Sicherheit bei Fernzugriff über SSH und SFTP mittels DynDNS

[Tobias_Freetz]

Hallo,

nachdem ich nun seit ein paar Monaten freetz benutze und mich immer wieder eingelesen und -gearbeitet habe bleiben nun doch ein paar offene Fragen.
Unter anderem:

Wenn ich auf meinen Router mittels SSH und SFTP unter Verwendung von DynDNS zugreifen möchte, was muss ich da an Sicherheitsaspekten beachten?

-den Standard Port ändern habe ich bereits gelesen
-muss ich Telnet beenden oder ist das ohnehin nur auf LAN beschränkt?
-gleiches für normales FTP ohne SSH
-was ist mit Sicherheitsupdates? Gibt es da irgendwelche Möglichkeiten? Eig. lassen sich ja unter Freetz die Programme nicht mehr im Nachinein ändern.

Beunruhigender- und mir unerklärlicherweise hat sich leider auch mein Passwort für den Konsolenzugriff via Telnet bzw. SSH einmal resettet so dass es wieder das Standardpasswort war.

Ich brauche den Fernzugriff unbedingt, da ich bald für ein Jahr ins Ausland gehe und mit meiner FritzBox allerdings regelmäßig eine Radiosendung aufnehme. Außerdem möchte ich natürlich auch so Zugriff darauf haben

Es wäre nett, würdet ihr mir die Fragen beantworten können.

Vielen Dank an dieser Stelle auch für all die Hilfe und Entwicklung, die ihr mir bereits ohne euer Wissen gegeben habt!

Tobias

 

[RalfFriedl]

Aus der Ferne würde ich keine Updates machen, wenn es nicht sein muss. Der geänderte Port wird vermutlich reichen.

Ohne eine Port-Freigabe wird weder Telnet noch FTP von Außen erreichbar sein.

 

[hermann72pb]

Das Resetten vom Passwort könnte entweder durch Werkseinstellungen gekommen sein, oder durch Spielen mit ar7.cfg bzw. AVM-Firewall. Ansonsten sind alle per SSH/SSL-gesicherten Zugänge eigentlich ausreichend sicher. Wenn du es noch etwas komplizierter treiben willst, kannst du bei SSH die Passwörter deaktivieren und komplett mit Zertifikaten arbeiten. Ansonsten sollte man gute Passwörter wählen. Dann dürfte auch nichts passieren. dropbear hat auch eine rudimentäre Absicherung gegen das Ausprobieren von Passwörter, sodass es nicht so leicht ist, gegen die Box eine brute-force-Attacke zu unternehmen.
Die meisten Probleme bei den "großen" Servern passieren eher im Apache/mysql-Bereich. Ich hatte noch nie davon gehört, dass man einen SSH- oder SSL-Server an sich "gecknackt" hat. Im Apache/mysql passiert es meistens durch gefälschte URLs / Hochladefunktionen. Die andere gefährliche Stelle ist Namenserver. Wenn man den "knackt", dann kann man unter Umständen die Firewall überlisten. Deswegen würde ich abraten mit Apache / mysql / BIND auf der Box rumzuspielen, wenn du nicht genau weiß, was die Dinge bewirken.

MfG

 

[Silent-Tears]

Sag das mit den wenigen Einbruchsversuchen am ssh-Port mal meinen betreuten Servern. Einige hundert am Tag sind kein Problem dabei. Gut, es passiert nichts, weil freundliche Scritpe und Automatismen dafür sorgen, dass iptables die IPs dichtmachen, aber dennoch ist da mehr los als die ca. 20-50 Versuche, irgendwelche http-Dinger durchzuziehen.

 

[RalfFriedl]

Die SSH-Verbindungen versuchen aber meist nur seltsame Benutzernamen. Sofern man ein halbwegs sinnvolles Passwort verwendet, sind die keine Gefahr für einen Server.

Etwas anders sieht es mit einer Box aus, da gab es schon Berichte, dass diese von einer Überlastung neu gestartet sind. Deswegen ist es hier sinnvoll, einen anderen Port zu wählen.

