VPN (gigantisches) Sicherheitsproblem: Jeder kann mein OpenELEC/LibreELEC anpingen und zugreifen (SSH)

  • Mir ging es nur um den Fall, dass der VPN-Client des Routers selbst benutzt wird. Wenn ich richtig informiert bin, unterstützt die Fritz!Box allerdings nur reines IPSec.

    Unterstützen selbst die neuen Fritzboxen noch immer kein OpenVPN?
    Das hätte ich eigentlich vermutet, aber wenn dort noch immer die gleiche schwache CPU drin steckt, macht OpenVPN natürlich auch wenig Sinn. Dat bremst ja alles aus bei 25mbit+

  • Unterstützen selbst die neuen Fritzboxen noch immer kein OpenVPN?Das hätte ich eigentlich vermutet, aber wenn dort noch immer die gleiche schwache CPU drin steckt, macht OpenVPN natürlich auch wenig Sinn. Dat bremst ja alles aus bei 25mbit+

    Nein, die haben kein OpenVPN (gibt's wohl nur wenn man Freetz Firmware einsetzt). Mal abgesehen davon würde ichs auch gar nicht wollen, dass mein gesamter Internetverkehr aller Geräte über den PureVPN liefe. Aber ich schätze mal das könnte man dann wohl "routen" pro Gerät, oder?

  • Hallo :)

    Bin neu hier und lese mich gerade ein - auch wenn es eine Weile her ist, vielleicht kann noch einer antworten...?
    Bis zu diesem Thread bin ich gar nicht auf die Idee gekommen einen VPN zu verwenden, da ich eher zur Fraktion gehöre fremden VPN Anbietern nicht zu trauen.

    Gleich vorne weg - ich fange gerade erst an mich mit Linus zu beschäftigen + Netzwerk habe ich nur Basiswissen!
    Das mit den iptables habe ich grundsätzlich mal nachvollziehen können, aber mir fehlt natürlich komplett die Kenntniss wie diese wo aufgesetzt wird.
    Den Link zur "Vorkonfiguration" habe ich zwar gefunden, aber eben dafür reichen meine derzeitigen Kenntnisse nicht aus.

    Fragen:
    1. @Lore welcher VPN Anbieter wäre denn das?
    @Rest könnt ihr einen empfehlen? (nicht das ich keine googln kann, sondern aufgrund von Erfahrungen meine ich ;) )

    2. Wenn ich einem versierten User hier meine Infrastruktur schildere, wäre es möglich mir Anleitung für das Aufsetzen solch einer iptable zu geben?

    Danke vorab & allen einen schönen Tag

  • Wenn ich einem versierten User hier meine Infrastruktur schildere

    Damit würde ich vielleicht mal anfangen ;). Infos sind immer gut :thumbup:

    Es geht dir also um Sicherheit und darum deine IP zu verschleiern....warum, wenn ich fragen darf? Soweit wie ich IPTables verstanden habe, Filtert das doch nur Pakete nach gewissen Regeln...also eine Firewall. Agiert dein HTPC als Router oder hat dein Router keine Firewall?

    Zur Verschleierung deiner IP gibt es ja 1000 Möglichkeiten, die mehr oder weniger gut sind. Ich frage mich viel mehr, warum dir das so wichtig ist? Verschleierst du deinen kompletten Internverkehr, wenn du normal surfst? Wenn ja, wie? Tor?

    Zum Thema Sicherheit....Solange dein LibreELEC hinter einem NAT läuft und nicht in einer DMZ, kein Port auf irgendwas weiter geleitet ist, SSH und der Webserver von Kodi deaktiviert ist, ist erstmal alles im grünen Bereich bzgl. Sicherheit. Das Schränkt natürlich auch bedingt die Funktionalität von Kodi ein wenig ein (kein Webserver = keine Bedienung mit Yatse und/oder Kore), aber wie sagt man so schön...die Freiheit ist nicht sicher und die Sicherheit ist nicht frei ;)

    Wertschätzung kostet nichts, aber sie ist von unschätzbarem Wert.

