VPN (gigantisches) Sicherheitsproblem: Jeder kann mein OpenELEC/LibreELEC anpingen und zugreifen (SSH)

  • Klingt alles plausibel.
    So lange kein "richtiges" Betriebssystem, oder ein Router dazwischen ist, macht OE also rein gar nichts für die Sicherheit.
    Du könntest die Dienste deaktivieren (also SSH, SMB-Share und Webinterface) - mehr bietet es nicht an.
    Ist @CvH schon hier in der Diskussion? Vielleicht bietet ja LibreELEC schon ein Tool an?

  • LE bringt doch iptables mit, also könnte an da auch alles zunageln.

    Bin mir aber wegen der Konfiguration absolut unsicher (schlicht nie gebraucht).

    sowas evtl in die autostart.sh (Inhalt nur google fund)

  • ich hänge mich mal mit dran, bin aber windows nutzer.
    Bin da etwas unerfahren in dem thema.

    In meinem fall reicht da nicht die windows firewall richtig ?

    Bei trifft es auch zu das ich über die externe ip zugreiifen kann über port 8080 wenn ich den webserver aktiviere, aber den brauche ich leider fur yatse.

    Was sollte ich den am besten machen ? Aktuell ist meine vpn über “lp2p“ eingerichtet.
    Sollte ich dieses lieber oder besser über openvpn machen ?
    Und wie kann ich.mich noch absichern ausser der windows firewall?

    Ich weiß nicht ob es in eurem Fall etwas bringt, aber bei der Windows Fierwall kann man für Öffentliche Netzwerke (und auch alle anderen) einstellen das aunahmslos alle eingehenden Verbindungen Blockiert werden (ist stadardmäßig nicht aktiviert).

    Externer Inhalt fs5.directupload.net
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    Mir hat dies bei einem ähnlichen Problem mit dem Programm Connectify geholen, welches mir teilweise meine Netzwerkgeräte (DLAN Player/Server) auch bei der Einstellung Öffentliches Netzwerk im Netzwerk verfügbr machte. Wenn ich das Prgorgramm aus der Liste der Zuglelassen Apps entfernte, hat es sich nach einem Neustart einfach selbst wieder eingetragen. Der Support meinte damal das wäre ein Feature...

  • Klasse, endlich ein paar konstruktive Beiträge, die auch mal einen Erfahrungsaustauch bieten :)

    Ich habe bei mir wie im vierten Post auch per IPtables nun abgesichert, und es scheint soweit zu helfen, jedoch habe ich keine wirkliche Ahnung davon und könnte mich wie früher mit dem VPN trügerisch in Sicherheit wiegen.

    Da ich gestern auch bei PureVPN dampf abgelassen habe, haben die mir heute folgende Email geschrieben:


    Hi,

    Thanks for contacting us.

    We apologize for this inconvenience. We have made some changes at our end, please check now and share results with us.

    Awaiting your response.

    Regards,
    B***
    PureVPN Support Team

    Und es ist tatsächlich so. Habe eben sowohl einige VPN Verbindungen auf schweizer Server und auch auf einen Australischen ausprobiert. Auf keinem geht nun der SSH Port 22 und auch nicht 8080 oder testweise 9080. Die scheinen das erstmal per default gelöst zu haben. Zum Glück!

    Kann einer von euch einen guten online Portscanner empfehlen, also seriös und brauchbar?

    @CvH
    Kennst du dich gut mit Iptables aus, bzw. kannst du mir verraten warum in meinen zusammenkopierten IPTables Regeln aus Post #4 der Port 1194 für OpenVPN nicht auf ist, und dennoch die OpenVPN Verbdinung zuverlässig zum streamen funktioniert? Nicht falsch verstehen, ich finde es gut, dass es funktioniert (die anderen Regeln blocken auch alles erfolgreich), würde nur gerne verstehen warum bei dir der OpenVPN Eintrag mit Port 1194 nötig ist (oder halt andersherum, warum es bei mir ohne funzt)?

  • So lange kein "richtiges" Betriebssystem, oder ein Router dazwischen ist, macht OE also rein gar nichts für die Sicherheit.

