Einrichten des Zugriffs aus dem Internet auf die Pi @home

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Die Pi ist ein netter, kleiner Computer den man für alle möglichen Dinge sinnvoll einsetzen kann. Diese hilfreichen Dienste der Pi möchte man dann auch gerne aus dem Internet zugreifbar machen und richtet das dann auch ein.

    Alles funktioniert dann (sofern richtig konfiguriert) wie gewünscht und man ist glücklich.

    Es gibt da verschiedene Möglichkeiten das zu konfigurieren:

    1) Durchreichen (portforwarding) der Ports am Router
    2) Tunneling der Verbindung über ssh
    3) Einrichtung eines VPN

    Mich würde mal interessieren wer welchen Konfigurationsweg beschritten hat bzw welche Gedanken Ihr Euch gemacht habt um sicherzustellen, dass durch die Freigabe Eurer Pi im Internet kein Hacker in Eurer lokales Netz reinkommt. Denn bei falscher Konfiguration ist jemand bei Euch schneller im lokalen Netz als Ihr denkt und treibt da seinen Unfug.

  • Einrichten des Zugriffs aus dem Internet auf die Pi @home? Schau mal ob du hier fündig wirst!

  • Leider gab es bislang kein Feedback aber 109 Leute haben den Thread bis dato gelesen.

    Dann schildere ich mal meine Gedanken dazu:

    In der letzten Zeit sind mir immer wieder Threads in diesem wie auch dem englischen Raspberry Forum aufgefallen, wo gefragt wurde wie man die vom Internet aus erreichbar machen kann bzw dass es da Probleme gibt. U.A. habe ich auch dabei geholfen diese Probleme zu lösen, denn technisch ist das kein Problem. Bei den ganzen Problemen stand aber immer nur die Frage im Raum wie man den Weg freibekommt aus dem Internet. Die Frage ob es sinnvoll und ratsam ist wurde da nie diskutiert. Denn ein jeder Rechner - und die kleine Pi ist auch nur ein normaler - wenn auch kleiner - Rechner, stellt ein NetzwerkSicherheitsrisiko für das lokale Netzwerk dar wenn er aus dem Internet erreichbar ist. Die Verlockung ist gross, denn es gibt nette Anwendungen wie z.B. OwnCloud.

    Meine zwei PIs habe ich nicht im Netz freigegeben. Eine Pi macht keinen Sinn da sie als xbmc eingesetzt wird. Allerdings hatte ich im englischen Forum jemand getroffen, der von zuhause in seinem Geschäft damit die Werbevideos steuert und kontrolliert - also die Pi auch ins Internet freigibt. Auf der zweiten habe ich OwnCloud installiert und das hat mich gelockt sie auch im Intenet freizugeben - aber ich mache es trotzdem nicht.

    Warum? Vor längerer Zeit hatte ich mal einen ssh Proxy auf einem normalen Linux Rechner eingerichtet damit jemand aus China den chinesischen Firewall durchbrechen kann um in Deutschland u.A. den Spiegel lesen zu können. Dabei habe ich die ssh Tunneltechnik eingesetzt um den sicheren Proxy anzubieten. Dann habe ich aufmerksam das ssh Log beobachtet - sogar Automatismen eingerichtet um per eMail benachrichtigt zu werden wenn jemand unberechtigterweise versucht am ssh Server reinzukommen - und es gab pro Woche zwischen 1-3 Zugriffsversuche. Nachdem ich den ssh Server nur noch per Schlüsselauthentication zugreifbar gemacht hatte liessen die Versuche nicht nach - aber ich wusste dass es nicht mehr möglich ist mein in mein System reinzukommen. Mit iptables habe ich dann die BruteForce Versuche unterbunden um meine Platte nicht vollschreiben zu lassen.

    Das hat mir gezeigt dass es eine Menge Leute im Netz gibt die aufmerksam nach offenen Ports suchen und versuchen in System einzudringen und es wichtig ist ein sicheres System zu haben. Wer seine Pi ins Netz stellt geht Risiken ein und mein Intention dieses Threads ist einfach mal zu diskutieren ob sich jemand darüber Gedanken macht und was er zur Sicherung tut.

    Ich habe mal hier meine persönlichen Gedanken und Empfehlungen dazu niedergeschrieben. Ich hoffe die regen dann u.A auch an über dieses Thema hier zu diskutieren.

    Würde mich freuen wenn hier zum Thema Netzwerksicherheit mit der Pi eine Diskussion in Gang käme.