  • Das heißt, ohne VPN bzw. irgend einen zwischengeschalteten Service ist das dann trotzdem nicht zu empfehlen? Mir geht's halt darum, dass ich bei 'nem Kumpel einfach mal sagen kann "Lass uns mal einen von meinen Filmen schauen". Ich kann dann ja nicht erst jedesmal an den Router ran und da ein VPN konfigurieren. Daher wäre eine sichere Lösung mit 'ner einfachen Dyndns das, was mir vorschwebt.

    Odroid C2 / CoreElec 9.0.3

    Einmal editiert, zuletzt von Philos (12. Oktober 2017 um 23:18)

  • Hm... wie willst du das denn ohne VPN halbwegs sicher hinbekommen? Ich mein... in deinem Fall wäre es ja ein selbst aufgebauter VPN Tunnel, ohne einen VPN Anbieter (bspw. PureVPN), der hier ja als problematisch diskutiert wird.

    Du würdest von deinem Kumpel aus einen VPN zu deiner Fritzbox zu hause aufbauen (die fritzbox hat ja diese Fernwartung-Funktionalität per eigenem VPN). Sobald du dich mit der Fritzbox verbunden hast, bist du sofort mit deinem Heimnetzwerk verbunden und fürs Heimnetzwerk scheint es so, als wäre der Rechner deines Kumpels mitten in deinem WLAN/LAN (obwohl in Wirklichkeit nicht bei dir zu Hause). In diesem Fall, dass du beide Enden des VPN Tunnels unter Kontrolle hast, brauchst du nicht unbedingt auf iptables als Absicherung setzen.
    Hier in der bisherigen Diskussion ging es ja eher um das Szenario, dass du das eine Ende hast, aber der Server eines VPN Anbieters am anderen Ende irgendwo in der Welt ist, und du gar keine Kontrolle über dessen Ende hast... also jeder da eindringen kann.

    Wenn du das einfach nur per DynDNS machst, musst du eine Portfreigabe/Portweiterleitung an die IP deines heimischen NAS machen, was dann ohne VPN ginge, aber ein absoluter Supergau wäre, was deine Netzwerksicherheit angeht, da jeder portscanner, jeder bot im Netz innerhalb von Minuten in deinem Netzwerk drin wäre. Man sollte nicht unterschätzen und bloß denken, dass es ja unwahrscheinlich sei, dass ein bot oder sowas zufällig deine DynDNS errät... so unwahrscheinlich ist es nicht. Ich schätze es wird innerhalb weniger Minuten einfach so passieren und da bin ich mir ziemlich sicher.

  • Bezüglich der DynDNS-Variante, also komplett ohne VPN, muss ich gestehen, dass ich immer noch nicht verstanden habe, wo das Risiko liegt. Klar, meine DynDNS lässt sich erraten. Aber für meine ganz normale IP hat man ja auch bis zum nächsten Wechsel, also ganze 24 Stunden lang, Zeit, sie zu erraten. Und was ist mit Leuten, die 'ne feste IP habe? Sind die permanent einem Risiko ausgesetzt?

    Und wenn man die IP dann kennt und einen Portscan macht, kann man nach meinem Verständnis maximal den einen Port finden, den ich per Portfreigabe zugänglich gemacht habe. Da kommt dann von Kodi eine Aufforderung zur User/Passwort-Anmeldung. (Und by the way: Unter Libreelec/raybuntu/C2 funktioniert noch nicht mal das, jedenfalls antwortet Kodi selbst bei korrekt eingerichteter Portfreigabe nicht auf Anmeldeversuche von außen.)

    Ich verstehe, dass es so möglich wäre, meinen Router mit Portscans und meinen Odroid mit Anmeldeversuchen zu überschwemmen. Aber dass man so in mein Netzwerk eindringen könnte, den Punkt verstehe ich nicht.

