8
Über 2 Instanz (Easybox 802 und Fritzbox 7170) via SSH auf LINUX (open source - NAS Server)
Die SSH-Tunnel zwischen Fritzbox und QNAP (open source - NAS Linux-Server ) über DSL/ Easybox 802,
Hallo zusammen,
bevor ich anfange zu experimentieren, frag ich doch mal ob jemand so schon gemacht hat:
ich habe u.g. Konstrukt im Netz.
DSL/Internet---->EASYBOX802< ------> Fritzbox 7170< ------>Qnap TS-110
Auf Qnap Serverver (open source - NAS Linux-Server ) laufen E-Mail Server , WEB- Server und Application Server.
Die erreiche ich im Lokalen Netz über https z.B. Web-Email über https://meinQnapServer:8090 , WEB- Server über https://meinQnapServer:8091 und Application Server über https://meinQnapServer:8092
Nun möchte ich aber auch unterwegs auf das zugreifen und natürlich wie möglich sicher. Deswegen will ich auch nicht direkt von Easybox zum NAS Server die Ports- Umleitung machen, sonder über das Fritzbox.
Meine Idee ist, auf Easybox Ports 60000, 60001 und 60002 umleiten auf Fritzbox 7170 Ports 60000, 60001, 60002.
Auf Fritzbox wurde ich dann Dropbear (laut Anleitung: http://www.com-technics.com/viewtopic.php?f=70&t=141) installieren und dort im hintegrund über ssh -Tunnel baue zwischen fritzbox und QNAP-Server ein paar Verbindungen auf.
z.B.:
ssh -i id_rsa -L 60000:fritzbox:8090 -g -y -T -N user@ meinQnapServer &
ssh -i id_rsa -L 60001:fritzbox:8091 -g -y -T -N user@ meinQnapServer &
ssh -i id_rsa -L 60002:fritzbox:8092 -g -y -T -N user@ meinQnapServer &
Danach, wenn alles läuft, kann doch via Internet im Browser z.B: https://meinQnapServer.DynDNS-meinDomäneName:60001 angeben und landet dann automatisch (oder doch nicht?) auf mein QNAP-Server https://meinQnapServer:8091.
Wird es so was funktionieren,und wenn ja, was ja alles auch noch zu berücksichtigen. Funktionirt auch auf Fritzbox Dropbear SSH Tunnel ?
ich würde mich freuen ,wenn jemand eine kurze Zusammenfassung dafür schreibt
Vielen dank schon mal im voraus
andreman1
P.S.
Was genau soll das bringen ?
Was ich erreichen will, ist, ohne Client, auch aus einem Internet-Cafe - wenn ich verreise und auch für meine Bekannte, meinen NAS-Server zu erreichen. Wenn Hacker Portscannen machen wird das zu 99 % nur bis 10.000 Range gescannt. Das ist das erste. Wenn es doch ein Hacker schafft über ein Port bis Qnap über die SSH-Tunnel zu kommen, dann scannt er über diesen Port auch alle offen Port inerhalb von NAS + probiert er auch mit unterschiedlichen Benutzer und Passworten auf System zu kommen.
So kann man ein Script auf Qnap(NAS) starten, das prüft, ob das System auf unterschiedliche Ports bzw. Benutzer-Password gescannt wird, und wenn es so vorkommt, dann werden die Tunnel zwischen Qnap und Fritzbox automatisch getrennt.
bevor ich anfange zu experimentieren, frag ich doch mal ob jemand so schon gemacht hat:
ich habe u.g. Konstrukt im Netz.
DSL/Internet---->EASYBOX802< ------> Fritzbox 7170< ------>Qnap TS-110
Auf Qnap Serverver (open source - NAS Linux-Server ) laufen E-Mail Server , WEB- Server und Application Server.
Die erreiche ich im Lokalen Netz über https z.B. Web-Email über https://meinQnapServer:8090 , WEB- Server über https://meinQnapServer:8091 und Application Server über https://meinQnapServer:8092
Nun möchte ich aber auch unterwegs auf das zugreifen und natürlich wie möglich sicher. Deswegen will ich auch nicht direkt von Easybox zum NAS Server die Ports- Umleitung machen, sonder über das Fritzbox.
Meine Idee ist, auf Easybox Ports 60000, 60001 und 60002 umleiten auf Fritzbox 7170 Ports 60000, 60001, 60002.
