Raspberry hinter Fritzbox "sicher"?

deine_schuld · 30. Juni 2016

Hallo zusammen!

Habe mir vor einigen Tagen einen Raspberry mit IPC und OScam eingerichtet. Dieser ist hinter einer Fritzbox welche 2 geöffnete Ports für Oscam hat.
Meine Frage dreht sich darum ober der Raspberry hinter der Fritzbox Firewall "einigermaßen sicher" ist oder ob Maßnahmen wie eine Firewall/ Iptables

https://www.digital-eliteboard.com/309208-iptables-firewall-script-fr-euren-server.html

o.ä. auf ihm definitv nötig sind? (eventuell Fail2ban ?)
Bzw. welche Möglichkeiten habe ich sonst die offenen Ports abzusichern?
Die Ports für WebIf`s sind nach außen nicht offen, Zugriff auf die WebIf's mach ich von außen nur via VPN.

Gruß Andy

axel · 30. Juni 2016

AW: Raspberry hinter Fritzbox "sicher"?

Hi,

wenn nur 2 Ports für Oscam offen sind und Du gute PW gewählt hast, sollte das wohl reichen.

Testen kannst Du es selbst hiermit von einer anderen öffentliche IP (Kumpel, Bruder etc.) mit "Nmap":

Sie müssen registriert sein, um Links zu sehen.

Gruß

Bodo-1 · 30. Juni 2016

AW: Raspberry hinter Fritzbox "sicher"?

Den Standard Port 12000 nutzt du ja hoffentlich nicht ?

gesendet von meinem
Oneplus Two

supraracer · 30. Juni 2016

AW: Raspberry hinter Fritzbox "sicher"?

Maximale Sicherheit erhälst du nur mit einem über Zertifikat+User+PW abgesicherten VPN Tunnel. Außer dem Port für den VPN Server hast du dann nach außen gar nichts anderes offen.

-supraracer

deine_schuld · 30. Juni 2016

AW: Raspberry hinter Fritzbox "sicher"?

@bodo Neeee, hab keine Standart-Ports benutz!!!

@supraracer: Du meinst über einen Drittanbieter-Server? (hide.me oder ähnliches)

axel · 30. Juni 2016

AW: Raspberry hinter Fritzbox "sicher"?

Hi,

das kann man auch selbst aufsetzen, Stichwort OpenVPN.

Halte ich für völlig übertrieben bei Deiner Himbeere wo eh keine Daten großartig drauf sind...

CS ist desweiteren "grundverschlüsselt".

Gruß

supraracer · 30. Juni 2016

AW: Raspberry hinter Fritzbox "sicher"?

Nein, natürlich auf keinen Fall über einen Drittanbieter, dann lieber viele offene Ports. ;-)
Eigener OpenVPN zB wie schon angesprochen wurde, läuft auch auf deinem RPi. Auch die Fritzboxen beherrschen VPN (selbst noch nie genutzt, aber einiges darüber gelesen, scheint brauchbar zu sein).

-supraracer

deine_schuld · 30. Juni 2016

AW: Raspberry hinter Fritzbox "sicher"?

ja, openvpn hatte ich schonmal für meine Duo2. Hat ganz gut funktioniert...

Mir gehts in erster Linie weniger um die Daten des Raspberrrys oder das eigentliche CS, sondern eher darum ob die Gefahr besteht dass sich jemand über die Himbeere und die 2 offenen Ports "Zugang" zum Heimnetz beschafft.
Ich kann es leider überhaupt nich einschätzen ob das realistisch oder eher ein Hirngespinst ist. (vorallem bei einem privaten Netz..)
Das jemand "Interesse" an meinen Daten hat halte ich auch eher für zweifelhaft, aber man hört ja immer wieder von Botnetzen usw. oder Scriptkiddys die sich aus Spaß daran versuchen...

Grüße

supraracer · 30. Juni 2016

AW: Raspberry hinter Fritzbox "sicher"?