    Odroid C2 / CoreElec 9.0.3

    Einmal editiert, zuletzt von Philos (13. Oktober 2017 um 10:31)

  • Ich bin da leider auch kein Experte, kann also nicht fundiert antworten. Aber mir fallen mehrere Gründe ein, wieso das so problematisch ist:

    • Der Kodi webserver ist keine Kernkompetenz des Kodi Teams, wird also weder so stark beachtet, noch ist darauf konzipiert von außen zugegriffen zu werden --> Sicherheitstechnisch nicht darauf getrimmt.

      • Wenn man sich die ganzen heftigen Wordpress/Joomla Sicherheitsprobleme der letzten Jahre ansieht, und auch heartbleed usw. dann kann man sich schon vorstellen, was alles schief gehen kann, selbst bei Kernkompetenzen.
      • Schau dir Dropbox, Yahoo, Sony an... riesige Unternehmen, die gehackt wurden, obwohl sie riesige Ressourcen haben und zudem zur Verantwortung gezogen werden können (im Gegensatz zu einer Free-OpenSource Software wie Kodi).
    • Bei der IP deines Routers ist es so:

      • Der Router hat eine Firewall integriert
      • Wird aber allein schon "zufällig" durch NAT sehr gut abgesichert, denn alle Anfragen, die an den kommen, gehen quasi ins Nichts, da du keine Portweiterleitungen an Geräte dahinter eingerichtet hast. Also würde auch keine Anfrage an ein spezielles Gerät in deinem Netzwerk durch den Router durchgewunken. Und was nicht eindeutig zuordenbar ist, wird halt verworfen.
      • Feste IP selbe Geschichte.
    • Die User:Pass Abfrage von Kodi ist wieder eine Webserver-Sache. Der Webserver glaube ich absolut nicht auf sowas ausgelegt, sondern auf Lokalen Zugriff aus dem heimischen LAN. Per Bruteforce werden E-Mailkonten gehackt, großen E-Mail-Providern, deren Kernkompetenz es ist, die E-Mail-Konten (sicher) zu betreiben. Was meinst du wie schnell sowas bei einem einfachen Webserver, wie dem von Kodi, passieren könnte? Fail2ban hat der ja von Haus aus auch nicht, um automatisch zu blocken, sobald zu viele Versuche kommen?
    • Und wer weiß wie der Server reagiert, wenn jemand "auf die richtige Weise" auf den Zugreift, entweder mit Ausnutzung von Sicherheitslücken, oder mit einer Überschwemmung --> Buffer-Overflow, Absturz der Passwortabfrage etc. zack ist man auf dem System. Und wenn man auf dem LibreELEC System ist, dann hat man auch direkt Root-Zugriff und kann alles machen. Wenn man also einmal gebreacht ist, geht von diesem Gerät her ein direkter Zugriff auf das ganze Netzwerk, wenn man das will. Kriminelle Energie ist für uns normalos nicht ganz vorstellbar in der Kreativität und dem Ausnutzungsvermögen...Ein Botnetz würde dich für DDoS Attacken missbrauchen, jemand anders könnte auch inkognito monatelang in deinem Netzwerk mitlesen und keyloggen. Andere wiederum lassen deinen Pi einfach mal eben Bitcoins rechnen... wer weiß was passieren kann.
  • Auch wenn es schon etwas länger her ist, ist es vermutlich dennoch das Beste, hier zu fragen. Ich habe den Thread gefunden, weil ich mich mit einer ähnlichen Frage beschäftigt habe.

    Ich beziehe mich auf den Beitrag 86 im Kontext des Threads, versteht sich.


    Zum Thema Sicherheit....Solange dein LibreELEC hinter einem NAT läuft und nicht in einer DMZ, kein Port auf irgendwas weiter geleitet ist, SSH und der Webserver von Kodi deaktiviert ist, ist erstmal alles im grünen Bereich bzgl. Sicherheit. Das Schränkt natürlich auch bedingt die Funktionalität von Kodi ein wenig ein (kein Webserver = keine Bedienung mit Yatse und/oder Kore), aber wie sagt man so schön...die Freiheit ist nicht sicher und die Sicherheit ist nicht frei ;)


    Mir ist die Tragweite dieser Aussage nicht klar.