Auf Fritzbox wurde ich dann Dropbear (laut Anleitung: http://www.com-technics.com/viewtopic.php?f=70&t=141) installieren und dort im hintegrund über ssh -Tunnel baue zwischen fritzbox und QNAP-Server ein paar Verbindungen auf.
z.B.:
ssh -i id_rsa -L 60000:fritzbox:8090 -g -y -T -N user@ meinQnapServer &
ssh -i id_rsa -L 60001:fritzbox:8091 -g -y -T -N user@ meinQnapServer &
ssh -i id_rsa -L 60002:fritzbox:8092 -g -y -T -N user@ meinQnapServer &
Danach, wenn alles läuft, kann doch via Internet im Browser z.B: https://meinQnapServer.DynDNS-meinDomäneName:60001 angeben und landet dann automatisch (oder doch nicht?) auf mein QNAP-Server https://meinQnapServer:8091.
Wird es so was funktionieren,und wenn ja, was ja alles auch noch zu berücksichtigen. Funktionirt auch auf Fritzbox Dropbear SSH Tunnel ?
ich würde mich freuen ,wenn jemand eine kurze Zusammenfassung dafür schreibt
Vielen dank schon mal im voraus
andreman1
P.S.
Was genau soll das bringen ?
Was ich erreichen will, ist, ohne Client, auch aus einem Internet-Cafe - wenn ich verreise und auch für meine Bekannte, meinen NAS-Server zu erreichen. Wenn Hacker Portscannen machen wird das zu 99 % nur bis 10.000 Range gescannt. Das ist das erste. Wenn es doch ein Hacker schafft über ein Port bis Qnap über die SSH-Tunnel zu kommen, dann scannt er über diesen Port auch alle offen Port inerhalb von NAS + probiert er auch mit unterschiedlichen Benutzer und Passworten auf System zu kommen.
So kann man ein Script auf Qnap(NAS) starten, das prüft, ob das System auf unterschiedliche Ports bzw. Benutzer-Password gescannt wird, und wenn es so vorkommt, dann werden die Tunnel zwischen Qnap und Fritzbox automatisch getrennt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171018
Url: https://administrator.de/contentid/171018
Printed on: April 24, 2024 at 12:04 o'clock
8 Comments
Latest comment
kann man so machen - muß man nicht 
zu den hohen Ports: viele Router machen schon ab ca. 30000 (nicht genau 32767!) keine Weiterleitung, falls etwas nicht läuft, mit etwas niedrigeren Ports probieren...
sind die Bekannten Technik-Affin? dann würde ich eher nur einfach Port-Knocking zur Authentifizierung vorschalten, das wäre im Internet-Café m.E. etwas Key-Logger-resistenter
zu den hohen Ports: viele Router machen schon ab ca. 30000 (nicht genau 32767!) keine Weiterleitung, falls etwas nicht läuft, mit etwas niedrigeren Ports probieren...
sind die Bekannten Technik-Affin? dann würde ich eher nur einfach Port-Knocking zur Authentifizierung vorschalten, das wäre im Internet-Café m.E. etwas Key-Logger-resistenter
Was soll der Blödsinn? Das ssh zwischen fritz und qnap bringt keinen zusätzlichen Sicherheitsgewinn.
Und gegen Portscans nutzt das gar nichts. Du kannst Dich ncht darauf verlassen, daß diese nur bis port 10.000 gemacht werden Das schützt nur gegen die Scriptkiddies. Ich z.B. scanne, wenn ich Sicherheitsanalysen mache, grundsätzlich alle Ports!.
Du solltest entweder gleich per ordentlich konfiguriertem ssh und lokalem Portforwarding per ssh auf den qnap verbinden, oder ein SSL-VPN aufbauen.
Alternativ kannst Du natürlich auch ein einfaches Portknocking implentieren.
Also Sicherheit und Internet-Cafe (ohne eigenen Rechner) schließen sich aus.
Und gegen Portscans nutzt das gar nichts. Du kannst Dich ncht darauf verlassen, daß diese nur bis port 10.000 gemacht werden Das schützt nur gegen die Scriptkiddies. Ich z.B. scanne, wenn ich Sicherheitsanalysen mache, grundsätzlich alle Ports!.
Du solltest entweder gleich per ordentlich konfiguriertem ssh und lokalem Portforwarding per ssh auf den qnap verbinden, oder ein SSL-VPN aufbauen.
Alternativ kannst Du natürlich auch ein einfaches Portknocking implentieren.
Was ich erreichen will, ist, ohne Client, auch aus einem Internet-Cafe und auch für meine Bekannte, meinen NAS-Server zu erreichen
Also Sicherheit und Internet-Cafe (ohne eigenen Rechner) schließen sich aus.
