Verständnisfragen zu Sicherheitsthemen

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo zusammen,

    ich bin noch recht neu im Thema Raspi unterwegs (seit knapp 14 Tagen) und habe auf meinem Raspi 4 aktuell PiHole und Wireguard installiert und eingerichtet.

    Das funktioniert soweit schon mal ganz gut.

    Nun habe ich mich hingesetzt und mir Gedanken um die Sicherheit gemacht. Hierzu hätte ich mal ein, zwei allgemeine Verständnisfragen (welche evtl. für versierte Nutzer etwas "doof" wirken könnten. Sorry schon mal dafür)

    1.: Ich konnte schon oft lesen, dass es wichtig sei, dass man über SSH nur intern (über das interne Netz) zugreifen kann (sofern man nicht zwingend von unterwegs zugreifen muss). Simple Aussage, evtl. dumme Frage dazu, aber was genau heißt das, bzw. ist der SSH-Zugriff default nicht sowieso nur Intern? Solange ich kein Port weiterleite, müsste ich mir doch diesbezüglich keine Sorgen machen, oder?

    2.: Ich habe mich auch etwas mit UFW beschäftigt. Natürlich möchte ich kein unnötiges Sicherheitsrisiko eingehen. Was ich mich hierbei jedoch gefragt habe: Ist UFW überhaupt notwendig? Mein Raspi hängt an meiner Fritzbox. Ich habe dort zwei Ports weitergeleitet. Einen auf meine Synology und einen eben für die Wireguard-Verbindung. Eine separate Firewall auf dem Raspi würde ja keinen Sinn ergeben, oder?


    Vielen Dank für eure Hilfe :)

  • Hallo SoeinTyp,

    willkommen im Forum! ;)

    Ich konnte schon oft lesen, dass es wichtig sei, dass man über SSH nur intern (über das interne Netz) zugreifen kann

    Die einen sagen so und die anderen sagen so. Mit der Möglichkeit mit einem Passwort von aussen (aus dem I-Net) auf den RPi zugreifen zu können wäre ich vorsichtig, aber wenn nur per Key zugegriffen werden kann, dann senkt dass das Risiko gehakt zu werden erheblich. Wenn man den Port öffnet hat man allerdings mehr Traffic, weil ggf. versucht wird auf den RPi zu kommen. Stichwort: "Honeypot"

    ist der SSH-Zugriff default nicht sowieso nur Intern? Solange ich kein Port weiterleite, müsste ich mir doch diesbezüglich keine Sorgen machen, oder?

    Das ist richtig! Solange der Port 22 zu ist, blockt die Firewall der Fritte.

    Ist UFW überhaupt notwendig?

    Hinter einer Fritte ist das eher nicht notwendig.

    Einen auf meine Synology

    Im internen Netztwerk? Falls ja, dann ist ein weitergeleiteter Port nicht nötig.

  • ... ist der SSH-Zugriff default nicht sowieso nur Intern? Solange ich kein Port weiterleite, müsste ich mir doch diesbezüglich keine Sorgen machen, oder?

    Ja, so ist es. Aber Du musst dir auch dann keine Sorgen machen, wenn Du via Internet eine SSH-Verbindung herstellen willst und ssh optimal konfiguriert ist (z. B. mit pubkey-authentication). Da Du wireguard erwähnt hast, kannst Du auch "Gürtel+Hosenträger" benutzen (d. h. ssh im VPN). ;)

    Ist UFW überhaupt notwendig? ... Eine separate Firewall auf dem Raspi würde ja keinen Sinn ergeben, oder?

    UFW kannst Du ganz schnell vergessen.

    Wenn Du z. B. "FW-Regeln" für z. B. source-NAT, dest.-NAT, masquerading, redirect, IP-Adressen/Ports "verstecken" willst, ToS (type of service), etc. brauchst, dann beschäftige dich mit iptables/nftables (oder andere Paketfilter, je nach OS).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Im internen Netztwerk? Falls ja, dann ist ein weitergeleiteter Port nicht nötig.

    Hey hyle, vielen Dank für die schnelle und freundliche Antwort :)

    Nein, die Synology ist in dem Fall auch von außerhalb erreichbar. Habe ein Bitwarden PW-Server in Docker auf der Synology laufen und habe für diesen Zweck Port 443 weitergeleitet. Ging leider nicht anders...
    Habe die interne Synology Firewall so konfiguriert, dass der nur auf den PW-Server von außen zugegriffen werden kann.
    Auf alle anderen Daten kann man nur intern (oder via VPN) zugreifen.

