Hilfe: Warum ist SMB über Internet erreichbar?

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hi und hallo Forum,

    habe seit einiger Zeit einen Pi den ich als WebDav/CalDav Sync server verwende. Das ding hängt mit dynamic DNS im Internet und ist auch wunderbar zu erreichen.

    Ich habe auf meinem Router die Ports 443 (HTTPS für das WebDav/CalDav) und 22 (für ssh) auf den Pi weitergeleitet. Auf dem Pi ist auch noch eine SMB Freigabe, die aber nur aus dem lokalen Netz verfügbar sein soll.

    Nun das Problem: Diese SMB Freigabe ist auch aus dem Internet zu erreichen. Ich frage mich nur: warum?! SMB nutzt doch eigentlich ganz andere Ports! Wie kommen die Anfragen zum Pi durch?! Wie kann ich die Sache sicherer machen, sodass wirklich nur noch https und ssh aus dem Internet erreicht werden kann und alles andere abgewiesen wird? Über ssh kann ich mir für alles andere ja dann beliebige Tunnel legen.

    Freue mich über Hilfe!
    TheSlowGrowth

    Einmal editiert, zuletzt von TheSlowGrowth (26. September 2013 um 11:27)

  • Wenn du wirklich sichergehen willst, das alles andere verworfen wird.
    Wäre es gut, wenn du vielleicht das ganze über "IP-Tables" regulierst.

    Das ist sozusagen eine Firewall auf Linux basis. Das kann man dann so einstellen, das nur Port 22 ( welche schon sehr unsicher ist, würde da etwas anderes nehmen ) und Port 443 durch gelassen werden

    Hier ein kleines How-To
    https://wiki.debian.org/iptables

    Ich freue mich auch über ein Danke :thumbs1: :D

    Einmal editiert, zuletzt von Donn!e DarKo (26. September 2013 um 11:42)

    • Offizieller Beitrag

    Hallo TheSlowGroth und herzlich willkommen im Forum!

    über welchem Port rufst du denn die SMB Freigabe auf? Zufällig auch 22? Denn man kann SMB oder Samba über die SSH Freigabe "Tunneln". Bedeutet, du kannst von außen über eine SSH Verbindung auf dein SMB Share zugreifen.
    Jedoch bringt so etwas immer ein Sicherheitsrisiko mit sich.

    Daher empfehle ich eine VPN Verbindung aufzubauen. DynDNS im Router einrichten. Dort ggf. auch VPN, sonst OpenVPN auf dem Raspberry installieren.
    Dann via VPN ins Heimnetz. Jetzt kannst du auf alles zugreifen, worauf du auch im lokalen zugreifen kannst. Zudem noch sehr sicher ;)

    LG & ich hoffe ich konnte helfen ;)

    <woltlab-metacode data-name="align" data-attributes="WyJjZW50ZXIiXQ=="><p><span style="font-size: 10pt">Ein "Gefällt mir" oder die Bewertung im Profil ist eine nette Geste für die Hilfe die wir hoffentlich waren oder sind.</span></p></woltlab-metacode>

  • Hi,

    danke für die raschen Antworten!

    Ich fasse mal zusammen, was ich aus euren Antworten entnommen habe:

    • IP Tables nutzen um die Zugriffe klarer einzuschränken (danke für den Hinweis)
    • SSH nicht über den üblichen Port 22 laufen lassen, sondern einen beliebigen anderen Port nutzen
    • VPN nutzen


    Okay, das ergibt soweit Sinn.

    mario:
    DynDNS habe ich auf dem Pi laufen und das funktioniert auch. Dass man alles mögliche über ssh Tunneln kann ist mir auch bewusst, siehe erster Post.
    Ich weiß nicht, über welchen Port die Freigabe angesprochen wird, aber laut den Port-Forwardings könnten es eigentlich nur Port 22 oder Port 443 sein, denn das sind die einzigen, die mein Router irgendwohin in meinem Heimnetz weiterleitet. Beide sind aber überhaupt nicht für SMB da, daher meine Frage wieso ich die Freigaben trotzdem erreichen kann. Ich gehe davon aus, dass SMB standardmäßig Port 445 nutzt und der ist ja (nicht ohne Grund) nicht in den Port-Forwardings meines Routers drin. Soweit ich weiß dürfte der Router doch alle Anfragen, für die er keine Routing-Regeln hinterlegt hat ignorieren, oder?!
    Mir fehlt da etwas Grundlagenwissen, befürchte ich. Vielleicht hast du dazu ja eine Idee. Ich würde einfach gerne verstehen, was da passiert, damit ich die Sache sicherer bekomme. Beim Router handelt es sich übrigens um einen, der auf den ulkigen (wenn auch im Englischen sinnvollen) Namen "Horstbox" hört.

    TheSlowGrowth


  • mario:
    DynDNS habe ich auf dem Pi laufen und das funktioniert auch. Dass man alles mögliche über ssh Tunneln kann ist mir auch bewusst, siehe erster Post.
    Ich weiß nicht, über welchen Port die Freigabe angesprochen wird, aber laut den Port-Forwardings könnten es eigentlich nur Port 22 oder Port 443 sein, denn das sind die einzigen, die mein Router irgendwohin in meinem Heimnetz weiterleitet. Beide sind aber überhaupt nicht für SMB da, daher meine Frage wieso ich die Freigaben trotzdem erreichen kann. Ich gehe davon aus, dass SMB standardmäßig Port 445 nutzt und der ist ja (nicht ohne Grund) nicht in den Port-Forwardings meines Routers drin. Soweit ich weiß dürfte der Router doch alle Anfragen, für die er keine Routing-Regeln hinterlegt hat ignorieren, oder?!
    Mir fehlt da etwas Grundlagenwissen, befürchte ich. Vielleicht hast du dazu ja eine Idee. Ich würde einfach gerne verstehen, was da passiert, damit ich die Sache sicherer bekomme. Beim Router handelt es sich übrigens um einen, der auf den ulkigen (wenn auch im Englischen sinnvollen) Namen "Horstbox" hört.

    TheSlowGrowth

    Es kann gut sein, das dein Router eine "Automatische" Forwarding Tabelle erstellt.
    Das war bei meinem Speedport so voreingestellt, es erweist sich heute für den großteil der User als Bediener freundlich.

    Schau einfach mal ob da etwas dergleichen eingestellt ist.

    Wie greifst du den von außen auf dein smb zu, also was gibst du wo ein?

    Gruß

    Ich freue mich auch über ein Danke :thumbs1: :D

  • Donn!e DarKo:
    Ich kann im ControlPanel des Routers keinen Hinweis auf automatische Forwardings finden. Zu dem Ding gibt es generell nur wenig im Internet. War wahrscheinlich ein dummer Kauf. Naja, habe eh bald einen anderen.

    Ich bin gerade nicht zuhause und habe den Zugriff von meinem Macbook aus getätigt. Dazu gebe ich im "Finder" (= Datei Explorer) unter dem Menu "Mit Server verbinden" folgendes ein:

    Code
    smb://meineadresse.meindyndnsanbieter.de/


    Daher gehe ich davon aus, dass der Mac hier die Standardports verwendet.
    Auf dem Macbook ist auch noch Windows7 und Ubuntu drauf, im Notfall kann ich von dort auch nochmal rumprobieren, wenn das denn sinnvoll ist.

    Mir ist das aufgefallen, weil ich dem Mac beigebracht habe, die Verbindung beim Hochfahren automatisch herstellen zu wollen. Vom Internet aus sollte das dann fehlschlagen, im Heimnetz hätte ich aber sofort die nötigen Verbindungen gehabt.
    Jetzt bin ich nicht zuhause und mache mein Macbook an und da wundert es mich, dass er die Verbindung herstellen kann.

    • Offizieller Beitrag

    Ja, grundsätzlich richtig!
    Alles was nicht von dem Router weitergeleitet wird wird einfach geblockt! An die automatische portweiterleitung habe ich noch garnicht gedacht :D ups :D

    Da würde ich als erstes nachhaken! Stichwort UPnP ;)
    Bedeutet, wenn dein raspberry eine portfreigabe haben möchte sagt er deinem Router, leite den Port mal zu mir mit allen Anfragen und dieser macht das, obwohl du diesen Port nie manuell freigegeben hast... Meiner Meinung nach sehr sehr unsicher, daher dachte ich auh nicht als erstes daran, da ich diese Funktion immer direkt ausschalte...

    LG

    <woltlab-metacode data-name="align" data-attributes="WyJjZW50ZXIiXQ=="><p><span style="font-size: 10pt">Ein "Gefällt mir" oder die Bewertung im Profil ist eine nette Geste für die Hilfe die wir hoffentlich waren oder sind.</span></p></woltlab-metacode>

  • Hmm, der Router kann Upnp, aber das ist laut ControlPanel ausgeschaltet.

    Nebennotiz: Der Raspi hat einen UPnP Media Server drauf um Musikdateien im Lokalen Netz bereitzustellen, aber der dürfte eigentlich nicht dafür sorgen, dass SMB über das Internet erreichbar ist.

    Einmal editiert, zuletzt von TheSlowGrowth (26. September 2013 um 14:30)

  • Sicher das SMB erreichbar ist und nicht die Freigaben via WebDav sichtbar sind ?
    Für SMB müssten die Ports 137-139, 445 offen sein.
    Einfach mal vom Internet aus Checken.
    http://www.grc.com dann auf ShieldsUP und deinen Zugang mal scannen lassen.

    btw : UPNP ist IMMER !! eine üble Sache. UPNP gehört auf jedem Router disabled.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • SSH von Port 22 wegzunehmen bringt herzlich wenig - ist als wenn man die SSID auf unsichtbar schaltet (ist auch nutzlos). Lieber mit Tools wie beispielsweise Fail2Ban oder auf file authentification umstellen absichern. Port 22 ist nämlich so gut wie überall offen und man kommt problemlos aus jedem Netz raus - legst du den Port um kann es passieren das du den Pi nicht mehr erreichen kannst.

    • Offizieller Beitrag


    Sicher das SMB erreichbar ist und nicht die Freigaben via WebDav sichtbar sind ?
    Für SMB müssten die Ports 137-139, 445 offen sein.
    Einfach mal vom Internet aus Checken.
    http://www.grc.com dann auf ShieldsUP und deinen Zugang mal scannen lassen.

    btw : UPNP ist IMMER !! eine üble Sache. UPNP gehört auf jedem Router disabled.

    Gute Idee! Das könnte wirklich nur die Freigabe über WebDAV sein...

    <woltlab-metacode data-name="align" data-attributes="WyJjZW50ZXIiXQ=="><p><span style="font-size: 10pt">Ein "Gefällt mir" oder die Bewertung im Profil ist eine nette Geste für die Hilfe die wir hoffentlich waren oder sind.</span></p></woltlab-metacode>


  • Sicher das SMB erreichbar ist und nicht die Freigaben via WebDav sichtbar sind ?


    Ja, definitiv. Habe eben noch mal erneut die Verbindung nach oben genannter Methode hergestellt. Die Daten, die ich sehe sind auch die meiner SMB Freigabe und nicht die meines WebDav Accounts.



    Für SMB müssten die Ports 137-139, 445 offen sein.
    Einfach mal vom Internet aus Checken.
    http://www.grc.com dann auf ShieldsUP und deinen Zugang mal scannen lassen.


    Was ist das für ein Service? Sorry, scheue mich ein wenig, da einfach meine Adresse einzugeben... Was einmal im Netz eingegeben ist, ist für immer im Netz, ihr kennt das ja.


    Übrigens, tausend Dank für die tolle Hilfe! Klasse!


  • Was ist das für ein Service? Sorry, scheue mich ein wenig, da einfach meine Adresse einzugeben... Was einmal im Netz eingegeben ist, ist für immer im Netz, ihr kennt das ja.


    Übrigens, tausend Dank für die tolle Hilfe! Klasse!

    Also mal ganz ehrlich, keine Bedenken voll und ganz verstehen :)
    Lad dir lieber nmap runter und scan deine offene Ports selbst!
    Das ist sicherer und du musst nirgends deine IP oder URL angeben :)

    Hierzu ein kleines tutorial für Ubuntu :)

    http://wiki.ubuntuusers.de/nmap

    Ich freue mich auch über ein Danke :thumbs1: :D

    Einmal editiert, zuletzt von Donn!e DarKo (26. September 2013 um 16:10)

  • Also ich hab fix mal nmap drüber laufen lassen. Das war schonmal ein guter Tipp. Folgendes ist bei rausgekommen:

    Code
    Discovered open port 139/tcp on #####
    Discovered open port 443/tcp on #####
    Discovered open port 53/tcp on #####
    Discovered open port 22/tcp on #####
    Discovered open port 445/tcp on #####
    Discovered open port 80/tcp on #####
    Discovered open port 901/tcp on #####
    Discovered open port 8000/tcp on #####
    Discovered open port 6001/tcp on #####
    Completed SYN Stealth Scan at 16:24, 4.09s elapsed (1000 total ports)

    Jetzt stellt sich die Frage, warum diese Ports offen sind....

  • Wenn ich das richtig gelesen habe, hat die Horstbox nen Experten Modus?

    Schau doch mal ob du dort im Firewall Menu vielleicht einfach die Gewünschten Ports Sperren kannst?
    Ich schau mal ob ich ne Anleitung zu der "Horstbox" finde xD Dann les mich mal fix ein

    EDIT:
    Ändere doch mal bitte den Port vom SMB 445 auf etwas im höheren bereich >1023 und schau mal ob die Horstobx ( muss ständig lachen wenn ich das schreib xD )
    Die Ports weiterhin frei schaltet, wenn das passiert ist UPnP nämlich weiterhin aktiv :-/

    Ich freue mich auch über ein Danke :thumbs1: :D

    Einmal editiert, zuletzt von Donn!e DarKo (26. September 2013 um 16:37)


  • Was ist das für ein Service? Sorry, scheue mich ein wenig, da einfach meine Adresse einzugeben... Was einmal im Netz eingegeben ist, ist für immer im Netz, ihr kennt das ja.


    Übrigens, tausend Dank für die tolle Hilfe! Klasse!

    NMAP habe ich mit Absicht nicht genannt.
    Warum ?
    Dir ist klar das du dich nicht im selben Netzwerk wie dein PI befinden darfst.
    Wenn du also mit dem Scan Rechner wie dein PI im Heimnetz bist gibt das nix.
    Du willst ja deine Public IP scannen, nicht deinen PI.
    Der Rechner welcher scannt MUSS auf einem anderen Weg mit dem Internet verbunden sein.

    Deswegen der Link nach ShieldUp.
    Die scannen deinen Rechner von außen.
    Wenn du Paranoid bist nach dem Scan den Router neu starten, dann hast du eine neue IP.

    Zitat


    Sorry, scheue mich ein wenig, da einfach meine Adresse einzugeben

    Dann schalte dein Internet ab.
    ALLES, ja wirklich ALLES was du ins Netz schickst verrät deine Public IP.
    Auch hier im Forum ist die jetzt in den Logs zu sehen.

    Hier mal ein Output von ShieldUp.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (26. September 2013 um 17:44)

  • DER Imerator: Da ich momentan nicht zuhause bin kann ich getrost nmap nutzen, denn ich gehe momentan über einen anderen Anschluss ins Netz. Trotzdem eine gute Information.

    Zitat

    Dann schalte dein Internet ab.
    ALLES, ja wirklich ALLES was du ins Netz schickst verrät deine Public IP.
    Auch hier im Forum ist die jetzt in den Logs zu sehen.


    Der Unterscheid ist nur, dass die IP mit der ich gerade Surfe nicht die ist, die ich dort eingeben würde. Jaja, nenn mich nur paranoid ;) Aber hey, es ist reichlich blöde, ein ganz offensichtlich verletzliches System, an dessen Härtung ich gerade arbeite, direkt irgendeinem Dienst anzuvertrauen, den ich nicht im Geringsten kenne.


    Habe den Port jetzt mal geändert. Ich habe das Startupscript unter /etc/init.d/samba geöffnet

    Code
    sudo nano /etc/init.d/samba



    dort in der Zeile wo smbd gestarted wird, den Parameter "-p 1050" angehängt und den Server dann neu gestartet

    Code
    sudo /etc/init.d/samba stop 
    sudo /etc/init.d/samba start


    Jetzt wieder erneut nmap ausgeführt (natürlich von einem fremden Internetanschluss aus) und siehe da, jetzt ist Port 1050 offen.

