Anleitung SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

[Osprey]

Vorsicht!
In dieser Anleitung wird der Standard Port 22 geöffnet im Router für den den SSH-Tunnel. Dieser Port sollte nicht verwendet werden, da ihr sonst Angriffen aus dem Netz zum Opfer fällt!!! Nehmt einen anderen nicht Standard Port.

Habe mir gedacht, vielleicht haben die User hier auch das Bedürfnis von Unterwegs oder im Urlaub mit dem Handy oder Tablet den oscam Server zuhause zu überprüfen auf eine relativ sichere weise.
Deshalb mal ein kurzes HowTo wie man mit dem SSH-Tunnel und Android das machen kann. Das Gute daran, damit lässt sich nicht nur oscam überwachen und Änderungen ergänzen, sondern alle Geräte die im Heimnetzwerk sind können bedient werden.
Was wird benötigt ?

• OpenWRT auf Router oder ein Debian Server (Pogoplug, Igel, Futro)
• Android App Connectbot
• Firefox Browser für Android
• DNS Account

---

1 - Anleitung für Zugang über den openWRT Router. Am einfachsten ist wenn ihr die Firmware aus dem „zum Gleichessen“ vom derdigge habt.
Wir gehen ins Web IF vom Router auf den Reiter System -> Administration .
Dort steht euer SSH Port. Standart ist 22. Sollte so aussehen :

Sie müssen registriert sein, um Links zu sehen.

Speichern und Anwenden.
Jetzt zum Reiter Netzwerk -> Firewall -> Verkehrsregeln
dort erstellen wir eine neue Regel mit Bsp. Namen ssh. Den Port 22 aus dem WAN Bereich weiterleiten in den Router.

Sie müssen registriert sein, um Links zu sehen.

Sie müssen registriert sein, um Links zu sehen.

Speichern und Abschließen. Am besten jetzt den Router Neustarten.

---

Anleitung für Linux Server (Pogoplug,Thin Client)
In unserem Router machen wir uns eine Portweiterleitung zu unserem Linux Server an den Port 22. Bsp. Vom Internet öffnen wir den Port 443 und leiten den weiter an den Port 22 unseres Servers.

---

Jetzt gehen wir zum Google Play Store mit unserem Android Gerät und laden uns Connectbot und Firefox runter.
Wir starten Connectbot und richten uns den ssh-tunnel Zugang ein.
Im Dropdown Fenster auf ssh lassen und nebendran euren Benutzer@DNS Adresse eingeben : ssh Port
Bsp.: root@dasist.mein.dyndns:22
Nun machen wir noch eine Portweiterleitung in Connectbot : Edit Port Forwarding und nehmen den Type Dynamic (SOCKS) und als Port Bsp. 8080.
Jetzt könnt Ihr mal ein Verbindungstest machen. Ihr werdet nach einem Passwort gefragt, das ist euer Router Passwort bzw. euer root Passwort vom Server. Und voilà!

Sie müssen registriert sein, um Links zu sehen.

Zum Verlassen gebt exit ein.

So wir starten Firefox und geben in die Suchleiste : about:config ein.
Jetzt suchen wir nach „Proxy“ und geben es ein .
In der Liste die sich öffnet suchen und ändern wir folgende Parameter:

network.proxy.socks 127.0.0.1
network.proxy.socks_port 8080 (oder den Port den Ihr gewählt habt im connectbot)
network.proxy.socks_remote_dns true
network.proxy.socks_version 4
network.proxy.type 1



Jetzt kommt der große Moment:
Wir sind im Mobilfunknetz.
Startet connectbot und verbindet euch per ssh-tunnel mit eueren Server zuhause.
Startet Firefox und gebt eure oscam WebIF Adresse oben ein. Bsp. 192.168.1.1:8888
Und ihr seht was?
Genauso gebt die ip eures Receiver oben ein. Bsp. 192.168.1.115 und es öffnet sich das WebIF vom Reci…….oder Waschmaschiene oder was weiß ich was ihr noch daheim habt....WebCam (ist die Frau anständig?)...
Alles was zuhause ist und ein Web Interface hat, könnt ihr anwählen.

