Sicherheit (Diebstahl) von Konfiguration Daten auf einem Rapsberry welcher sich extern befindet

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo

    Auf einem Raspberry welcher demnächst mit WireGuard an einen externen Internet Anschluss angeschlossen werden soll, mache ich mir Gedanken über die Konfigurationsdaten. Die Daten welche via rsync auf den Raspberry geschrieben werden, sind sowohl beim Übertragen und auch am Speicherort verschlüsselt. Darum geht es nicht.

    Es geht vor allem um die gespeicherten Daten vor allem von WireGuard. Dort ist der VPN Zugang zu meiner Fritzbox hinterlegt. Wenn der ganze Raspberry oder die HD "verloren" geht können die Daten ausgelesen werden. Auch wenn das Risiko sehr klein ist, wie kann ich mich weiter schützen? chmod 600 /etc/wireguard/wg0.conf habe ich ausgeführt. Als nicht Linux Spezialist denke ich aber, dass man trotzdem an die Daten kommt.
    Kann ich mich weiter gegen Datenmissbrauch schützen?

  • Sicherheit (Diebstahl) von Konfiguration Daten auf einem Rapsberry welcher sich extern befindet? Schau mal ob du hier fündig wirst!

  • ... an einen externen Internet Anschluss angeschlossen werden soll, ...

    Was genau meinst Du mit "externem" Internet-Anschluss bzw. was für ein Internet-Anschluss ist das?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Es handelt sich um einen Bekannten wo der Raspberry hin soll. Vertrauen ist gut ...

    Lt. der manpage für wg-quick kann man den privaten WG-Key, verschlüsselt im PI ablegen:

    Zitat

    Or, perhaps it is desirable to store private keys in encrypted form, such as through use of pass(1):

    PostUp = wg set %i private-key <(pass WireGuard/private-keys/%i)

    BTW: Etwas Kontrolle könntest Du auch ausüben wenn dein PI dir emails sendet, a) immer beim (neu) booten, b) wenn sich die Datei "/var/log/wtmp" ändert (evtl. zusätzlich mit der Ausgabe von "last | head -n 5") und c) täglich 1 bis 2 emails (als "alive message") mit der Ausgabe von "uptime -s".

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Wenn der Angreifer physischen Zugriff auf das Gerät hat, kann man letztlich nicht wirklich etwas sinnvolles tun. Auch verschlüsseln von geheimen Daten die für den Betrieb benötigt werden, nützt nichts, denn es muss ja alles vorhanden sein um die zu entschlüsseln, eben für den Betrieb.

    “Dawn, n.: The time when men of reason go to bed.” — Ambrose Bierce, “The Devil's Dictionary”

  • Wenn der Angreifer physischen Zugriff auf das Gerät hat, kann man letztlich nicht wirklich etwas sinnvolles tun.

    Naja, man kann sich aber mitteilen lassen, ob das Gerät noch dort ist wo es sein soll bzw. ob evtl. jemand Zugang zum Gerät gehabt hat.

    Auch verschlüsseln von geheimen Daten die für den Betrieb benötigt werden, nützt nichts, denn es muss ja alles vorhanden sein um die zu entschlüsseln, eben für den Betrieb.

    Ja, aber d. h. nicht, dass auch der "Angreifer" Zugang zu dem hat was für die Entschlüsselung erforderlich ist bzw. die verschlüsselten/geheimen Daten auch entschlüsseln kann. Es ist auch abhängig davon, wer Interesse an den verschlüsselten/geheimen Daten hat bzw. ob der Besitzer des PIs, der "Staatsfeind Nr. 1" ist.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Das mit der Geldkassette Beitrag 5 macht bei meinem Bekannten sicher auch einen guten Eindruck von mir :D

    .

    Wenn ich infomiert würde, wenn der Pi nicht mehr am Netzwerk ist wäre ich schon dankbar. Ich könnte dann die VPN Verbindung trennen. Das login am Raspi spielt keine Rolle, und die Backup Daten sind verschlüsselt mit einem 20 Zeichen langen Passwort abgelegt.
    Wie kann ich das realisieren, dass ich eine Info bekomme wenn der Pi nicht mehr am externen Netz angeschlossen ist?

  • Wie kann ich das realisieren, dass ich eine Info bekomme wenn der Pi nicht mehr am externen Netz angeschlossen ist?

    Dazu gibt es den ping Befehl. Einfach regelmaessig pingen und wenn keine Antwort kommt die Verbindung unterbrechen. Allerdings kann es auch mal ein Netzwerkproblem geben dass der ping nicht durchgeht. Das ist dann ein false positive :(

  • Mann könnte sich auch nach Unterbrechung und erneuter Verbindung die SSID des WLAN z.B. per Mail schicken lassen oder/und auch die der WLAN-Netzwerke der Umgebung. Letzteres hängt natürlich davon ab, ob es sich um eine Wohnung in einem Mehrfamilienhaus handelt oder um ein alleistehendes Haus im Nirgendwo.

