Hintergrundwissen Security Probleme von offenen Ports

[tim09]

Hallo zusammen,
ich weiß, dass das Thema immer wieder mal behandelt wird aber ich möchte es trotzdem nochmal stellen, weil ich einige offene Fragen habe.
Ich bin mir sicher, dass es auch anderen Usern helfen wird, wenn die Fragen von Experten beantwortet wird.

Angenommen:
Man will Webdav übers Internet verwenden.
1. Also richtet man sich eine Dyndns ein und leitet einen Port an die DS weiter.
2. Auf der DS verwendet man ein starkes Passwort.
3. Man verwendet HTTPS anstelle von HTTP.
4. Man verwendet "Automatische Blockierung" in den Einstellungen und stellt diese auf 3 Versuche.

Hat man dann wirklich ein reeles Sicherehitsproblem?
Ich hab das so verstanden:
Die bösen Jungs im Internet versuchen über eine Kombination aus IP und Port in ein internes Netz zu kommen.
Dazu gibt es verschiedene Tools, die einfach alles abgrasen.
Wenn sie jetzt wirklich was gefunden haben, dann müssen sie aber immer noch die Kombination aus User und Passwort herausfinden.
Dazu gibt es auch wieder Tools um alle möglichen Kombis zu probieren.
Da man aber "Automatische Blockierung" auf 3 Fehlversuche gestellt hat, werden sie blockiert.
Ohne richtigen User bzw. Passwort können die bösen Jungs aber nichts machen.

Oder stelle ich mir das ein wenig zu einfach vor?

Danke
Tim

 

[Peter_Lehmann]

Hallo Tim,

du hast das alles völlig richtig erkannt.
Wenn du auf irgend einem Server irgend einen Dienst laufen lässt, welcher von außen erreichbar sein soll, dann musst du den betreffenden Port (mitunter auch mehrere) im Router zur IP des Servers weiterleiten. Ohne dem geht es nicht. Das einzige was du tun solltest ist abzuprüfen, welche Ports sonst noch geöffnet sind. Regel: es sollen nur die Ports "offen" sein, welche du auch benötigst. Um das abzuklären, kannst du entweder aus dem Internet ankommend einen Portscanner gegen deinen eigenen DynDNS-Namen laufen lassen, oder einen der vielen Angebote im Netz für einen Portscan nutzen. Weitere als "offen" angezeigte Ports (es wird sie geben!) musst du hinterfragen.

Die Authentisierung mit Benutzername und Passwort ist im Internet (leider) fast immer noch die gängige Methode. Klar gibt es heutzutage bessere, aber die sind dir als Privatuser bestimmt nicht möglich (Auth. mit Chipkarte usw.). Also ein richtiges gutes PW ist das einzige, was du tun kannst. Ich betone "richtig gut" und ergänze noch mit "regelmäßig gewechselt". Mehr muss auch nicht wirklich sein.

Eine mit TLS/SSL gesicherte Verbindung hat weniger etwas mit der Abwehr von Eindringlingen, als viel mehr mit dem Schutz vor dem Mitlesen durch die weltweit tätigen Schnüffler zu tun. Damit meine ich weniger den neugierigen Nachbarn ... . Kostet nix und ist Stand der Technik.

Die "automatische Blockierung" bezeichne ich nicht unbedingt als einen echten Gewinn an Sicherheit, aber damit werden "Angreifer" auf jeden Fall ordentlich ausgebremst. Wunder solltest du davon nicht erwarten, trotzdem ist das ein nettes Feature und sollte aktiv sein.
Bitte achte darauf, dass du zumindest eine IP aus deinem eigenen Homenet (die deines eigenen Rechners, und evtl. weitere) als Ausnahme definierst. Du wärest nicht der erste, der sich selber aussperrt. Und in diesem Fall denkst du garantiert nicht daran und suchst dich tot ... .