Ehre wem Ehre gebührt……,
das ganze ist nicht auf meinem Mist gewachsen, sonder habe ich auch im Internet gefunden……

Viel Spass mit dem ssh-tunnel
LG
Osprey

 

[0800555333]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

ihr solltet bei port weiterleitungen niemals standard ports verwenden sonst habt ihr sehr schnell "intruder alert"s also eindringlings oder hack versuche



besser wäre für die "ports von aussen" irgend was willkürliches zu nutzen - denkt euch irgend was aus und wenn es 1234 ist (hauptsache nicht über 65535)


warum:

es gibt unzählige automatisierte programme die im internet tag ein tag aus vollständige adressbereiche ( 1.x.x.x bis 2.x.x.x usw ) scannen und dabei nach potenziell gefährdeten rechnern suchen.

wobei meistens (nicht immer) nur die allgemein bekannten (standard) ports überprüft werden, aber wenn in den mehr seltenen fällen ein non-standard port als offen entdeckt wird, weiss derjenige zunächst noch nicht welcher dienst sich dahinter verbirgt..
das erfordert dann eine genauere überprüfung und das wiederum erfordert das passende protokoll für den jeweiligen dienst also müssen etliche protokolle durch probiert werden bis der richtige gefunden wurde aber das dauert meist zu lange weswegen darauf verzichtet wird..

wenn aber ein stanard port genutzt wurde, vermutet man einfach mal das auf zB port 22 SSH läuft und versucht sich dann auch sofort mit dem ssh/ssh2 protokoll zu verbinden und voilà! muss man nur noch die zugangsdaten bruteforcen um zugang zu kriegen oder entdeckt vielleicht sogar eine schwachstelle die ausgenutzt werden kann usw

 

[axel]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

besser wäre für die "ports von aussen" irgend was willkürliches zu nutzen - denkt euch irgend was aus und wenn es 1234 ist (hauptsache nicht über 65535)

Hi,

im Grunde genommen ist das so am sichersten.

Ich z.B. lasse den SSH-Server (DD-WRT) auf Port 443 lauschen.

Somit kann man nämlich prima aus einer Firmenfirewall ausbrechen (https meistens nicht gesperrt) und verschlüsselt surfen / auf sein Heimnetzwerk zugreifen.

und voilà! muss man nur noch die zugangsdaten bruteforcen um zugang zu kriegen oder entdeckt vielleicht sogar eine schwachstelle die ausgenutzt werden kann usw

Das lässt sich wunderbar erschweren, indem man den root-Login verbietet und mit sudo oder su - arbeitet.
Somit muss nicht nur das root-PW "gebruteforced" werden, sondern User UND Passwort. :dfingers:
Dabei wünsche ich einem Skriptkiddie VIEL SPAß...

Gruß

 

[Osprey]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

Kleiner Auszug aus dem Buch Debian einrichten und administrieren über den Port 443 :
Wenn Sie mit dieser Methode in Ihrer Firma eine Firewall aushebeln wol-len, um so heimlich Daten hinein- und hinauszuschaffen, könnte dies derAdministrator weniger spaßig finden als Sie. Spätestens, wenn der Personalchefan der Diskussion beteiligt wird, könnte es sein, dass auch Sieselbst es nicht mehr lustig finden. Falls Sie selbst der Administrator sind,werden Sie spätestens hier merken, dass eine Firewall niemals wirklichdicht ist.

 

[axel]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

Hi,

ich nutze das ausschließlich zum surfen, weil z.B. ebay gesperrt ist.
(Also nicht um Firmendaten nach Hause zu Kopieren.)

Ich meine gelesen zu Haben, daß die Sache sogar absolut abhörsicher ist.

Man untergräbt so natürlich (zumindest unsere) IT-Richtlinie, ja.

Nur wie soll das einer der Administratoren rausfinden, geschweige denn "beweisen"?

Gruß

PS: Ich denke das höchste der Gefühle wird dann wohl eine Abmahnung sein, bzw. der "erhobene Zeigefinger"...

