Ports freischalten - Fragen

  • Hey,


    ich möchte meinen Raspi als Webserver für kleine HTML Seiten und OwnCloud nutzen.
    Da ich von außen auch auf OwnCloud und die HTML Seiten zugreifen möchte, muss ich
    ja Ports freischalten. Ich nutze eine FritzBox.


    Mir schwirren nun ein paar Fragen im Kopf herum:



    • Welche Ports muss ich für das was ich vor habe freischalten?
    • Entsteht dadurch eine Sicherheitslücke in meinem Netzwerk bzw. birgt Ports freischalten Gefahren?
    • Kennt jemand ein gutes Tutorial zum Ports freischalten?
    • Wie richichte ich eine dynamische Ip ein? Geht das direkt in den FritzBox einstellungen oder mit einem externen Service?


    Gruß


  • Welche Ports muss ich für das was ich vor habe freischalten?

    Die Ports, die Du aus dem Internet erreichbar machen willst. Bei owncloud ist es Port 80 bzw 443

    Zitat

    Entsteht dadurch eine Sicherheitslücke in meinem Netzwerk bzw. birgt Ports freischalten Gefahren?


    Klar, denn dann kann jeder über diesen Port auf Deine Pi zugreifen und mit entsprechenden Programmen einen BruteForce Angriff auf Deine Kennwörter starten. Du solltest also sicherstellen, dass nur gute Kennwörter benutzt werden und die SW, die auf dem Port auf Deiner Pi lauscht immer auf dem aktuellen Codestand incl Securityupdates ist.

    Zitat

    Kennt jemand ein gutes Tutorial zum Ports freischalten?


    Das müsste dann ein Fritzbox Tut sein. Welche Box hast Du denn?

    Zitat

    Wie richichte ich eine dynamische Ip ein? Geht das direkt in den FritzBox einstellungen oder mit einem externen Service?


    Hängt davon ab welche FB Du hast.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Torvalds, 28.9.2003

    >>> raspiBackup: Sichere Deine Raspberry regelmäßig im laufenden Betrieb <<<

    Einmal editiert, zuletzt von framp ()


  • ... und mit entsprechenden Programmen einen BruteForce Angriff auf Deine Kennwörter starten.


    So schlimm ist es wohl eher selten. Es ist abhängig davon, welche Sicherheitslücken das an diesem Port lauschende Programm aufweist bzw. ob generell dem Programmierer dieser Software vertraut werden kann. Deswegen darf sich auch "open source" niemals unterbuttern lassen, Risiken bestehen natürlich grundsätzlich immer, man muß nur versuchen, sie weitgehendst zu minimieren. ;)


    Was die sog. firewall betrifft:
    Ich brauche unter Linux keine, denn an den Ports lauschen nur Programme, die ich auch gezielt dafür freigegeben habe. Alle anderen Ports sind selbst für "böse Menschen" nutzlos. Unter W...... ist die firewall sinnvoller, da dort gerne mal auch unbemerkt vom Anwender was anderes lauscht. :(


  • So schlimm ist es wohl eher selten.


    Muss nicht, kann aber und wenn es passiert ist es zu spaet. Die heutigen Firewalls in den Routern schuetzen so gut und bekommt deshalb nicht mit wie haeufig doch jemand aus dem Internet bei einem anklopft.


    Wenn Du einen Port bei Dir im Router aufmachst ist es so als laesst Du an Deinem Haus eine Tuer zu einen Zimmer fuer jedermann immer offen. Wenn ein Besucher dann eine weitere Tuer dieses Zimmers ins Haus, die Du verschlossen hast, trotzdem oeffnen kann, kann er sich in Deinem gesamten Haus bewegen.


    Eine Moeglichkeit BruteForceAngriff zu unterbinden ist z.B. hier beschrieben.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Torvalds, 28.9.2003

    >>> raspiBackup: Sichere Deine Raspberry regelmäßig im laufenden Betrieb <<<

    Einmal editiert, zuletzt von framp ()


  • Muss nicht, kann aber und wenn es passiert ist es zu spaet. Die heutigen Firewalls in den Routern schuetzen so gut und bekommt deshalb nicht mit wie haeufig doch jemand aus dem Internet bei einem anklopft.


    Wenn Du einen Port bei Dir im Router aufmachst ist es so als laesst Du an Deinem Haus eine Tuer zu einen Zimmer fuer jedermann immer offen. Wenn ein Besucher dann eine weitere Tuer dieses Zimmers ins Haus, die Du verschlossen hast, trotzdem oeffnen kann, kann er sich in Deinem gesamten Haus bewegen.


