abbrechen
Suchergebnisse werden angezeigt für 
Anzeigen  nur  | Stattdessen suchen nach 
Meintest du: 

Exakte Firewall-Specifikation für Vitoconnect 100

Hallo,

seit 4 Tagen läuft nun unsere neuer Vitodens 300-W. Die Integration der Schnittstelle Vitoconnect 100 in das WLAN unserer Fritzbox 7490 hat irgendwie geklappt, wirft bei mir Fragen auf. Die verfügbaren Informationen sind widersprüchlich und irritierend.

In der Montage- und Serviceanleitung  wird im Abschnitt IP-Netzwerk (S. 7.u) gefordert, die Ports 80 und 443 für direkte ausgehende Verbindungen freizugeben.

Auf der Viesmann-Produktwebseite der Vitoconnect 100 (https://www.viessmann.de/de/viessmann-apps/vitoconnect.html) ist unter dem Link 'Hinweise' ohne weitere Angaben zur Verbindungsrichtung die folgende Anforderung definiert:
"Der Port 443 (HTTPS) und Port 123 (NTP) müssen geöffnet sein"

Mir stellen sich die folgenden Fragen:
+ Welche Ports sind nun eindeutig erforderlich?
+ Erfolgt die Freigabe dieser Ports nur für ausgehende Verbindungen?
+ Falls die Freigabe für Port 123 erforderlich ist, welches Protokoll muß ich wählen: UDP oder TCP?
+ Haben Sie ein nachvollziehbares Konfigurationsbeispiel für die sehr verbreiteten Fritz.Boxen (mit aktueller Firmware)?

Herzlichen Dank im Voraus
  v/Vikarl

8 ANTWORTEN 8

… ich bin doch sehr erstaunt, dass ich auch nach 5 Jahren immer noch keine Antwort erhalten habe - das passt nicht zum Ansehen der Marke Viessmann 

😞

 

Hallo ViKarl,

 

deine Anfrage ist im System untergegangen, natürlich antworten wir in der Regel deutlich schneller.

Deswegen entschuldige bitte die verspätete Rückmeldung.

 

In der Bedienungsanleitung des Vitoconnect OPTO1 sind auf Seite 8 die Ports 80, 443, 123 und 8883 für ausgehende Verbindungen benannt.

 

Eine entsprechende Konfiguration für die FritzBox bzw für andere Router ist nicht notwendig, da die Werkseinstellungen dieser Router i.d.R. so konfiguriert sind, dass alle Ports für ausgehende Verbindungen dynamisch geöffnet sind - sprich, wenn ein Gerät im Netzwerk über einen der genannten Ports nach außen kommunizieren will, wird der Port für die Zeit der Anfrage geöffnet und anschließend wieder geschlossen.

Sofern du die Ports also nicht manuell für ausgehende Verbindungen gesperrt hast, sollte es keine Probleme geben.

 

Für den Port 123 können beide bzw eins der beiden Protokolle verwendet werden.

 

Besten Gruß,

Chris vom Customer Care Team

Hallo Herr Hentschel,

vielen Dank für Ihre Antwort. Die von Ihnen zitierte Bedienungsanleitung war mir bisher nicht bekannt und zugänglich. Sie ist auf der Viessmann-Webseite nicht (mehr?) zu finden. Nach Bemühen von Google bin ich auf ein Exemplar von 2011 gestoßen.

Trotzdem muß ich noch einmal nachhaken. Denn ich sehe immer noch einen Widerspruch und damit einen offenen Punkt in den von Ihnen publizierten Konfigurationsempfehlungen; dieser ungeklärte Widerspruch ist m.E. ein IT-Sicherheitsrisiko:


Die Viessmann-Dokumentationsseite https://www.viessmann.de/de/viessmann-apps/vitoconnect-opto-ot2.html bietet lediglich die "Montage- und Serviceanleitung für die Fachkraft" an.
Dort werden sowohl auf Seite 7 als auch Seite 14 (nur!!!) lediglich die Ports 80 und 443 gennant.