    Aber dann scheine ich ja die zwei Themen richtig verstanden zu haben.
    Einen SSH Zugriff von außerhalb benötige ich nicht. Habe sowieso bereits den Zugriff per Key. Sollte also sicher genug sein :)

    Und in dem Fall lasse ich dann UFW weg. Habe die Konfiguration leider auch nicht ganz nach meinen Vorstellungen hinbekommen (und mich schon mehrmals "ausgesperrt"....). Bevor ich mich dann weiter ärgere, lasse ich es sein :)

    Vielen Dank

  • Ja, so ist es. Aber Du musst dir auch dann keine Sorgen machen, wenn Du via Internet eine SSH-Verbindung herstellen willst und ssh optimal konfiguriert ist (z. B. mit pubkey-authentication). Da Du wireguard erwähnt hast, kannst Du auch "Gürtel+Hosenträger" benutzen (d. h. ssh im VPN). ;)

    UFW kannst Du ganz schnell vergessen.

    Wenn Du z. B. "FW-Regeln" für z. B. source-NAT, dest.-NAT, masquerading, redirect, IP-Adressen/Ports "verstecken" willst, ToS (type of service), etc. brauchst, dann beschäftige dich mit iptables/nftables (oder andere Paketfilter, je nach OS).

    Ok, da bin ich sowieso gerade ausgestiegen. Das ist mir noch ein wenig zu hoch :D
    Aber mein Gedanke scheint ja richtig gewesen zu sein, dass eine FW auf dem Raspi hinter der FW auf der Fritzbox keinen Sinn ergibt (zumindest in meinem Szenario).
    Klar ist ein Port für Wireguard offen, aber der müsste ja auch auf dem Raspi offen sein, von daher bringt mir da eine eigene FW ja nicht :)

  • Ach, eine Frage fällt mir gerade noch ein.
    Ich habe einen DSL-Tarif der Telekom (soweit ich weiß, hat man hier ja noch eine IPV4 Adresse, und kein DS Lite o.ä)

    Kann ich somit 1. auf dem Raspi IPV6 deaktivieren und 2. bei der Konfiguration für PiHole auf meiner Fritzbox die individuelle IPV6 Adresse des DNS-Servers einfach ignorieren? Oder hat hier in diesem Fall das eine nichts mit dem anderen zu tun?

    Vielen Dank nochmals :)

    Einmal editiert, zuletzt von SoeinTyp (30. Januar 2022 um 10:13)

  • Klar ist ein Port für Wireguard offen, aber der müsste ja auch auf dem Raspi offen sein, von daher bringt mir da eine eigene FW ja nicht

    Das ist richtig.

    Aber poste mal von deinem PI, die Ausgaben von:

    Code
    sudo iptables -nvx -L -t nat
    sudo iptables-legacy -nvx -L -t nat

    , denn eine source-NAT (masquerade)-Regel am wg0-Interface, hat noch nie geschadet.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Kann ich somit 1. auf dem Raspi IPV6 deaktivieren und 2. bei der Konfiguration für PiHole auf meiner Fritzbox die individuelle IPV6 Adresse des DNS-Servers einfach ignorieren?

    Das wird davon abhängig sein, was deine anderen Geräte, die PiHole benutzen sollen, können/wollen.

    Hast Du in allen deinen anderen Geräten im W/LAN deiner FritzBox, IPv6 deaktiviert oder akzeptierst Du die IPv4+IPv6-Koexistenz?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Das ist richtig.

    Aber poste mal von deinem PI, die Ausgaben von:

    Code
    sudo iptables -nvx -L -t nat
    sudo iptables-legacy -nvx -L -t nat

    , denn eine source-NAT (masquerade)-Regel am wg0-Interface, hat noch nie geschadet.

    Das müsste ich morgen machen. Hatte mich bei meinem letzten UFW-Versuch mal wieder ausgesperrt und muss nun erst mal wieder den Raspi neu aufsetzen (dauert ja nicht lang, muss nur eben mal gemacht werden).
    Würde dies dann morgen aber gern mal posten :)

  • Hatte mich bei meinem letzten UFW-Versuch mal wieder ausgesperrt ...

    Schon ein Grund mehr, warum man UFW nicht benutzen soll. ;)

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Über das Thema Firewall und dem Nutzen/Nachteilen kann man ohnehin kontrovers diskutieren. Sorge am besten dafür, dass keine unnötigen Dienste auf deinem System laufen. Wenn dies der Fall ist, dann musst du auch nicht irgendwie etwas versuchen zu verstecken.

    Betreffend SSH kannst du das ganze auch recht gut einrichten das nur bestimmte IP Bereich sich anmelden können. z.B nur der Bereich der in deinem Netzwerk vergeben wird. Ideal wäre natürlich einfach den SSH nur bei Bedarf zu starten. Mit einem einfachen Taster kann man problemlos den SSH starten und beenden, je nach Bedarf. Ein Dienst der nicht läuft kann auch auch angegriffen werden.

  • ... auch nicht irgendwie etwas versuchen zu verstecken.

