Für eine Fernwartung müsste ich div. Ports an einem Router öffnen...
Die div. Geräte, die erreicht werden sollen haben ein starkes Passwort.

Wäre es trotzdem möglich, dass ein Angreifer etwas damit anstellen kann?
Und ist es möglich, dass der Angreifer auch das Passwort des Gerätes knacken kann?

Wenn die Dienste, die auf diesen Ports laufen z.B. Sicherheitslücken haben, wäre das dann ein aus dem Internet erreichbarer Angriffspunkt.

Und klar kann man u.U. das Passwort knacken. Je nachdem was für eine Strategie das Programm zu Authentifizierung wählt und ob es vernünftig implementiert ist (z.B. verzögerte Anmeldung bei Fehleingabe). Was für ein Fernwartungstool ist das denn?

Es geht um 22 und 443...
Auf 22 wäre notfalls verzichtbar.

Das eine ist ein SSH-Tool, und für 443 nur für ein WebIF

Also kann man sagen, dass die beiden Ports nur so sicher sind, wenn das Gerät ein gutes PW hat (mit verzögerter Anmeldung etc)?

Für Fernwartungaufgaben kann ich immer wieder nur VPNs empfehlen, idealerweise selbst erstellte (z.B. mit OpenVPN) und nicht irgendwelche Dienste (hidemyass z.B.), wo man nicht weiß, was die da treiben. Dann muss du nur maximal 1 Port freigeben und den dahinterliegenden VPN-Server auf den neuesten Stand halten. Und das gute: du kannst theoretisch auch andere Dienste durch einen VPN-Tunnel nutzen, bist also nicht nur auf Fernwartung beschränkt.

mfg Oli

Wenn du auf einem Gerät in deinem Netzwerk SSH freigibst, kannst du auch damit andere Ports weiterleiten lassen, auch an andere Geräte im Zielnetzwerk.
bspw:
$ ssh username@host -L 443:localhost:443
Dann kannst du auf deinem Rechner auf https://localhost dein WebIF aufrufen. Wenn 433 bei dir vom lokalen Webserver belegt ist, dann mach "-L 4430:localhost:443" und geh auf "https://localhost:4430".
Genauso kannst du mit "-L 80:MuttersWebserver:80" auf einen zweiten Webserver im Zielnetzwerk zugreifen.
Wenn du dann SSH nur mit Key und nicht mit Passwort erlaubst ist die Sache schon extrem sicher. Dann muss schon einer eine Sicherheitslücke im SSH Server finden.

Vpn geht natürlich genauso gut, ist (wenn man eh SSH hat) aber komplizierter einzurichten. SSH Weiterleitungen macht dir ssh (logisch), Putty oder auch ConnectBot (auf Android). Wenn sich ständig die Ports ändern ist ein VPN evtl aber komfortabler.

P.s.: Wenn das per SSH/VPN getunnelt wird, kannst du auf SSL beim Webif natürlich verzichten.

Also kann man sagen, dass die beiden Ports nur so sicher sind, wenn das Gerät ein gutes PW hat (mit verzögerter Anmeldung etc)?

Ein Port ist nicht per se sicher oder unsicher, das sind nur die Dienste, auf die man über diese Ports zugreifen kann.

Grundsätzlich würde ich nicht auf die Sicherheit der meisten Dienste vertrauen. Viel interessanter ist z.B. eine sichere, passwortlose Authentifizierung per SSH und dann den jeweiligen Dienst darüber zu tunneln.

Ich habe VPN nie benutzt, aber SSH scheint mir für den Privatgebrauch in der Hinsicht die praktikablere Lösung zu sein.

EDIT: Da war Milchkanne über mir wohl schneller.

Wenn du auf einem Gerät in deinem Netzwerk SSH freigibst, kannst du auch damit andere Ports weiterleiten lassen, auch an andere Geräte im Zielnetzwerk.
bspw:
$ ssh username@host -L 443:localhost:443
Dann kannst du auf deinem Rechner auf https://localhost dein WebIF aufrufen. Wenn 433 bei dir vom lokalen Webserver belegt ist, dann mach "-L 4430:localhost:443" und geh auf "https://localhost:4430".
Genauso kannst du mit "-L 80:MuttersWebserver:80" auf einen zweiten Webserver im Zielnetzwerk zugreifen.
Wenn du dann SSH nur mit Key und nicht mit Passwort erlaubst ist die Sache schon extrem sicher. Dann muss schon einer eine Sicherheitslücke im SSH Server finden.

Vpn geht natürlich genauso gut, ist (wenn man eh SSH hat) aber komplizierter einzurichten. SSH Weiterleitungen macht dir ssh (logisch), Putty oder auch ConnectBot (auf Android). Wenn sich ständig die Ports ändern ist ein VPN evtl aber komfortabler.