 

[0800555333]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

im Grunde genommen ist das so am sichersten.

Ich z.B. lasse den SSH-Server (DD-WRT) auf Port 443 lauschen.

das wiederum ist nicht mehr so sicher da allgemein standard ports gescannt werden dh demjenigen wird dann angezeigt "der standard https port ist offen" und wenn er von der gründlichen sorte is folgt anschliesend eine überprüfung des protokolls usw

am sichersten ist es wenn man sich ausserhalb der norm aufhällt, also ports verwendet die nicht allgemein bekannt sind.. auf 222 läuft zum beispiel offiziel kein dienst also würde ein angreifer diesen port auch nicht einfach so prüfen (aber um anschliesenden diskusionen voruzgreifen: ja, natürlich kann man auch jeden einzelnen port von 1-65535 durch scannen..)

Somit kann man nämlich prima aus einer Firmenfirewall ausbrechen (https meistens nicht gesperrt) und verschlüsselt surfen / auf sein Heimnetzwerk zugreifen.

wie Osprey schon erwähnt hat ist das nur in den seltesten fällen klug..
herausfinden geht super einfach - in den meisten firmen sitzt ein Admin der auf sowas achtet und weiss wie er sehen kann ob über 443 tatsächlich das https oder doch ssh protokoll genutzt wird..
wenn das heraus kommt ist das ein fristloser kündigungs grund also vorsicht!
dabei spielt es keine rolle wofür das genutzt wurde - das bestimmte seiten gesperrt sind hat durchaus seine berechtigten gründe aber du versuchst diese vorgabe zu umgehen und betrügst somit deinen chef

Das lässt sich wunderbar erschweren, indem man den root-Login verbietet und mit sudo oder su - arbeitet.
Somit muss nicht nur das root-PW "gebruteforced" werden, sondern User UND Passwort. :dfingers:

ja das stimmt natürlich - zwei oder mehrere verschiedene dinge herrausfinden zu müssen ist immer mehr auf wand als nur eines

 

[axel]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

wie Osprey schon erwähnt hat ist das nur in den seltesten fällen klug.. in den meisten firmen sitzt ein Admin der auf sowas achtet und weiss wie er sehen kann ob über 443 tatsächlich das https oder doch ssh protokoll genutzt wird..
wenn das heraus kommt ist das ein fristloser kündigungs grund also vorsicht!

Der Admin sieht doch "nur" eine Dauerverbindung zu meinem Server, zu dem eine https-Verbindung aufgebaut wird, richtig?

Mich würde mal interessieren, wie er das rausbekommen will / kann?

Er sollte selbst mit Wireshark etc. nur "Datenmüll" sehen in Blowfish-Verschlüsselung.

WAS ich dann durch den Tunnel stopfe (

Sie müssen registriert sein, um Links zu sehen.

) etc., kann er nicht sehen, richtig?

 

[Osprey]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

Die können sehen was gerade auf deinem Bildschirm ist, wenn sie möchten. Das ist mir auch zu heikl. Während der Arbeitszeit ist das DEB und Ebay nur über mein Handy abzurufen im Vodafone Netz das Risiko wäre es mir nicht Wert. LG Osprey

 

[0800555333]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

Der Admin sieht doch "nur" eine Dauerverbindung zu meinem Server, zu dem eine https-Verbindung aufgebaut wird, richtig?

nein.

was macht es denn zu einer https verbindung? -> nicht der port sondern das protokoll!


er würde also sehen das eine dauerhafte ssh verbindung zu einem fremden server aktiv ist und alleine das sollte die alarmglocken aufschrillen lassen

Mich würde mal interessieren, wie er das rausbekommen will / kann?

indem du informatik und netzwerktechnik studierst

WAS ich dann durch den Tunnel stopfe (

Sie müssen registriert sein, um Links zu sehen.

