Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Über 2 Instanz (Easybox 802 und Fritzbox 7170) via SSH auf LINUX (open source - NAS Server)

Mitglied: andreman1

andreman1 (Level 1) - Jetzt verbinden

05.08.2011, aktualisiert 09.08.2011, 6687 Aufrufe, 8 Kommentare

Die SSH-Tunnel zwischen Fritzbox und QNAP (open source - NAS Linux-Server ) über DSL/ Easybox 802,

Hallo zusammen,

bevor ich anfange zu experimentieren, frag ich doch mal ob jemand so schon gemacht hat:

ich habe u.g. Konstrukt im Netz.

DSL/Internet---->EASYBOX802< ------> Fritzbox 7170< ------>Qnap TS-110

Auf Qnap Serverver (open source - NAS Linux-Server ) laufen E-Mail Server , WEB- Server und Application Server.

Die erreiche ich im Lokalen Netz über https z.B. Web-Email über https://meinQnapServer:8090 , WEB- Server über https://meinQnapServer:8091 und Application Server über https://meinQnapServer:8092
Nun möchte ich aber auch unterwegs auf das zugreifen und natürlich wie möglich sicher. Deswegen will ich auch nicht direkt von Easybox zum NAS Server die Ports- Umleitung machen, sonder über das Fritzbox.

Meine Idee ist, auf Easybox Ports 60000, 60001 und 60002 umleiten auf Fritzbox 7170 Ports 60000, 60001, 60002.
Auf Fritzbox wurde ich dann Dropbear (laut Anleitung: http://www.com-technics.com/viewtopic.php?f=70&t=141) installieren und dort im hintegrund über ssh -Tunnel baue zwischen fritzbox und QNAP-Server ein paar Verbindungen auf.
z.B.:

ssh -i id_rsa -L 60000:fritzbox:8090 -g -y -T -N user@ meinQnapServer &
ssh -i id_rsa -L 60001:fritzbox:8091 -g -y -T -N user@ meinQnapServer &
ssh -i id_rsa -L 60002:fritzbox:8092 -g -y -T -N user@ meinQnapServer &


Danach, wenn alles läuft, kann doch via Internet im Browser z.B: https://meinQnapServer.DynDNS-meinDomäneName:60001 angeben und landet dann automatisch (oder doch nicht?) auf mein QNAP-Server https://meinQnapServer:8091.

Wird es so was funktionieren,und wenn ja, was ja alles auch noch zu berücksichtigen. Funktionirt auch auf Fritzbox Dropbear SSH Tunnel ?

ich würde mich freuen ,wenn jemand eine kurze Zusammenfassung dafür schreibt
Vielen dank schon mal im voraus
andreman1

P.S.

Was genau soll das bringen ?


Was ich erreichen will, ist, ohne Client, auch aus einem Internet-Cafe - wenn ich verreise und auch für meine Bekannte, meinen NAS-Server zu erreichen. Wenn Hacker Portscannen machen wird das zu 99 % nur bis 10.000 Range gescannt. Das ist das erste. Wenn es doch ein Hacker schafft über ein Port bis Qnap über die SSH-Tunnel zu kommen, dann scannt er über diesen Port auch alle offen Port inerhalb von NAS + probiert er auch mit unterschiedlichen Benutzer und Passworten auf System zu kommen.
So kann man ein Script auf Qnap(NAS) starten, das prüft, ob das System auf unterschiedliche Ports bzw. Benutzer-Password gescannt wird, und wenn es so vorkommt, dann werden die Tunnel zwischen Qnap und Fritzbox automatisch getrennt.
Mitglied: broecker
06.08.2011 um 12:46 Uhr
kann man so machen - muß man nicht
zu den hohen Ports: viele Router machen schon ab ca. 30000 (nicht genau 32767!) keine Weiterleitung, falls etwas nicht läuft, mit etwas niedrigeren Ports probieren...
sind die Bekannten Technik-Affin? dann würde ich eher nur einfach Port-Knocking zur Authentifizierung vorschalten, das wäre im Internet-Café m.E. etwas Key-Logger-resistenter
Bitte warten ..
Mitglied: Lochkartenstanzer
07.08.2011 um 23:36 Uhr
Was soll der Blödsinn? Das ssh zwischen fritz und qnap bringt keinen zusätzlichen Sicherheitsgewinn.