    Nein. Die Problematik ist unabhängig vom Betriebssystem, OE ist unschuldig. VPN und OE funktionieren genau wie es der User eingestellt hat - nämlich falsch. Man tunnelt den Datenverkehr direkt ins Internet.

  • Ich verstehe ja selbst wie ein VPN funktioniert und wofür das ursprünglich erfunden wurde, jedoch ist das hier was ganz anderes. Hier geht es um einen Fremdserver, der für den gegebenen Einsatzzweck ungeeignet konfiguriert ist und somit eine extreme Gefahr für den Endnutzer darstellt.

    Na ja, aber eigentlich ist das ungefilterte VPN ja das "gute" VPN. Du kannst alles machen, musst halt auf Deiner Seite filtern. Besser, als Geld bezahlen und ne kastrierte Leitung zu bekommen, die späteren Anforderungen u.U. nicht gerecht wird.

    Man kann das also so, oder so sehen. Offensichtlich hast Du eine andere Erwartungshaltung. Oder, der Endbenutzer sollte sich vielleicht vorher mal schlau machen, WAS er da eigentlich mietet.

    Wenn man nur Geoblocking damit wegbekommen will, ist VPN sowieso völlig übertrieben. Da reicht es ja schon, sich einen freundlichen "freien Proxyserver" zu suchen.

  • @membrane

    Also doch in erster Linie das Problem des Anbieters?
    Bei Getflix konnte ich gerade bei einem schnellem Gegentest zumindest nichts in der Art feststellen.
    Das ist dann aber auch auf einem Linux-Mint, auf dem Serverdienste laufen, die aus dem Netz zumindest über DynDNS erreichbar sind.
    Über die IP des VPNs hingegen nicht.

  • @membrane

    Also doch in erster Linie das Problem des Anbieters?

    Nein. Der Anbieter ist ja nicht verantwortlich für die Konfiguration deines Rechners. Auch wenn der Anbieter von außen kommende Anfragen blockt sollte es niemals dessen Aufgabe sein dein Heimnetz zu sichern. Wer seinen Computer dennoch nicht absichert handelt fahrlässig.

  • Nein. Der Anbieter ist ja nicht verantwortlich für die Konfiguration deines Rechners. Auch wenn der Anbieter von außen kommende Anfragen blockt sollte es niemals dessen Aufgabe sein dein Heimnetz zu sichern. Wer seinen Computer dennoch nicht absichert handelt fahrlässig.

    Irgendwie kann ich deinen Standpunkt einfach nicht gutheißen. Selbstverständlich ist jeder selbst für die Absicherung seines Netzwerkes verantwortlich, jedoch mietet man mit einem Service wie PureVPN oder PIA, Oder VyprVPN eben einen Service, bei dem halt Privacy, Security, Geo-unblocking und Speed als primäre Features beworben werden. Man sollte dem nicht blind glauben, jedoch deutet eben nichts darauf hin, dass dadurch ein riesen Loch ins eigene Netz geöffnet wird, weil einige der Anbieter keine simple blockade als Grundsicherung (für ein Produkt, das an die Massen gerichtet ist) eingeschaltet hat. Warum stellst du diese VPN services mit einer regulären VPN Verbindung gleich, bei der man seinen Tunnel privat und nur für sich zwischen zwei von einem selbst kontrollierten Netzwerken Netzwerken aufbaut?

    Erkläre mir sonst, für was hier privacy and security stehen soll, wenn das schon mal als Werbespruch hinhalten soll...

    Inwiefern ist der Anbieter für fehlende Grundabsicherung oder Hinweise unverantwortlich, wenn er mit privacy and security wirbt? Ich stimme dir völlig zu, wenn es um einen von mir selbst aufgebauten Tunnel von meinem Laptop von der Uni zu meiner Fritz!box zu Hause geht. Aber ein Massen-VPN Anbieter, der so wirbt, kann schließlich eine Grundsicherung aktivieren, die man - falls man weiß was man tut - dann einfach im Kundenkonto deaktivieren kann. Ein Hinweis ist dafür halt nicht verkehrt.

    Und es ist bei diesem Einsatzzweck und dem beworbenen Produkt doch ein Problem des Anbieters, da andere Anbieter dieses Problem nicht haben und - wie ich heute bereits schrieb - hat es PureVPN ja heute aufgrund meiner Beschwerde korrigiert. Gäbe es keinen Anlass dazu, hätten die es bestimmt nicht gemacht.