    Bedeutet das (von DaVu verfasste), dass der Kodi-Webserver auch dann eine Sicherheitslücke darstellt, wenn man keine Ports im Router geöffnet hat?

    Das Webinterface IP:8080 ist doch dann nur aus dem internen Netzwerk aufrufbar.


    Mein Setup:
    - Router mit NAT, keine manuell geöffneten Ports, kein DynDNS, kein VPN
    - RasPi mit LibreELEC

  • @SkyBird1980:
    So dachte ich auch. Daher hat mich das o.g. Zitat überrascht oder ich habe zu viel hineininterpretiert.

    Ich habe das so gelesen, dass die Ports geschlossen sein müssen UND der Webserver deaktiviert sein muss um auf "Nummer Sicher" zu gehen. Also beides erfüllt sein muss - "und" eben. ;)

    Aber das wurde mir ja jetzt bestätigt, dass es nicht so ist. Danke.


    wenn jemand in meinem netz wäre, ist libreelec das wenigste worüber ich mir sorgen machen würde ^^

    Richtig. Darüber mache ich mir keine Sorgen. :)

    In diesem Thread geht es ja im Grunde darum, dass es ja nach Konfiguration einem Angreifer möglich ist, auf das lokale Netzwerk Zugriff zu Erlangen über LibreELEC - und nicht umgekehrt.

  • @GerdH

    Du hast nichts falsch interpretiert und meine Aussage oben ist absolut gültig. Immer noch!

    Es ging dabei um das Thema Sicherheit

    aber eigentlich ging es mr eher um verschleierung der IP & Thema "Sicherheit"

    Ich habe lediglich die prägnanten Lücken aufgezeigt. Wenn man das Thema "Sicherheit" anspricht, finde ich, sollte man verschiedene Szenarien in Betracht ziehen. Unter anderem auch das, dass Personen in deinem Netzwerk sind (wissentlich), die aber auch nicht unerlaubten Zugriff auf dein LibreELEC Gerät haben sollen. Dafür würde ich empfehlen SSH und den Webserver zu deaktvieren. Man kann das Thema Sicherheit auf verschiedenste Weise angehen. So kann ich auch ein Gast-WLAN zu Hause einrichten mit beschränkten Zugriffen auf mein privates Netzwerk etc.etc.

    Für LibreELEC empfehlen wir halt nicht das System in einer DMZ laufen zu lassen. Eine Portweiterleitung des Routers auf das Gerät macht LibreELEC offen wie ein Scheunentor, da das SSH Passwort überall gleich ist. Daher haben wir den Webserver sowie auch den SSH Zugang von Haus aus deaktviert. Wenn jemand weiß, was er tut, ist es kein Problem solche Dinge einzuschalten. Ich habe aber schon User gesehen, die (interne) Netzwerkprobleme hatten, diese in einem Forum angesprochen haben, man den Usern helfen wollte und dann die User ihre öffentliche WAN IP gepostet haben. Es kam, wie es kommen musste....tatsächlich hatte der User eine Portweiterleitung auf sein (damalig OpenELEC) System und somit konnte man sich direkt von zu Hause aus per SSH auf sein System aufschalten. Das Team Kodi Mitglied, welches es zuerst bemerkt hatte, war dann so clever, dass er per SSH drauf ist und hat shutdown -h now ausgeführt (Runterfahren des Systems). Du siehst...man muss immer mit dem Schlimmsten rechnen. Daher ist meine Aussage oben recht allgemein gehalten, daher aber nicht weniger gültig.

    Sollte es der Fall sein, dass irgendwer unwissentlich in deinem Netzwerk ist (schlechtes WLAN Passwort, ausnutzen einer bekannten Sicherheitslücke, Viren etc.) ist es noch viel eher zu empfehlen, SSH und den Webserver zu deaktvieren. @horschte hat natürlich vollkommen Recht, dass LibreELEC dann das kleinste Problem ist, dennoch geht es hier bei dem Thema um LibreELEC und Kodi.