    Eine Moeglichkeit BruteForceAngriff zu unterbinden ist z.B. hier beschrieben.


    Hi framp, alter Schwede ...


    ich bin ja nun auch nicht unbedingt für offene Ports & Co. und sicherlich sollte man da ein Augenmerk darauf haben. Und solange darüber niemand etwas weiss ausser mir selbst, ist es imho gar kein Problem.
    Du vergisst übrigens, dass viele/die meisten Benutzer hier wohl jahrelang ganz unbedarft den Megavirus aus Redmond auf ihren System haben laufen lassen und das heute noch tun.
    Und Bruteforce auf meine Kennwörter? Also paranoid bin ich selber aber so was kann noch nicht mal ich mir vorstellen :) ...


    Da krieg ich immer das Grinsen, wenn genau diese Leute dann kalte Füsse bekommen, nur weil sie einen Port offen haben ;) ...


    LOL ... einen Direktzugang zur NSA auf der Windows-Kiste aber Angst davor 8080 auf den Pi umzuleiten :)



    ciao,
    -ds-


  • ich bin ja nun auch nicht unbedingt für offene Ports & Co. und sicherlich sollte man da ein Augenmerk darauf haben. Und solange darüber niemand etwas weiss ausser mir selbst, ist es imho gar kein Problem.


    Nope. Die offenen Ports sind schneller entdeckt als Dir liebt ist. Ich hatte mal einen ssh Tunnel für jemanden aus China bei mir @home eingerichtet, damit er die chinesische Netzwerkmauer durchstossen kann und auch einen unverfänglichen Spiegel von China aus lesen kann und konnte innerhalb von ein paar Tagen im Log diverse BruteforceAngriffe auf den ssh server, den ich dann auf meine Linuxkiste mit Proxy und sshd freigegeben habe, feststellen. In dem Zusammenhang habe ich auch einen Rektor einer indischen Uni kontaktiert, von dem aus Zugriffe auf meinen Rechner versucht wurden und nette Diskussionen gehabt.

    Zitat

    ...Du vergisst übrigens, dass viele/die meisten Benutzer hier wohl jahrelang ganz unbedarft den Megavirus aus Redmond auf ihren System haben laufen lassen und das heute noch tun.


    Wenn ich immer sehe wie viele ihre Pi aus dem Netz zugreifbar machen (klar - das ist sehr nett denn alles vernetzt sich immer mehr) und das wirklich sehr unbedarft machen (es gibt ja schöne Tutorials hier dazu) wird mir flau im Bauch.

    Zitat

    ...Und Bruteforce auf meine Kennwörter? Also paranoid bin ich selber aber so was kann noch nicht mal ich mir vorstellen :) ...

    Siehe meine obigen Erfahrungen. Du kannst ja mal spasseshalber einen lokalen ssh Server als Honeypot anbieten und die Logs verfolgen. Du wirst Dich wundern.

    Zitat

    ...Da krieg ich immer das Grinsen, wenn genau diese Leute dann kalte Füsse bekommen, nur weil sie einen Port offen haben ;) ...

    Ein jeder der seine Pi aus dem Netz erreichbar macht öffnet ein potentielles Tor in sein lokales Netzwerk. Das muss einfach jedem in dem Moment bewusst sein.

    Zitat

    ...LOL ... einen Direktzugang zur NSA auf der Windows-Kiste aber Angst davor 8080 auf den Pi umzuleiten :)

    Da weiss ich wenigstens dass es die NSA ist die mich nur eben ausspioniert - aber im anderen Falle habe ich keine Ahnung was der ungebetene Gast bei mir will und anstellt.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Torvalds, 28.9.2003

    >>> raspiBackup: Sichere Deine Raspberry regelmäßig im laufenden Betrieb <<<

    Einmal editiert, zuletzt von framp ()

  • Im Prinzip gebe ich Dir ja recht, framp ...


    aber irgendwie entsteht, für mich zumindest, der Eindruck: mit deiner Winbox ist alles ok, aber wenn du auf Linux umsteigst, dann musst du aufpassen, dass Dein Netzwerk nicht gekapert wird.