Unbedingt ergänzen möchte ich noch mit dem wichtigen Hinweis, dein System aktuell zu halten! Viele vergessen das ... .
Klar bist du dabei immer auf die jeweiligen Hersteller (des Routers, des Betriebssystems und natürlich auch der sonstigen Geräte, wie eben der DS) angewiesen. Aber du solltest regelmäßig nach Updates sehen und dich nicht unbedingt auf Automatismen verlassen.
Auch ist es wichtig, sich regelmäßig die Logfiles der betreffenden (aller o.g.) Geräte anzusehen. Auch wenn ein erfahrener Angreifer immer zum Schluss die Logfiles putzt oder putzen sollte, aber dich wird wohl kaum ein Profi angreifen.
Und noch einer: Konfiguriere nach Möglichkeit alles immer so, dass du niemals als admin oder root remote auf deine Rechner gehst. Immer als normaler Benutzer, und dann (zum Bsp. per ssh) zum root wechseln.

Wenn du dir die Logfiles ansiehst, wirst du garantiert "massenhaft" "Angriffsspuren" finden. Das ist das normale "Rauschen des Internet". Die Scriptkiddies klopfen mit ihren Tools ganze IP-Bereiche nach offenen Ports ab und versuchen dann automatisch eine Auth. mit üblichen Benutzernamen und Passwörtern. Dagegen wirst du nichts tun können. Denke einfach daran, dass ein geloggter "Angriff" ein abgewehrter Angriffsversuch ist. Wer das eine (die Erreichbarkeit aus dem Netz) will, muss das andere (die Tätigkeit unserer Spielmatzen) wollen.

Wenn du allerdings einen eng begrenzten Benutzerkreis hast (ein bis drei mobile Rechner und ebenso viele Smartphones zum Bsp.), also dein NAS nicht als richtig öffentlichen Server zuir Verfügung stellen willst, dann kannst du dich auch mit einem VPN vertraut machen. Ein gutes VPN ist in solch einem Fall immer die beste (aber auch etwas aufwändigere) Lösung.
Wenn du dazu Fragen hast, kann ich dir gerne helfen.

HTH

MfG Peter

 

[Holger_H]

Hi Peter,
informative Ausführung die Du Tim gegeben hast.
Hab hierzu nochmal ein Frage:
So habe ich die von Dir aufgeführten "massenhaften Angriffsspuren" im Systemprotokoll. Was bedeuten die unterschiedlichen Ereignisse, (obwohl bei mir alle "failed to login via ssh" aufweisen)
als da auch wären: user root?
Welche Einstellung präferierst Du bei der IP Blockierung (wie bei Tim 3 Versuche ??)
mfg
Holger

 

[Matthieu]

Hi,
SSH ist ein Dienst zur Verwaltung von Systemen. Da sollte man sich gut überlegen ob man den wirklich über das Internet öffnet. Er gehört zu den Diensten die am häufigsten abgesucht werden (neben FTP). Da er nur für wirklich administrative Aufgaben gedacht ist, benötigt man ihn über das Internet bei einer DS nur seltenst.
Der user "root" existiert auf jedem Linux-System und ist der "Super-Admin". Auch auf der DS existiert er und hat das Passwort des "admin". Mit root kann man sich aber nur bei einigen systemnahen Diensten anmelden.

MfG Matthieu

 

[Holger_H]

Hi Matthieu,
vielen Dank für Deine Antwort.
Du schreibst man sollte sich überlegen ob man den Dienst SSH überhaupt über das Internet öffnet. Mir ist eigentlich nicht bekannt diesen überhaupt geöffnet zu haben.
Oder etwa doch? Unter Systemsteuerung, Terminal, ist der SSh Dienst nicht aktiviert. Über welchen Port würde er denn laufen?
mfg
Holger

 

[Peter_Lehmann]