Und gegen Portscans nutzt das gar nichts. Du kannst Dich ncht darauf verlassen, daß diese nur bis port 10.000 gemacht werden Das schützt nur gegen die Scriptkiddies. Ich z.B. scanne, wenn ich Sicherheitsanalysen mache, grundsätzlich alle Ports!.

Du solltest entweder gleich per ordentlich konfiguriertem ssh und lokalem Portforwarding per ssh auf den qnap verbinden, oder ein SSL-VPN aufbauen.
Alternativ kannst Du natürlich auch ein einfaches Portknocking implentieren.


Was ich erreichen will, ist, ohne Client, auch aus einem Internet-Cafe und auch für meine Bekannte, meinen NAS-Server zu erreichen

Also Sicherheit und Internet-Cafe (ohne eigenen Rechner) schließen sich aus.
Bitte warten ..
Mitglied: broecker
08.08.2011 um 00:05 Uhr
1x-Passworte (wie TANs) wären für das Internetcafé noch eine übliche Lösung, wird eines mitgelogt, macht das nichts. Alle Varianten (außer Portknocking) werden mit PAM-Modulen realisiert - so auch zu ergooglen - und können unterschiedliche Serverdienste absichern.
Bitte warten ..
Mitglied: andreman1
08.08.2011 um 22:36 Uhr
Hallo Broecker,

danke Dir!
Stichwort Port-Knocking - genau was ich gesucht habe.Mit PAM-Modulen ist das noch besser, das klingt aber ganz schön kompliziert.
Eine Sache verstehe ich nicht, wenn ich die User-Logins auf Qnap überwache und erkenne Brute Force Attacke und trenne den Tunnel zwischen Qnap und Fritzbox , dann soll doch für den Hacker nichts übrig bleiben oder?
Warum soll ich noch mehr den Qnap-Server schutzen als "unbedingt nötig" ?

Danke + Gruß
Andre
Bitte warten ..
Mitglied: Lochkartenstanzer
08.08.2011 um 22:56 Uhr
Zitat von broecker:
1x-Passworte (wie TANs) wären für das Internetcafé noch eine übliche Lösung,

Klar, aber das verhindert nicht, daß alle Daten, die man zu Gesicht bekommt, auch der Lauscher sieht. Und das kann schon zuviel sein. ggf. muß der der Lauscher sich ja auch kein weiteres mal irgendwo einloggen, wenn er die Sitzung einfach übernimmt.

Daher wiederhole ich meine Aussage: Jede Kommunikation über ein Gerät, daß nicht unter der eigenen Kontrolle ist, z.B. selbst mitgebrachtes Laptop im Internet-Cafe, ist per se unsicher. Es ist daher eine Risikoabwägung, was man den Systemen des Internet-Cafes anvertrauen will und was nicht.

lks
Bitte warten ..
Mitglied: broecker
08.08.2011 um 22:57 Uhr
Bruteforce ist m.E. gar nicht so sehr zu fürchten, was kratzt es, wenn 24 Stunden lang an Port 22 wilde Kombinationen durchprobiert werden, wenn das Passwort länger ist oder der ssh-Port verlegt wurde, danach gibt's ne DSL-Trennung, dann ist wieder Ruhe. Unangenehmer wäre es, wenn im Internet-Café Port, Name und Passwort mitgelesen wird, ggf. authentifizierende Zertifikate und Schlüssel kopiert werden und damit anschließend erneut zugegriffen wird, klar, das wäre kein automatischer Standardangriff, aber genau das befürchtest Du anscheinend aus dem Café?
Da hilft dann nur eine Methode, die schwerer mitzulesen ist bzw. eben idealerweise 1x-Passworte.
Sonst reicht m.E. hoher Port und langes Passwort völlig aus und das Ziel sollte noch in einer DMZ stehen und dementsprechend nicht Vollzugriff auf das ganze eigene Netz bieten.
Bitte warten ..
Mitglied: broecker
08.08.2011 um 23:00 Uhr
völlig richtig, deswegen mein Hinweis eben auf DMZ, die Grenze schiebt man wahrscheinlich heute ziemlich weit runter, wo mobile Geräte den billigen Zugriff auf wenige Daten (dafür sensibel) gestatten.
Dann taugt das Internet-Café nur noch zum surfen und dem Nachfüllen von MP3-Player o.ä. vom QNAP
Bitte warten ..
Mitglied: andreman1
09.08.2011 um 01:00 Uhr
Jetzt bin ich schon schlauer geworden.