Um welche 2 Ports/Dienste geht es denn? Wenn das die Ports vom CS-Protokoll sind (z.B. CCcam + cs378x) und du nicht die Standardports nutzt musst du dir eh keine Sorgen machen.
Nicht freigeben würde ich sowas wie WebIF, SSH, etc. - und niemals nie irgendwelche Dienste die unverschlüsselt Daten austauschen.

-supraracer

deine_schuld · 30. Juni 2016

AW: Raspberry hinter Fritzbox "sicher"?

@supraracer Du meinst auf dem Pi den Openvpn-Server laufen lassen und den extrern dann via Client mit User,Paswort und Zertifikat erreichbar machen?
Genau um die 2 ging es. Nene, WebIf usw. wird nur über VPN genutzt..
Aber wieso ist es ohne Standardports kein Thema? Mit nem Portscan kann doch jeder herausfinden welche Ports offen sind?

axel · 30. Juni 2016

AW: Raspberry hinter Fritzbox "sicher"?

Hi,

das blockt dann Oscam als "Dienst" im Failban, wenn es User/Passwort nicht gibt, ganz einfach.

Nur mit den offenen Ports kann ja keiner was anfangen, weil kein dritter weiß, was konkret drauf lauscht...

Gruß

supraracer · 30. Juni 2016

AW: Raspberry hinter Fritzbox "sicher"?

Ein typischer Angriff sieht ja eher so aus, dass man ganze Netzwerk Ranges nach gewissen Standard Ports, z.B. CCcam 12000 abscannt und die gefundenen Treffer attackiert.
Wie auch immer, selbst mit passendem Port+User+PW kann bei keinem mir bekannten CS Protokoll dein ganzer Server übernommen werden.

-supraracer

deine_schuld · 1. Juli 2016

AW: Raspberry hinter Fritzbox "sicher"?

Also zusammengefasst gibt es keine große Risiken bei der geschilderten Konfiguration?

Ich dank euch für die Antworten, Anregungen und Erfahrungen :emoticon-0148-yes:

Gruß Andy

Miese.Ratte · 1. Juli 2016

AW: Raspberry hinter Fritzbox "sicher"?

axfa77 schrieb:
Nur mit den offenen Ports kann ja keiner was anfangen, weil kein dritter weiß, was konkret drauf lauscht...

Nicht so ganz.

Schau dir mal die Option -A vom 'nmap' an.

Ansonsten gilt: Nur das öffnen was man unbedingt öffnen muss. Bei Linux kann man das ja ohne Verrenkungen. Dann kann man sich auch die Firewall sparen. So gibt es schlicht nichts zu blocken. Einfach gewinnt.

Bei den zwei CS-Ports hätte ich keine großen Bauchschmerzen.

axel · 1. Juli 2016

AW: Raspberry hinter Fritzbox "sicher"?

Hi,

Bei Linux kann man das ja ohne Verrenkungen. Dann kann man sich auch die Firewall sparen. So gibt es schlicht nichts zu blocken. Einfach gewinnt.

Das ist Blödsinn mit Verlaub! Lass mal einen Dedicated Rootserver 4-6-8 Wochen ohne vernünftige Firewall stehen... Einmal neu bitteschön dankeschön, wenn er dann nicht schon eine Spamschleuder etc. ist... Und na ja... Ich sehe hier viele Beiträge, wo User nichtmal mit IPC klarkommen - verrenkungsfrei...

Schau dir mal die Option -A vom 'nmap' an.

Jup, das besagt "-A":

-A: Enable OS detection, version detection, script scanning, and traceroute

Hier habe ich mal meinen PI im internen(!) Netz gescannt, wo keinerlei Firewall etc. läuft, Debian + IPC "Grundinstallation" nur.
(Firewall (Ipfire) hängt direkt am Modem, der PI logischerweise dahinter)

Code:

nmap -p 1-65535 -T4 -A -v 192.168.46.99

Das kommt dabei raus:

Starting Nmap 6.49BETA4 (

Sie müssen registriert sein, um Links zu sehen.

