Im LAN oder per IP-Direktverbindung
Underpass: Vollverschlüsselter LAN-Messenger auch für iOS
Im Januar 2017 haben wir erstmals über die Chat-Anwendung Underpass berichtet. Das Projekt des bekannte Entwicklers Jeff Johnson – unter anderem als Programmierer von Airfoil, Knox und Vienna aktiv – startete damals als reine Mac-Applikation.
Was Underpass aus der Masse der Konkurrenten hat heraustreten lassen: Die Chat-App verzichtete auf zentrale Server, Benutzer-Accounts und personalisierte Registrierungen und trat als reine Peer-to-Peer-Lösung an.
Anwender, die miteinander chatten oder Dateien tauschen wollten, mussten lediglich ihre IP-Adresse austauschen, anschließend konnte Underpass sowohl im Heimnetz als LAN-Messenger oder über das Internet per IP-Direktverbindung eingesetzt werden.
Der bewusste Verzicht auf eine zentrale Vermittlungsstelle war zwar begrüßenswert – gestaltet den Verbindungsaufbau aber auch entsprechend kompliziert: Anwender sind nicht nur dazu aufgefordert ihre aktuelle IP-Adresse untereinander zu tauschen, sondern müssen im eigenen Router auch einen Port freigeben um der App die Annahme eingehender Verbindungsversuche zu gestatten.
App für iPhone und iPad kostenlos
Wie zum Start versprochen hat Entwickler Jeff Johnson mittlerweile eine iOS-Version der Chat-App zum Download bereitgestellt. Nur drei Monate nach dem Mac-Download veröffentlicht, haben wie den iOS-Download erst jetzt entdeckt und schmunzeln beim Blick auf das Preisschild: Johnson bietet die App für iPhone uns iPad komplett kostenlos an und verlässt sich auf zahlende Mac-Anwender. Diese investieren übrigens 8 Euro in die Desktop-App.
Angepasst an das große Display des iPhone X, setzt Underpass mindestens iOS 10 zum Einsatz voraus, ist bereits für iOS 12 vorbereitet und kann direkt aus dem Startbildschirm heraus sowohl neue LAN- als auch neue Internet-Chats aufbauen.
Verstehe ich das richtig? Durch den Wegfall des zentralen Server soll mir Sicherheit suggeriert werden. Im Gegenzug muss ich aber einen Port am Router freigeben, was m.W. ein noch größeres Scheunentor darstellt und alle meine Geräte im Netzwerk gefährdet?
Wenn du Angst hast Dass dein Anbieter mit liest, dann ja.
Wer hier nutzt gleichzeitig whatscrap?
Der darf schlnmal gar nicht von Sicherheit und dgl. reden ;p
Also wg einem offenen Port am Router gleich von Scheunentor zu sprechen…
Mach dir mal lieber Gedanken um die Software auf deinen Router. – Da weißt du nix von. Wer, wo, wann Pakete routet. Du hoffst halt einfach nur, dass du nicht kompromittiert wurdest. Kontrollieren kannst du es aber vermutlich nicht. ;)
Also: „Offener Port“ aus meiner Sicht genauso kritisch wie: Sich auf eine fremde „Firewall“ zu verlassen.
Danke für den Hinweis. Dann werde ich dieses zusätzliche Scheunentörchen weiterhin geschlossen halten. Ob das FBI meinen Chat mitliest ist mir Wurscht. Aber dritten den Zugriff auf mein Heimnetzwerk zu erleichtern finde ich nicht so prickelnd.
Schalt deinen ROuter aus oder verzichte auf Internet / Netzwerk. Dann bist du vor Hackern auf jeden Fall sicherer
Es ist vollkommener Unsinn aus offensichtlichem Halbwissen zu behaupten, geöffnete Ports seien unsicher. Hier zeigt sich, dass Halbwissen gefährlich sein kann. Sich arbeite beruflich nicht in diesem Gebiet, aber da ich kommerziell Server betreibe und fundamentales Wissen durch das Informatik-Studium in Netzwerken erworben habe (wobei, dass Wissen über das Netz der Netze erwarb ich privat und würde mich im fundamentalen Wissen über Netzwerke vermittelt), kann ich problemlos sagen, dass diese Behauptung „offene Ports sind gefährlich“ unsinnig ist (Achtung: Das etwas unsinnig ist, heißt nicht, dass es absichtlich falsch ist. Es ist sicherlich unabsichtlich falsch und das vermittelte Wissen ist schädigend, denn wenn ein Host (oft als PC bezeichnet) überhaupt keine offenen Ports haben darf, kann man damit überhaupt nicht in das Internet).
