Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Über 2 Instanz (Easybox 802 und Fritzbox 7170) via SSH auf LINUX (open source - NAS Server)

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: andreman1

andreman1 (Level 1) - Jetzt verbinden

05.08.2011, aktualisiert 09.08.2011, 6430 Aufrufe, 8 Kommentare

Die SSH-Tunnel zwischen Fritzbox und QNAP (open source - NAS Linux-Server ) über DSL/ Easybox 802,

Hallo zusammen,

bevor ich anfange zu experimentieren, frag ich doch mal ob jemand so schon gemacht hat:

ich habe u.g. Konstrukt im Netz.

DSL/Internet---->EASYBOX802< ------> Fritzbox 7170< ------>Qnap TS-110

Auf Qnap Serverver (open source - NAS Linux-Server ) laufen E-Mail Server , WEB- Server und Application Server.

Die erreiche ich im Lokalen Netz über https z.B. Web-Email über https://meinQnapServer:8090 , WEB- Server über https://meinQnapServer:8091 und Application Server über https://meinQnapServer:8092
Nun möchte ich aber auch unterwegs auf das zugreifen und natürlich wie möglich sicher. Deswegen will ich auch nicht direkt von Easybox zum NAS Server die Ports- Umleitung machen, sonder über das Fritzbox.

Meine Idee ist, auf Easybox Ports 60000, 60001 und 60002 umleiten auf Fritzbox 7170 Ports 60000, 60001, 60002.
Auf Fritzbox wurde ich dann Dropbear (laut Anleitung: http://www.com-technics.com/viewtopic.php?f=70&t=141) installieren und dort im hintegrund über ssh -Tunnel baue zwischen fritzbox und QNAP-Server ein paar Verbindungen auf.
z.B.:

ssh -i id_rsa -L 60000:fritzbox:8090 -g -y -T -N user@ meinQnapServer &
ssh -i id_rsa -L 60001:fritzbox:8091 -g -y -T -N user@ meinQnapServer &
ssh -i id_rsa -L 60002:fritzbox:8092 -g -y -T -N user@ meinQnapServer &


Danach, wenn alles läuft, kann doch via Internet im Browser z.B: https://meinQnapServer.DynDNS-meinDomäneName:60001 angeben und landet dann automatisch (oder doch nicht?) auf mein QNAP-Server https://meinQnapServer:8091.

Wird es so was funktionieren,und wenn ja, was ja alles auch noch zu berücksichtigen. Funktionirt auch auf Fritzbox Dropbear SSH Tunnel ?

ich würde mich freuen ,wenn jemand eine kurze Zusammenfassung dafür schreibt
Vielen dank schon mal im voraus
andreman1

P.S.

Was genau soll das bringen ?


Was ich erreichen will, ist, ohne Client, auch aus einem Internet-Cafe - wenn ich verreise und auch für meine Bekannte, meinen NAS-Server zu erreichen. Wenn Hacker Portscannen machen wird das zu 99 % nur bis 10.000 Range gescannt. Das ist das erste. Wenn es doch ein Hacker schafft über ein Port bis Qnap über die SSH-Tunnel zu kommen, dann scannt er über diesen Port auch alle offen Port inerhalb von NAS + probiert er auch mit unterschiedlichen Benutzer und Passworten auf System zu kommen.
So kann man ein Script auf Qnap(NAS) starten, das prüft, ob das System auf unterschiedliche Ports bzw. Benutzer-Password gescannt wird, und wenn es so vorkommt, dann werden die Tunnel zwischen Qnap und Fritzbox automatisch getrennt.
Mitglied: broecker
06.08.2011 um 12:46 Uhr
kann man so machen - muß man nicht
zu den hohen Ports: viele Router machen schon ab ca. 30000 (nicht genau 32767!) keine Weiterleitung, falls etwas nicht läuft, mit etwas niedrigeren Ports probieren...
sind die Bekannten Technik-Affin? dann würde ich eher nur einfach Port-Knocking zur Authentifizierung vorschalten, das wäre im Internet-Café m.E. etwas Key-Logger-resistenter
Bitte warten ..
Mitglied: Lochkartenstanzer
07.08.2011 um 23:36 Uhr
Was soll der Blödsinn? Das ssh zwischen fritz und qnap bringt keinen zusätzlichen Sicherheitsgewinn.

Und gegen Portscans nutzt das gar nichts. Du kannst Dich ncht darauf verlassen, daß diese nur bis port 10.000 gemacht werden Das schützt nur gegen die Scriptkiddies. Ich z.B. scanne, wenn ich Sicherheitsanalysen mache, grundsätzlich alle Ports!.