) at 2016-07-01 18:49 Mitteleuropäische Sommerzeit

NSE: Loaded 122 scripts for scanning.

NSE: Script Pre-scanning.

Initiating NSE at 18:49

Completed NSE at 18:49, 0.00s elapsed

Initiating NSE at 18:49

Completed NSE at 18:49, 0.00s elapsed

Initiating ARP Ping Scan at 18:49

Scanning 192.168.46.99 [1 port]

Completed ARP Ping Scan at 18:49, 0.08s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 18:49

Completed Parallel DNS resolution of 1 host. at 18:49, 0.02s elapsed

Initiating SYN Stealth Scan at 18:49

Scanning 192.168.46.99 [65535 ports]

Discovered open port 80/tcp on 192.168.46.99

Discovered open port 22/tcp on 192.168.46.99

Discovered open port 22000/tcp on 192.168.46.99

Discovered open port 12345/tcp on 192.168.46.99

Discovered open port 16002/tcp on 192.168.46.99

Completed SYN Stealth Scan at 18:49, 14.65s elapsed (65535 total ports)

Initiating Service scan at 18:49

Scanning 5 services on 192.168.46.99

Completed Service scan at 18:51, 90.61s elapsed (5 services on 1 host)

Initiating OS detection (try #1) against 192.168.46.99

NSE: Script scanning 192.168.46.99.

Initiating NSE at 18:51

Completed NSE at 18:51, 9.08s elapsed

Initiating NSE at 18:51

Completed NSE at 18:51, 0.01s elapsed

Nmap scan report for 192.168.46.99

Host is up (0.00035s latency).

Not shown: 65530 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh (protocol 2.0)

| ssh-hostkey:

| 1024 b5:ae:35:31:47:f2:e0:79:cb:23:f2:6c:cc:bb:85:a0 (DSA)

| 2048 64:cf:0b:16:bd:c4:39:3b:ef:99:b3:c4:9b:02:2a:af (RSA)

|_ 256 90:27:62:ab:78:34:c5:73:89:f9:66:e6:ab:2c:87:96 (ECDSA)

80/tcp open http Apache httpd 2.4.10 ((Raspbian))

|_http-favicon: Unknown favicon MD5: 532303279B0919C668323290BB056099

|_http-methods: No Allow or Public header in OPTIONS response (status code 200)

|_http-server-header: Apache/2.4.10 (Raspbian)

|_http-title: Login

16002/tcp open http OSCam softcam httpd

| http-auth:

| HTTP/1.0 401 Unauthorized

|_ Digest nonce=948e27b34d3d74e3fee5827b15a3b3b5 opaque=fff1a6e3595204d98f4c33e50bb6f2ea algorithm=MD5 realm=Forbidden qop=auth

|_http-methods: No Allow or Public header in OPTIONS response (status code 401)

|_http-title: Site doesn't have a title (text/html).

22000/tcp open unknown

12345/tcp open unknown

3 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at

Sie müssen registriert sein, um Links zu sehen.

:

==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============

SF-Port22-TCP:V=6.49BETA4%I=7%D=7/1%Time=57769F25%P=i686-pc-windows-window

SF:s%r(NULL,29,"SSH-2\.0-OpenSSH_6\.7p1\x20Raspbian-5\+deb8u2\r\n");

==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============

SF-Port22000-TCP:V=6.49BETA4%I=7%D=7/1%Time=57769F25%P=i686-pc-windows-win

SF:dows%r(NULL,E,":\xf7\]\x13\xf2f\xa2\xcf4\x16\xaf#fn")%r(DNSVersionBindR

SF:eq,E,"\xbb\xa6\x85\x90\xe5\x90\xe5\xd6\xef7\x81T\x16:")%r(DNSStatusRequ

SF:est,E,"M\xca:\xb5\xa8\xf8\xb4\x1a\xc0k\xd9<\xa4\x89")%r(LPDString,E,"\x

SF:07\+\xbf\xd5\x15\xa24\xd4kMb\xfd\xb7\xe5")%r(TerminalServer,E,""cjl\x9

SF:aY\xe7>v\x1f\xf5d\^\xc6")%r(WMSRequest,E,"\xaaI/\)\x1e\xd1\x12\xc2\x8a\

SF:x8d\x81\xbf\x95d")%r(oracle-tns,E,"\xb9\xbcv\x85`'s\x1d\xc4\xbb\*T'\xeb

SF:");