Hallo Holger,

wie Matthieu schon schrieb, ist SSH ein Protokoll (oder der laufende sshd ein Dienst) zur Verwaltung von Linux-Systemen. Ich möchte sogar sagen, dass es für den kundigen Linux-User DIE Lösung zur Fernadministration seiner Systeme ist. Und wenn es nur darum geht, ein "hängendes System" wieder anzustoßen. Deshalb kannst du davon ausgehen, dass auf allen von "Linux-Profis" administrierten Systemen ein sshd läuft. Die Frage ist deshalb (bei den erwähnten "Linux-Profis"!) nicht, ob ein sshd genutzt werden soll, sondern wie dieser Dienst konfiguriert wird. Ich betrachte einen richtig konfigurierten sshd als einen sehr sicheren Dienst!

Umkehrschluss:
Für die Masse der User, für die die Linux-Kommandozeile eine Unbekannte darstellt, die sämtliche Administration ihrer DS ausschließlich auf der "bunten Oberfläche" machen (können und wollen), für die ist der sshd ein Dienst, welcher mehr schadet (wegen der garantiert unsicheren Konfiguration!) als nutzt (wegen der fehlenden Kenntnisse). Und ich betone auch, dass diese fehlenden Kenntnisse keinesfalls eine Schande sind! Du hast dir deine DS gekauft, um sie zu nutzen, und nicht um sämtliche verborgenen Konfigurationsmöglichkeiten auszunutzen.
Deshalb solltest du diesen Dienst deaktivieren bzw. deaktiviert lassen. (*)

Zum einen kannst du auf der GUI den Dienst deaktivieren. Wo das steht, hast du ja schon gefunden. Eigentlich darf man ja wohl davon ausgehen, dass der Dienst dann nicht läuft. Du kannst auch per ssh (Windows-Nutzer machen das per putty) versuchen, ob du aus dem eigenen Netz auf das Gerät kommst. Ich gehe davon aus, dass du keine Verbindung bekommst. Du könntest auch mit einem Portscanner aus den eigenen Netz heraus überprüfen, ob der Port 22 auf der DS offen ist. Offener Port = hier lauscht ein Dienst, eben jeder sshd. Aber - siehe oben - ich gehe davon aus, dass wenn deaktiviert, der sshd nicht läuft.
Aber der einfachste Weg ist doch der, in deinem Router die Portweiterleitungen zu überprüfen. (Eigentlich müsstest du diese ja bewusst selbst eingerichtet haben ... .) Wenn keine Portweiterleitung auf den Port 22 der IP deiner DS eingetragen ist, dann kommt auch niemand aus dem bösen Netz über diesen Port auf deine DS. Selbst wenn dort dieser Port geöffnet sein sollte.

[OT]
(*) Falls du Lust verspürst, mal etwas mit Linux zu spielen, dann befasse dich mal mit einem "Raspberry Pi". Das ist ein winziger, aber dennoch kompletter Linux-Rechner für ~35Euronen. Dazu noch ein kleines Steckernetzteil und eine sicherlich vorhandene SD-Karte, und du kannst mit Linux basteln. Ich gehe jede Wette ein, dass das auch dem eingefleischten Windows-User Spaß macht.
[/OT]


MfG Peter

 

[tim09]

Hallo Peter,
ich möchte mich auch für die kompetente und vor allem auch sehr verständliche Antwort danken!
Bin jetzt übrigens auf eine VPN Verbindung umgestiegen. Dank Fritzbox ist die Konfiguration sehr einfach und ich kann jetzt von meinem Handy bei bedarf auf alle meine lokalen Geräte zugreifen.

