Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Über 2 Instanz (Easybox 802 und Fritzbox 7170) via SSH auf LINUX (open source - NAS Server)

Mitglied: andreman1

andreman1 (Level 1) - Jetzt verbinden

05.08.2011, aktualisiert 09.08.2011, 6606 Aufrufe, 8 Kommentare

Die SSH-Tunnel zwischen Fritzbox und QNAP (open source - NAS Linux-Server ) über DSL/ Easybox 802,

Hallo zusammen,

bevor ich anfange zu experimentieren, frag ich doch mal ob jemand so schon gemacht hat:

ich habe u.g. Konstrukt im Netz.

DSL/Internet---->EASYBOX802< ------> Fritzbox 7170< ------>Qnap TS-110

Auf Qnap Serverver (open source - NAS Linux-Server ) laufen E-Mail Server , WEB- Server und Application Server.

Die erreiche ich im Lokalen Netz über https z.B. Web-Email über https://meinQnapServer:8090 , WEB- Server über https://meinQnapServer:8091 und Application Server über https://meinQnapServer:8092
Nun möchte ich aber auch unterwegs auf das zugreifen und natürlich wie möglich sicher. Deswegen will ich auch nicht direkt von Easybox zum NAS Server die Ports- Umleitung machen, sonder über das Fritzbox.

Meine Idee ist, auf Easybox Ports 60000, 60001 und 60002 umleiten auf Fritzbox 7170 Ports 60000, 60001, 60002.
Auf Fritzbox wurde ich dann Dropbear (laut Anleitung: http://www.com-technics.com/viewtopic.php?f=70&t=141) installieren und dort im hintegrund über ssh -Tunnel baue zwischen fritzbox und QNAP-Server ein paar Verbindungen auf.
z.B.:

ssh -i id_rsa -L 60000:fritzbox:8090 -g -y -T -N user@ meinQnapServer &
ssh -i id_rsa -L 60001:fritzbox:8091 -g -y -T -N user@ meinQnapServer &
ssh -i id_rsa -L 60002:fritzbox:8092 -g -y -T -N user@ meinQnapServer &


Danach, wenn alles läuft, kann doch via Internet im Browser z.B: https://meinQnapServer.DynDNS-meinDomäneName:60001 angeben und landet dann automatisch (oder doch nicht?) auf mein QNAP-Server https://meinQnapServer:8091.

Wird es so was funktionieren,und wenn ja, was ja alles auch noch zu berücksichtigen. Funktionirt auch auf Fritzbox Dropbear SSH Tunnel ?

ich würde mich freuen ,wenn jemand eine kurze Zusammenfassung dafür schreibt
Vielen dank schon mal im voraus
andreman1

P.S.

Was genau soll das bringen ?


Was ich erreichen will, ist, ohne Client, auch aus einem Internet-Cafe - wenn ich verreise und auch für meine Bekannte, meinen NAS-Server zu erreichen. Wenn Hacker Portscannen machen wird das zu 99 % nur bis 10.000 Range gescannt. Das ist das erste. Wenn es doch ein Hacker schafft über ein Port bis Qnap über die SSH-Tunnel zu kommen, dann scannt er über diesen Port auch alle offen Port inerhalb von NAS + probiert er auch mit unterschiedlichen Benutzer und Passworten auf System zu kommen.
So kann man ein Script auf Qnap(NAS) starten, das prüft, ob das System auf unterschiedliche Ports bzw. Benutzer-Password gescannt wird, und wenn es so vorkommt, dann werden die Tunnel zwischen Qnap und Fritzbox automatisch getrennt.
Mitglied: broecker
06.08.2011 um 12:46 Uhr
kann man so machen - muß man nicht
zu den hohen Ports: viele Router machen schon ab ca. 30000 (nicht genau 32767!) keine Weiterleitung, falls etwas nicht läuft, mit etwas niedrigeren Ports probieren...
sind die Bekannten Technik-Affin? dann würde ich eher nur einfach Port-Knocking zur Authentifizierung vorschalten, das wäre im Internet-Café m.E. etwas Key-Logger-resistenter
Bitte warten ..
Mitglied: Lochkartenstanzer
07.08.2011 um 23:36 Uhr
Was soll der Blödsinn? Das ssh zwischen fritz und qnap bringt keinen zusätzlichen Sicherheitsgewinn.

Und gegen Portscans nutzt das gar nichts. Du kannst Dich ncht darauf verlassen, daß diese nur bis port 10.000 gemacht werden Das schützt nur gegen die Scriptkiddies. Ich z.B. scanne, wenn ich Sicherheitsanalysen mache, grundsätzlich alle Ports!.

Du solltest entweder gleich per ordentlich konfiguriertem ssh und lokalem Portforwarding per ssh auf den qnap verbinden, oder ein SSL-VPN aufbauen.
Alternativ kannst Du natürlich auch ein einfaches Portknocking implentieren.


