Raspberry hinter Fritzbox "sicher"?

[deine_schuld]

Hallo zusammen!

Habe mir vor einigen Tagen einen Raspberry mit IPC und OScam eingerichtet. Dieser ist hinter einer Fritzbox welche 2 geöffnete Ports für Oscam hat.
Meine Frage dreht sich darum ober der Raspberry hinter der Fritzbox Firewall "einigermaßen sicher" ist oder ob Maßnahmen wie eine Firewall/ Iptables

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

o.ä. auf ihm definitv nötig sind? (eventuell Fail2ban ?)
Bzw. welche Möglichkeiten habe ich sonst die offenen Ports abzusichern?
Die Ports für WebIf`s sind nach außen nicht offen, Zugriff auf die WebIf's mach ich von außen nur via VPN.

Gruß Andy

 

[axel]

AW: Raspberry hinter Fritzbox "sicher"?

Hi,

wenn nur 2 Ports für Oscam offen sind und Du gute PW gewählt hast, sollte das wohl reichen.

Testen kannst Du es selbst hiermit von einer anderen öffentliche IP (Kumpel, Bruder etc.) mit "Nmap":

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Gruß

 

[Bodo-1]

AW: Raspberry hinter Fritzbox "sicher"?

Den Standard Port 12000 nutzt du ja hoffentlich nicht ?

gesendet von meinem
Oneplus Two

 

[supraracer]

AW: Raspberry hinter Fritzbox "sicher"?

Maximale Sicherheit erhälst du nur mit einem über Zertifikat+User+PW abgesicherten VPN Tunnel. Außer dem Port für den VPN Server hast du dann nach außen gar nichts anderes offen.

-supraracer

 

[deine_schuld]

AW: Raspberry hinter Fritzbox "sicher"?

@bodo Neeee, hab keine Standart-Ports benutz!!!

@supraracer: Du meinst über einen Drittanbieter-Server? (hide.me oder ähnliches)

 

[axel]

AW: Raspberry hinter Fritzbox "sicher"?

Hi,

das kann man auch selbst aufsetzen, Stichwort OpenVPN.

Halte ich für völlig übertrieben bei Deiner Himbeere wo eh keine Daten großartig drauf sind...

CS ist desweiteren "grundverschlüsselt".

Gruß

 

[supraracer]

AW: Raspberry hinter Fritzbox "sicher"?

Nein, natürlich auf keinen Fall über einen Drittanbieter, dann lieber viele offene Ports. ;-)
Eigener OpenVPN zB wie schon angesprochen wurde, läuft auch auf deinem RPi. Auch die Fritzboxen beherrschen VPN (selbst noch nie genutzt, aber einiges darüber gelesen, scheint brauchbar zu sein).

-supraracer

 

[deine_schuld]

AW: Raspberry hinter Fritzbox "sicher"?

ja, openvpn hatte ich schonmal für meine Duo2. Hat ganz gut funktioniert...

Mir gehts in erster Linie weniger um die Daten des Raspberrrys oder das eigentliche CS, sondern eher darum ob die Gefahr besteht dass sich jemand über die Himbeere und die 2 offenen Ports "Zugang" zum Heimnetz beschafft.
Ich kann es leider überhaupt nich einschätzen ob das realistisch oder eher ein Hirngespinst ist. (vorallem bei einem privaten Netz..)
Das jemand "Interesse" an meinen Daten hat halte ich auch eher für zweifelhaft, aber man hört ja immer wieder von Botnetzen usw. oder Scriptkiddys die sich aus Spaß daran versuchen...

Grüße

 

[supraracer]

AW: Raspberry hinter Fritzbox "sicher"?

Um welche 2 Ports/Dienste geht es denn? Wenn das die Ports vom CS-Protokoll sind (z.B. CCcam + cs378x) und du nicht die Standardports nutzt musst du dir eh keine Sorgen machen.
Nicht freigeben würde ich sowas wie WebIF, SSH, etc. - und niemals nie irgendwelche Dienste die unverschlüsselt Daten austauschen.

-supraracer

 

[deine_schuld]

AW: Raspberry hinter Fritzbox "sicher"?

@supraracer Du meinst auf dem Pi den Openvpn-Server laufen lassen und den extrern dann via Client mit User,Paswort und Zertifikat erreichbar machen?
Genau um die 2 ging es. Nene, WebIf usw. wird nur über VPN genutzt..
Aber wieso ist es ohne Standardports kein Thema? Mit nem Portscan kann doch jeder herausfinden welche Ports offen sind?

 

[axel]

AW: Raspberry hinter Fritzbox "sicher"?

Hi,

das blockt dann Oscam als "Dienst" im Failban, wenn es User/Passwort nicht gibt, ganz einfach.

Nur mit den offenen Ports kann ja keiner was anfangen, weil kein dritter weiß, was konkret drauf lauscht...

Gruß

 

[supraracer]

AW: Raspberry hinter Fritzbox "sicher"?

Ein typischer Angriff sieht ja eher so aus, dass man ganze Netzwerk Ranges nach gewissen Standard Ports, z.B. CCcam 12000 abscannt und die gefundenen Treffer attackiert.
Wie auch immer, selbst mit passendem Port+User+PW kann bei keinem mir bekannten CS Protokoll dein ganzer Server übernommen werden.

-supraracer

 

[deine_schuld]

AW: Raspberry hinter Fritzbox "sicher"?

Also zusammengefasst gibt es keine große Risiken bei der geschilderten Konfiguration?

Ich dank euch für die Antworten, Anregungen und Erfahrungen :emoticon-0148-yes:

Gruß Andy

 

[Miese.Ratte]

AW: Raspberry hinter Fritzbox "sicher"?

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Nicht so ganz.

Schau dir mal die Option -A vom 'nmap' an.

Ansonsten gilt: Nur das öffnen was man unbedingt öffnen muss. Bei Linux kann man das ja ohne Verrenkungen. Dann kann man sich auch die Firewall sparen. So gibt es schlicht nichts zu blocken. Einfach gewinnt.

Bei den zwei CS-Ports hätte ich keine großen Bauchschmerzen.

 

[axel]

AW: Raspberry hinter Fritzbox "sicher"?

Hi,

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Das ist Blödsinn mit Verlaub! Lass mal einen Dedicated Rootserver 4-6-8 Wochen ohne vernünftige Firewall stehen... Einmal neu bitteschön dankeschön, wenn er dann nicht schon eine Spamschleuder etc. ist... Und na ja... Ich sehe hier viele Beiträge, wo User nichtmal mit IPC klarkommen - verrenkungsfrei...

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Jup, das besagt "-A":

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Hier habe ich mal meinen PI im internen(!) Netz gescannt, wo keinerlei Firewall etc. läuft, Debian + IPC "Grundinstallation" nur.
(Firewall (Ipfire) hängt direkt am Modem, der PI logischerweise dahinter)

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Das kommt dabei raus:

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

OK, was habe ich jetzt davon als böser Angreifer? Nicht viel, ausser das ich ein paar Ports weiß...

(12345 ist bei mir der nach aussen offene CS-CCcam-Port, abgeändert.)

#####################################################################

Gut,

halten wir meinen Vserver zum testen mal dagegen.

OK, gleiche Syntax wie beim PI:

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Das kommt dabei raus:

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

OK.

Was kann man damit jetzt anfangen? Nicht wirklich viel wie ich finde, ein paar Ports sind bekannt, einige Dienste ja, andere wiederum nicht.

Ich lass mich auch gerne belehren.

Gruß

Edit: Ich gebe gerne einem angehenden "Blackhat" / "Whitehat" die IP vom Vserver via PM, kein Thema.