zugriff darauf ab und an mal anzufragen wie meine aktuelle hausnummer ist

Dem gewährst du gar nix denn nicht der fragt bei dir an sondern dein Router, Fritzbox in dem Beispiel, sendet dem dyndns Anbieter regelmäßig/einmal täglich/bei Änderung eine kurze Mitteilung: "Ich bin umgezogen, meine neue öffentliche Adresse lautet a.b.c.d" und diese Info trägt dann der dyndns Anbieter in sein Telefonbuch ein.

 

[Placeholder2022]

na dann nehm ich den dienst von avm weil als anbieter der fritte haben die meine ip eh

 

[MisC]

Ich musste jetzt auch erst mal schauen was SmartDNS ist. Offenbar hat sich hier eine neue Schlangenölgrube aufgetan.

Es gibt diverse öffentliche unzensierte DNS Resolver. Irgendeinem dubiosen Anbieter Geld dafür zu zahlen ist nicht notwendig.

Mit DynDNS reißt du keinerlei Lücke auf, auch nicht für den Anbieter. IPv4-Adressen sind grundsätzlich permanent Attacken ausgesetzt.

 

[Placeholder2022]

das missverstehst du glaub, smart dns zum streamen von ausländischen abos ohne slowdown durch vpn ist das, nix weiter
ami denkt bist ami, italiener denkt bist italiener aber nicht der ganze gestreamte traffic muss durch den vpn sondern hat den speed deiner leitung abzgl. smartdns latenz eben beim zappen

 

[s1ave77]

Verstehe hier den Zusammenhang zwischen 'SmartDNS' und DynDNS nicht. Ersteres erlaubt den Zugriff auf geo-lokale Inhalte ohne VPN und letzteres den Zugriff auf das eigene Netzwerk von außen (z.B. für NAS, Nextcloud, SmartHome, usw...).

Wo ist der Zusammenhang, bzw. was ist der Plan?

 

[MisC]

Der Streamingserver sieht aber doch welche IP anfragt, das hat in dem Moment gar nichts mehr mit DNS zu tun. Kann eigentlich nur bei Anbieten funktionieren die das Geoblocking sehr schlecht umgesetzt haben.

@mae1cum77
Der SmartDNS Anbieter muss wissen von welchen IPs ein Kunde anfragen sendet, da er ja Geld damit verdienen will. Damit der Kunde sich nicht jedes mal einloggen muss, kann sich der SmartDNS-Anbieter die IP des Kunden per DynDNS Hostname holen. Zumindest ist das mein Verständnis.

 

[Placeholder2022]

Jepp, bei DSL wechselt eben alle 24h die IP und der SmartDNS Anbieter gewährt natürlich nur dem zahlenden Kunden Service, also muss die IP täglich übers Interface aktualisiert werden oder eben automatisiert per DynDNS Eintrag im Interface.

 

[Web-Schecki]

Der Streamingserver sieht aber doch welche IP anfragt, das hat in dem Moment gar nichts mehr mit DNS zu tun. Kann eigentlich nur bei Anbieten funktionieren die das Geoblocking sehr schlecht umgesetzt haben.

So ganz sicher kann ich es nicht sagen, weil fast alles, was man dazu findet, Schlangenöl-Blabla von VPN-Anbietern ist. Aber ich könnte mir vorstellen, dass die auch tatsächlich eine Art NAT betreiben, aber eben nur für ausgewählte Internetseiten.
Heißt: Man stellt eine Anfrage an netflix.com, bekommt als Antwort vom DNS aber nicht die richtige IP-Adresse, sondern eine IP-Adresse vom SmartDNS-Anbieter. Kommt jetzt eine Anfrage an diese IP-Adresse ausgehender von deiner (zuvor hinterlegten) IP-Adresse zuhause, wird diese an die echte netflix.com-IP weitergeleitet und ein NAT-Eintrag angelegt.
Stellt man hingegen eine Anfrage an google.com, dann kommt einfach die echte Google-Adresse zurück.

Könnte auch sein, dass ich hier zu viel hineininterpretiere und vom Schlangenöl-Blabla geblendet wurde, aber ansonsten kann ich mir nicht vorstellen, warum man dafür Geld bezahlen sollte.

EDIT:

aber nicht der ganze gestreamte traffic muss durch den vpn sondern hat den speed deiner leitung abzgl. smartdns latenz eben beim zappen

Das würde dann natürlich weiterhin nur gelten, wenn der Anbieter beim Geoblocking nicht den eigentlichen Content abhängig von der anfragenden IP-Adresse blockt. Tut er das, dann bleibt dem SmartDNS natürlich nichts anderes übrig, als den Traffic komplett über eigene Server umzuleiten und man hat keinen Geschwindigkeitsvorteil gegenüber einem VPN. Kann nicht genau sagen, wie realistisch das ist.

 

[Pete11]

@Placeholder2022
Wenn Du nicht irgenein Teil in Deinem lokalen Netzwerk hast, das Du anderen ständig zur Verfügung stellen willst (einen Raspberry Pi mit Forumssoftware z.B.) brauchst Du dieses DynDNS nicht und auch nicht den Eintrag auf MyFritz in der Fritzbox.

 

[Placeholder2022]

Naja, würde man ja merken am Speed auf dem TV SmartDNS vs VPN dass der genauso langsam wäre.
However hat man mit nem SmartDNS halt noch den Vorteil sich beim Anbieter nur einmal konfigurieren zu müssen und das passt vs für jeden Dienst in nem anderen Land die VPN App öffnen und das Land wechseln zu müssen.
Unterm Strich ist es halt der Komfort, daher wenn dann doch mit DynDNS falls nicht gefährlich, weil wenn schon Geld für Komfort dann doch bitte den ganzen Komfort.

Ergänzung (18. Juli 2022)

@Placeholder2022
Wenn Du nicht irgenein Teil in Deinem lokalen Netzwerk hast, das Du anderen ständig zur Verfügung stellen willst (einen Raspberry Pi mit Formumssoftware z.B.) brauchst Du dieses DynDNS nicht und auch nicht den Eintrag auf MyFritz in der Fritzbox.

Klar, sonst hab ich morgen früh um 5 dank DSL wieder ne outdated IP beim SmartDNS und es läuft nicht ohne dort in den Acc zu gehen und update IP zu hitten.