Support-Forum

Threema und iCloud-Fotofreigabe per VPN

Fragen zu den Basis-Schutzfunktionen der TrutzBox. Fragen zum Betriebssystem, Netzwerk, WLAN, zur Firewall, VPN (Remote-Zugriff) und zum Virenscanner.
Sehr gut recherchiert, vielen Dank für das Teilen dieser Informationen.

Dass durch einen Update eigene Einstellungen verloren gehen, sollte nicht sein. Es ist uns bis jetzt auch kein Fehler bekannt, der das bei einem der letzten Updates verursacht haben könnte.

Hier noch eine Bemerkung zu verschlüsselten Messaging Services: Obwohl Threema verschlüsselt ist, kann der Betreiber trotzdem die Metadaten "sehen", da er die Verbindung zwischen den Kommunizierenden aufbaut. Also er weiß wer, wann, wie oft, mit wem, von welchem Standort kommuniziert.
Haben Sie schon Erfahrung mit dem Messaging-Service der TrutzBox sammeln können? Dieser ist wirklich sicher; auch die Meta-Daten sind sicher. Ausser dem Betreiber der TrutzBox kommt da niemand an irgendwelche Daten ran.

Ihr Comidio Support
Hier noch eine Bemerkung zu verschlüsselten Messaging Services: Obwohl Threema verschlüsselt ist, kann der Betreiber trotzdem die Metadaten "sehen", da er die Verbindung zwischen den Kommunizierenden aufbaut. Also er weiß wer, wann, wie oft, mit wem, von welchem Standort kommuniziert.
Ja, aber auch hier gibt es große Unterschiede, siehe bspw. hier.
Haben Sie schon Erfahrung mit dem Messaging-Service der TrutzBox sammeln können? Dieser ist wirklich sicher; auch die Meta-Daten sind sicher. Ausser dem Betreiber der TrutzBox kommt da niemand an irgendwelche Daten ran.
Solche Dienste grundsätzlich selbst zu hosten, wäre natürlich der Königsweg. Aber selbst mit der Trutzbox ist das aktuell nur eingeschränkt möglich, da jeder meiner Kontakte dafür eine Comidio-Adresse benötigt - und das ist insbesondere für mobile Dienste in praxi leider wirklich nicht umsetzbar.

Trotzdem werde ich den XMPP-Server der Trutzbox Zuhause auf meinem Desktop gerne einsetzen - sobald einige Freunde und Bakannte sich (in kürze) ebenfalls eine Trutzbox angeschafft haben (die hier sicher schon aufmerksam mitlesen). ;)
Was meinen Sie mir "...das ist insbesondere für mobile Dienste in praxi leider wirklich nicht umsetzbar"? Gerade unterwegs kann man die TrutzBox ganz einfach mit ihrem Remote-Zugang nutzen.

Geben Sie Ihren Freunden eine Mail-Adresse und Remote-Zugang zu Ihrer TrutzBox. Allerdings müssen Ihre Freunde dann Ihnen als Admin der TrutzBox vertrauen ;-)

Hier noch ein veralteterer, aber doch noch ganz interessanter Vergleich der Messaging-Dienste:
https://www.eff.org/secure-messaging-scorecard bzw.
https://www.eff.org/node/82654
Leider ohne das Kriterium Meta-Daten.


Ihr Comidio Support
Was meinen Sie mir "...das ist insbesondere für mobile Dienste in praxi leider wirklich nicht umsetzbar"? Gerade unterwegs kann man die TrutzBox ganz einfach mit ihrem Remote-Zugang nutzen.

Geben Sie Ihren Freunden eine Mail-Adresse und Remote-Zugang zu Ihrer TrutzBox. Allerdings müssen Ihre Freunde dann Ihnen als Admin der TrutzBox vertrauen ;-)
Aber eben hier ist das Problem - über Threema tausche ich mich mit ca. 25-30 festen Kontakten aus, hinzu kommen dann noch im Schnitt rund 5 Kontakte, die sich keinem festen Adressaten zuordnen lassen, die also über kurz oder lang immer mal wieder wechseln. Und für (fast) all diese Kontakte müsste ich dann Comidio-Adressen hinzubuchen bzw. hinzukaufen, nicht wahr? Das ist leider keine Option.
Wie ich inzwischen bemerkt habe, nutzt Apple für iOS (bzw. macOS) auch Cloud-Dienste von Amazon und Google. Den Beitrag mit meiner aktuellen Konfiguration habe ich entsprechend angepasst und werde ihn nach Möglichkeit auch weiter aktualisieren.
Danke für den Update. Somit kann man selbst Apple immer weniger sicher sein, dass seine Daten "in guten Händen" sind.

Aber ich sehe gerade, dass wir noch eine Antwort auf Ihre Frage "Und für (fast) all diese Kontakte müsste ich dann Comidio-Adressen hinzubuchen bzw. hinzukaufen, nicht wahr?" schuldig sind.

Ja, das ist so. Wir haben schon intern diskutiert, ob wir den TrutzBox-XMPP-Server für andere, nicht sichere XMPP-Server öffnen sollten. Aber das macht wenig Sinn, da man in der Kommunikation dann nie sicher sein kann, ob man jetzt sicher oder unsicher kommuniziert.
Die meisten TrutzBox Chat Nutzer haben als "Workaround" in ihrem XMPP-Client neben der TrutzBox, Chat Nutzer eingetragen, die öffentliche XMPP-Server nutzen. So dass man zumindest nur einen Client hat, mit dem man mit allen Kommunikationspartnern kommunizieren kann.