Etwas Grundwissen habe ich unter https://www.iphone-ticker.de/underpass-vollverschluesselter-lan-messenger-auch-fuer-ios-129962/#comment-1029547 habe ich hoffentlich unmissverständlich etwas Grundwissen vermittelt (viele werden auf das Internet losgelassen ohne Internetführerschein und müssen es irgendwie nutzen ohne gelernt zu haben, wie es technisch grob funktioniert => dadurch entstehen mit der Zeit Verschwörungstheorien – Snowdens Folien sind erschreckend, dass die NSA offenbar ab und zu unwahrscheinlich ausnutzbare Lücken verwendet, ABER es ist bei vielen der Eindruck entstanden, als seien sie die Übermacht – jedoch kann niemand bewiesene sichere Verschlüsselungstechniken schnell aufbrechen, wenn es fehlerlos stark genug auf weitestgehend fehlerloser Hardware implementiert ist – deshalb meint auch die NSA „tor stinks“, wobei man dort gewisse Regeln beachten muss, damit tor tatsächlich funktioniert).
Portfreigaben kann man auch nur für einzelne Endgeräte vergeben. Summa summarum unproblematisch, da dann andere Geräte im Heimnetzwerk über die Freigabe nicht erreichbar sind.
Leider nichts für mich, weil ich im Hotel keine Ports freigeben kann um nach Hause zu telefonieren. Oder habe ich das falsch verstanden ?
Ist ja fast wie „netsend“ unter Windows vor ewigen Jahren. ;-)
das ganze noch für den mac – dann wird’s interessant.
Kurze Frage: wie gibt man da unter iOS was ein? Irgendwie erscheint da bei mir keine Tastatur – oder hab ich da was falsch verstanden? Wollte das mal mit einem Chat zwischen meinem iPhone und meinem iPad probieren.
Das zeigt nur pure Unwissenheit, wenn behauptet wird, das Öffnen von Ports sei unsicher.
Ohne offene Ports läuft in einem Netzwerk oder Netz der Netze überhaupt nichts. Da fragen sich bestimmt manche, wie das gehen soll, wenn man im Router kein sport geöffnet hat. Ganz einfach, wenn man eine Webseite auf einem Host im Netz der Netze aufrufen will, wird falls nicht zwischengespeichert die IP-Adresse vom DNS-Server aufgelöst. Dies ist die erste Einfallsstelle. Es gibt Bestrebungen die Kommunikation zu verschlüsseln und authentifizieren, aber oft geschieht dies noch unverschlüsselt. Wenn dann die Webseite bei dem Host (oft Server genannt) anfragt, muss man eine Antwort erhalten (also die angefragt Webseite). Wie soll das gehen, wenn kein Port offen ist? Ganz einfach, für die Verbindung wird ein Port geöffnet. Der Router muss sich noch um das Routing kümmern, da es viele Hosts gibt, die mit der IP-Adresse 192.168.0.2 oder ähnliches gibt, aber die IP-Adresse (irreführender Name) ist nicht die Internet-Adresse, sondern die Adresse im lokalen Netzwerk. Fragt also z.B. 192.168.0.3 eine andere Adresse an, muss der Router einen anderen Port für diese Anfrage öffnen und die Antwort an den anderen Host weiterleiten (routen). => Wenn ein Port geöffnet wird, heißt es nicht, dass dann alle Hosts über diesen Port im lokalen Netzwerk erreichbar sind. Man kann dies machen und wurde früher, falls ich mich recht erinnere, von manchen Routern getan, da dann oft nur der Host antwortete, der die Anfrage gestellt hatte. Aber das wird nicht mehr gemacht, wegen möglicher Spionage im lokalen Netzwerk und allgemein wegen möglichen Problemen.
