Dropbear -> Virtuelle IP -> Firewall -> so sicher?

[Galdan]

Hi zusammen,

hab mich heut zum ersten mal an Freetz getraut, hat auch bisher alles absolut einwandfrei funktioniert.

Wollte Dropbear nutzen um einen HTTP Tunnel in mein Netzwerk aufzubauen, vor allem von Orten aus wo alle Ports ausser 80 und 443 gesperrt sind.

Wollte es ursprünglich machen wie in dem Wiki beschrieben, so hats nicht geklappt, ich bin einfach von extern nicht auf die Box gekommen.

Hab daher das Virtual IP abgeschaltet, auch die eingestellten Portforwardings rausgenommen und anstelle von dem in der AVM-Firewall konifguration folgendes zusätzich eingetragen:

tcp 0.0.0.0:443 0.0.0.0:22 0 # SSH

so scheint alles hinzuhauen, jetzt aber meine große Frage, handle ich mir da irgendwelche Sicherheitsprobleme oder Risiken ein? Oder kann ich das so lassen?

Danke für eure Hilfe!

Gruß
Galdan

 

[mathmos]

Ahoi,

da ich mich vor kurzem selbst damit auseinandergesetzt habe, gebe ich mal meinen Senf dazu.

Über die Web GUI war es bisher nicht so einfach ports / IP Tables von der Fritzbox auf sich selbst freizugeben. Meistesn hat man einen Hinweis bekommen das die Fritzbox nicht auf sich selbst was freischalten kann.

Dies kann man mit dem Paket Virtual IP umgehen indem du der Fritzbox eine eigene IP gibst. So gaukelst du der FB vor das die Ports / IP tables nicht auf sich selbst freischaltet.

Du kannst es so machen musst es aber nicht. Es geht auch ohne das Virtual IP Paket.

Du musst die folgenden Einstellungen vornehmen und rebooten ohne reboot geht es nicht.


Dropbear Einstellungen:

Port 443 / 80 wobei ich 443 bevorzugen würde

unter Optionen trägst du ein "ListenAddress <IP deiner FB>" die "" musst du weglassen.

in der AVM Firewall unter Portforwarding

trägst du ein tcp 0.0.0.0:443 0.0.0.0 443

das war es auch schon. FB rebooten und mit telnet anmelden.
wenn du angemeldet bist gibst du ps ein das gibt dir die aktuellen processe aus, da wirst du irgendwo auch dropbear finden.

dort solltest du nun folgendes sehen

dropbear -p 443 -s ListenAddress <IP deiner FB>

chears
mathmos

 

[Darkyputz]

das virtual ip paket iss defacto für die neuen firmwaren geschichte(ein paar ausnahmen mal abgesehn)...
ich würde in dem beispeil oben aber von port 443 absehen auf box intern seite, da du sonst die fernwartung totlegst...wenn du die nicht brauchst wäre es aber so wie oben beschrieben in ordnung...
und zu deiner paranoia...jeder port den du nach aussen aufmachst iss nen risiko...aber für was und vor allem wer sollte sich bei einem derart unwichtigen ziel wie dir(nicht persönlich gemeint) schon die mühe machen...

grüsse

 

[Galdan]

hi zusammen,

danke für die antworten

mich hats nur gewundert wieso so "kompliziert" über virtual IP wenns auch mit ner IPTables freigabe auf sich selbst geht.

Aber wenn das erst seit der neuesten version funktioniert versteh ichs.

nochmal danke!

Gruß
Tom

 

[sf3978]

ich würde in dem beispeil oben aber von port 443 absehen auf box intern seite, da du sonst die fernwartung totlegst...

Die Fernwartung muss nicht den standard HTTPS-Port 443 verwenden. Die Fernwartung kann auf einem Port, aus dem Bereich 450 bis 499 lauschen.

 

[ao]

Dropbear Einstellungen:

Port 443 / 80 wobei ich 443 bevorzugen würde

unter Optionen trägst du ein "ListenAddress <IP deiner FB>" die "" musst du weglassen.

Ich habe die Optionen leer gelassen und kann mich trotzdem von außerhalb anmelden.
Wozu soll man bei den Optionen eine IP eingeben? Welche IP soll das sein?
Es geht doch auch, indem man sich z.B. bei DynDNS anmeldet, oder hat das nichts miteinander zu tun?