==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============

SF-Port44333-TCP:V=6.49BETA4%I=7%D=7/1%Time=57769F22%P=i686-pc-windows-win

SF:dows%r(NULL,10,"/\xc5\xf8\xd8\xfb\x9b;\x0e\xea\xc4\x8e\]\x14\$\xc1C")%r

SF

GenericLines,10,"\|\x9f\xc8\xb2\xb86\xc5\xda\x84\x06\xcf\x12\xb8\xdb\\

SF:\x9e")%r(GetRequest,10,"\xbf\x93\xdan!`\x9d\xb1\x99\^!QyQ\x98p")%r(HTTP

SF:Options,10,"B\xb4L\xc0\xa4\x84\xc1\xf6\xcf\x9e\x90\xd3\xb5\xd6\x9d\x89"

SF

%r(RTSPRequest,10,"\xafh\xcc\xafD\x01~{\x91\x90\xbd\xee\x84\xf9\x07\x1

SF:8")%r(DNSVersionBindReq,10,"\x02\xbf\x10P\xfd~\xf3\x81\[\xe5\xe7UZ"\xe

SF:a&")%r(DNSStatusRequest,10,"\x1d\xff\x94I<\x1e\xd8\xb8\[i\xb0\xfc\xb4\x

SF:86\x1c\xfd")%r(Help,10,"\x8b\xaaA\xeb\xb0\x0b\xce:\?\xc0y\x08zu\x88-")%

SF:r(X11Probe,10,"\x14s\x03\x13b\xbc\x9f\xdc\xd0\xb8\xe0%F\xe7\x82\x14")%r

SF

LPDString,10,"R\xd2\xectzH\t\x81\x84\xb17hP\xcb,\]")%r(LDAPBindReq,10,

SF:"\.\xbd'\xe8\x03\x17\xb8\xe2A\x9e\x9f4rr~\xfe")%r(LANDesk-RC,10,"E\xb0\

SF:xb8\xb7\x14\xd8\xb5\x94m\xcd\xf5\xf9\xc6UbD")%r(TerminalServer,10,"\x96

SF:\xea\x99T\xf2\xc9\xc2\x17:\xb9\xa4\x10\xc2l\xff{")%r(NCP,10,"\xab\xf5\x

SF:80\)\x98\xe8}V\xa0\xf6\xbd\xb9\xe3\xd3\xba8")%r(afp,10,"\x81\x10\xdc:\x

SF:9f\xb3\xcfy\xad\xec\xf9\xac\xcd\xaf\xa4_")%r(kumo-server,10,"\xc2m\0\xd

SF:dxU@`\x89"\xe2G\xc3\xe4"\x84");

MAC Address: B8:27:EB:55:FF:91 (Raspberry Pi Foundation)

Device type: general purpose

Running: Linux 3.X

OS CPE: cpe:/o:linux:linux_kernel:3

OS details: Linux 3.2 - 3.19

Uptime guess: 5.887 days (since Sat Jun 25 21:33:44 2016)

Network Distance: 1 hop

TCP Sequence Prediction: Difficulty=262 (Good luck!)

IP ID Sequence Generation: All zeros

Service Info: Device: media device

TRACEROUTE

HOP RTT ADDRESS

1 0.35 ms 192.168.46.99

NSE: Script Post-scanning.

Initiating NSE at 18:51

Completed NSE at 18:51, 0.00s elapsed

Initiating NSE at 18:51

Completed NSE at 18:51, 0.00s elapsed

Read data files from: C:\Program Files (x86)\Nmap

OS and Service detection performed. Please report any incorrect results at

Sie müssen registriert sein, um Links zu sehen.

.

