Portumleitung

  • Themenstarter Gelöschtes Mitglied 29330
  • Beginndatum
G

Gelöschtes Mitglied 29330

Guest
Ich möchte von meinem Telekom Router eine Portumleitung auf einen Raspberry Pi 2 in meinem Lan realisieren. Soweit ist das auch kein Problem. Nun frage ich mich wie sieht das mit der Sicherheit aus? Auf was muss ich acht? Und was passiert wenn der Pi aus ist? Kann man dann durch einen Trick zugriff auf mein internes Netzwerk bekommen oder bin ich sicher und muss mir keine Sorgen machen???

Danke schon mal im voraus für eure Antworten. :)
 
Wenn du einfach nur einen Port weiterleitest, dann ist es so als ob das Gerät das den Dienst anbietet direkt im Netz hängt den Dienst anbietet.
Es gibt also keine weitere Sicherheit für den Service der auf dem Port läuft.

Wenn nun der Pi aus ist, wird der Port ins Nichts weitergeleitet und das wars dann.
Der Client dürfte dann eine Meldung bekommen ICMP-Port Unreachable.
Mehr gibt es dazu nicht.

Der rest des Netzwerks ist nur verwundbar wenn man den Pi misbrauchen kann, also je nachdem was für eine Applikation dort läuft.
Gruß

Fluffy
 
Vorausgesetzt die NAT Regel passt sich dynamisch an die DHCP IP Adresszuweisung an und der Port wird nicht zufällig an deinen PC weitergeleitet, nur weil der jetzt die IP bekommt. Feste IP Adressen sind ein Muss bei NAT.
 
Danke für die Antworten erstmal :)

Also sollte ich keine Probleme kriegen auch wenn der Pi mal aus ist solange die IP des Pi's nicht unglücklicherweise an einen anderen PC vergeben wird (deshalb feste IP vergeben).
Auf dem Pi läuft so eine Art ssh Client, auf welchen ich von außen zugreifen will. Dieser ssh client ist der vorinstallierte der sollte doch auf dem neusten Stand sein und keine Brute-force Sachen oder ähnliches zu lassen oder?!
 
Auf dem Pi läuft so eine Art ssh Client, auf welchen ich von außen zugreifen will. Dieser ssh client ist der vorinstallierte der sollte doch auf dem neusten Stand sein und keine Brute-force Sachen oder ähnliches zu lassen oder?!

Üblicherweise lassen Client-Programme keine Zugriffe von aussen zu, es sei denn sie haben eine eigene API-Schnittstelle. Meinst du ggf. einen SSH-Server?

Bruteforces werden jedenfalls per Default von kaum einem Linux-Server-Programm unterbunden. Da sollte man entsprechende Sicherheitsmaßnahmen (z.B. mittels fail2ban) ergreifen.

Auch sind Programme, nur weil sie aus dem Paketmanager einer Distro stammen, nicht per se sicher. Ubuntu ist nicht umsonst in den Top-10 der Systeme mit den meisten gefundenen Sicherheitslücken. Wenn man sich also Sorgen macht, dass eine Sicherheitslücke ausgenutzt werden könnte, sollte man auch deswegen entsprechende Sicherheitsmaßnahmen ergreifen und z.B. eine Angriffserkennung installieren. Oder man nutzt Techniken wie Port Knocking um den Remote-Zugriff etwas zu erschweren.
 
Mit Angriffserkennung meinst du eine Art IPS oder IDS?

Port Knocking wird bei einem Speedport-Router nicht funktionieren oder? Ich meine die Firewall ist vorkonfiguriert und ich weis noch nicht mal ob das Ding die Log Daten für jeder man zugänglich macht.
 
Hallo,
wenn du es so weit treiben willst, kannst du natürlich auch eine IDS aufsetzen... *lol*
Zum Thema portknocking: Setz doch einfach ne Firewall mit z.B. iptables auf dem Pi auf, damit klappts auf jeden Fall.
Für den SSH Server richtet man dann noch die üblichen Verdächtigen ein, d.h. Fail2ban, key-authentication (dann logischerweise Passwörter deaktiviert...), Standartport ändern (z.B. 22->222), wenn es dir zu blöd ist das keyfile auf allen Geräten zu verteilen, gefällt dir vlt. eine 2 Faktor Authentifizierung (z.B. mit Google Authenticator), evtl. Ip-ranges und user einschränken (Passwörter ändern!) ...
Das hier soll keine komplette Liste darstellen, aber den Großteil der Angriffe (besonders die automatischen) verhindern.
 
Hallo,
wenn du es so weit treiben willst, kannst du natürlich auch eine IDS aufsetzen... *lol*
Was ist daran lol? 'Nen OSSEC ist schnell installiert und sorgt wenigstens dafür, dass man informiert wird, wenn Systemkomponenten verändert werden. Muss ja nicht gleich ein NIDS sein. Ein HIDS reicht völlig für diesen Anwendungsfall.

Zum Thema portknocking: Setz doch einfach ne Firewall mit z.B. iptables auf dem Pi auf, damit klappts auf jeden Fall.
Wohl kaum, wenn er dann nicht wenigstens alle anzuklopfenden Ports auf die RPi weiterleitet. Sonst klopft er nämlich beim Router an und nicht beim RPi.

wenn es dir zu blöd ist das keyfile auf allen Geräten zu verteilen, gefällt dir vlt. eine 2 Faktor Authentifizierung (z.B. mit Google Authenticator), evtl. Ip-ranges und user einschränken (Passwörter ändern!) ...

Bei sehr guten Passwörtern ist 2FA für SSH absolut unnötig. Auch braucht man Keys nicht auf zig Geräte verteilen. Ein USB-Stick, den man dort einsetzt, wo man den Key gerade braucht, dürfte vermutlich ausreichen.
 
Hallo,
nur immer mit der Ruhe. Meiner Meinung nach ist eine IDS hier ein wenig overkill, so gering der Aufwand auch sein mag. Wenn der Fragensteller eine IDS möchte, gerne! Zugegeben, es macht auch einfach Spaß solche Dinge einzurichten und wenn am Ende das ganze System dadurch sicherer wird - umso besser!
Zum Problem Portknocking: Natürlich muss er die anderen Ports auch weiterleiten - oder fällt dir eine bessere Lösung ein? Es wäre durchaus auch möglich den Router mit einem custom
Image zu bespielen... Viele Wege führen nach Rom.
Den Transport der keys mittels USB Stick ist eine gute Idee - doch bedeutet logischerweise ein vergessener Stick auch kein Zugang zu deinem System.
Und was spricht Bitte gegen 2 Faktor Authentifizierung? Klar - dein Passwort mag sicher sein, aber du wirst mir sicherlich zustimmen, wenn ich sage, dass es sehr komfortabel ist, wenn man sich an einem fremden PC einloggt. Man gibt Token+Passwort ein und fertig.
Für die paranoiden Personen unter uns hat das noch einen weiteren Vorteil - sobald man die Session schließt, hat der "böse" Fremd-PC keinen Zugang mehr. Ein Handy mit z.B. Google Authenticator hat man auch zumeist dabei ( - ja, man kann den key auch auf dem Handy speichern).
Solche Themen lassen sich stundenlang debattieren und auslutschen. Wenn dich lediglich meine Verwendung von *lol* stört, so muss ich zugeben, dass dies hier fehlplaziert war. Vielmehr wollte ich ein Schmunzeln ausdrücken, welches mir über die Lippen kam. Es war keinesfalls als abwertend, oder gar lächerlich machend gemeint! Sollte dieser Eindruck entstanden sein, so bitte ich um Entschuldigung!
 
Zurück
Oben