  • Ja, ist aber etwas kompliziert. Dafür musst du die routingtable manipulieren, was nur über die commandline geht. Eine Lösung wie Sophos UTM ist da schicht einfacher.

    Genau das würde mich unter librelec auch interressieren. Letztlich möchte ich nur die Zattoo-Dienste über das Schweizer VPN routen. Der Rest könnte am VPN vorbei gehen, damit man z.B. Gleichzeitig auch SKY GO nutzen kann, ohne das VPN zu trennen

  • Genau das würde mich unter librelec auch interressieren. Letztlich möchte ich nur die Zattoo-Dienste über das Schweizer VPN routen. Der Rest könnte am VPN vorbei gehen, damit man z.B. Gleichzeitig auch SKY GO nutzen kann, ohne das VPN zu trennen

    Das selbe in grün: entweder dein Router macht das ( dafür gibts gute GUIs) oder es läuft über die routing table.
    Vereinfacht gesagt steht in der routing table über welches Gateway (in diesem Fall über welchen (virtuellen) Anschluss ) ein Paket and die Adresse / das Netz x soll. Die halt passend zu füttern ist relativ schwer, da du halt für jeden Service die benutzten IPs / Hostnames eintragen musst.

  • Irgendwie kann ich deinen Standpunkt einfach nicht gutheißen. Selbstverständlich ist jeder selbst für die Absicherung seines Netzwerkes verantwortlich, jedoch mietet man mit einem Service wie PureVPN oder PIA, Oder VyprVPN eben einen Service, bei dem halt Privacy, Security, Geo-unblocking und Speed als primäre Features beworben werden. Man sollte dem nicht blind glauben, jedoch deutet eben nichts darauf hin, dass dadurch ein riesen Loch ins eigene Netz geöffnet wird, weil einige der Anbieter keine simple blockade als Grundsicherung (für ein Produkt, das an die Massen gerichtet ist) eingeschaltet hat. Warum stellst du diese VPN services mit einer regulären VPN Verbindung gleich, bei der man seinen Tunnel privat und nur für sich zwischen zwei von einem selbst kontrollierten Netzwerken Netzwerken aufbaut?

    Ich stelle diese VPN Services mit allen Netzwerkverbindungen gleich, die nach außen gehen. Alle sind unvertrauenswürdig. Jeder Anbieter der in diesem Aspekt von Sicherheit redet lügt. Diese Einsatzart von VPN hab ich nie mit einem verglichen, das zwei private Netze verbindet.

    Erkläre mir sonst, für was hier privacy and security stehen soll, wenn das schon mal als Werbespruch hinhalten soll...

    Inwiefern ist der Anbieter für fehlende Grundabsicherung oder Hinweise unverantwortlich, wenn er mit privacy and security wirbt?

    Soll ich deren Werbeslogans interpretieren? Bei seriösen Anbietern sollte das in der Produktbeschreibung stehen. In dieser Branche bedeutet dies normalerweise, dass angeblich keine Logs vorgehalten und nie mit der Polizei geredet wird. In wiefern das eingehalten wird steht in den Sternen.

    Und es ist bei diesem Einsatzzweck und dem beworbenen Produkt doch ein Problem des Anbieters, da andere Anbieter dieses Problem nicht haben und - wie ich heute bereits schrieb - hat es PureVPN ja heute aufgrund meiner Beschwerde korrigiert. Gäbe es keinen Anlass dazu, hätten die es bestimmt nicht gemacht.

    Das ist auch nur ein herumdoktern an den Symptomen. Die eigentliche Ursache ist noch da und sollte behoben werden. Das System ist immer noch anfällig, falls der Nutzer nichts unternimmt.

    Faktisch hat der Anbieter nichts falsch gemacht, sofern ein NAT nicht in der Produktbeschreibung steht.