    Naja, es kommt drauf an, ... wenn ich z. B.einen Portscan auf deine externe IPv4-Adresse und einen Port auf dem _nicht_ gelauscht wird mache, wird dein "border device" mit rst+ack antworten und ich weiß, dass diese IP-Adresse zugewiesen ist.

    Mit einem einfachen Taster kann man problemlos den SSH starten und beenden, ...

    BTW: Was genau ist das für ein Taster, denn man auf einem headless-System benutzen soll/kann?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Mit einem einfachen Taster kann man problemlos den SSH starten und beenden, je nach Bedarf.

    Naja, der Taster um SSH zu de- / aktivieren würde einen Fernzugriff ad absurdum führen. ;) Bevor ich wegfahre, drücke ich den Taster und SSH ist aktiv und wenn ich wieder da bin, dann....

    Aber egal. mit Wireguard ja alles im grünen Bereich.

  • Naja, es kommt drauf an, ... wenn ich z. B.einen Portscan auf deine externe IPv4-Adresse und einen Port auf dem _nicht_ gelauscht wird mache, wird dein "border device" mit rst+ack antworten und ich weiß, dass diese IP-Adresse zugewiesen ist.

    Derjenige der Ports oder Adressen abklopfst der merkt aber ob dort jemand ist oder jemand nur nicht antwortet :) Wenn nun jemand dort ist, aber nicht antwortet, dann wird es umso spannender warum er das nicht tut :)

    Naja, der Taster um SSH zu de- / aktivieren würde einen Fernzugriff ad absurdum führen.

    Ja das ist richtig, aber so wie ich es verstanden habe soll SSH ja nur im eigenen Heimnetz funktionieren. Sofern also das Haus keine 800 Zimmer hat, sollte sich der Knopf ja nicht zu weit entfernt befinden :)

  • Derjenige der Ports oder Adressen abklopfst der merkt aber ob dort jemand ist oder jemand nur nicht antwortet

    Das würde mich jetzt interessieren, ... auf welche Art und Weise er das merkt?

    Z. B. die IP-Adresse 111.111.111.111, ist die z. Zt. _nicht_ zugewiesen oder kommt von dort lediglich keine rst+ack-Antwort bzw. keine icmp-(/udp-)Antwort (wegen der Konfiguration)?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    • Wenn der Zielhost offline ist, gibt der Upstream-Router ein ICMP Host Unreachable Paket zurück.
    • Wenn das Netzwerk des Zielhost offline ist, gibt der Upstream-Router ein ICMP Network Unreachable zurück.
    • Wird das Paket von einer Firewall, die mit einer "REJECT" Regel konfiguriert wurde verarbeitet, wird eine vom Administrator definierte Meldung zurückgegeben.
    • Wird das Paket von einer Firewall, die mit einer "DROP" Regel konfiguriert wurde verarbeitet, wird nichts zurückgegeben.

    Scannt ein Angreifer also einen Computer und erhält nichts zurück, weiß er mit ziemlicher Sicherheit, dass dort ein Computer online ist.

    • Scannt ein Angreifer also einen Computer und erhält nichts zurück, weiß er mit ziemlicher Sicherheit, dass dort ein Computer online ist.

    Nein, das weiß er nicht. Z. B., ich habe einen Server mit einer öffentlichen IPv4-Adresse direkt im Internet (ohne Router). Ich kann den Server runterfahren oder nicht runterfahren und wenn ein Angreifer die IP-Adresse meines Servers scannt, bekommt er in beiden Fällen keine Antwort. D. h., aus dem Scan weiß er nicht, ob mein Server online ist oder nicht online ist.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • bekommt er in beiden Fällen keine Antwort. D. h., aus dem Scan weiß er nicht, ob mein Server online ist oder nicht online ist.

    Schau mal mit einem Tool wie Wireshark ob es tatsächlich keinen Unterschied gibt. Ich selbst habe leider keinen Server zur verfügung um es selber zu testen. Wenn sich mal die Gelegenheit bei dir ergibt mache das gerne mal

  • Schau mal mit einem Tool wie Wireshark ob es tatsächlich keinen Unterschied gibt.

    Ja, ich habe schon geschaut und es gibt keinen Unterschied.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Das ist richtig.

    Aber poste mal von deinem PI, die Ausgaben von:

    Code
    sudo iptables -nvx -L -t nat
    sudo iptables-legacy -nvx -L -t nat

    , denn eine source-NAT (masquerade)-Regel am wg0-Interface, hat noch nie geschadet.

    Erst mal sorry dafür, dass ich bis heuter nicht mehr aktiv war. Bin einfach leider nicht dazu gekommen...

    Habe nun nochmals den Raspi neu aufgesetzt und beie Commands eingegeben.
    Bei beiden kam "iptables: command not found" zurück

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!