 

[hermann72pb]

@Ralf: Deswegen hatte ich seinerzeit an den dropbear-Einstellungen etwas rumgedreht, damit genau diese Überlastung vermieden wird. Ich hatte damals die anzahl der Parallelsessions auf 3 reduziert, Anzahl der Fehlversuche auch auf 3 und die Verbleibezeit im Login-Prompt auf 30 Sekunden. Vorher standen da 10, 10 und 180 Sekunden. Das ist natürlich keine 100% Garantie und du hattest damals schon zu Recht 2-3 Fälle angesprochen, die damit nicht abgedeckt werden, soweit ich die Meldungen hier und meine persönlichen Beobachtungen allerdings verfolgen kann, gab es seitdem kaum Meldungen darüber, dass die Box rebootet. Und meine Ports liegen immer noch auf 22, trotz eurem Anrat sie zu verlegen.
@Silent-Tears: Ich schließe mich Ralf an: Es gibt zwar viele Versuche, den SSH-Port zu knacken, das beschränkt sich aber lediglich aufs Erraten von Benutzer/Passwort. Bei Apache und Co. dagegen wird meist mit schärferer Munition geschossen. Ich dürfte so eine Attacke auf einem Root-Server erleben. Wobei dort die Angreifer natürlich schon etwas mehr Interesse haben einen breitbandigen Root-Server zu ergattern, als eine kleine Fritz!Box zu knacken. Von daher, wenn man bei seiner kleinen Box elementare Sicherheitsregeln beachtet, dann dürfte eigentlich nichts passieren.

MfG

 

[Tobias_Freetz]

Hallo ihr alle,

vielen Dank für eure Antworten und entschldigt bitte, dass meine erst so spät kommt.
Was ihr alle schreibt klingt ja durchaus beruhigend. Was leider gar nicht so ist, ist dass mein Passwort sich schon wieder resettet hat, weswegen ich wohl im Moment meine Box lieber nicht von außen erreichbar machen sollte.

Was eine ganz neue Erscheinung ist, ist dass der Router beim Telefonieren nach ca. 10 min neustartet.
Auf der Suche nach dem Fehler danach habe ich festgestellt, dass die Logdateien beim Neustart gelöscht wurden, was die Fehlersuche natürlich nicht gerade vereinfacht und dass -warum auch immer- der interne 6,8MB Speicher laut "df -h" wohl zu 100% voll ist.
Könnte es zwischen all dem vlt einen Zusammenhang geben?

Speziell mit dem Telefon ist sehr ärgerlich, da ich nicht alleiniger Nutzer dessen bin...

LG,
Tobias

 

[RalfFriedl]

Ist nur das SSH-Passwort weg, oder alle Einstellungen?
Nach einem Neustart sind die Log-Dateien weg, wenn sie nur im RAM stehen. Ein USB-Datenträger wäre eine Möglichkeit, wobei die Frage ist, ob dann das eigentliche Problem noch weggeschrieben werden kann. Im Zweifelsfall ist nachher der Datenträger inkonsistent.
Und welcher interne Speicher ist voll? Das Hauptverzeichnis? Welche Box verwendest Du denn?

 

[Tobias_Freetz]

Hallo,

ich hab eine FritzBox 7170 und ja, der hauptspeicher ist voll.

/var/mod/root # df -h
Filesystem                Size      Used Available Use% Mounted on
rootfs                    6.8M      6.8M         0 100% /
/dev/root                 6.8M      6.8M         0 100% /
/dev/sda1                 1.9G      6.5M      1.8G   0% /var/media/ftp/uStor01

wie du siehst habe ich auch noch einen usb-stick dran für externalisierte programme, radioaufnahmen und -was hier nicht zu sehen ist- als swap-partition.

Ich glaube es löscht sich tatsächlich nur das ssh/ftp passwort. Das Passwort fürs Webinterface blieb bisher immer erhalten, ebenso alle Einstellungen. Einen Hardwarefehler würde ich daher eher ausschließen.

LG,
Tobias

 

[olistudent]

Welche Firmware/Freetz-Version nutzt du und was ergibt der Aufruf "modsave".

"df -h" zeigt übrigens nicht den Hauptspeicher. Das macht "free".

Gruß
Oliver

 

[RalfFriedl]

Ich vermute, dass der mit Hauptspeicher das Hauptverzeichnis meint.
Es ist normal, dass das Hauptverzeichnis bei 100% ist, dass es Read-Only ist, usw.

 

[Tobias_Freetz]

Hallo,

ja, mit Hauptspeicher meinte ich den natürlich Flash Speicher, sorry.

Ich verwende freetz 1.1.4 und die ausgabe von modsave ergibt das folgende:

/var/mod/root # modsave
Saving users, groups and passwords...done.
Saving config...done.
Writing /var/flash/freetz...done.
14848 bytes written.
/var/mod/root #

Hätte ich das nach der passwort änderung durchführen müssen!? :$

LG,
Tobias

 

[McNetic]

Ja. Siehe auch FAQ: http://freetz.org/wiki/FAQ#Wieändereichdasroot-Passwort