Nmap done: 1 IP address (1 host up) scanned in 118.78 seconds

Raw packets sent: 65558 (2.885MB) | Rcvd: 65619 (2.632MB)

OK, was habe ich jetzt davon als böser Angreifer? Nicht viel, ausser das ich ein paar Ports weiß...

(12345 ist bei mir der nach aussen offene CS-CCcam-Port, abgeändert.)

#####################################################################

Gut,

halten wir meinen Vserver zum testen mal dagegen.

OK, gleiche Syntax wie beim PI:

Code:

nmap -p 1-65535 -T4 -A -v [I]IPVOMVSERVER[/I]

Das kommt dabei raus:

Starting Nmap 6.49BETA4 (

Sie müssen registriert sein, um Links zu sehen.

) at 2016-07-01 19:02 Mitteleuropäische Sommerzeit

NSE: Loaded 122 scripts for scanning.

NSE: Script Pre-scanning.

Initiating NSE at 19:02

Completed NSE at 19:02, 0.00s elapsed

Initiating NSE at 19:02

Completed NSE at 19:02, 0.00s elapsed

Initiating Ping Scan at 19:02

Scanning IPVOMVSERVER [4 ports]

Completed Ping Scan at 19:02, 0.10s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 19:02

Completed Parallel DNS resolution of 1 host. at 19:02, 0.05s elapsed

Initiating SYN Stealth Scan at 19:02

Scanning DNSNAMEBLA.de (IPVOMVSERVER) [65535 ports]

Discovered open port 443/tcp on IPVOMVSERVER

Discovered open port 25/tcp on IPVOMVSERVER

Discovered open port 80/tcp on IPVOMVSERVER

Discovered open port 22222/tcp on IPVOMVSERVER

Discovered open port 8118/tcp on IPVOMVSERVER

Completed SYN Stealth Scan at 19:02, 20.34s elapsed (65535 total ports)

Initiating Service scan at 19:02

Scanning 5 services on IPVOMVSERVER.DNSNAMEBLA.de (IPVOMVSERVER)

Completed Service scan at 19:02, 6.06s elapsed (5 services on 1 host)

Initiating OS detection (try #1) against IPVOMVSERVER.DNSNAMEBLA.de (IPVOMVSERVER)

Initiating Traceroute at 19:02

Completed Traceroute at 19:02, 0.05s elapsed

Initiating Parallel DNS resolution of 13 hosts. at 19:02

Completed Parallel DNS resolution of 13 hosts. at 19:02, 1.13s elapsed

NSE: Script scanning IPVOMVSERVER.

Initiating NSE at 19:02

Completed NSE at 19:02, 2.46s elapsed

Initiating NSE at 19:02

Completed NSE at 19:02, 0.00s elapsed

Nmap scan report for IPVOMVSERVER.DNSNAMEBLA.de (IPVOMVSERVER)

Host is up (0.018s latency).

Not shown: 65527 closed ports

PORT STATE SERVICE VERSION

25/tcp open smtp Postfix smtpd

|_smtp-commands: UNKNOWN, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN,

| ssl-cert: Subject: commonName=localhost.localdomain

| Issuer: commonName=localhost.localdomain

| Public Key type: rsa

| Public Key bits: 2048

| Signature Algorithm: sha256WithRSAEncryption

| Not valid before: 2015-05-15T03:44:16

| Not valid after: 2025-05-12T03:44:16

| MD5: b27c 6c81 8783 206b b2e6 ec97 4047 c442

|_SHA-1: b9e0 e417 7ffa 6ac9 25f9 42d2 0693 4167 0b65 6e4d

|_ssl-date: TLS randomness does not represent time

80/tcp open http Apache httpd 2.4.10 ((Debian))

|_http-methods: GET HEAD POST OPTIONS

|_http-server-header: Apache/2.4.10 (Debian)

|_http-title: Apache2 Debian Default Page: It works

135/tcp filtered msrpc

139/tcp filtered netbios-ssn

443/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u2 (protocol 2.0)

| http-cisco-anyconnect:

|_ ERROR: Not a Cisco ASA or unsupported version

| ssh-hostkey:

| 1024 8b:fd:c4:64:71:38:3f:20:b5:3c:04:fe:85:00:64:90 (DSA)

| 2048 eb:c9:47:98:41:09:0c:a6:c0:5a:47:1e:a1:74:5f:2a (RSA)

|_ 256 0f:95:b6:d4:4f:10:49:aa:2c:d2:12:8a:de:e9:b3:9e (ECDSA)