 

Darübernhinaus finde ich dann auf Ihrer Webseite https://www.viessmann.de/de/viessmann-apps/vitoconnect-opto-ot2.html weit unten den folgenden Hinweis zu den Firewalleinstellungen :

" Hinweise

Firewall-Einstellungen

●  Der Port 443 (HTTPS) und Port 123 (NTP) müssen geöffnet sein
●  Die MAC-Adresse ist auf dem Etikett des Gerätes abgedruckt "

 

Mich haben bereits damals (bei meiner ursprünglichen Anfrage) ohne Kenntnis der von Ihnen genannten Bedienungsanleitung die Wiedersprüche der Angaben in der mir zugänglichen Viessmann-Dokumentation irritiert. Ihre ergänzenden Angaben (aus einer unter Umständen veralteten und daher vermutlich zurückgezogenen Dokumentation) irrittieren mich umso, weil jetzt von insgesamt 4 Ports die Rede ist.
Die Besorgnis hinter meinen Anfragen rührt u.a. auch daher, daß (nun) beide PDF-Dokumente u.a. den Port 80 als erforderlich ausweisen; Port 80 ist jedoch aus IT-Security-Sicht ein "offenes Scheunentor".

Somit liegen mir von Ihrer Seite drei unterschiedliche Konfigurationsempfehlungen vor:
(1) Variante 1 (Bedienungsanleitung): Ports 80, 123, 443 und 8883?
(2) Variante 2 (Montage & Serviceanltg.): Ports 80 und 443 

(3) Variante 3 (Hinweis auf Ihrer Website): Port 443 (HTTPS) und 123 (NTP)

Meine konkrete Frage an Sie ist nun: Welche dieser Varianten ist eindeutig korrekt?


Bitte bedenken Sie bei der Formulierung Ihrer Antwort, daß ich meinen DSL-Router vor Inbetriebnahme unseres neuen Viesmann-Brenners nach außen immer abgeriegelt hatte. Für Vießmann mußte ich ihn öffnen. Daher erwarte ich von Ihnen eine Konfigurationsempfehlung, die mein Sicherheitsrisiko gegen datentechnische Einbruchsversuche von außen minimiert.

Vielen Dank im Voraus!

Freundliche Grüße
  v/Vikarl

 

@CustomerCareChris 

 

>>Sofern du die Ports also nicht manuell für ausgehende Verbindungen gesperrt hast, 

 

spätestens seit log4j sollte eigentlich allen klar geworden sein, dass man den IOT Gerätschaften wo immer möglich nur die Freischaltungen gewähren sollte, die sie zum Betrieb zwingend benötigen.

 

Ohne eine genaue Angaben der verwendeten Ports und IP Adressen  ist die Dokumentation unvollständig.

 

VG Michael

Hallo ViKarl,

 

ich glaube hier liegt ein Missverständnis vor.

 

Nochmal: Es handelt sich bei der Konfiguration um ausgehende Verbindungen, in den Werkseinstellungen nahezu aller Router sind die Ports für ausgehende Verbindungen dynamisch freigegeben, werden also geöffnet sobald ein Gerät aus dem Netzwerk nach außen kommunizieren möchte. Für eingehende Verbindungen müssen keine Ports freigegeben werden. Das würde tatsächlich ein großes Sicherheitsrisiko darstellen.

In der Regel liegt bei der Portkonfiguration nur ein Problem vor, wenn die Ports für ausgehende Verbindungen gesperrt wurden, was von Hand durch den Nutzer vorgenommen werden muss.

 

Wenn man Ports für eingehende Verbindungen freigibt, ist jeder Port ein "offenes Scheunentor", das hat nicht speziell was mit dem Port 80 zu tun.

 

Korrekt ist - wie gesagt - die Variante 1.

 

Besten Gruß

 

Hallo Herr Hentschel,

 

herzlichen Dank für Ihre Ergänzungen - der Groschen ist nun gefallen.