  • Hallo framp,
    der Grund, daß niemand bisher auf Dein Posting geantwortet hat, dürfte sein, daß die wenigsten von uns überhaupt die Möglichkeit einer vernünftigen Freigabe haben.
    Es fängt schon damit an, daß kaum einer feste IP Adressen hat, weshalb man auf Krücken wie Dynamischen DNS angewiesen ist. Selbst wenn Du eine feste Adresse hast, wirst Du
    bei mehr als einer richtig zur Kasse gebeten (ipv4), während ipv6 zurückgehalten wird, solange man aus dem Mangel an v4 Adressen noch Geld schlagen kann. Folge ist, daß Du mit
    Port Forwarding Murks arbeiten musst.
    Den RPi nach aussen freizugeben ist heute kein technisches Problem, sondern ein marktwirtschaftliches :(

    Solange es nicht um riesige Datenmengen geht, würde ich einen der kostenlosen ipv4/ipv6 Tunnel Provider bemühen und über ipv6 in mein lokales Netz reinkommen.
    Man kann IP Adressen und echtes DNS benutzen und muss keine Port Forwarding Verrenkungen unternehmen.
    Einfache Firewall davor und die Sache ist gegessen. IP-(nicht IT ;))-Sicherheit ist simpler, als man denkt.

    Auf kurz oder lang kommen wir um ipv6 nicht herum. Die Art und Weise, wie die ipv4 Leiche derzeit gefleddert wird ist mehr als unschön.

    Vielleicht bessert sich die Situation ja in naher Zukunft. Aber zur Zeit wäre ich froh, wenn ich beim Zugang von Außen technische Probleme lösen müsste :(


    Gruß
    Odin

  • Danke odin dass Du Dich meiner Suche nach einer Diskussion über die Pi Netzwerksicherheit erbarmst :shy:

    Du sprichst das Thema IPV6 an. Das ist in der Tat ein Problem wenn Du mit wechselnder IP vom Internet auf das Heimnetz zugreifen willst. Ich benutze dyndns und das funktioniert (mit IPV4) perfekt. Ich gehe mal davon aus dass alle anderen, die auf Ihre Pis aus dem Internet zugreifen entweder dyndns oder andere Provider benutzen. Denn sonst würden sie ja nicht danach fragen wie sie auf ihre Pi aus dem Internet zugreifen können - ausser sie haben eine statische IP. Ich kenne aber niemanden, der in seinem Büro eine Pi stehen hat :D

  • schau Dir mal sixxs.net an. Es gibt noch einige andere. Ich habe da seit fast 3 Jahren ein eigenes ipv6 Subnetz und habe bisher keinen Grund zur Klage.
    Ist zwar auch letztendlich Knaup aber man bekommt einen Eindruck, wie es funktionieren könnte.
    Innerhalb meines lokalen Netzes haben alle Geräte v6 Adressen und am äußeren Router lässt sich leicht steuern, wer rein und wer raus darf.
    Dadurch, daß alle Geräte eine eigene Adresse haben, muss ich der Firewall eigentlich nur noch sagen, zu welchem Gerät ich welchen Port (meist 80) durchlassen will.

    Dumm ist halt, daß ipv6 von kaum einen Provider unterstützt wird, so daß du auf diese Weise z.B. mit Deinem Smartphone (das selbst zwar ip6 kann) aussen vor bist, weil Dein
    Provider lieber NAT über ein privates Netz betreibt.

    dyndns und Port Forwarding wird und noch eine geraume Zeit erhalten bleiben.

    Sicherheitstechnisch ist das allerdings nur deshalb etwas problematischer, weil dabei die Firewall Regln ein klein wenig mehr Aufmerksamkeit erfordern.
    Welches Problem siehst Du konkret bei der Freigabe eines RPi ober über v6 oder v4 ?


    Gruß
    Odin

  • Ich sehe das Problem der Sicherheit beim Raspi ganz woanders.
    Selbst wenn alle nur mit Key-Athentication und VPNs arbeiten würden, am Ende setzen sich die Leute ein Owncloud auf und sind durch eine PHP-vulnerability geownt.