Danke
Tim

 

[Peter_Lehmann]

Hallo Tim,

ja, wenn du die Remoteverbindung nur für dich oder eine überschaubare Anzahl von Nutzern bzw. Geräten benötigst, dann ist das sie sauberste Lösung.
Ordentliche (74 Byte) PSK rein und regelmäßig gewechselt, und du bist auf der sicheren Seite. Ich bin ggw. dabei, das AVM-VPN durch ein IP-sec-VPN auf der Basis des Raspberry Pi zu ersetzen. Nicht, dass ich AVM nicht vertraue, sondern einfach um meinen Spieltrieb auszuleben. Wie auf Arbeit: saubere Trennung zwischen "roten" und "schwarzen" Daten. Wobei unsere privaten Daten allenfalls schwarz mit einen klitzekleinen rötlichen Stich sind ;-)

Was nimmst du denn für einen VPN-Client auf dem "Handy"? Ich (mit SGS III und seit einer Stunden Android 4.3) stehe auf den "VPN-Cilla". Ein wirklich perfektes Programm. Habe auch einen netten Kontakt zu dem Entwickler. Er versteht sein Fach ... .


MfG Peter

 

[tim09]

Hallo Peter,
ich habe den Android Clienten von den Einstellungen genommen. Der ist standardmäßig dabei und beim Aufsetzen des VPN auf der Fritzbox hab ich gleich die Anleitung bekommen, was ich beim Handy einstellen mmuss. Ging alles innerhalb von 5 Minuten.

Tim

 

[Holger_H]

Hi Peter,
Dank für Deine Ausführungen. Du hast mich "erwischt", denn ich hatte tatsächlich Port 22 (wenn auch für sftp) in meiner Fb freigeschaltet. Da ich aber ftp/sftp nicht nutze (ich muss mich ja erstmal nen bischen in meiner Ds austoben..) habe ich den Dienst deaktiviert, aus der Firewall der DS und die Portweiterleitung in der FB deaktiviert. Und siehe da, keine protokollierten Angriffe mehr )
Werde Deiner Empfehlung mich mit dem "Rapsberry Pi" zu beschäftigen gern nachkommen, wenn auch etwas später, sprich sobald ich mich mit meiner DS "einigermasssen" auskenne..
Gruss
Holger

 

[KHW53]

Soeben angemeldet hier und schon was gelernt - super Forum - werde euch aber bestimmt noch mit der einen oder anderen Frage nerven

 

[pagru]

Hi Peter
Danke für deine grossartigen Infos. Auch ich beschäftige mich seit längeren mit den lästigen Angriffen. Wie ich deinen Infos entnehmen kann, würdest du mir VPN empfehlen. Ich habe 2-3 User, die regelmässig darauf zugreifen, mache in die entgegengesetzte Richtung zu den Usern Netzwerksicherungen über den Port 22, und genau deshalb hab ich Angriffe. Darum möchte ich VPN installieren und konfigurieren. Da steh ich aber am Berg, ehrlich! Würdest du mir dazu helfen, die Schritte aufzuzeigen; was ich wo und wie einstellen muss?

 

[Peter_Lehmann]

Hi pagru,

Gleich zu Beginn möchte ich folgende Anmerkung setzen: Die "lästigen Angriffe" (korrekter wäre: "Angriffsversuche") sollten nicht der einzige Grund sein, ein VPN einzurichten. Wie ich schon mehrmals im Forum gepostet habe, betrachte ich einen sachgemäß (!) konfigurierten sshd als eine sehr sichere und stabile Angelegenheit. Nicht umsonst ist ssh die Standardverbindung zur Fernadministration eines unixoiden Systems. Gerade (bzw. nur) jemandem, der so wie du solche Sachen wie Backuplösungen für mehrere Nutzer realisiert, traue ich auch problemlos die Härtung des sshd zu. Und: jedes zusätzliche Gerät bzw. Verbindung bringt auch wieder eigene Schwachstellen mit.

Aber trotzdem einiges zur Beantwortung deiner eigentlichen Frage:
Was ein VPN ist, muss ich sicherlich nicht erklären, oder? Wenn doch, dann nur so viel: Stelle dir ein dickes Stahlpanzerrohr quer durchs böse Internet vor. Darin läuft dein Netzwerkkabel und dein externer Client/Server hat eine IP aus deinem eigenen Netz und ist somit logisch ein Mitglied deines eigenen Netzes und verhält sich auch so.