 

Weil ich - auch im Interesse der Netzwerksicherheit anderer VIESSMANN-Kunden -  dringend erforderliches Verbesserungspotential für die Dokumentation der VITOCONNECT 100 sehe, fasse ich Ihre Ausführungen und meine Folgerungen nachstehend zusammen:

  1. Für die Kommunikation mit dem zentralen VIESSMANN-Server benötigt die VITOCONNECT 100 NUR für ausgehende Verbindungen die Ports 80, 123, 443 und 8883.

  2. Es ist daher nicht erforderlich, Ports für eingehende Verbindungen zur VITOCONNECT 100 freizuschalten.

  3. Die Angaben zur Portkonfiguration in der auf der VIESSMANN-Website nicht verfügbaren "Bedienungsanleitung für den Anlagenbetreiber" (Ausgabe 4/2019) sind korrekt.

  4. Die Angaben zur Portkonfiguration in der auf der VIESSMANN-Website verfügbaren "Montage- und Serviceanleitung für die Fachkraft" (Ausgabe 7/2016) sind nicht vollständig.

  5. Der auf der VIESSMANN-Website enthaltene Hinweis für die Firewall-Einstellungen "Der Port 443 (HTTPS) und Port 123 (NTP) müssen geöffnet sein"
    ist
    (5.A) nicht vollständig
    UND
    (5.B) IRREFÜHREND, weil die äußerst wichtige EINSCHRÄNKUNG AUF ABGEHENDE VERBINDUNGEN fehlt.

  6. Im Interesse der Minimierung der Gefährdung der Netzwerksicherheit auf Endkundenseite ist es somit notwendig, ...
    (6.1) ... sowohl die Anlagenbetreiber als auch die Fachkräfte in den Installationsbetrieben auf folgendes hinzuweisen (Zitat Hr. Henschel😞
    "Eine entsprechende Konfiguration für die FritzBox bzw. für andere Router ist nicht notwendig, da die Werkseinstellungen dieser Router i.d.R. so konfiguriert sind, dass alle Ports für ausgehende Verbindungen dynamisch geöffnet sind - sprich, wenn ein Gerät im Netzwerk über einen der genannten Ports nach außen kommunizieren will, wird der Port für die Zeit der Anfrage geöffnet und anschließend wieder geschlossen. Sofern du die Ports also nicht manuell für ausgehende Verbindungen gesperrt hast, sollte es keine Probleme geben."
    Dazu sollte dieser Hinweis jeweils eingefügt werden in:
    (6.1a) "Bedienungsanleitung für Anlagenbetreiber"
    (6.1b) "Montage- und Serviceanleitung für die Fachkraft"
    (6.1c) VIESSMANN Website
    (6.2) ... auf der VIESSMANN-Website den o.g. Hinweis "Der Port 443 (HTTPS) und Port 123 (NTP) müssen geöffnet sein" vollständig richtig zu stellen.
    (6.3) Die VIESSMANN-Website um den bisher fehlenden Download-Link für die "Bedienungsanleitung für den Anlagenbetreiber" zu erweitern.

Warum dieser Aufwand? Nun, ich bin vor drei Jahren aufgrund der nicht vollständig verfügbaren Informationen auf den o.g. Hinweis "Der Port...geöffnet sein" "hereingefallen" und hatte in gutem Glauben die Ports 443 und 123 für eingehende Kommunikation freigeschaltet. Zufälligerweise hatte dieses dann endlich funktioniert. Trotzdem war ich wegen der widersprüchlichen Angaben verunsichert und hatte als Neukunde meine Anfrage gepostet. Wie sich nun zeigt, war mein Nachbohren vollständig berechtigt. Weil ich damals in diesem Forum keine brauchbaren Hinweise fand, möchte ich meine Erfahrungen allgemein zur Verfügung stellen.

Ich würde mich sehr freuen, wenn meine Anregungen von Ihnen aufgenommen werden. Besten Dank im Voraus!