Was ist aber, wenn der Host im Netz der Netze oder der Host in irgendeinem anderen lokalen Netzwerk eine Datei (Webseite, ZIP, Nachricht …) unverlangt zuschicken möchte? Man öffnet im Router einen Port, der Anfragen an den Port weiterleitet an den lokalen Host im Netzwerk. Auf diesem Host läuft ein Programm/eine App, die auf die externe Anfrage antwortet (z.B. erwartet, extern jemand eine Datei, ZIP, Nachricht oder sonst etwas unverlangt schickt – unverlangt heißt nicht, dass man nicht sehnsüchtig darauf gewartet hat, sondern man nicht weiß, wann das Gewünschte kommt, falls dies jemals kommt). So funktioniert auch z.B. einer dieser Webserver. Man kann hinter dem Domainnsmen „:80“ schreiben, was oft den gleichen Zweck hat. Das ist ein durch Iana normiert vorhandener HTTP-Port für Webseiten. Nur die meisten Browser vermuten diesen Port, wenn man am Anfang „http://“ schreibt. Das ist leichter zu merken als eine Portnummer, die auch anders ist für z.B. verschlüsselte Webseiten. Da verwendet man lieber „https://“ am Anfang. Dies wird aber auch oft weg gelassen, da der Webserver sich darum kümmert die Anfrage gezielt umzuleiten (also z.B. http://www.spiegel.de“ gibt es evtl. nicht, aber Webserver leitet dies automatisch auf „https://www.spiegel.de“ um – ja, es reicht auch „spiegel.de“ aus, weil der Server dann annimmt, man meinte „www.spiegel.de“).
Dies gilt auch für den Host im lokalen Netzwerk. Ohne geöffneten Port im Router, der zumindest zu dem Host geroutet wird, ist Netzwerkkommunikation unmöglich. Es ist somit vollkommen unsinnig zu behaupten, dass dadurch das Netzwerk unsicher wird. Es ist sonst keine Kommunikation im Netzwerk möglich.
Und wenn ein sichere Firewall auf dem Host im lokalen Netzwerk läuft und für den Port nicht antwortet, sieht man von außen nicht, dass dieser Port geöffnet ist. Man kann so konfigurieren, dass der Host erst auf eine spezielle Anfrage antwortet. Für alle anderen ohne Kenntnis der speziellen Anfrageart sieht der Port geschlossen aus.
Übrigens: Viele haben im Router UPNP aktiviert. Der ist dazu da, das Hosts im lokalen Netzwerk dynamisch, wenn nötig, ein Port im Router geöffnet wird (z.B. in Skype nötig, wenn man z.B. Dateien empfangen können will, da das Loch in den Router dann nicht durch ein Server gebohrt wird). Erschreckend? Es ist aber für viele ganz normal und wird erwartet. Und es wird darüber gelästert, wenn es nicht funktioniert (weil UPNP nicht aktiviert und kein Port dafür geöffnet), auch wenn nicht klar ist, warum dies funktionieren kann und was vorausgesetzt wird (wer ganz sicher sein will und Halbwissen hat, schneidet sich oft in das eigene Fleisch, weil unbeabsichtigt gewisse Dinge nicht mehr funktionieren).
Im kleinen mobilen Safari ist es jetzt schwer zu überprüfen, ob alles weitestgehend korrekt, unmissverständlich und ohne versehentliche logische Fehler beschrieben wurde. Ich hoffe, ihr verzeiht mir dies, falls dies im langen Text ist. Und ich hoffe, dies hat einen gewissen Einblick geliefert, was viele notgedrungen als Gegeben hinnehmen und zu falschen Schlüssen führen kann, wenn man von offenen Ports hört.
Danke für den aufschlussreichen Kommentar! So wird mir einiges verständlicher.
Es freut mich, dass mein Text verständlich genug ist (nicht zu viele Fachwörter verwendet) und mein Kommentar etwas Einblick in die Materie gibt, die mittlerweile fast jeder nutzen muss, auch wenn man nicht ein paar grundlegende Konzepte erlernen konnte. Ich hoffe, dass das zukünftige Schulfach IMP (ja, etwas doofe Abkürzung, wenn man dies als englisches Wort „imp“ interpretiert) grundlegende Konzepte vermittelt und man nicht mehr beim Internet in das kalte Wasser geworfen wird, nachdem dort zwar die Meisten schwimmen lernen, aber dann nicht tauchen lernen und daher an Seeungeheuer glaubt (also an Verschwörungstheorien glaubt).