.titleBar { margin-bottom: 5px!important; }

Dropbear -> Virtuelle IP -> Firewall -> so sicher?

Dieses Thema im Forum "Freetz" wurde erstellt von Galdan, 12 Dez. 2008.

  1. Galdan

    Galdan Neuer User

    Registriert seit:
    13 Juli 2005
    Beiträge:
    23
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi zusammen,

    hab mich heut zum ersten mal an Freetz getraut, hat auch bisher alles absolut einwandfrei funktioniert.

    Wollte Dropbear nutzen um einen HTTP Tunnel in mein Netzwerk aufzubauen, vor allem von Orten aus wo alle Ports ausser 80 und 443 gesperrt sind.

    Wollte es ursprünglich machen wie in dem Wiki beschrieben, so hats nicht geklappt, ich bin einfach von extern nicht auf die Box gekommen.

    Hab daher das Virtual IP abgeschaltet, auch die eingestellten Portforwardings rausgenommen und anstelle von dem in der AVM-Firewall konifguration folgendes zusätzich eingetragen:

    tcp 0.0.0.0:443 0.0.0.0:22 0 # SSH

    so scheint alles hinzuhauen, jetzt aber meine große Frage, handle ich mir da irgendwelche Sicherheitsprobleme oder Risiken ein? Oder kann ich das so lassen?

    Danke für eure Hilfe!

    Gruß
    Galdan
     
  2. mathmos

    mathmos Neuer User

    Registriert seit:
    3 Jan. 2007
    Beiträge:
    30
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ahoi,

    da ich mich vor kurzem selbst damit auseinandergesetzt habe, gebe ich mal meinen Senf dazu.

    Über die Web GUI war es bisher nicht so einfach ports / IP Tables von der Fritzbox auf sich selbst freizugeben. Meistesn hat man einen Hinweis bekommen das die Fritzbox nicht auf sich selbst was freischalten kann.

    Dies kann man mit dem Paket Virtual IP umgehen indem du der Fritzbox eine eigene IP gibst. So gaukelst du der FB vor das die Ports / IP tables nicht auf sich selbst freischaltet.

    Du kannst es so machen musst es aber nicht. Es geht auch ohne das Virtual IP Paket.

    Du musst die folgenden Einstellungen vornehmen und rebooten ohne reboot geht es nicht.


    Dropbear Einstellungen:

    Port 443 / 80 wobei ich 443 bevorzugen würde

    unter Optionen trägst du ein "ListenAddress <IP deiner FB>" die "" musst du weglassen.

    in der AVM Firewall unter Portforwarding

    trägst du ein tcp 0.0.0.0:443 0.0.0.0 443

    das war es auch schon. FB rebooten und mit telnet anmelden.
    wenn du angemeldet bist gibst du ps ein das gibt dir die aktuellen processe aus, da wirst du irgendwo auch dropbear finden.

    dort solltest du nun folgendes sehen

    dropbear -p 443 -s ListenAddress <IP deiner FB>

    chears
    mathmos
     
  3. Darkyputz

    Darkyputz Aktives Mitglied

    Registriert seit:
    27 Juli 2005
    Beiträge:
    2,320
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Newton, New Jersey
    das virtual ip paket iss defacto für die neuen firmwaren geschichte(ein paar ausnahmen mal abgesehn)...
    ich würde in dem beispeil oben aber von port 443 absehen auf box intern seite, da du sonst die fernwartung totlegst...wenn du die nicht brauchst wäre es aber so wie oben beschrieben in ordnung...
    und zu deiner paranoia...jeder port den du nach aussen aufmachst iss nen risiko...aber für was und vor allem wer sollte sich bei einem derart unwichtigen ziel wie dir(nicht persönlich gemeint) schon die mühe machen...

    grüsse
     
  4. Galdan

    Galdan Neuer User

    Registriert seit:
    13 Juli 2005
    Beiträge:
    23
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hi zusammen,

    danke für die antworten :D

    mich hats nur gewundert wieso so "kompliziert" über virtual IP wenns auch mit ner IPTables freigabe auf sich selbst geht.

    Aber wenn das erst seit der neuesten version funktioniert versteh ichs.

    nochmal danke!

    Gruß
    Tom
     
  5. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,710
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Die Fernwartung muss nicht den standard HTTPS-Port 443 verwenden. Die Fernwartung kann auf einem Port, aus dem Bereich 450 bis 499 lauschen.
     