Du solltest entweder gleich per ordentlich konfiguriertem ssh und lokalem Portforwarding per ssh auf den qnap verbinden, oder ein SSL-VPN aufbauen.
Alternativ kannst Du natürlich auch ein einfaches Portknocking implentieren.


Was ich erreichen will, ist, ohne Client, auch aus einem Internet-Cafe und auch für meine Bekannte, meinen NAS-Server zu erreichen

Also Sicherheit und Internet-Cafe (ohne eigenen Rechner) schließen sich aus.
Bitte warten ..
Mitglied: broecker
08.08.2011 um 00:05 Uhr
1x-Passworte (wie TANs) wären für das Internetcafé noch eine übliche Lösung, wird eines mitgelogt, macht das nichts. Alle Varianten (außer Portknocking) werden mit PAM-Modulen realisiert - so auch zu ergooglen - und können unterschiedliche Serverdienste absichern.
Bitte warten ..
Mitglied: andreman1
08.08.2011 um 22:36 Uhr
Hallo Broecker,

danke Dir!
Stichwort Port-Knocking - genau was ich gesucht habe.Mit PAM-Modulen ist das noch besser, das klingt aber ganz schön kompliziert.
Eine Sache verstehe ich nicht, wenn ich die User-Logins auf Qnap überwache und erkenne Brute Force Attacke und trenne den Tunnel zwischen Qnap und Fritzbox , dann soll doch für den Hacker nichts übrig bleiben oder?
Warum soll ich noch mehr den Qnap-Server schutzen als "unbedingt nötig" ?

Danke + Gruß
Andre
Bitte warten ..
Mitglied: Lochkartenstanzer
08.08.2011 um 22:56 Uhr
Zitat von broecker:
1x-Passworte (wie TANs) wären für das Internetcafé noch eine übliche Lösung,

Klar, aber das verhindert nicht, daß alle Daten, die man zu Gesicht bekommt, auch der Lauscher sieht. Und das kann schon zuviel sein. ggf. muß der der Lauscher sich ja auch kein weiteres mal irgendwo einloggen, wenn er die Sitzung einfach übernimmt.

Daher wiederhole ich meine Aussage: Jede Kommunikation über ein Gerät, daß nicht unter der eigenen Kontrolle ist, z.B. selbst mitgebrachtes Laptop im Internet-Cafe, ist per se unsicher. Es ist daher eine Risikoabwägung, was man den Systemen des Internet-Cafes anvertrauen will und was nicht.

lks
Bitte warten ..
Mitglied: broecker
08.08.2011 um 22:57 Uhr
Bruteforce ist m.E. gar nicht so sehr zu fürchten, was kratzt es, wenn 24 Stunden lang an Port 22 wilde Kombinationen durchprobiert werden, wenn das Passwort länger ist oder der ssh-Port verlegt wurde, danach gibt's ne DSL-Trennung, dann ist wieder Ruhe. Unangenehmer wäre es, wenn im Internet-Café Port, Name und Passwort mitgelesen wird, ggf. authentifizierende Zertifikate und Schlüssel kopiert werden und damit anschließend erneut zugegriffen wird, klar, das wäre kein automatischer Standardangriff, aber genau das befürchtest Du anscheinend aus dem Café?
Da hilft dann nur eine Methode, die schwerer mitzulesen ist bzw. eben idealerweise 1x-Passworte.
Sonst reicht m.E. hoher Port und langes Passwort völlig aus und das Ziel sollte noch in einer DMZ stehen und dementsprechend nicht Vollzugriff auf das ganze eigene Netz bieten.
Bitte warten ..
Mitglied: broecker
08.08.2011 um 23:00 Uhr
völlig richtig, deswegen mein Hinweis eben auf DMZ, die Grenze schiebt man wahrscheinlich heute ziemlich weit runter, wo mobile Geräte den billigen Zugriff auf wenige Daten (dafür sensibel) gestatten.
Dann taugt das Internet-Café nur noch zum surfen und dem Nachfüllen von MP3-Player o.ä. vom QNAP
Bitte warten ..
Mitglied: andreman1
09.08.2011 um 01:00 Uhr
Jetzt bin ich schon schlauer geworden.

Dann soll ich wohl während meiner Reise auf Internet-Cafe bzw. Hotel- PC verzichten, da ich kein DMZ zu Hause habe.
Schade, ich dachte schon, dass ich mit dem Tunnel und dann noch eventuell mit Port-Knocking gut abgesichert bin.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Linux
25 Jahre Linux -25 Dinge, die mit Open Source besser wurden (1)

Link von runasservice zum Thema Linux ...

Batch & Shell
PowerShell on Linux and Open Source! - Windows PowerShell Blog

Link von Lochkartenstanzer zum Thema Batch & Shell ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (7)

Frage von Venator zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (10)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...