445/tcp filtered microsoft-ds

8118/tcp open http-proxy Privoxy http proxy 3.0.21

|_http-methods: No Allow or Public header in OPTIONS response (status code 400)

|_http-title: Site doesn't have a title (text/plain).

22222/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u2 (protocol 2.0)

| ssh-hostkey:

| 1024 8b:fd:c4:64:71:38:3f:20:b5:3c:04:fe:85:00:64:90 (DSA)

| 2048 eb:c9:47:98:41:09:0c:a6:c0:5a:47:1e:a1:74:5f:2a (RSA)

|_ 256 0f:95:b6:d4:4f:10:49:aa:2c:d2:12:8a:de:e9:b3:9e (ECDSA)

Device type: general purpose

Running: Linux 2.6.X|3.X

OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3

OS details: Linux 2.6.32, Linux 3.10

Uptime guess: 36.064 days (since Thu May 26 17:30:52 2016)

Network Distance: 13 hops

TCP Sequence Prediction: Difficulty=260 (Good luck!)

IP ID Sequence Generation: All zeros

Service Info: Host: UNKNOWN; OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 111/tcp)

HOP RTT ADDRESS

1 0.00 ms 192.168.46.1

2 9.00 ms a.b.c.1

3 6.00 ms blub.unity-media.net (a.b.c..41)

4 39.00 ms a.b.c..42

5 16.00 ms blablabla.net (a.b.c.113)

6 18.00 ms blablabla.bb.gin.ntt.net (a.b.c.85)

7 19.00 ms blablabla.bb.gin.ntt.net (a.b.c.216)

8 19.00 ms ae-3.r02.frnkge04.de.bb.gin.ntt.net (a.b.c.54)

9 19.00 ms a.b.c.106

10 38.00 ms blablabla.jena1a.routers.blablabla.net (a.b.c.3)

11 22.00 ms blablabla536blablabla6.net (a.b.c.109)

12 19.00 ms blablabla.de (a.b.c.67)

13 19.00 ms IPVOMVSERVER.DNSNAMEBLA.de (IPVOMVSERVER)

NSE: Script Post-scanning.

Initiating NSE at 19:02

Completed NSE at 19:02, 0.00s elapsed

Initiating NSE at 19:02

Completed NSE at 19:02, 0.00s elapsed

Read data files from: C:\Program Files (x86)\Nmap

OS and Service detection performed. Please report any incorrect results at

Sie müssen registriert sein, um Links zu sehen.

.

Nmap done: 1 IP address (1 host up) scanned in 34.38 seconds

Raw packets sent: 65601 (2.887MB) | Rcvd: 65598 (2.627MB)

OK.

Was kann man damit jetzt anfangen? Nicht wirklich viel wie ich finde, ein paar Ports sind bekannt, einige Dienste ja, andere wiederum nicht.

Ich lass mich auch gerne belehren.

Gruß

Edit: Ich gebe gerne einem angehenden "Blackhat" / "Whitehat" die IP vom Vserver via PM, kein Thema.

Suche

Suche

Raspberry hinter Fritzbox "sicher"?

deine_schuld

Newbie

axel

Bodo-1

DEB König

supraracer

DEB Inventar

deine_schuld

Newbie

axel

supraracer

DEB Inventar

deine_schuld

Newbie

supraracer

DEB Inventar

deine_schuld

Newbie

axel

supraracer

DEB Inventar

deine_schuld

Newbie

Miese.Ratte

Stamm User

axel

Ähnliche Themen

Spenden Unterstützung