    In Bezug auf einen VPN Anbieter (das eigentliche Thema des Threads!!!) und beim Lesen des ersten Beitrages in dem Thread:

    und nutze eine VPN Verbindung zum IPTV schauen

    Dann muss man natürlich auch einen guten und vernünftigen VPN Anbieter haben. Das Problem war seiner Zeit, dass die zugewiesene IP direkt angesurft werden konnte. Ist dannn auch der Webserver und SSH aktiv, brauche ich dir nicht zu erklären, was alles passieren kann und was nicht. Das Umgehen einer Ländersperre um Services zu empfangen, die man sonst nicht empfangen darf/kann ist nicht legal. Die Legalität der Sache wird vielleicht nicht durch unser Gesetz bestimmt, wohl aber durch die TOS (Terms of services) des Anbieters. Nehmen wir SkyGo. In Deutschland kannst du also von überall wo du bist auf SkyGo zugreifen. Nicht aber wenn du im Ausland bist. Das verbietet dir SkyGo. Schon nutzen Leute ein VPN nach Deutschland (um eine IP aus Deutschland zu bekommen) und dann auf den Service zuzugreifen. Ich mache jetzt hier nicht den Moralapostel ;) . Ich zähle nur Fälle auf.

    Dem "Schlauberger", dem ich oben geantwortet hatte, hat auf gezielte Fragen nie wieder geantwortet. Er wollte seine IP verschleiern. Ganz wichtig ist, dass viele das nur auf einem Gerät mit einem Service versuchen. Das macht dann so gut wie gar keinen Sinn, wenn ein anderer Service nicht ebenso verschleiert wird, oder man über die Verschleierung seine E-Mails abruft (durch das Abrufen von E-Mails z. B. ist der zugewiesenen IP, die man ja bekommen muss, eine Identität (E-Mail Adresse) zugewiesen. Von daher nur noch halb so anonym, wie man es gern hätte). Die Frage ist halt, weswegen man verschleiern möchte, was man in der Zeit machen möchte etc. Das wurde nie beantwortet, daher auch nur eine "allgemein gültige" Aussage.

    @GerdH
    Kennst du die Sicherheitslücke des Webservers unter Kodi eigentlich genau? Nur ein Tip...es geht nicht darum einfach nur Zugriff (das Webinterface) zu haben. Das Thema geht noch viel weiter. Daher meine Frage, ob du die Sicherheitslücke überhaupt richtig kennst.

    Wertschätzung kostet nichts, aber sie ist von unschätzbarem Wert.

  • In diesem Thread geht es ja im Grunde darum, dass es ja nach Konfiguration einem Angreifer möglich ist, auf das lokale Netzwerk Zugriff zu Erlangen über LibreELEC - und nicht umgekehrt.

    In diesem Thread geht es VOR ALLEM um VPNs. Das ist ein ganz wichtiger Punkt. Es geht hier nicht um "Sicherheit" im allgemeinen. Daher ja auch der Threadtitel.

    Und ja, wenn wir VPNs nicht ansprechen wollen und du deinen Router schlecht konfigurierst, LibreELEC in eine DMZ setzt oder eine offene Portweiterleitung auf dein LE System machst etc. Dann solltest du immer noch SSH und den Webserver deaktivieren (wobei dann auch die offene Portweiterleitung sinnlos ist ;) ). Ich gebe dir aber zu 100% Recht...je nach Konfiguration muss man gewisse Dinge beachten. Da du aber auch nur die halbe Wahrheit erzählst, bekommst du, wie der "Schlauberger" oben, nur entsprechende Aussagen.

    Was willst du machen, was hast du vor, wo ist dein Problem, wie sieht deine Konfiguration aus, was für Wünsche hast du an die Konfiguration? Nutzt du externe VPN Anbieter, wenn ja, welche? Hast du die AGBs der Anbieter gelesen?

    Das ist so das mindeste, was wir wissen müssen, damit man dir auch entsprechende Antworten geben kann.

    Wertschätzung kostet nichts, aber sie ist von unschätzbarem Wert.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!