    IPV6 mit Sixxx ist zwar toll, aber ist leider nicht durch alle NATS durchbringbar

  • Das sehe ich auch so, die Probleme liegen nicht beim Portforwarding oder v4/v6-Problemen sondern bei den Nutzern.
    Wenn man sich ansieht, was hier für Fragen gestellt werden (phpmyadmin und Portforwarding, Root-Shell auf der Webseite, chmod 777 auf Systemdateien damit ein Zugriff aus dem Internet möglich ist, selbstgebastelte Webmin-Clone) und dann überlegt, daß die meisten Nutzer Windowsumsteiger sind, die noch nie mit der Linuxrechterverwaltung und den Sicherheitsmechanismen zu tun hatten kann man sich leicht ausmalen, daß bald die ersten Fragen kommen warum der Pi so ausgelastet ist und so viele Verbindungen zu komischen .ru-Adressen laufen hat.

  • odin
    Das generelle Problem was ich sehe ist dass sich diejenigen, die ihre Raspi im Netz freigeben nicht wissen dass sie damit ein Risiko eingehen, welche Risiken das sind und wie sie diese minimieren koennen.

    agitase
    Deine Antwort verstehe ich nicht. Wie soll jemand eine php Vulnerability von OwnCloud ausnutzen wenn der Zugriff nur per VPN moeglich ist? VPN Zugiff haben doch nur berechtigte Personen.

    orb
    Das ist in der Tat etwas was mich auch wundert warum es noch keine solchen Faelle gibt. Es ist sicherlich nur noch eine Frage der Zeit. Aber genau deshalb sollte jeder von der Problematik wissen und die Risiken kennen wenn die Raspi im Netz freigegeben wird und waehlt einen sicheren Zugriffsweg oder laesst sogar die Finger davon.

  • Die Risiken sollte jeder kennen, aber keiner will es. Es ist viel interessanter was man damit machen kann und macht viel mehr Spaß als sich mit dem System so zu beschäftigen, daß man die Risiken einschätzen kann. Windowsrechner sind inzwischen so zugenagelt, daß selbst ein Einsteiger kaum noch was falsch machen kann und an jeder Ecke wird einem die dritte Personalfirewall und der vierte Virenscanner aufgezwungen, damit kann man Geld verdienen.
    Das gibt es bei Linux nicht, es wird immer erzählt Linux ist sicher, es gibt keine Viren und man braucht nicht aufzupassen. Daß das nicht stimmt müssen die Nutzer erst lernen, und am besten lernt man durch Schmerzen. Ich gehe davon aus, daß es da draußen schon einige kompromitierte Pis gibt und es die Nutzer nicht gemerkt haben.
    Dazu passt der Tip des Tages der Foundation: Change the default password for the pi user, or, better still, add a new user and get rid of pi.
    Aber der Pi wurde als Spilezeug entwickelt und als das funktioniert er auch prima. ;)

  • *Aufzeig*

    In Sachen Sicherheit seid Ihr echt schon einen Schritt zu weit. Meiner Meinung nach haben ja die meisten User nicht mal die Intention der Pi-Freigabe im I-Netz. Was ich als Windoof umsteiger sehr viel problematischer finde ist (und ich ertappe mich selber auch dabei) einfach code-Zeilen aus Anleitungen in die shell zu kopieren.
    Da ist über kurz oder lang das "blaue Wunder" sehr viel wahrscheinlicher und noch sehr viel verbreiteter.

    Siehe hier:

    http://www.heise.de/security/diens…ks-1842691.html

    Die Frage nach einem Viren-Trojaner oder sonstwas-Scanner habe ich auch bereits mehrfach gestellt, aber die Antwort lautete meist genau so:
    "Das gibt es bei Linux nicht, es wird immer erzählt Linux ist sicher, es gibt keine Viren und man braucht nicht aufzupassen."

    Es ist richtig und wichtig auf die Sicherheitsrisiken bei Netzwerkfreigaben hinzuweisen, aber das copy&paste Phänomän ist da auf jeden Fall etwas, auf das dringender hingewiesen werden sollte.


    Grüße

    Einmal editiert, zuletzt von Bierdieb (17. April 2013 um 13:35)

  • Zitat von framp pid=8041 dateline=1363553747


    Die Pi ist ein netter, kleiner Computer den man für alle möglichen Dinge sinnvoll einsetzen kann. Diese hilfreichen Dienste der Pi möchte man dann auch gerne aus dem Internet zugreifbar machen und richtet das dann auch ein.

    Alles funktioniert dann (sofern richtig konfiguriert) wie gewünscht und man ist glücklich.

    Es gibt da verschiedene Möglichkeiten das zu konfigurieren:

    1) Durchreichen (portforwarding) der Ports am Router

    HTTP, HTTPS, SSH

    Zitat von framp pid=8041 dateline=1363553747


    2) Tunneling der Verbindung über ssh

    SCP z.B. erfordert aber 1

    Zitat von framp pid=8041 dateline=1363553747


    3) Einrichtung eines VPN

    Wenn du auf den PI zugreifen möchtest wie im lokalen LAN oder dein Lokales LAN immer bei dir haben möchtest die beste Wahl.
    OpenVPN mit Zertifikaten, von den Standart Ports abweichen...