 

[mathmos]

morgen,
ich konnte von außen nicht ohne Angabe des ListenAdresse Parameters auf meine Box zugreifen. Daher habe ich das Forum nach meiner Störung durchsucht und bin auf einem Thread gestoßen der die weiter oben beschriebene Vorgehensweise beschrieben hatte.
So wie ich es verstanden habe definiert der ListenAddress Parameter explizit das Netzwerkinterface auf dem der Dropbear Server lauschen soll für einkommende Verbindungen. Daher sollte er seine eigene IP haben. IP deiner FBBOX (192.168.x.x) sein.
DynDns ist doch nichts anderes als das du die zugewiesene IP deines Providers (84.97.x.y) in einen Namen deiner Wahl alle X Stunden umwandelst (vereinfacht dargestellt).

 

[sf3978]

ich konnte von außen nicht ohne Angabe des ListenAdresse Parameters auf meine Box zugreifen.

Auf welchem Port wolltest Du damals, von außen den Dropbear erreichen, 22 oder was anderes?

So wie ich es verstanden habe definiert der ListenAddress Parameter explizit das Netzwerkinterface auf dem der Dropbear Server lauschen soll für einkommende Verbindungen. Daher sollte er seine eigene IP haben. IP deiner FBBOX (192.168.x.x) sein.

Wenn Du bei ListenAddress die IP-Adresse der Virtaul-IP einträgst, dann horcht/lauscht der Dropbear sowohl auf der IP-Adresse der FritzBox (z. B. 192.168.178.1) als auch auf der Virtual-IP der FritzBox (z. B. 192.168.178.253). D. h. er lauscht dann an einer zusätzlichen IP-Adresse (... auf die man evtl. forwarden konnte/wollte/etc.).

 

[ao]

Bei mir ist eine Portfreigabe im AVM-WebGUI eingerichtet:

Bezeichnung    Protokoll     Port     an Computer            an Port
SSH-Tunnel     TCP           443      PC-192-168-178-253     22

In /var/flash/ar7.cfg ist bei den forwardrules entsprechend folgendes eingetragen:

forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
               "tcp 0.0.0.0:443 192.168.178.253:22 0 # SSH-Tunnel";

VirtualIP ist wie folgt eingerichtet:

Virtuelle IP-Adresse: 192.168.178.253
Subnetzmaske: 255.255.255.0
Interface: eth0:1

Und dropbear lauscht auf Port 22 (ohne weitere Optionen).


So wie ich das sehe, käme ich ohne VirtualIP doch gar nicht aus, oder doch?
Falls doch, wie müsste ich das dann einrichten (inkl. Eintrag in ar7.cfg)?

Außerdem: Sind die Ports so ok, was die Sicherheit/Portscans angeht?
Ich habe unterwegs häufig nur die Ports 80 und 443 zur Verfügung.
.

 

[mathmos]

Variante 1 ohne Virtual IP:

Wenn du alles auf den Port 443 umstellst brauchst du keine Portfreigabe machen.

in den forwardrules muss folgendes eingetragen werden
tcp 0.0.0.0:443 0.0.0.0:443 0 # SSH-Tunnel";

Nachteil du kannst per Putty nicht Remote auf das Webinterface der Fritzbox zugreifen.

Varinate 2 mit Virtual IP:

tcp 0.0.0.0:443 192.168.178.253:443 0 # SSH-Tunnel";


Wenn du allerdings eine virtulle IP anlegst wie du es hast und in putty unter tunnels

L80 --> 192.168.178.253:80 einträgst kommst du über den ssh-tunnel dennoch auf das webinterface deiner box.

ich würde daher zur VirtualIP Variante tendieren.

 

[ao]

Wenn du allerdings eine virtulle IP anlegst wie du es hast und in putty unter tunnels

L80 --> 192.168.178.253:80 einträgst kommst du über den ssh-tunnel dennoch auf das webinterface deiner box.

ich würde daher zur VirtualIP Variante tendieren.

Genauso habe ich es auch gemacht. Danke für Dein Feedback! Übrigens hat sich damit auch meine Frage bzgl. VirtualIP (ob ich es benötige) erledigt (hier im Thread und auch in meiner PN eben an Dich). Ich werde VirtualIP weiterhin nutzen, da es wirklich den Einsatz von PuTTY vereinfacht.