) etc., kann er nicht sehen, richtig?

ja, WAS übertragen wird ist verschlüsselt - aber darum geht es in erster linie gar nicht..

versetz dich mal in die lage des Admins.. was sieht er und was könnte das bedeuten was er da sieht?
eine dauerhafte verbindung ist zunächst schon mal ziemlich ungewöhnlich
wohin ist die verbindung? hm den telekom anschluss kenn ich gar nicht .. und dann auch noch ein privater *kopfkratz*
beim genaueren betrachten sieht er ausserdem dass das garnicht https ist sondern ssh, obwohl in der firma der port 443 genutzt wird - und ab da sollte er hellhörig werden
usw usw usw


wobei 128-bit auch nicht sooo schwer zu knacken ist...

es ist aber nicht zwangsläufig Blowfish, nur mal so nebenbei erwähnt
standardmässig wird AES mit einer schlüssellänge von 128-bit verwendet. es werden aber auch 3DES, Blowfish, Twofish, CAST, IDEA, Arcfour und SEED mit anderen schlüssellängen unterstützt

dazu kommt aber auch das ssh-1 durchaus sehr einfach auszuspähen geht, also nur bei ssh-2 ist es derart schwer das sich der aufwand meist nicht lohnt

 

[axel]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

Na da würde ich sagen daß das wohl noch mehr gegen die IT-Richtlinien verstösst.

Ich war vorher selber Systemadministrator in der Firma, da gab es wohl unter "Novell Console One" einen Button, womit man das machen konnte, ja.

Ist aber ohne begründeten Verdacht und ohne Einverständniserklärung des Betriebsrates + Personalabteilung STRENGSTENS verboten.
Genauso wie zu überwachen, was der Arbeitnehmer im Internet treibt.

Da muss es schon in Richtung Rechtsradikalismus, Kinderpornografie etc. am Arbeitsplatz gehen.

PS: Mit dem Iphone und E-Plus hab ich bescheidenen Empfang auf der Arbeit ;-)

 

[0800555333]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

Ist aber ahne begründeten Verdacht und ohne Einverständniserklärung des Betriebsrates + Personalabteilung STRENGSTENS verboten.
Genaus wie zu überwachen, was der Arbeitnehmer im Internet treibt.

doch, wenn du zugriff auf einen internet fähigen rechner hast ist der arbeitgeber durchaus berechtigt deine internet aktivitäten zu überwachen
selbst die nutzung deines email verkehrs ist er berechtigt zu überwachen, um ausschliesen zu können das du nicht wärend deiner arbeitszeit irgendwas privates machst..


vielleicht wird das in deine firma nicht so ernst genommen oder die IT abteilung hat nicht allzuviel ahnung (kommt leider öfter vor, auch in grossen firmen usw), aber man sollte das nicht unterschätzen und lieber etwas mehr vorsicht walten lassen - arbeitslos ist man schneller als ne neue arbeit zu finden

 

[axel]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

Nochmal ich,

Frage an die Experten: Wie könnte man das schlauer realisieren?

Ich möchte ganz einfach nicht, daß irgend jemand mein Surfverhalten kontrolliert.

Danke!

 

[Osprey]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

Bin zwar kein Experte aber denke um am Arbeitsplatz privat Geschäfte zu erledigen mit allen Freiheiten die man will, sollte man sich Selbständig machen. Dein Arbeitgeber hat nicht ohne Grund ein Schutz eingekauft für eBay. ..usw. Er bezahlt dich auch damit du deine Arbeitsleistung ihm bringst, und nicht dafür mit seinem PC im Internet zu surfen. Was denkst du wenn das jeder so machen würde? Standort Deutschland!

 

[axel]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

Ich erkäre es mal so:

Ich arbeite im Service, dort hast Du entweder richtig was zu tun, oder eben Leerlauf.

Dann zu surfen ist bei uns schon OK.

Aber gut, lassen wir das.

Gruß

 

[Theo0984]

AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

Nabend zusammen.

Hab das bei mir soweit eingerichtet und läuft auch prima.

Meine Frage ist ob ich das ganze auch mit public key realisieren kann,was die Sache ja noch sicherer und komfortabler machen würde.

Danke im voraus