  • @Snakebitez
    Danke für die config. Im Grunde ist das dieselbe wie in meinem Eröffnungspost, also ist soweit alles ok. Dass es bei dir also sicher Konfiguriert war, lag an deiner korrekt konfigurierten iptables - so soll es auch sein :). Bis heute früh waren jedenfalls bei PureVPN alle ports offen, nun sind sie es zum Glück geschlossen.

    etwas offtopic: Aber warum wolltest du deinen Plexserver irgendwie mit PureVPN erreichen? Ich verstehe den Einsatzzweck irgendwie nicht. Schließlich sitzt du doch nicht am anderen Ende (also am PureVPN Server im anderen Land) von dem aus du deinen Plexserver zu Hause erreichen willst? Wenn du deinen Plexserver von außen erreichen willst, musst du doch bloß einen privaten VPN Tunnel von deinem Laptop zu deiner Fritzbox/deinem Router (anderen Herstellers) herstellen, oder auf deinem Plexserver einen VPN Server einrichten, den du somit erreichst. PureVPN sollte mit deinem Plex doch nicht in Berührung kommen?

    EDIT
    @membrane
    wie ich schon mehrmals erwähnte verstehe ich deinen Standpunkt aus Sicht des Themas "VPN Allgemein", aber meiner Meinung nach geht das was du anführst irgendwie am Thema PureVPN bzw. VPN Anbieter für Geo Unblocking vorbei und ist eigentlich auch leider gar nicht konstruktiv.
    Ich wüsste gerne konkret wie man denn nun eine Firewall bzw. ein Netzwerk so konfiguriert, dass diese "symptome" nicht mehr auftreten. Alle anderen Diskussionen sind doch irgendwie nebenschauplätzmäßige Unterhaltungen über VPN-gott-und-die-Welt :/
    Btw: Ich sehe gerade, dass du Addons zu den Mediatheken machst, leider kann man dir keine PN's schicken. Ich wollte mal beiläufig fragen, ob du die Tele5 Replay Funktion schon gesehen hast, wo man die letzten 7 Tage aller (bspw.) star trek serien schauen kann :D

  • Ich habe hier nen Server stehen.
    Plex-Server
    Nas
    DVBviewer-TvServer
    Ich möchte den traffic vom Usenet auch über den VPN leiten und deshalb muß der Server also auch den RaspiVPNgateway eingetragen bekommen.

    durch den Thread hier habe ich jetzt einfach mal versucht nen Portforward von Tun0 auf Plexserver einzurichten.
    Verdammt das geht ja doch! Hätte ich das bloß vorher schon mal probiert.

    Habe aber mit der stabilität von Purevpn ein wenig zu kämpfen. Manchmal läuft es drei Tage am Stück gut und dann gibts tage ,da muß ich die Verbindung 3 mal am Tag neu starten. Hast du da vielleicht ne Lösung für? dachte durch keepalive 10 60 bekomme ich das in den Griff. Klappt aber auch nicht so toll.

  • Ich glaube wir haben es nun alle kapiert (auch ich) dass VPN nicht gleich VPN ist.
    Nächster Schritt wäre nun wie man die IPtabels so konfiguriert dass es einigermaßen sicher ist. Und bitte keine Trolls mehr wie schlimm doch die vpn Provider sind. Und hier geht's nicht nur um geoblocking. Es gibt hier genug User die nicht wollen dass man in den logfiles der tvdb oder Trakt Server die IP vom eigenen Internet Provider sieht, völlig egal wo der Content nun her kommt. Und die loggen ganz sicher mit, wenn content gescraped wird oder Infos in die Trakt Datenbank hoch geladen werden, da braucht man sich nix vor machen.

  • Ich glaube wir haben es nun alle kapiert (auch ich) dass VPN nicht gleich VPN ist.
    Nächster Schritt wäre nun wie man die IPtabels so konfiguriert dass es einigermaßen sicher ist. Und bitte keine Trolls mehr wie schlimm doch die vpn Provider sind. Und hier geht's nicht nur um geoblocking. Es gibt hier genug User die nicht wollen dass man in den logfiles der tvdb oder Trakt Server die IP vom eigenen Internet Provider sieht, völlig egal wo der Content nun her kommt. Und die loggen ganz sicher mit, wenn content gescraped wird oder Infos in die Trakt Datenbank hoch geladen werden, da braucht man sich nix vor machen.

    passende Regeln spuckt dir z.b. http://firehol.org aus.Zwar nicht ganz einfach, für jemanden der nicht tief in der Matiere steckt aber einfacher zu begreifen als iptables rules selbst.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!