Aber wir hoffen natürlich, dass der Eine oder Andere Ihrer Kommunikationspartner die Vorteile sicherer Kommunikation erkennt und sich dann entweder an den Kosten von €1/Monat bei Ihnen beteiligt, doch auch von den weiteren Vorteilen der TrutzBox überzeugt wird und sich selbst eine TrutzBox kauft.

Ihr Comidio Support
Danke für den Update. Somit kann man selbst Apple immer weniger sicher sein, dass seine Daten "in guten Händen" sind.
Ja, sowas in der Art habe ich auch gedacht. :) Wenn ich auch hoffe, dass die Daten nur gut verschlüsselt bei der (augenscheinlichen) "Konkurrenz" liegen. Aber eben auch deshalb habe ich mir die Trutzbox gekauft, damit mir eben solche Zusammenhänge auch klar werden.
Aber ich sehe gerade, dass wir noch eine Antwort auf Ihre Frage "Und für (fast) all diese Kontakte müsste ich dann Comidio-Adressen hinzubuchen bzw. hinzukaufen, nicht wahr?" schuldig sind.

Ja, das ist so. Wir haben schon intern diskutiert, ob wir den TrutzBox-XMPP-Server für andere, nicht sichere XMPP-Server öffnen sollten. Aber das macht wenig Sinn, da man in der Kommunikation dann nie sicher sein kann, ob man jetzt sicher oder unsicher kommuniziert.
Das stimmt natürlich. Aber bevor ich weiter darauf eingehe, noch eine Verständnisfrage zur Nutzung des XMPP-Servers durch externe Nutzer bzw. Freunde und Bekannte:

Wenn ich nun für einen Bekannten eine Comidio-Adresse anlege, und ihm somit durch Fernzugriff die Nutzung des XMPP-Servers meiner Trutzbox erlaube, wie schaut es dann mit den anderen Diensten der Trutzbox wie bspw. TrutzBrowse aus? Gebe ich dann auch hier zwingend den Zugriff frei?

Denn natürlich möchte ich nicht jedem Kommunikationspartner, mit dem ich über den XMPP-Server der Trutzbox chatte, auch die Möglichkeit einräumen, über meinen Internetanschluss zu surfen, auf LAN-Ressourcen zuzugreifen. Andere Dienste bzw. Ressourcen als der XMPP-Server sollten für diese Benutzer also keinesfalls - in nur irgendeiner Form - erreichbar sein (so käme bspw. ein bloßer Filterlisteneintrag für TrutzBrowse für mich hier nicht in Frage).
Bei einer VPN-Verbindung auf die TrutzBox, kann ein Anwender die gleichen Anwendungen nutzen, wie wenn er lokal an der TrutzBox angeschlossen ist. Also alles.

Ein XMPP-Client verbindet sich über Port 5222 mit dem XMPP-Server. Wenn Sie auf ihrem Internet-Router ein Port-Forwarting auf Port 5222 zur TrutzBox konfigurieren, kann ein XMPP-Client vom Internet aus auf den XMPP-Server zugreifen. Dazu muss der Anwender natürlich trotzdem einen Mail-Account auf der TrutzBox haben und ihr Internet-Router sollte per DynDNS erreichbar sein.
So kann ein Anwender nur die XMPP-Server Funktionen und keine andere Funktionen auf der TrutzBox. Aus sicherheitstechnischen Gründen ist jeder Port, den man auf dem Internet-Router öffnet, natürlich ein weiteres Angriffsziel für einen Hacker.

Ihr Comidio Support
Bei einer VPN-Verbindung auf die TrutzBox, kann ein Anwender die gleichen Anwendungen nutzen, wie wenn er lokal an der TrutzBox angeschlossen ist. Also alles.
Das hatte ich vermutet. Aus meiner Sicht wäre es natürlich wünschenswert, wenn man in der Benutzerverwaltung der Trutzbox einzelne Dienste für eingetragene Benutzer deaktivieren könnte. Schließlich ist es nicht immer wünschenswert, dass einem Benutzer sämtliche Dienste zur Verfügung stehen.
Ein XMPP-Client verbindet sich über Port 5222 mit dem XMPP-Server. Wenn Sie auf ihrem Internet-Router ein Port-Forwarting auf Port 5222 zur TrutzBox konfigurieren, kann ein XMPP-Client vom Internet aus auf den XMPP-Server zugreifen. Dazu muss der Anwender natürlich trotzdem einen Mail-Account auf der TrutzBox haben und ihr Internet-Router sollte per DynDNS erreichbar sein.
Es würde bei dieser Lösung mit Portweiterleitung also nicht ausreichen, wenn ich einen weiteren Benutzer ohne E-Mail-Adresse einrichte (wie hier mit deaktivierter Option "Als TrutzMail-Adresse registrieren")? Und fällt das Anlegen solcher Benutzerkonten ohne E-Mail-Adresse eigentlich auch unter die Beschränkung der maximal fünf E-Mail-Adressen ohne Mehrkosten?
Wenn Sie beim Anlegen eines neuen Benutzers die Option "Als TrutzMail-Adresse registrieren" nicht aktivieren, dann wird nur ein lokaler User auf der TrutzBox angelegt. Es wird keine TrutzMail Adresse generiert und somit auch kein Zertifikat. Ohne TrutzMail Adresse wird diese auch nicht in unser zentrales Adressbuch eingetragen und sind somit auch nicht von anderen TrutzBoxen adressierbar.
Da Nutzer sowohl für Mail als auch für XMPP eine offizielle TrutzMail-Adresse inkl. Zertifikat haben müssen, kann ein rein lokaler Nutzer diese Dienste nicht nutzen.

Solche lokalen User können in unbegrenzter Anzahl angelegt werden und zählen nicht zum TrutzMail Kontingent, das standardmässig zunächst auf fünf begrenzt ist.

Ihr Comidio Support