    Ich glaube, das führt am Ziel vorbei, die Leute für mehr Datensicherheit zu sensibilisieren sonder könnte imho im Extremfall sogar auf die Aussage "Bleib beim Redmonder System, da musst Du Dir keine Sorgen um Deine Datensicherheit zu machen" reduziert werden.
    Dieser Werbespot, der regelmässig für Unwohlsein in meiner Magengrube sorgt, sagt ja ähnliches aus .... (den haben sie dem Friedrichs vermutlich auch in einer Endlosschleife vorgespielt).



    cu,
    -ds-

  • Jetzt ist mir klar was Dich an meinem Kommentar stört: Das ist natürlich kein linuxspezifischen Problem sondern betrifft ein jedes OS - sei es Windows, Linux, Solaris, CP/M, AIX, Mac OS, Android, zOS, RT-11 oder sonstwas. Ein jedes OS welches offene Ports zum Internet hat und seine Administratoren muss sicherstellen dass keine unerwünschten Gäste im lokalen Netz Unfug treiben (Im professionellen Umfeld hat man da DMZs et al ... aber die hat keiner mit seiner kleinen Pi @home :-/ )

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Torvalds, 28.9.2003

    >>> raspiBackup: Sichere Deine Raspberry regelmäßig im laufenden Betrieb <<<

  • Gell :) ...


    Nun, vielleicht entsteht auch nur ein falscher Eindruck, weil man eben diese Port-Weiterleitungen explizit für jeden Port des Pi machen muss, wenn man ihn von aussen erreichen will.
    Das alle offenen Ports des PC, der direkt am Router hängt, implizit aussen sichtbar sind, ist den meisten, denke ich, in diesem Zusammenhang gar nicht bewusst ...
    Es sei denn, sie haben eine Firewall, die sie selbst pflegen und nicht auf die Standardwerte vertrauen. Und vor allem, die sie ab und an überprüfen ... aber wer tut das schon ;) ...



    bis denne danne,
    -ds-


  • Muss nicht, kann aber und wenn es passiert ist es zu spaet. Die heutigen Firewalls in den Routern schuetzen so gut und bekommt deshalb nicht mit wie haeufig doch jemand aus dem Internet bei einem anklopft.


    Ok, ich habe natürlich eine einfache firewall vorausgesetzt, die ausschliesslich Ports sperrt. Das war Voraussetzung für meinen Kommentar oben. Natürlich machen die zusätzlichen Funktionen dann auch so gut wie immer Sinn, wenn man dem Urheber der Software traut.


    Unter Linux baut man es am besten mit "iptables & co.", weil jeder proprietären Software weniger vertraut werden kann als den Kernelentwicklern. Natürlich ist auch verständlich, daß diese unbequemere Lösung nur selten jemand akzeptiert, alleine schon deshalb, weil er hauptsächlich andere Betriebssysteme verwendet.


    Bugs gibt es immer, eine 100% Lösung genau genommen nie! Der persönliche Datenschutz nimmt in den letzten Jahren zunehmend ab, die Leute sind größtenteils selbst schuld. Die millionenfach benutzten "kostenlosen" Dienste - hatte schon jemals jemand auf der Welt etwas zu verschenken?


    Jetzt wird's OT, da höre ich mal lieber auf.


    Gruß, mmi


    P.S.: dreamshader, alter Ha(a)se - da können wir uns nur die Hand schütteln. ;)

  • Jetzt weiß ich gar nicht mehr was ich machen soll :D


    Ich habe jetzt noch nicht ganz erkannt, ob dann auch andere
    Rechner in meinem Netzwerk gefährdet wären.
    Es sollen ja "Fremde" nur auf den Pi bzw. den Nginx Webserver der darauf läuft
    und OwnCloud zugreifen können.
    Dort liegen auch keine sensiblen Daten. Wenn die einer abgreifen würde
    wäre das nicht so tragisch.
    Mir geht es nur darum ob andere Rechner im Netzwerk gefährdet wären.




    Gruß :)


  • Mir geht es nur darum ob andere Rechner im Netzwerk gefährdet wären.



    Ein nein wird Dir niemand antworten. Wenn ein Angreifen es schafft über eine Sicherheitslücke Deine Pi zu kapern kann derjenige von da aus ungehindert versuchen in andere Rechner in Deinem Netz kommen. D.h. Du musst für Dich das Risiko abschätzen. Es hängt davon ab was für SW Du auf Deiner Pi am laufen hast, welche Ports offen sind, welche SW sich dahinter verbirgt, wie häufig Du Dir SW Updates holst, wie sicher Deine Kennwörter sind, ...

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Torvalds, 28.9.2003

    >>> raspiBackup: Sichere Deine Raspberry regelmäßig im laufenden Betrieb <<<

  • Okey, danke für eure Hilfe.
    Solange ich noch nicht zwingend von außen auf den
    Pi zugreifen muss, lasse ich die Ports erstmal zu.


    Gruß :)