Viele Grüße

   v/Vikarl

So ganz scheinen die Angaben nicht zu stimmen, ich habe eine Firewall mit einem Access Point (WLAN geht durch die FW) und ganz offensichtlich verlangt mein OPTO2 weitere Verbindungen. Das ist für mich ein NoGo und eine ziemliche Schande dass offenbar Viessmann es nicht so ernst nimmt mit der Sicherheit der Kunden.


Anbei mein trace:

Mein OPTO2 hat intern die IP 192.168.4.4
Nach einigen üblichen Abfragen, bekommt mein OPTO2 offenbar DNS Antworten
2022-01-06 15:10:09.818074 FortiAP in 192.168.4.4.33963 -> 192.168.1.1.53: udp 39
2022-01-06 15:10:09.818213 FortiAP in 192.168.4.4.33963 -> 192.168.1.1.53: udp 39
...

Dann geht es los mit NTP
2022-01-06 15:10:25.085008 FortiAP in 192.168.4.4.40030 -> 95.217.188.206.123: udp 48
2022-01-06 15:10:25.087386 wan1 out 192.168.4.4.40030 -> 95.217.188.206.123: udp 48

...

Ab hier wird es komisch

2022-01-06 15:10:25.088707 wan1 in 93.234.255.95 -> 192.168.4.4: icmp: host 95.217.188.206 unreachable - admin prohibited filter
2022-01-06 15:10:25.088796 FortiAP out 93.234.255.95 -> 192.168.4.4: icmp: host 95.217.188.206 unreachable - admin prohibited filter
2022-01-06 15:10:25.286449 FortiAP in 192.168.4.4.37325 -> 185.242.112.53.123: udp 48
2022-01-06 15:10:25.289113 wan1 out 192.168.4.4.37325 -> 185.242.112.53.123: udp 48
2022-01-06 15:10:25.290259 wan1 in 93.234.255.95 -> 192.168.4.4: icmp: host 185.242.112.53 unreachable - admin prohibited filter
2022-01-06 15:10:25.290348 FortiAP out 93.234.255.95 -> 192.168.4.4: icmp: host 185.242.112.53 unreachable - admin prohibited filter
2022-01-06 15:10:25.488909 FortiAP in 192.168.4.4.53286 -> 46.4.54.78.123: udp 48
2022-01-06 15:10:25.491205 wan1 out 192.168.4.4.53286 -> 46.4.54.78.123: udp 48
2022-01-06 15:10:25.492527 wan1 in 93.234.255.95 -> 192.168.4.4: icmp: host 46.4.54.78 unreachable - admin prohibited filter

 

Offenbar handelt es sich um weitere NTP Server, nun, NTP steht für Network Time Protocol.

Warum verlangt ein Gerät von Viessmann so viele NTP Server? Was ist der Grund und warum müssen so viele angefragt werden!!!!
Die IP 93.234.255.95 gehört meinem Provider, der Telekom aber mir bleibt es weiterhin unklar warum einige Server mit dem Port 123 erfolgreich sind, dann einige weiteren nicht

Hallo rsantos,

 

laut Protokoll stellt der Vitoconnect eine NTP Anfrage an den Server 95.217.188.206

2022-01-06 15:10:25.087386 wan1 out 192.168.4.4.40030 -> 95.217.188.206.123: udp 48

 

Mit Hilfe des ICMP Protokolls teilt dir dein Provider mit, dass der NTP Server 95.217.188.206 nicht erreichbar ist.

2022-01-06 15:10:25.088707 wan1 in 93.234.255.95 -> 192.168.4.4: icmp: host 95.217.188.206 unreachable - admin prohibited filter

 

Da es nicht nur einen Zeitserver gibt, sondern einen ganzen Pool davon mit unterschiedlichen IPs, versucht der Vitoconnect den nächsten NTP zu kontaktieren.

2022-01-06 15:10:25.289113 wan1 out 192.168.4.4.37325 -> 185.242.112.53.123: udp 48

 

Auch hier und beim nächsten verwendeten Zeitserver (46.4.54.78) kommt eine Fehlermeldung zurück.

Das sollte erklären, warum mehrere Server angefragt werden.

 

Besten Gruß

Top-Lösungsautoren