via SSH über 2 Instanz (Easybox und Fritzbox ) auf TS-110

    Hallo zusammen,


    bevor ich anfange zu experimentieren, frag ich doch mal ob jemand so schon gemacht hat:


    ich habe u.g. Konstrukt im Netz


    DSL/Internet---->EASYBOX802< ------> Fritzbox 7170< ------>Qnap TS-110


    Auf Qnap Serverver laufen E-Mail Server , WEB- Server und Application Server
    Die erreiche ich im Lokalen Netz über https z.B. Web-Email über https://meinQnapServer:8090 , WEB- Server über https://meinQnapServer:8091 und Application Server über https://meinQnapServer:8092
    Nun möchte ich aber auch unterwegs auf das zugreifen und natürlich wie möglich sicher. Deswegen will ich auch nicht direkt von Easybox zum NAS Server die Ports- Umleitung machen, sonder über das Fritzbox.


    Meine Idee ist, auf Easybox Ports 60000, 60001 und 60002 umleiten auf Fritzbox 7170 Ports 60000, 60001, 60002.
    Auf Fritzbox wurde ich dann Dropbear (laut Anleitung: http://www.com-technics.com/viewtopic.php?f=70&t=141) installieren und dort im hintegrund über ssh -Tunnel baue zwischen fritzbox und QNAP-Server ein paar Verbindungen auf.
    z.B.:


    ssh -i id_rsa -L 60000:fritzbox:8090 -g -y -T -N user@ meinQnapServer &
    ssh -i id_rsa -L 60001:fritzbox:8091 -g -y -T -N user@ meinQnapServer &
    ssh -i id_rsa -L 60002:fritzbox:8093 -g -y -T -N user@ meinQnapServer &


    Danach, wenn alles läuft, kann doch via Internet im Browser z.B: https://meinQnapServer.DynDNS-meinDomäneName:60001 angeben und landet dann automatisch (oder doch nicht?) auf mein QNAP-Server https://meinQnapServer:8091.


    Wird es so was funktionieren,und wenn ja, was ja alles auch noch zu berücksichtigen. Funktionirt auch auf Fritzbox Dropbear SSH Tunnel ?


    ich würde mich freuen ,wenn jemand eine kurze Zusammenfassung dafür schreibt
    Vielen dank schon mal im voraus




    Was genau soll das bringen ?


    Was ich erreichen will, ist, ohne Client, auch aus einem Internet-Cafe und auch für meine Bekannte, meinen NAS-Server zu erreichen. Wenn Hacker Portscannen machen wird das zu 99 % nur bis 10.000 Range gescannt. Das ist das erste. Wenn es doch ein Hacker schafft über ein Port bis Qnap über die SSH-Tunnel zu kommen, dann scannt er über diesen Port auch alle offen Port inerhalb von NAS + probiert er auch mit unterschiedlichen Benutzer und Passworten auf System zu kommen.
    So kann man ein Script auf Qnap(NAS) starten, das prüft, ob das System auf unterschiedliche Ports bzw. Benutzer-Password gescannt wird, und wenn es so vorkommt, dann werden die Tunnel zwischen Qnap und Fritzbox automatisch getrennt.

    2 Mal editiert, zuletzt von andreman ()

    Hi,


    gegenfrage ;) Was genau soll das bringen ? ^^


    Das was Du beschreibst käme ist eher VPN ;) Zumindest würde es in der Konstellation mehr sinn ergeben.


    Grüsse, David

    Hi,


    da hast Du natürlich recht, mit VPN wäre das einfacher. Aber VPN braucht immer einen Client. Was ich erreichen will, ist, ohne Client, auch aus einem Internet-Cafe und auch für meine Bekannte, meinen Server zu erreichen. Wenn Hacker Portscannen machen wird das zu 99 % nur bis 10.000 Range gescannt. Das ist das erste. Wenn es doch ein Hacker schafft bis Qnap über die SSH-Tunnel zu kommen, dann richte ich ein Script auf Qnap ein, das prüft, ob das System auf unterschiedliche Ports gescannt wird, und wenn es so vorkommt, dann werden die Tunnel zwischen Qnap und Fritzbox automatisch trennt.


    Gruß
    andreman1

    Zitat von "andreman"

    dann richte ich ein Script auf Qnap ein, das prüft, ob das System auf unterschiedliche Ports gescannt wird,


    Das QNAP kann nur auf den Ports gescannt werden, die durch die Router weitergeleitet werden, alle anderen werden eh durch den ersten Router blockiert.
    Ein Router reicht vollkommen aus.
    Etwas anderes wäre, wenn du mit dem 2. Router auch auch ein weiteres lokales Netzwerk zum NAS abschottest,
    damit im schlimmsten Fall ein Hacker dein NAS kompromitieren könnte, aber nicht das restliche Netzwerk, Stichwort IPCop.