Jetzt kannst du dein VPN prinzipiell nach drei Methoden aufbauen (ich gehe bewusst nicht auf "openVPN", "IPsec" und andere ein!):

1. Du nutzt deine DS selbst als VPN-Endpunkt.
   Wie das einzurichten ist, ist hier im Forum in vielen Beiträgen beschrieben. Denke mal, dazu muss ich nichts schreiben (x). Wichtig ist, dass die genutzen Ports auch ankommend an deine DS weitergeleitet werden.
   (x) Ich kann es auch nicht, denn ich habe dieses noch niemals selbst ausprobiert. Ich halte nämlich nichts von dieser Methode! Ich bin der Meinung, dass (ohne Not) auf einem Server nicht Dienste wie ein VPN zu laufen haben.
2. Du nutzt die VPN-Funktion deines Routers als VPN-Endpunkt.
   Gerade bei der häufig eingesetzten Fritz!Box ist das eine sehr leicht zu konfigurierende Methode. Innerhalb weniger Minuten hat selbst ein einigermaßen begabter Nutzer ein VPN auf der GUI der Box zusammengeklickert. Anleitungen, Informationen und auch Hilfe bei Problemen erhältst du unter http://www.ip-phone-forum.de/ zuhauf.
   Der einzige "Nachteil" (oder sollte ich lieber "Herausforderung" für die Behebung dessen schreiben ...) ist, dass jeder der dieses VPN nutzt, erst einmal vollen Zugriff auf dein Homenet hat. Aber das kann natürlich auch mit der Konfiguration geändert werden.
   Diese Variante dürfte bei der Masse der ein VPN nutzenden User die Standardvariante sein.
3. Die dritte Variante ist nach meinem Verständnis die beste: Nutzung eines zwischengeschalteten Gerätes, welches nur die einzige Funktion hat - eben als VPN-Endpunkt zu arbeiten, und dahinter ein geschütztes Netz bereit zu stellen.
   Dieses Gerät, im professionellen Betrieb als "Kryptogerät" oder "Kryptogateway" genannt, wird zwischen deinen Router (Portweiterleitung!) und dem zu sichernden Gerät (dein NAS) geschaltet. Du musst dir das wie einen zweiten Router mit Kryptofunktion vorstellen. Und das ganze ist gar nicht mal so kompliziert bzw. so teuer.
   Es reicht schon aus, wenn du dir dazu einen Raspberry Pi zulegst und diesen zum Beispiel nach einer der folgenden Anleitungen (es gibt mehrere Anleitungen!) betreibst: >> Raspberry Pi: OpenVPN VPN-Server installieren » Jan Karres << oder >> Raspberry Pi Jan Karres <<
   Ich möchte ehrlicherweise nicht verschweigen, dass der RasPi nicht gerade das performanteste Gerät ist. Wenn du also zu den Glücklichen mit VDSL 100 Mbit/s oder wie in Dänemark üblich, "dein Internet" mit symmetrischen (!) 100 Mbit/s per FTTH geliefert bekommst, solltest du dir an Stelle des RasPi besser etwas schnelleres zulegen. In der vorletzten c´t stand da etwas dazu drin. Aber bei dem bei uns üblichen deutschen Dorf-DSL (1 Mbit/s Upload) reicht der RasPi allemal.

HTH

MfG Peter

 

[pagru]

Ich möchte die Netzwerksicherungen und die Synchronisation gemeinsamer Ordner, die derzeit über den Port 22 laufen, über VPN steuern. Ist dies möglich? Richtig, dass ich damit Port 22 schliessen kann? Somit hätte ich 99% der Angriffsversuche weg.

Wie geh ich das am besten an?