P.s.: Wenn das per SSH/VPN getunnelt wird, kannst du auf SSL beim Webif natürlich verzichten.
Hab da leider null Plan...
Also könnte ich die beiden Ports wieder schließen und das Ganze über VPN machen?

Wäre es trotzdem möglich, dass ein Angreifer etwas damit anstellen kann?
Und ist es möglich, dass der Angreifer auch das Passwort des Gerätes knacken kann?

Offene Ports sind immer ein Sicherheitsrisiko, aber häufig nicht zu vermeiden.
Gerade an "mainstream" Routern.

Es gibt einige Linux-Distris, die sind spezialisiert auf Penetration-Testing, einer der großen ist z.B.: http://www.kali.org/

Da es sich nach Arbeit für eine Firma handelt, wenn sie es sich leisten kann: Empfiehlt sich eine Box (sehr moderate Hardware-Anforderungen) mit http://pfsense.com/ ~ wenn die up-to-date ist, gibt es kaum was sicheres.
Mal abgesehen vom Funktionsumfang.

Gruß Bbig

Hab da leider null Plan...
Also könnte ich die beiden Ports wieder schließen und das Ganze über VPN machen?
Dafür musst du dann was für VPN aufmachen. Ich hab bei meinen Eltern auch einen (zufälligen) Port für SSH geöffnet und kann dann per SSH Tunnel auch andere Dinge aufmachen.

Hab da leider null Plan...
Also könnte ich die beiden Ports wieder schließen und das Ganze über VPN machen?
Mit nem VPN oder per SSH-Tunnel kannst du alle Ports bis auf den VPN oder SSH Port dicht machen.
Was hast du denn als SSH-Tool am laufen? Wenn du per SSH auf irgendeinen Server im Heimnetz zugreifen kannst, hast du schon fast alles fertig konfiguriert.
Betriebssystem: Windows?
Nutzt du Putty für SSH oder was genau machst du per SSH?

Dafür musst du dann was für VPN aufmachen. Ich hab bei meinen Eltern auch einen (zufälligen) Port für SSH geöffnet und kann dann per SSH Tunnel auch andere Dinge aufmachen.
Andere Dinge, die 443 benötigen?

Andere Dinge, die 443 benötigen?

Na ja, alles. Durch den Tunnel bist du ja dann im jeweiligen Netzwerk.

Wobei ich auf das Webinterface des W700V Routers nicht per SSH Tunnel draufkomme. Der scheint die LAN IP / Port 80 zu erwarten.

Erst der Gau mit den Mail-Accounts - nun das... http://www.heise.de/newsticker/meldung/Fritzbox-Angriff-analysiert-AVM-bietet-erste-Firmware-Updates-an-2108862.html

AVM hat auf ALLE älteren FWs und Betas vom Netz genommen. Es gibt also nur noch eine (die Aktuelle) oder garkeine FW (für alte Boxen) mehr auf dem AVM-Server

Wenn du dann SSH nur mit Key und nicht mit Passwort erlaubst ist die Sache schon extrem sicher. Dann muss schon einer eine Sicherheitslücke im SSH Server finden.Reicht eine vom November 2013?? ;)
http://www.heise.de/security/meldung/Sicherheitsluecke-in-OpenSSH-2042850.html

Hauptsache mit Key ist man nicht gleich root auf der Kiste. Keys müssten auch auslesbar sein und können so per Trojaner geklaut werden.

Im Fall der Fritzbox hilft sogar nicht mal ein 1000-stelliges, aus Hieroglyphen bestehendes PW.
Denn die Authentifizierung wurde einfach umgangen... :ulol:

Im Fall der Fritzbox hilft sogar nicht mal ein 1000-stelliges, aus Hieroglyphen bestehendes PW.
Denn die Authentifizierung wurde einfach umgangen... :ulol:
Weiß man das so genau? Vielleicht hat man ja auch nur Passwordhashes bekommen. Damit kann man oft auch einen recht großen Teil von Passwörtern mit vertretbare aufwand knacken.

Das wurde so in den einschlägigen Foren, in denen es um die betroffenen Router geht so kommuniziert, ja.
Die Sicherheitslücke ist sogar so groß, dass man (angeblich) alle Daten in der Box klauen konnte.

Was man mit Telefondaten (die zum Einloggen) alles machen kann, wird sich Jeder vorstellen können.

Die Sicherheitslücke ist sogar so groß, dass man (angeblich) alle Daten in der Box klauen konnte.Die ganzen anderen Zugangsdaten müssen ja praktisch entweder direkt im Klartext oder halt ohne extra Daten entschlüsselbar sein.
Eine autarkes verschlüsselte Übertragung innerhalb der Hardware wird es wohl nicht geben.

Keine Ahnung, ob im Klartext (was ich aber nicht glaube)...
Um Daten zu entschlüsseln braucht es nicht mal Rechenpower, wenn man die entsprechenden Tools benutzt.