    Zitat von "Eraser-EMC2-"

    Das QNAP kann nur auf den Ports gescannt werden, die durch die Router weitergeleitet werden, alle anderen werden eh durch den ersten Router blockiert.
    Ein Router reicht vollkommen aus.


    Erstens vertraue ich nicht zu 100 % Easybox. Zweitens gebe ich Dir nicht vollkommen recht, wenn ein Hacker auf Ports scannt und einen freien findet, dann probiert er wieder zu 99 % unterschiedliche Benutzer und Passworte aus. Das kann man wohl sehr gut auf Qnap überwachen, und wenn innerhalb von 10 Sekunden ca. 20 falsche Anmeldungen vorkommen, dann killt Qnap einfach den SSH-Tunnel. Ich finde, daß meine Idee die einzig sichere ist, aber weiß nicht, ob es funktioniert. Und ich habe keine Lust, stundenlang das auszuprobieren und dann einen Mißerfolg zu haben.



    Zitat von "Eraser-EMC2-"

    Stichwort IPCop.


    Da sprichst Du über Proxy-Server. Das wird bei mir nicht klappen, denn es ist alles innerhalb eines Netzes.

    Zitat von "andreman"

    .......
    Meine Idee ist, auf Easybox Ports 888092, 888092 und 888093 umleiten auf Fritzbox 7170 Ports 888092, 888093, 888094.
    .....


    Hallo,


    mir wäre nicht bekannt, dass neuerdings Portnummern grösser 65535 in Netzwerken unterstützt werden. Sollte ich mich da irren, dann sorry.


    Zitat von "Eraser-EMC2-"


    Das QNAP kann nur auf den Ports gescannt werden, die durch die Router weitergeleitet werden, alle anderen werden eh durch den ersten Router blockiert.
    Ein Router reicht vollkommen aus.


    Was Eraser schreibt ist vollkommen korrekt. Ein Portscan stellt in der Regel keine Verbindung zur gescannten Resource her. Er überprüft nur die gescannte Adresse auf offene Ports. Bedeutet, auf deinem NAS siehst du davon nichts. Erst, wenn der Scanner bei dem Port von Deinem NAS angekommen ist und diesen als 'offen' identifiziert hat, wird versucht mit verschiedenen Protokollen zu verbinden. Da brauchst Du aber kein Script auf deinem NAS laufen lassen, um dies zu detektieren. Wie Du selbst schon geschrieben hast...

    Zitat von "andreman"

    ...Zweitens gebe ich Dir nicht vollkommen recht, wenn ein Hacker auf Ports scannt und einen freien findet, dann probiert er wieder zu 99 % unterschiedliche Benutzer und Passworte aus. Das kann man wohl sehr gut auf Qnap überwachen....


    ... kann das NAS dieses von Haus aus, wenn man die Sicherheitseinstellungen vernünftig konfiguriert. Wenn nun in einem bestimmten Zeitraum eine Anzahl Fehlanmeldungen auftreten wird die verursachende IP (je nach Einstellung für eine gewisse Zeit oder für immer) geblockt und hat keinerlei Chance mehr, auf das NAS zuzugreifen.


    LG Micha


    EDIT: bei Letzterem ist natürlich Voraussetzung, dass die Anmeldung über den NAS-eigenen SSH erfolgt :-/

    Zitat von "dr_mike"

    Was Eraser schreibt ist vollkommen korrekt. Ein Portscan stellt in der Regel keine Verbindung zur gescannten Resource her. Er überprüft nur die gescannte Adresse auf offene Ports. Bedeutet, auf deinem NAS siehst du davon nichts. Erst, wenn der Scanner bei dem Port von Deinem NAS angekommen ist und diesen als 'offen' identifiziert hat, wird versucht mit verschiedenen Protokollen zu verbinden. Da brauchst Du aber kein Script auf deinem NAS laufen lassen, um dies zu detektieren


    Natürlich - ein Portscan stellt in der Regel keine Verbindung zur gescannten Resource her und auf meinem NAS siehe ich davon nichts, das ist doch klar.
    Aber wenn ein Hacker auf Ports scannt und einen freien findet dann scannt er über diesen Port auch alle offen Port inerhalb von Qnap ( das ist doch fast was Du schreibst :wird versucht mit verschiedenen Protokollen zu verbinden) .
    Und das will ich sofort stoppen, ohne QNAP unkonfigurieren.


    Zitat von "dr_mike"

    . kann das NAS dieses von Haus aus, wenn man die Sicherheitseinstellungen vernünftig konfiguriert. Wenn nun in einem bestimmten Zeitraum eine Anzahl Fehlanmeldungen auftreten wird die verursachende IP (je nach Einstellung für eine gewisse Zeit oder für immer) geblockt und hat keinerlei Chance mehr, auf das NAS zuzugreifen.


    kannst Du mir das ( keinerlei Chance mehr,auf das NAS zuzugreifen) 100% garantiren?


