Sicherheit eines VPN zum Telekom Smart Router
- Ersteller paxtn
- Erstellt am
Mit Dynamic-DNS findet ein Angreifer Dein Netz einfacher – und das immer wieder. Das ist tatsächlich ein Problem, wenn Du keine langen Passwörter verwendest bzw. Du die Firmware der veröffentlichen Geräte nicht pflegst. Finden kann man Dein Heimnetz auch so, selbst bei IPv6. Aber das „immer wieder“ ermöglicht den Angriff nicht von Vorne wieder zu starten sondern mit dem Angriff fortzufahren.
Aber Dein verlinkter Artikel stört sich daran nicht. Er stört sich generell daran, dass Du Geräte ins Internet stellst. Auch hier das Argument, dass Du die Firmware der veröffentlichen Geräte vielleicht nicht pflegst.
Problematisch sehe ich eher, dass viele Geräte (a) nicht für die Veröffentlichung gedacht sind, (b) nicht richtig unabhängig getestet wurden, (c) vom Hersteller auf Sicherheitslücken nicht eingegangen wird, (d) Dir verborgen bleibt, wann der Hersteller keine Security-Fixes mehr anbietet. Und Du kannst das nicht einschätzen.
Das war die globale Sicht. Allerdings willst Du etwas anderes:
Nur – wie h00bi schon ansprach – reden wir hier als „Gerät“ bzw. VPN-Server vom einem Telekom Speedport Smart 4. Wenn jemand auf dem Kenntnisstand ist, den zu hacken, dann hatte er (a) wahnsinnig viel Energie investiert, (b) einfach nur Glück oder (c) hat den Security-Bug eingekauft, also gehört einer Organisation an. Solche Angreifer kratzt Dynamic-DNS auch nicht groß.
No-IP.com aktualisiert nicht über HTTP sondern über HTTPs und Web-Zugang abgesichert über 2FA ist einigermaßen sicher. Aber ich würde die jetzt nicht gerade nehmen, weil die in USA, Nevada, Reno sitzen. Also einem anderen Rechtsraum unterliegen. Und weil deren IPv6-Unterstützung – jedenfalls aktuell – wahnsinnig kompliziert ist.
Aber Dein verlinkter Artikel stört sich daran nicht. Er stört sich generell daran, dass Du Geräte ins Internet stellst. Auch hier das Argument, dass Du die Firmware der veröffentlichen Geräte vielleicht nicht pflegst.
Problematisch sehe ich eher, dass viele Geräte (a) nicht für die Veröffentlichung gedacht sind, (b) nicht richtig unabhängig getestet wurden, (c) vom Hersteller auf Sicherheitslücken nicht eingegangen wird, (d) Dir verborgen bleibt, wann der Hersteller keine Security-Fixes mehr anbietet. Und Du kannst das nicht einschätzen.
Das war die globale Sicht. Allerdings willst Du etwas anderes:
Nutzt Du Dynamic-DNS in einem öffentlichen Internet-Zugang (ohne WLAN-Passwort oder öffentlich bekanntes WLAN-Passwort vor WPA3), dann kann jemand in Deiner Umgebung dieses Zugriff sehen. Wenn derjenige Dich persönlich kennt und einen Groll gegen Dich hat, dann greift er Dich so vielleicht an.paxtn schrieb:
Nur – wie h00bi schon ansprach – reden wir hier als „Gerät“ bzw. VPN-Server vom einem Telekom Speedport Smart 4. Wenn jemand auf dem Kenntnisstand ist, den zu hacken, dann hatte er (a) wahnsinnig viel Energie investiert, (b) einfach nur Glück oder (c) hat den Security-Bug eingekauft, also gehört einer Organisation an. Solche Angreifer kratzt Dynamic-DNS auch nicht groß.
No-IP.com aktualisiert nicht über HTTP sondern über HTTPs und Web-Zugang abgesichert über 2FA ist einigermaßen sicher. Aber ich würde die jetzt nicht gerade nehmen, weil die in USA, Nevada, Reno sitzen. Also einem anderen Rechtsraum unterliegen. Und weil deren IPv6-Unterstützung – jedenfalls aktuell – wahnsinnig kompliziert ist.
Hatte extra keinen empfohlen, weil ich eigentlich der Falsche bin:
Manche Domain-Anbieter haben ihren eigenes DynamicDNS. Dann hast Du eine Domain Dein Leben lang sicher, musst nicht extra zahlen, bist aber über die Domain sogar noch eindeutiger zu identifizieren. Trotzdem mache ich das so. Ansonsten wäre mein Tipp ein DynamicDNS-Anbieter, der Wert auf IPv6 legt und im EU-Raum unterwegs ist, vielleicht sogar Deutschland. Wenn ich auf die Schnelle so schaue, wäre das dynv6 …
Aber No-IP wird wirklich in „jedem“ Router unterstützt. Keine Ahnung, wie DynamicDNS beim Telekom Speedport Smart 4 aussieht (feste Anbieter, freie Anbieter, IPv6, …). Vielleicht weiß das jemand der einen Telekom Speedport Smart 4 vor sich hat oder sogar damit Erfahrung mit DynamicDNS hat. Derjenige kann Dir dann die Frage besser beantworten.
Manche Domain-Anbieter haben ihren eigenes DynamicDNS. Dann hast Du eine Domain Dein Leben lang sicher, musst nicht extra zahlen, bist aber über die Domain sogar noch eindeutiger zu identifizieren. Trotzdem mache ich das so. Ansonsten wäre mein Tipp ein DynamicDNS-Anbieter, der Wert auf IPv6 legt und im EU-Raum unterwegs ist, vielleicht sogar Deutschland. Wenn ich auf die Schnelle so schaue, wäre das dynv6 …
Aber No-IP wird wirklich in „jedem“ Router unterstützt. Keine Ahnung, wie DynamicDNS beim Telekom Speedport Smart 4 aussieht (feste Anbieter, freie Anbieter, IPv6, …). Vielleicht weiß das jemand der einen Telekom Speedport Smart 4 vor sich hat oder sogar damit Erfahrung mit DynamicDNS hat. Derjenige kann Dir dann die Frage besser beantworten.
Wenn Du mit No-IP.com auch IPv6 bzw. DNS-AAAA bzw. Quad-A haben willst:
- https://my.noip.com
- Dynamisches DNS → No-IP Hostnames → Typ: Steht dort „A“ musst Du es über das Kreuz löschen
- (Taste) Hostnamen erstellen → Typ: AAAA
Dort in dem Thread wurde fälschlicherweise die IPv6 anstatt der IPv4 an den Dynamic-DNS-Anbieter übergeben. Also was ganz anderes.norKoeri schrieb:
Ich habe gerade mein Speedport Pro (Hersteller: Sagemcom) nochmals ausgepackt und der kann weder WireGuard über IPv6 noch aktualisiert er eine IPv6 über Dynamic-DNS. Deckt sich mit einem Mini-Test-Bericht von vor zwei Jahren mit dem Smart 3 (Hersteller: Arcadyan).
Ob der Smart 4 inzwischen IPv6 in VPN und DynDNS bietet? Edit: Nö, soll aber kommen; Dank an @Wilhelm14
Zuletzt bearbeitet: