SSH via Internet

  • Hallo zusammen,

    ich bin neu hier und habe direkt ein keines Problemchen. Ich habe soeben meinen ersten Raspberry ans Rennen bekommen. SSH im lokalen Netzwerk läuft einwandfrei. Nun möchte ich das Teil aus dem Internet erreichen. Habe dafür bei no-ip mir einen Dyndns Host angelegt, referenziert auf meine aktuelle öffentliche IP-Adresse, alles super. Auf der Fritzbox habe ich Port 22 (TCP) auf meinen PI freigegeben, den DynDNS Eintrag auf der Fritzbox eingetragen, alles gut. Ich komme jedoch weder dyndns Namen noch mit meiner öffentlichen IP auf den PI drauf. (Ping ddns funktioniert.)

    Habe ich etwas übersehen? Muss ich auf dem PI noch etwas einstellen?

    Gruß
    rxexgx

    Einmal editiert, zuletzt von rxexgx (1. August 2014 um 18:58)

  • Gibt denn ping dyndnsname Deine externe IP zurück? Du musst auch dran denken dass solche Tests auch von einem externen Netz gemacht werden müssen. Wenn Du es aus Deinem lokalen Netz probierst ist TCP/IP so intelligent und geht nicht ins Internet raus sondern erledigt gleich alles lokal ;)

  • Eigentlich musst Du nichts am PI machen, sshd läuft und ist erreichbar.
    Portforwarding auf dem PI und gut ist.

    Schau mal ob am PI etwas ankommt.

    Code
    DEFIF=$(netstat -r -n -f inet | grep default |  awk '{print $6}')
    IP=$(ifconfig ${DEFIF} inet | grep inet | awk '{print $2'})
    tcpdump -vvv -en -i eth0 port 22 and host ${IP}
  • Hi,
    hast du über "Freigaben" auf der Fritz eine Portweiterleitung zum Pi gemacht?
    Dafür würde ich lieber einen anderen Port nehmen. Z.B Port 33345 auf Port 22 vom Pi.
    Die hohen Ports werden nicht so häufig gescannt. Bei mir klappt das tadellos.

    Gruß, woddy


  • ... wenn ich SSH über WAN laufen lass also auch den Port im Router freigebe ist dann nicht eine enorme Sicherheitslücke ?

    Wenn alles richtig konfiguriert ist, dann ist das keine enorme Sicherheitslücke.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich komme jedoch weder dyndns Namen noch mit meiner öffentlichen IP auf den PI drauf. (Ping ddns funktioniert.)

    Habe ich etwas übersehen? Muss ich auf dem PI noch etwas einstellen?


    Bleibst du dabei im wlan oder kommst du von draußen rein? Wenn du das bisher im wlan getestet hast, solltest du das besser via wan machen. Falls du ein Android-Smartphone hast, kannst du das mit ConnectBot als alternative für Putty testen. Probiers mal über Umts.... das könnte klappen. Soweit ich weiß, hat die Fritzbox manchmal Probleme dabei, wenns innerhalb des wlan bleibt.

    Hth

    G, Thomas


  • Soweit ich weiß, hat die Fritzbox manchmal Probleme dabei, wenns innerhalb des wlan bleibt.


    Wenn man beim "DNS-Rebind-Schutz" der FritzBox eine Ausnahme einträgt (... was aber nicht zu empfehlen ist), dann geht das so (d. h. mit dem "dyndns Namen") auch aus dem (W)LAN.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Zitat

    Wenn alles richtig konfiguriert ist, dann ist das keine enorme Sicherheitslücke.


    Gibts hier schon ein Tutorial oder so etwas interessiert mich auch sehr.

    Mfg

    Einmal editiert, zuletzt von djkobi (2. August 2014 um 12:12)


  • Gibts hier schon ein Tutorial oder so etwas interessiert mich auch sehr.


    Ja, das gibt es. Siehe z. B.: Mit SSH Key sicher auf Server zugreifen
    und
    http://wiki.ubuntuusers.de/SSH
    und
    Ein Guide zu mehr Sicherheit

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (2. August 2014 um 13:21)

  • Ja, wenn ich die DDNS-Adresse anpinge, dann erhalte ich meine öffentliche Adresse zurück. SSH funktioniert leider bis jetzt immer noch nicht. Ich habe nun probiert einen anderen Port auf der Fritzbox einzutragen (z. B. 33564 auf 22) was jedoch auch keinen Erfolg gebracht hat. Bin so etwas ratlos :s

    Ich habe es aus dem eigenen WLAN probiert, über VPN aus dem Firmennetzwerk und per ConnectBot via Mobilnetz.

    Jemand noch ein Idee?

    Einmal editiert, zuletzt von rxexgx (3. August 2014 um 19:23)

  • ...Ich komme jedoch weder dyndns Namen noch mit meiner öffentlichen IP auf den PI drauf...


    1) Welche Fehlermeldung bekommst Du denn genau und welchen ssh Client benutzt Du? Beim Client kann man üblicherweise das Debugging hochsetzen um genauere Meldungen zu erhalten.
    2) Hast Du mal nachgesehen was Du erhältst, wenn Dum Vorschlag von ruedigerp folgst?
    3) Hast Du mal in den ssh Serverlogs nachgesehen?

  • Forumsuche (oben rechts) nach: Portweiterleitung


    Ansonsten wäre die Frage wie du dich einwählst bzw worüber - mit UMTS funktioniert keine Portweiterleitung

    Desweiteren solltest du einen Freund bitten die SSH Verbindung über deine DynDNS zu testen


  • ... Port auf der Fritzbox ....

    Ich habe es aus dem eigenen WLAN probiert, ...


    Hast Du beim "DNS-Rebind-Schutz" deiner FritzBox, eine Ausnahme eingetragen?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Moin, hier meine Meinung zum Thema Sicherheit und SSH

    nur kurz zum Thema NonStandard Ports: Das hat nichts, aber auch absolut nichts mit Sicherheit zu tun!Das ist nur ein Versteckspiel. $VOLLPFOSTEN bist Du damit unter Umständen los, aber echte Angreifer reagieren auf die Antwort eines Zugriffs und passen sich an. Viel wichtiger: Lasse nur wenige User und auf keinen Fall Root über SSH zu! Siehe http://www.it-blog.net/artikel/28-SSH…schraenken.html
    Und Verwende sichere Passwörter, hierzu gibt es genug Literatur. Key Auth ist ist sinnvoll wenn Du nur von bestimmten Rechnern aus auf den Server zugreifen willst, beachte aber: Wie gut ist der Rechner geschützt? Deshalb den Key mit einer komplexen Passphrase schützen ohne die ist der Key wertlos.

    -teddy


  • Frage weil es mich selbst interessiert wenn ich SSH über WAN laufen lass also auch den Port im Router freigebe ist dann nicht eine enorme Sicherheitslücke ?

    Mfg

    Nur wenn zum freigegebenen Port ein anderer Daemon läuft, als der, der sollte ....

    Offene Ports alleine sind noch nicht gefährlich. Nur wenn Dein System nicht gut abgesichert ist aber dann spielt der Port keine Rolle, egal ob 80, 125, 443 oder sonstirgendeiner.

    Klar, wenn man das System nicht 100% absichern kann (100% gibt's eigentlich sowieso nie), dann sind natürlich so wenig wie möglich offene Ports besser aber wenn Du selbst von Außen rein willst/musst, dann bleibt Dir gar nix anderes übrig.

    In dem Fall nimmt man dann besser einen unüblichen Port, die weniger gescannt werden.

    ;) Gruß Outi :D
    Pis: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Rente) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite) / 2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (mal so, mal so) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (BW Lite (Webserver)) / Pi 400 (BW) / 1x Pi 5 (BW) / 2x Pi Pico / 2x Pi Pico W
    Platinen: Sense HAT / HM-MOD-RPI-PCB / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT / Pi 5 Kühler HAT
    Kameras: orig. Raspberry Pi Camera Module V1 & V3 / PS3 Eye


  • Nur wenn zum freigegebenen Port ein anderer Daemon läuft, als der, der sollte ....

    Naja, manche lassen am z. B. freigegebenen Port 22 oder 23, einen Honigtopf lauschen. ;)

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • nur kurz zum Thema NonStandard Ports: Das hat nichts, aber auch absolut nichts mit Sicherheit zu tun!Das ist nur ein Versteckspiel. $***** bist Du damit unter Umständen los, aber echte Angreifer reagieren auf die Antwort eines Zugriffs und passen sich an.

    Da muss ich leider widersprechen.
    Die meisten suchen nur die Standard-Ports ab und machen sich nicht die Mühe alle 65535 möglichen Ports abzugrasen um dann auch noch zu überprüfen was sich hinter dem jeweiligen Port verbirgt. Das kostet viel zu viel Zeit, insbesondere da man nicht jeden Exploid für jeden Port nutzen kann.
    Nur weil zum Beispiel Port 1000 als Offen entdeckt wurde weiß man noch nicht was für ein Dienst sich dahinter verbirgt um den entsprechenden/passenden Exploid anwenden zu können. Auch das Protokoll (tcp/udp) ist dann noch nicht bekannt.
    Und zu guter letzt macht sich kein "echter Angreifer" diese Mühe in ein Privates System einzudringen. Das ist ein ziemlich großer Aberglaube der durch andere Umstände zustande kommt (diejenigen Infizieren sich selber und denken dann sie wären angegriffen worden)

    Nicht den Standardport zu verwenden bringt also durchaus etwas. Dadurch erschwert man es dem Angreifer.

    Deine Restlichen Anmerkungen wurden hier bereits in Beitrag#10 verlinkt. Dort wäre deine Erwähnung - sofern noch nicht vorhanden - besser aufgehoben.

    • Offizieller Beitrag

    Non-Standardports sind Schlangenöl. Was heisst denn Mühe? Die Leute sind nicht mehr per 56,6k im Inet. Ein einzelner nmap -p- Scan dauert 4:30h. Ein zu 1000fach aufgerufener Scan auf einen bestimmten Port an einer xGigabit Leitung dauert bloss noch einen Bruchteil dieser Zeit.

    Mit dem Rest stimm ich dir zur.

    Der Unterschied zwischen Genie und Wahnsinn definiert sich im Erfolg.

    Einmal editiert, zuletzt von dbv (5. August 2014 um 18:19)

  • Und dann? Was bringt dir das dann einen offenen Port gefunden zu haben?
    Meinste ernsthaft nmap sei das mega Tool was nun erst dank vDSL & Co zur mächtigsten Waffe der Cyberkriminalität wird? Als hätte es nicht schon vor 10 Jahren Internetserver mit 100MBit oder 1GBit usw gegeben?


    //EDIT: Eine solche Diskussion hatten wird glaub ich aber schon mal - auch damals sagte ich: Ihr könnt euch gerne an meinem Raspberry@EDIS.at austoben, hier die IP bzw Host: RaspberryPI.RoXXs.org

    Es läuft unter Anderem ein SSH Dienst auf einem Non-Standard Port mit einem nicht wirklich sicheren Password ...
    Nur zu, versucht euer Glück und überzeugt mich vom Gegenteil was ich hier geschrieben habe! Bin gespannt ob ihr das root pwd binnen dieses Abends herausfindet :angel:
    Als Beweiß solltet ihr mir sagen können welche uppercase Datei sich direkt in / befindet

    (btw komisch dass das in dieser Konstellation schon seit über einem Jahr läuft aber der PI bisher noch nicht gehackt wurde..)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!