    Code
    Discovered open port 443/tcp on ####
    Discovered open port 53/tcp on ####
    Discovered open port 80/tcp on ####
    Discovered open port 22/tcp on ####
    Discovered open port 901/tcp on ####
    Discovered open port 6001/tcp on ####
    Discovered open port 1050/tcp on ####
    Discovered open port 8000/tcp on ####

    Ich schreibe das hier alles so detailliert rein, damit es andere beim stöbern im Forum nachmachen können.

    Anbei auch noch ein Screenshot von den Experteneinstellungen zur Firewall meines Horstbox-Routers.

  • Ja, das sieht verdächtig nach UPNP aus.
    Schalte auf dem Router mal UPNP ab und scan noch einmal.
    Wie hast du UPNP konfiguriert ?

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.


  • DER Imerator: Da ich momentan nicht zuhause bin kann ich getrost nmap nutzen, denn ich gehe momentan über einen anderen Anschluss ins Netz. Trotzdem eine gute Information.


    Der Unterscheid ist nur, dass die IP mit der ich gerade Surfe nicht die ist, die ich dort eingeben würde. Jaja, nenn mich nur paranoid ;) Aber hey, es ist reichlich blöde, ein ganz offensichtlich verletzliches System, an dessen Härtung ich gerade arbeite, direkt irgendeinem Dienst anzuvertrauen, den ich nicht im Geringsten kenne.

    Also nmap kann man auch ohne Probleme im Heimnetzwerk nutzen. Dadurch gibt es keine Abweichungen, warum auch? nmap ist mächtig genug um damit umgehen zu können.

    Es kann sein das deine Horstbox die UPnP einstellungen nicht richtig übernimmt, versuch mal zu Aktivieren - Speichern - Neustarten - *Scannen - Deaktivieren - Speichern - Neustarten.

    *Optional vielleicht ist es ja ausgeschaltet wenn es aktiviert ist :P

    Ansonsten versuch explizit den Port zu sperren den du nutzt. Also über die Horstbox :)

    Der_Imperator

    Deine Art ist schon sehr fragwürdig, du greifst die Leute regelrecht an wenn sie deine Idee nicht für gut empfinden. Das ist frech und rücksichtslos ... ! Der User hat das recht deinen Vorschlag zu kritisieren, dadurch ist man aber nicht gleich Paranoid oder andere Ideen sind dadurch nicht schlecht.

    Ich freue mich auch über ein Danke :thumbs1: :D

  • Ich bin weder frech noch rücksichtslos.
    Das Leben ist kein Ponyhof.
    Wer Angst hat eine DYNAMISCHE PUBLIC IP irgend einem Dienst anzugeben der darf nicht mehr surfen.
    Zur Not scanne ich und lass den Router neu verbinden, schon hab ich ne neue IP.
    Und wer lesen kann ist klar im Vorteil : Ich hab von IP geredet, nicht einen dyndns Hostnamen.

    Um mal frech zu werden :
    In Thread #7 wurde schon darauf hingewiesen nur scheint das jeder zu Ignorieren oder nicht zu verstehen.

    -> Scan von außen. SMB offen
    -> SMB Port geändert ohne am Router was zu machen
    -> Scan von außen. Neuer SMB offen

    Woran sollte das liegen ?
    Mit Sicherheit NICHT am Router, der wurde ja nicht angefasst.
    Am PI natürlich.

    Hier ist mal wieder das Passiert was jeden Tag zig mal passiert und weswegen Hosts mit runtergelassener Hose im Internet stehen.
    UPNP falsch konfiguriert, der PI sagt dem Router das er Port xxx auf seinen SMB Port freigeben soll.
    Und schon ist SMB offen am Internet.

    Lösung : UPNP auf dem PI richtig konfigurieren.
    Beste Lösung : Auf UPNP verzichten.
    Jetzt genug Kluggeschissen.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (27. September 2013 um 10:55)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!