Benutzer a1x schrieb:
Das ganze Problem liegt doch im Prinzip nur daran, dass die IoT Geräte nicht direkt aus dem Internet erreichbar sind. Und da sind die Provider die Schuldigen. Es macht bei IPv6 technisch nicht wirklich einen Sinn, dynamisch IPv6 Präfixe zu vergeben, von den Adressen gibt es genug. Und da man als Kunde meist ein /56 oder /64 bekommt, hat man genug Adressen für alle Geräte. Im Moment will einfach kein IoT-Anbieter dem Kunden zumuten, neben dem Gerät auch noch DynDNS, Portweiterleitung, etc. zu konfigurieren, daher verbindet sich das Ding halt von innen nach außen zur Cloud, die dann Proxy spielt. Man erspart dem Kunden die (umfangreiche) Konfiguration und bringt dem Anbieter "Datenreichtum". Es würde auch ohne gehen, aber das würde die meisten Kunden überfordern.
Fehlt dann eigentlich nur noch eine "sichere" Version von UPNP im Router, die aktuelle Variante, alles zu erlauben und halt nicht ist ein ziemlich Sicherheitsloch. Hier wäre ein Option "Gerät darf für seine zugewiesene IPv6 Ports in der Firewall freigeben" hilfreich, um da auch eine sichere automatische Konfiguration zu ermöglichen.
Für den Durchschnittsuser dürfte es ausreichen, wenn die Geräte im lokalen Netz erreichbar sind und nicht vom Internet.
Wer mehr will, kann sich auch einfach ein VPN einrichten und so sicheren Zugang haben.
Daß Geräte von außen direkt auf einem Port erreichbar sind, birgt große Gefahren, wenn z. B. Firmware-Bugs (Sicherheitslücken!) vom Hersteller nicht behoben werden oder vorhandene Updates vom Nutzer nicht eingespielt werden.
Viele unbedarfte Nutzer würden der Versuchung nicht widerstehn, es doch zu machen, Hauptsache es funktioniert!
Es wird einfach nicht gelingen, alle Geräte (vom Router, Drucker, IoT, InternetRadio, TV-Receiver, Mobiltelefone, etc.) im lokalen Netz auf einem sicheren und aktuellen Stand zu halten. Ein Einfallstor eröffnet Hackern Möglichkeiten...
Und dann werden irgendwann Geräte massenhaft gehackt und kompromittiert und dann gibt es Folgeprobleme, auf die man ganz gut verzichten kann...
Gerade im Rahmen der neuen Zweifaktor-Authentifizierung, wo Mobiltelefone eine zunehmende Rolle spielen, dürfte da noch einiges an Problemen auf uns zukommen.
Es ist zwar zweckmäßig, daß Port-Forwarding grundsätzlich möglich ist, aber als Nutzer sollte man damit sehr restriktiv umgehen und nicht jeder Anwendung oder jedem IoT-Gerät erlauben, einen Port öffnen.