    Wenn sich da grundlegend etwas ändert, könnte man manuell ggf. den Stecker ziehen, also eine Art vorher erstelltes Notfallscript aktivieren.

  • Wie kann ich das realisieren, dass ich eine Info bekomme wenn der Pi nicht mehr am externen Netz angeschlossen ist?

    Hast Du evtl. ein Gerät das auch im selben WG-VPN ist, aber an deinem Internetanschluss und 24/7 online ist?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hallo TrueTec,

    ich bringe mal WebSockets ins Spiel.

    Darüber kannst Du alle hier nachgefragten Probleme lösen.

    • Verbindung feststellen
    • Gegenseitige Identifizierung
    • Verschlüsselte Übertragung
    • Status-Kommandos senden und Rückmeldungen empfangen
    • Unbeabsichtigte Dritte rausschmeißen

    Beste Grüße

    Andreas

    Ich bin wirklich nicht darauf aus, Microsoft zu zerstören. Das wird nur ein völlig unbeabsichtigter Nebeneffekt sein.
    Linus Torvalds - "Vater" von Linux

    Linux is like a wigwam, no windows, no gates, but with an apache inside dancing samba, very hungry eating a yacc, a gnu and a bison.

  • Hast Du evtl. ein Gerät das auch im selben WG-VPN ist, aber an deinem Internetanschluss und 24/7 online ist?

    Da wäre der 2. Raspi (Pihole installiert) welche welche Zugriff auf auf den externen rsync Raspi Zugriff hätte aber der ist nicht via WG verbunden. Sonst ist kein Gerät von mir dauerhaft mit WG verbunden

  • Da wäre der 2. Raspi (Pihole installiert) welche welche Zugriff auf auf den externen rsync Raspi Zugriff hätte ...

    OK, dann mach mal vom 2. PI (mit Pihole und 24/7 online), via Internet einen TCP-Portscan auf den lauschenden rsync-Port des PIs bei deinem Bekannten und poste das richtig anonymisierte Ergebnis:

    Code
    nc -zv -w 8 <externe-IPv4-Adresse-Bekannter> <lauschender-Port>

    EDIT:

    Beispiele (... achte auf den Rückgabewert):

    Spoiler anzeigen
    Code
    :~$ nc -zv -w 8 1.1.1.1 53; echo $?
    Connection to 1.1.1.1 53 port [tcp/domain] succeeded!
    0
    Code
    :~$ nc -zv -w 8 1.1.1.1 54; echo $?
    nc: connect to 1.1.1.1 port 54 (tcp) timed out: Operation now in progress
    1

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Es geht vor allem um die gespeicherten Daten vor allem von WireGuard. Dort ist der VPN Zugang zu meiner Fritzbox hinterlegt.

    Warum drehst Du es nicht um? Installierst WG auf der remoten Raspi und connectest Dich von Home wenn rsync laufen soll dorthin und startest rsync. Danach baust Du die WG Verbindung wieder ab. So liegen keine sensitiven WG Daten von Dir auf der remoten Raspi und alles ist gut :)

  • OK, dann mach mal vom 2. PI (mit Pihole und 24/7 online), via Internet einen TCP-Portscan auf den lauschenden rsync-Port des PIs bei deinem Bekannten und poste das richtig anonymisierte Ergebnis:

    Code
    nc -zv -w 8 <externe-IPv4-Adresse-Bekannter> <lauschender-Port>

    EDIT:

    Beispiele (... achte auf den Rückgabewert):

    Spoiler anzeigen
    Code
    :~$ nc -zv -w 8 1.1.1.1 53; echo $?
    Connection to 1.1.1.1 53 port [tcp/domain] succeeded!
    0
    Code
    :~$ nc -zv -w 8 1.1.1.1 54; echo $?
    nc: connect to 1.1.1.1 port 54 (tcp) timed out: Operation now in progress
    1

    Der Pi ist noch nicht beim Bekannten. Bin noch am Einrichten. Kann ev. mal zum Testen Mein Handy als externen Hotspot verwenden.
    Die Idee von "framp" wäre auch interessant. Da bräuchte ich aber eine step by step Anleitung weil zuwenig Linux Erfahrung. Bin von mir selber begeistert, dass ich mit der Konfiguration soweit wie jetzt gekommen bin. ^^

  • Der Pi ist noch nicht beim Bekannten. Bin noch am Einrichten. Kann ev. mal zum Testen Mein Handy als externen Hotspot verwenden.

    Das hat Zeit bis Du mit dem Einrichten fertig bist und muss mit dem Handy (als Hotspot), jetzt nicht getestet werden.

    Die Idee von "framp" wäre auch interessant.

    Ja.

    Die alive-message kann trotzdem und unabhängig davon, ob der PI (beim Bekannten) WG-Client oder WG-Server ist, gesendet werden.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!