Dann soll ich wohl während meiner Reise auf Internet-Cafe bzw. Hotel- PC verzichten, da ich kein DMZ zu Hause habe.
Schade, ich dachte schon, dass ich mit dem Tunnel und dann noch eventuell mit Port-Knocking gut abgesichert bin.
Bitte warten ..
Ähnliche Inhalte
DSL, VDSL

Easybox 802 generiert eigenes Subnetz im VDSL-Modus

gelöst Frage von 123266DSL, VDSL3 Kommentare

Hallo liebes Forum, Ich habe folgendes Problem Zu aller erstmal ne kleine Übersicht: Ich möchte nun von "Server" zu ...

DSL, VDSL

Telekom Magenta zu Hause S mit Vodafone Easybox 802

gelöst Frage von hannsgmaulwurfDSL, VDSL14 Kommentare

Hallo zusammen, hat jemand Erfahrung mit einem Telekom Anschluss (in dem Fall Magenta zu Hause S) in Kombination mit ...

Linux Netzwerk

Keine Reaktion auf ssh über fritzbox

gelöst Frage von malkudLinux Netzwerk12 Kommentare

Hallo an alle, seit Jahren leitet meine Fritzbox den Port 1122 von außen auf den Port 22 zu meinen ...

SAN, NAS, DAS

NAS Platte über Fritzbox

Frage von jensgebkenSAN, NAS, DAS10 Kommentare

Hallo Gemeinschaft, habe eine Fritzbox 7490 - dort habe ich einen USB Stick angesteckt (testweise) - dieser soll als ...

Neue Wissensbeiträge
Windows Server

Zähe Update-Installation auf Windows Server 2016

Information von kgborn vor 1 TagWindows Server4 Kommentare

Mir sind in der Vergangenheit immer wieder Beschwerden von Admins unter die Augen gekommen, die sich über die doch ...

Humor (lol)
Turnschuhe per Firmware lahmlegen
Information von Henere vor 1 TagHumor (lol)6 Kommentare

Und was kommt demnächst ? Bekomme ich kein Klopapier mehr, weil der Spender einem DDOS unterliegt ? :-) Ich ...

Sicherheit

Sicherheitsrisiko in WinRAR und Co. durch Schwachstelle in UNACEV2.DLL

Information von kgborn vor 1 TagSicherheit

In der seit 2005 nicht mehr aktualisierten Bibliothek UNACEV2.DLL gibt es eine Path-Traversal-Schwachstelle. Diese ermöglicht es, bei ACE-Archiven Dateien ...

Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 2 TagenInternet6 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Heiß diskutierte Inhalte
Hardware
Frage an Kenner von 5,25 Zoll Laufwerken
Frage von DerWoWussteHardware54 Kommentare

Moin Kollegen. Hier wird gerade im Archiv gewühlt und 5,25 Zoll Disketten ("2S/HD", 96TPI) sollen eingelesen werden. Ich habe ...

Windows Tools
Dateiname Automatisch auf PDF Klartext oder als Barcode abdrucken
Frage von spongebob24Windows Tools29 Kommentare

Hallo Zusammen, habe eine tolle Anforderung bekommen. Ich sollte auf mehrere PDF Dateien Automatisch einen Stempel anbringen lassen. Toll ...

Internet
SDSL oder ADSL - Preis-Leistungs-Verhältnis
Frage von ZeppelinInternet22 Kommentare

Wehrte Community, der Unterschied dieser beiden Techniken ist recht einfach erklärt. Das S, steht für Synchron (Gleich) und das ...

Microsoft Office
MicroSoft und seine Lizenzen
Frage von ZeppelinMicrosoft Office19 Kommentare

Wehrte Community, ich wende mich an die Community weil MicroSoft dazu keine Stellung nehmen möchte. Ich öffne mein Web-Browser ...