    Zitat von framp pid=8041 dateline=1363553747

    Mich würde mal interessieren wer welchen Konfigurationsweg beschritten hat bzw welche Gedanken Ihr Euch gemacht habt um sicherzustellen, dass durch die Freigabe Eurer Pi im Internet kein Hacker in Eurer lokales Netz reinkommt. Denn bei falscher Konfiguration ist jemand bei Euch schneller im lokalen Netz als Ihr denkt und treibt da seinen Unfug.

    Niemals die Standart Ports verwenden ( 80 und 443 mal ausgenommen )
    Linux und sein Rechtesystem verstehen.
    Den Webserver und seine Möglichkeiten verstehen, ein offner Port 80 trifft zu 99% auf ein erreichbares /phpmyadmin ;)
    Default User gehören DISABLED !!
    SSH Root Login verbieten, Key's verwenden, Fail2Ban installieren, Logcheck installieren.
    Wenn FTP dann FTP User immer mit --shell /bin/false einrichten und im Home gefangen halten.

    Die Liste lässt sich endlos fortsetzen.
    Einfach versuchen zu verstehen was man macht.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Zitat von Bierdieb pid=10777 dateline=1366198452


    *Aufzeig*

    In Sachen Sicherheit seid Ihr echt schon einen Schritt zu weit. Meiner Meinung nach haben ja die meisten User nicht mal die Intention der Pi-Freigabe im I-Netz.


    Nein, denn es finden sich eine Menge Postings wo genau dazu Fragen gestellt werden bzw Probleme geschildert werden.

    Zitat


    Was ich als Windoof umsteiger sehr viel problematischer finde ist (und ich ertappe mich selber auch dabei) einfach code-Zeilen aus Anleitungen in die shell zu kopieren.

    Das wird gerade auch hier diskutiert.

  • Hallo, eine Möglichkeit den Raspi aus dem Internet sicher zugänglich zu machen wäre vielleicht noch Yaler (https://yaler.net/), unsere Relay Infrastruktur.

    Das YalerTunnel command line tool wird auf dem Raspi installiert. Es verbindet einerseits via localhost auf HTTP(S) oder SSH, und öffnet andererseits eine ausgehende HTTP(S) Verbindung zum Yaler Relay, wo ein Klient unter einer fixen URL mit dem Browser bzw. Putty drauf zugreifen kann. Port Forwarding entfällt. Auf dem Raspi selbst wird kontrolliert ein einziger Port zugänglich gemacht. Einwände bezüglich Sicherheitsbewusstsein der Benutzer gelten natürlich auch hier.

    Grüsse, Thomas ( tamberg)

  • tamberg

    *schleichwerbung*Ich nutze z.B. euren Dienst schon länger für Owncloud und das Raspberry Control Center über Http !
    Ich war mir der Risiken von automatisch-scannenden Bots etc. schon zu Anfang sehr bewusst und habe als Alternative euer Angebot gefunden und ich muss sagen, dass es durchgehend sehr gut läuft ! */schleichwerbung* :D

    Ich finde den Sicherheitsaspekt auch sehr wichtig und ich finde auch, dass man diesen z.B. in den ganzen Tutorials über Owncloud und den verschiedenen Serverdiensten durchaus mit einpflegen könnte. Ich kenne mich leider nicht so gut mit Abwehrmöglichkeiten und Absicherungen unter Linux aus, aber ich denke, dass sich das schon lohnen würde.

    Vorschlag:
    Um den Sicherheitsaspekt abzusichern, könnte man doch ein Tutorial-Thread über die verschiedensten Abwehrmöglichkeiten erstellen, in diesem Forum als wichtiges Thema anpinnen und in den einzelnen Tutorials verlinken. So eine Art Leitfaden, wo z.B. grundsätzliche Sachen (Default User disablen, andere Ports) und auch Serverspezifische Sachen zu Nginx, Apache, Owncloud, SSH, lighttpd, VNC oder FTP etc. gesammelt werden. Die Arbeit muss ja nicht von einer einzigen Person gestemmt werden. Wenn man erstmal Ideen von allen Usern in einem extra Thread sammelt und diese dann nur noch zusammenfasst, lässt sich das doch super bewerkstelligen.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!