1x-Passworte (wie TANs) wären für das Internetcafé noch eine übliche Lösung, wird eines mitgelogt, macht das nichts. Alle Varianten (außer Portknocking) werden mit PAM-Modulen realisiert - so auch zu ergooglen - und können unterschiedliche Serverdienste absichern.
Hallo Broecker,
danke Dir!
Stichwort Port-Knocking - genau was ich gesucht habe.Mit PAM-Modulen ist das noch besser, das klingt aber ganz schön kompliziert.
Eine Sache verstehe ich nicht, wenn ich die User-Logins auf Qnap überwache und erkenne Brute Force Attacke und trenne den Tunnel zwischen Qnap und Fritzbox , dann soll doch für den Hacker nichts übrig bleiben oder?
Warum soll ich noch mehr den Qnap-Server schutzen als "unbedingt nötig" ?
Danke + Gruß
Andre
danke Dir!
Stichwort Port-Knocking - genau was ich gesucht habe.Mit PAM-Modulen ist das noch besser, das klingt aber ganz schön kompliziert.
Eine Sache verstehe ich nicht, wenn ich die User-Logins auf Qnap überwache und erkenne Brute Force Attacke und trenne den Tunnel zwischen Qnap und Fritzbox , dann soll doch für den Hacker nichts übrig bleiben oder?
Warum soll ich noch mehr den Qnap-Server schutzen als "unbedingt nötig" ?
Danke + Gruß
Andre
Klar, aber das verhindert nicht, daß alle Daten, die man zu Gesicht bekommt, auch der Lauscher sieht. Und das kann schon zuviel sein. ggf. muß der der Lauscher sich ja auch kein weiteres mal irgendwo einloggen, wenn er die Sitzung einfach übernimmt.
Daher wiederhole ich meine Aussage: Jede Kommunikation über ein Gerät, daß nicht unter der eigenen Kontrolle ist, z.B. selbst mitgebrachtes Laptop im Internet-Cafe, ist per se unsicher. Es ist daher eine Risikoabwägung, was man den Systemen des Internet-Cafes anvertrauen will und was nicht.
lks
Bruteforce ist m.E. gar nicht so sehr zu fürchten, was kratzt es, wenn 24 Stunden lang an Port 22 wilde Kombinationen durchprobiert werden, wenn das Passwort länger ist oder der ssh-Port verlegt wurde, danach gibt's ne DSL-Trennung, dann ist wieder Ruhe. Unangenehmer wäre es, wenn im Internet-Café Port, Name und Passwort mitgelesen wird, ggf. authentifizierende Zertifikate und Schlüssel kopiert werden und damit anschließend erneut zugegriffen wird, klar, das wäre kein automatischer Standardangriff, aber genau das befürchtest Du anscheinend aus dem Café?
Da hilft dann nur eine Methode, die schwerer mitzulesen ist bzw. eben idealerweise 1x-Passworte.
Sonst reicht m.E. hoher Port und langes Passwort völlig aus und das Ziel sollte noch in einer DMZ stehen und dementsprechend nicht Vollzugriff auf das ganze eigene Netz bieten.
Da hilft dann nur eine Methode, die schwerer mitzulesen ist bzw. eben idealerweise 1x-Passworte.
Sonst reicht m.E. hoher Port und langes Passwort völlig aus und das Ziel sollte noch in einer DMZ stehen und dementsprechend nicht Vollzugriff auf das ganze eigene Netz bieten.
völlig richtig, deswegen mein Hinweis eben auf DMZ, die Grenze schiebt man wahrscheinlich heute ziemlich weit runter, wo mobile Geräte den billigen Zugriff auf wenige Daten (dafür sensibel) gestatten.
Dann taugt das Internet-Café nur noch zum surfen und dem Nachfüllen von MP3-Player o.ä. vom QNAP
Dann taugt das Internet-Café nur noch zum surfen und dem Nachfüllen von MP3-Player o.ä. vom QNAP
Jetzt bin ich schon schlauer geworden.
Dann soll ich wohl während meiner Reise auf Internet-Cafe bzw. Hotel- PC verzichten, da ich kein DMZ zu Hause habe.
Schade, ich dachte schon, dass ich mit dem Tunnel und dann noch eventuell mit Port-Knocking gut abgesichert bin.
Dann soll ich wohl während meiner Reise auf Internet-Cafe bzw. Hotel- PC verzichten, da ich kein DMZ zu Hause habe.
Schade, ich dachte schon, dass ich mit dem Tunnel und dann noch eventuell mit Port-Knocking gut abgesichert bin.