  6. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich habe die Optionen leer gelassen und kann mich trotzdem von außerhalb anmelden.
    Wozu soll man bei den Optionen eine IP eingeben? Welche IP soll das sein?
    Es geht doch auch, indem man sich z.B. bei DynDNS anmeldet, oder hat das nichts miteinander zu tun?
     
  7. mathmos

    mathmos Neuer User

    Registriert seit:
    3 Jan. 2007
    Beiträge:
    30
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #7 mathmos, 28 Dez. 2008
    Zuletzt bearbeitet: 28 Dez. 2008
    morgen,
    ich konnte von außen nicht ohne Angabe des ListenAdresse Parameters auf meine Box zugreifen. Daher habe ich das Forum nach meiner Störung durchsucht und bin auf einem Thread gestoßen der die weiter oben beschriebene Vorgehensweise beschrieben hatte.
    So wie ich es verstanden habe definiert der ListenAddress Parameter explizit das Netzwerkinterface auf dem der Dropbear Server lauschen soll für einkommende Verbindungen. Daher sollte er seine eigene IP haben. IP deiner FBBOX (192.168.x.x) sein.
    DynDns ist doch nichts anderes als das du die zugewiesene IP deines Providers (84.97.x.y) in einen Namen deiner Wahl alle X Stunden umwandelst (vereinfacht dargestellt).
     
  8. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,710
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Auf welchem Port wolltest Du damals, von außen den Dropbear erreichen, 22 oder was anderes?

    Wenn Du bei ListenAddress die IP-Adresse der Virtaul-IP einträgst, dann horcht/lauscht der Dropbear sowohl auf der IP-Adresse der FritzBox (z. B. 192.168.178.1) als auch auf der Virtual-IP der FritzBox (z. B. 192.168.178.253). D. h. er lauscht dann an einer zusätzlichen IP-Adresse (... auf die man evtl. forwarden konnte/wollte/etc.).
     
  9. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #9 ao, 29 Dez. 2008
    Zuletzt bearbeitet: 29 Dez. 2008
    Bei mir ist eine Portfreigabe im AVM-WebGUI eingerichtet:
    Code:
    Bezeichnung    Protokoll     Port     an Computer            an Port
    SSH-Tunnel     TCP           443      PC-192-168-178-253     22
    In /var/flash/ar7.cfg ist bei den forwardrules entsprechend folgendes eingetragen:
    Code:
    forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                   "tcp 0.0.0.0:443 192.168.178.253:22 0 # SSH-Tunnel";
    VirtualIP ist wie folgt eingerichtet:
    Code:
    Virtuelle IP-Adresse: 192.168.178.253
    Subnetzmaske: 255.255.255.0
    Interface: eth0:1
    Und dropbear lauscht auf Port 22 (ohne weitere Optionen).


    So wie ich das sehe, käme ich ohne VirtualIP doch gar nicht aus, oder doch?
    Falls doch, wie müsste ich das dann einrichten (inkl. Eintrag in ar7.cfg)?

    Außerdem: Sind die Ports so ok, was die Sicherheit/Portscans angeht?
    Ich habe unterwegs häufig nur die Ports 80 und 443 zur Verfügung.
    .
     
  10. mathmos

    mathmos Neuer User

    Registriert seit:
    3 Jan. 2007
    Beiträge:
    30
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Variante 1 ohne Virtual IP:

    Wenn du alles auf den Port 443 umstellst brauchst du keine Portfreigabe machen.

    in den forwardrules muss folgendes eingetragen werden
    tcp 0.0.0.0:443 0.0.0.0:443 0 # SSH-Tunnel";

    Nachteil du kannst per Putty nicht Remote auf das Webinterface der Fritzbox zugreifen.

    Varinate 2 mit Virtual IP:

    tcp 0.0.0.0:443 192.168.178.253:443 0 # SSH-Tunnel";


    Wenn du allerdings eine virtulle IP anlegst wie du es hast und in putty unter tunnels

    L80 --> 192.168.178.253:80 einträgst kommst du über den ssh-tunnel dennoch auf das webinterface deiner box.

    ich würde daher zur VirtualIP Variante tendieren.
     
  11. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Genauso habe ich es auch gemacht. Danke für Dein Feedback! Übrigens hat sich damit auch meine Frage bzgl. VirtualIP (ob ich es benötige) erledigt (hier im Thread und auch in meiner PN eben an Dich). ;) Ich werde VirtualIP weiterhin nutzen, da es wirklich den Einsatz von PuTTY vereinfacht.