    Ich aber ja , wenn ich einfach den SSH-Tunnel zu Qnap trenne.



    Gruß
    andreman


    P.S.


    warum wird hier immer wieder diskutiert, warum und wieso?
    Ich will einfach so machen (via SSH über 2 Instanz auf TS-110), und frage ob so was möglich ist?
    Und wenn ja, dann um ein Lösungsvorschlag.

    Es geht teilweise, würde ich sagen, aber die in der Kombination.
    Das Portforwarding über SSH funktioniert, du kannst die Verbindung von definierten Ports an das QNAP weiterleiten.
    Die Frage wäre eher, kann die FritzBox es mit einer gepatchten Firmware ?


    Nur die Problematik dabei ist, du kannst dich dadurch selbst aussperren,
    wenn jemand über SSH mit einem falschen Passwort auf das QNAP zugreifen möchte,
    durch das Portforwarding ist die Client-Adresse die der FritzBox.

    Zitat von "Eraser-EMC2-"

    Die Frage wäre eher, kann die FritzBox es mit einer gepatchten Firmware


    Das war auch meine Frage ... :)


    Zitat von "Eraser-EMC2-"

    Nur die Problematik dabei ist, du kannst dich dadurch selbst aussperren,
    wenn jemand über SSH mit einem falschen Passwort auf das QNAP zugreifen möchte,


    Das habe ich nicht verstanden...
    Im Lokalnetz, gehe ich doch direkt auf QNAP und nicht über FRitzbox. Und warum soll jemand innerhalb von 10 sek. 20 falsche Anmeldungen machen. Wenn es so kommt, dann ist das zum 99% Brute Force Attacke.

    Hi,


    so richtig verstehe ich es nicht :D
    Ich versuche es mal ;)


    DSL/Internet---->EASYBOX802< ------> Fritzbox 7170< ------>Qnap TS-110
    -- Eigentlich vollkommen egal was vorne dran hängt.
    -- Hier müsste ein Port forwarded zum NAS forwarded werden.


    -- Das Thema "Portscan". Es ist nicht mehr so wie "damals". Mittlerweile werden komplette IP's gescannt, da die "Portscanner" "parallel" scannen können. 10.000 Ports innerhalb von 10 Sekunden und dann geht's weiter. Das wäre noch nicht einmal die "höchste" Einstellung ^^
    -- Meiner Meinung nach bringt es so gut wie nix mehr. Ruhig mal selbst ausprobieren (bei der eigenen IP).


    -- Wenn ein Offener Port gefunden wird. Dann hat man halt einen port.
    -- Jetzt würde man einfach mal den Port "aufrufen" und gucken was es macht.
    -- Wenn sich da so beispielsweise eine "Webgui für einen Mail Server" öffnen würde. Dann würde man nun nach Sicherheitslücken innerhalb dieser "WebSite" gucken und diese ggf. nutzen. z.B. XSS.
    -- Alternativ würde man dann Kennwortlisten durchjagen. Wenn das Kennwort zu einfach ist, es kein "nach 3-5 Anmeldungen sperre ich die komplette Seite" gibt. Ist das schon mal 'ne Einladung ^^
    -- Wenn man dann natürlich eine XSS / SQL-Injections / whatever Lücke hat und sich solch eine Sperre umgehen lässt ^^


    Kurz:
    Mit einen offenen Port kann man nicht viel machen. Es kommt drauf an welcher "Dienst" oder "Was" sich dahinter befindet und wie "sicher" es ist.
    Es gibt keine "Hacker". Sondern nur Leute, die Sicherheitslücken aufspüren und mit denen "Spielen" ;)


    Ein Hauptproblem bei Dir wäre es: Von einem "Internetcafe" aus überhaupt Deine Seite aufzurufen und dabei Login Daten zu nutzen.


    Grüsse, David

    Hallo David,


    danke dass Du zusammengefasst :thumb: , was ich mich probiert mit Worten ausdrücken.


    Jetzt aber mal wieder zur Sache.:)
    ich habe schon drei Tunnels miteinander verkuppelt :D aber nur mit Open SSH und auf SuSe -Linux und das hat super funktioniert.
    Nur die Konstellation Dropbear SSH auf Fritzbox mit Qnap habe ich noch nicht gehabt . :oops:


    Und bevor ich meine Fritzbox modifizierte, frage ich besse nach.


    Danke + Gruß
    Andre

    Hallo Andre,


    wenn du wissen möchtest, ob SSH auf der FB funktioniert, dann solltest Du wohl besser in einem Fritzbox - Forum nachfragen.
    Zum einrichten von SSH bzw. OpenSSH auf der QNAP gibt es hier mehrere Anleitungen im Forum.


    Gruss Micha