Was ich erreichen will, ist, ohne Client, auch aus einem Internet-Cafe und auch für meine Bekannte, meinen NAS-Server zu erreichen

Also Sicherheit und Internet-Cafe (ohne eigenen Rechner) schließen sich aus.
Bitte warten ..
Mitglied: broecker
08.08.2011 um 00:05 Uhr
1x-Passworte (wie TANs) wären für das Internetcafé noch eine übliche Lösung, wird eines mitgelogt, macht das nichts. Alle Varianten (außer Portknocking) werden mit PAM-Modulen realisiert - so auch zu ergooglen - und können unterschiedliche Serverdienste absichern.
Bitte warten ..
Mitglied: andreman1
08.08.2011 um 22:36 Uhr
Hallo Broecker,

danke Dir!
Stichwort Port-Knocking - genau was ich gesucht habe.Mit PAM-Modulen ist das noch besser, das klingt aber ganz schön kompliziert.
Eine Sache verstehe ich nicht, wenn ich die User-Logins auf Qnap überwache und erkenne Brute Force Attacke und trenne den Tunnel zwischen Qnap und Fritzbox , dann soll doch für den Hacker nichts übrig bleiben oder?
Warum soll ich noch mehr den Qnap-Server schutzen als "unbedingt nötig" ?

Danke + Gruß
Andre
Bitte warten ..
Mitglied: Lochkartenstanzer
08.08.2011 um 22:56 Uhr
Zitat von broecker:
1x-Passworte (wie TANs) wären für das Internetcafé noch eine übliche Lösung,

Klar, aber das verhindert nicht, daß alle Daten, die man zu Gesicht bekommt, auch der Lauscher sieht. Und das kann schon zuviel sein. ggf. muß der der Lauscher sich ja auch kein weiteres mal irgendwo einloggen, wenn er die Sitzung einfach übernimmt.

Daher wiederhole ich meine Aussage: Jede Kommunikation über ein Gerät, daß nicht unter der eigenen Kontrolle ist, z.B. selbst mitgebrachtes Laptop im Internet-Cafe, ist per se unsicher. Es ist daher eine Risikoabwägung, was man den Systemen des Internet-Cafes anvertrauen will und was nicht.

lks
Bitte warten ..
Mitglied: broecker
08.08.2011 um 22:57 Uhr
Bruteforce ist m.E. gar nicht so sehr zu fürchten, was kratzt es, wenn 24 Stunden lang an Port 22 wilde Kombinationen durchprobiert werden, wenn das Passwort länger ist oder der ssh-Port verlegt wurde, danach gibt's ne DSL-Trennung, dann ist wieder Ruhe. Unangenehmer wäre es, wenn im Internet-Café Port, Name und Passwort mitgelesen wird, ggf. authentifizierende Zertifikate und Schlüssel kopiert werden und damit anschließend erneut zugegriffen wird, klar, das wäre kein automatischer Standardangriff, aber genau das befürchtest Du anscheinend aus dem Café?
Da hilft dann nur eine Methode, die schwerer mitzulesen ist bzw. eben idealerweise 1x-Passworte.
Sonst reicht m.E. hoher Port und langes Passwort völlig aus und das Ziel sollte noch in einer DMZ stehen und dementsprechend nicht Vollzugriff auf das ganze eigene Netz bieten.
Bitte warten ..
Mitglied: broecker
08.08.2011 um 23:00 Uhr
völlig richtig, deswegen mein Hinweis eben auf DMZ, die Grenze schiebt man wahrscheinlich heute ziemlich weit runter, wo mobile Geräte den billigen Zugriff auf wenige Daten (dafür sensibel) gestatten.
Dann taugt das Internet-Café nur noch zum surfen und dem Nachfüllen von MP3-Player o.ä. vom QNAP
Bitte warten ..
Mitglied: andreman1
09.08.2011 um 01:00 Uhr
Jetzt bin ich schon schlauer geworden.

Dann soll ich wohl während meiner Reise auf Internet-Cafe bzw. Hotel- PC verzichten, da ich kein DMZ zu Hause habe.
Schade, ich dachte schon, dass ich mit dem Tunnel und dann noch eventuell mit Port-Knocking gut abgesichert bin.
Bitte warten ..
Ähnliche Inhalte
Linux Tools

Netdata: Open Source Monitoring und Überwachung für Linux Server

Erfahrungsbericht von FrankLinux Tools14 Kommentare

Wer auf Basis von Open Source ein sehr leistungsfähiges und professionelles Monitoring inkl. Überwachung für seine Server sucht, sollte ...

DSL, VDSL

Easybox 802 generiert eigenes Subnetz im VDSL-Modus

gelöst Frage von Hyper-V-TechnicsDSL, VDSL3 Kommentare

Hallo liebes Forum, Ich habe folgendes Problem Zu aller erstmal ne kleine Übersicht: Ich möchte nun von "Server" zu ...

E-Mail

Open Source Groupware

gelöst Frage von Sunny89E-Mail5 Kommentare

Hallo zusammen, im Moment nutze ich für meinen kleinen Betrieb Office365 mit Exchange Konten mit allem drum und dran. ...

Microsoft

Welche Open source software nutzt ihr?

Frage von thomasreischerMicrosoft19 Kommentare

Hallo zusammen, Mich würde mal Interessieren welche Open source Projekte bei euch im Einsatz sind. Ich mache Mal den ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 2 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 4 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 5 StundenMicrosoft3 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Server-Hardware
Server für Exchange 2016, Kaufberatung
Frage von MazenauerServer-Hardware10 Kommentare

Guten Tag werte Gemeinde, Vorab: Ich dachte es gab mal einen separaten Bereich für solche Anfragen, habe ich leider ...