24.11.2018, 15:11 (Dieser Beitrag wurde zuletzt bearbeitet: 24.11.2018, 16:01 von mpcww.)
In den letzten Tagen habe ich die verschiedenen Instanzen in meinem Heimnetz einem Sicherheitsscan unterzogen.
Dazu habe ich openVAS benutzt.
Erstaunt war ich, dass bereits bei der 3.0 im Vergleich mit anderen Debian-basisierten Installation größere Sicherheismängel festgestellt wurden, die letztendlich mit Gesamt-"Severity"=High bewertet wurden.
Ursächlich scheint hier insbesondere die alte lhttpd-Version zu sein.
Auch im "medium"-Bereich finden sich bei den verwendeten SSL-Eigenschaften einige Probleme.
Nun ja der VDR ist ja im Normalfall nicht von außen erreichbar (DSL/Kabel Router). Wer da natürlich ohne VPN Ports freigibt hat ein Risiko.
Solange du nicht alle Passwörter änderst sind die Lücken immer noch das kleinste Problem ...
Was könnte Passieren? Hackerangriff, wäre wenn die Ports im Router offen sind sicher erfolgreich (schon deshalb weil die Passwörter bekannt sind). Virus? Der müsste dann von einem anderen PC im Netzwerk kommen, nur denke ich du nutzt Windows, da müsstest du einen Java Virus haben und der müsste noch zufällig zu den Sicherheitslücken passen.
Viel wahrscheinlicher, zu ziehst dir in Windows / Android/ MACOS einen Virus, der verschlüsselt über das Netzwerk deine VDR Filme (aber auch nur wenn du im VDR die Daten freigegeben hast)
Wenn du mal mit Wireshark an die Sache gehst wirst du noch feststellen keine verschlüsselte Verbindungen.
Wenn du mal richtig schlimme Sachen sehen willst, dann Kali Linux auf SmarTv oder Verstärker, Reciver loslassen.
Auch Smarhome Steuerungen,Kameras und Heizungen sind da erstaunlich.
Gruß
Bleifuss
Produktiv-VDR:
Board GA H77-DS3H, Intel Intel® Core™ i5-3470, Cine S2 DVB, WD 3TB Green, WDC WD20EARS-00J 2TB, Geforce 750Ti oder Intel HD
Easyvdr 3.0
25.11.2018, 16:11 (Dieser Beitrag wurde zuletzt bearbeitet: 25.11.2018, 16:31 von mpcww.)
(24.11.2018, 21:09)Bleifuss2 schrieb: Wenn du mal mit Wireshark an die Sache gehst wirst du noch feststellen keine verschlüsselte Verbindungen.
Wenn du mal richtig schlimme Sachen sehen willst, dann Kali Linux auf SmarTv oder Verstärker, Reciver loslassen.
Auch Smarhome Steuerungen,Kameras und Heizungen sind da erstaunlich.
ok, ich würde konkret die gefundenen Schwachstellen angehen: lighttpd-Version ...
Aber grundsätzlich nehme ich mit VDR erstmal auf ein isoliertes Fernsehen zu reduzieren und möglichst alle weiteren (schwach bzw. unverschlüsselten) Dienste zu stoppen:
25.11.2018, 16:47 (Dieser Beitrag wurde zuletzt bearbeitet: 25.11.2018, 16:48 von mpcww.)
Hi,
nein, kein update einfach alle nicht benötigten Dienste auschalten oder und den Rechner per iptables bis auf port 22 abschotten.
Den Zugang aber beschränken auf wenige Rechner, idealerweise ohne Passwort, nur publickey, kein root-login ....
Passwörter habe ich tlw. geändert, aber es ist nicht einfach, alle Stellen zu finden.
Z.B. reicht es nicht aus eayvdr-pw in der shell zu ändern, es ist weiterhin gültig im http-VDR-Portal.
lighttpd und shellinabox sind damit kein Thema mehr, d.h. über http ist der Rechner nicht mehr erreichbar
samba, cups und rpc sind aber nach einem Neustart wieder aktiv. Wie deaktivierie ich samba ?
Z.B. habe ich über "setup->Netzwerk->Samba" geprüft. Dort ist "Starte Samba" nicht aktiviert.
Woher kommen die nmbd und smbd - Dienste ?
Es bleibt eine komische Fehlermeldung beim Systemstart
"load_image_gtk" kann Verzeichnis oder Datei nicht finden . Sie stört aber nicht den Betrieb.
Woher kommt diese Meldung ?
B. ssh-Zugang "härten":
Nachdem ich einen gültigen Schlüssel für den Nutzer easyvdr auf dem Rechner installiert habe, habe ich die Konfiguration in /etc/ssh/sshd_config
angepasst:
Code:
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
C. Per FW: Nur noch port 22 zulassen und nur für internes Netz öffnen:
Per iptables erlaube ich nur noch den ssh-Zugriff aus den internen Netzen:
aptitude install iptables-persistent mit folgenden Regeln:
Das sind vermutlich Upstart Dienste, vielleicht kann man es auch einfach deinstallieren ...
Ansonsten Wiki ubuntu Upstart, da sollte beschrieben sein wie man das deaktiviert.
Produktiv-VDR:
Board GA H77-DS3H, Intel Intel® Core™ i5-3470, Cine S2 DVB, WD 3TB Green, WDC WD20EARS-00J 2TB, Geforce 750Ti oder Intel HD
Easyvdr 3.0
# key exchange algorithms (kex) [email protected] -- [info] available since OpenSSH 6.5, Dropbear SSH 2013.62 (kex) ecdh-sha2-nistp521 -- [fail] using weak elliptic curves `- [info] available since OpenSSH 5.7, Dropbear SSH 2013.62 (kex) ecdh-sha2-nistp384 -- [fail] using weak elliptic curves `- [info] available since OpenSSH 5.7, Dropbear SSH 2013.62 (kex) ecdh-sha2-nistp256 -- [fail] using weak elliptic curves `- [info] available since OpenSSH 5.7, Dropbear SSH 2013.62 (kex) diffie-hellman-group-exchange-sha256 -- [warn] using custom size modulus (possibly weak) `- [info] available since OpenSSH 4.4
# host-key algorithms (key) ssh-rsa -- [info] available since OpenSSH 2.5.0, Dropbear SSH 0.28 (key) ecdsa-sha2-nistp256 -- [fail] using weak elliptic curves `- [warn] using weak random number generator could reveal the key `- [info] available since OpenSSH 5.7, Dropbear SSH 2013.62 (key) ssh-ed25519 -- [info] available since OpenSSH 6.5
# encryption algorithms (ciphers) (enc) [email protected] -- [info] available since OpenSSH 6.5 `- [info] default cipher since OpenSSH 6.9. (enc) [email protected] -- [info] available since OpenSSH 6.2 (enc) aes256-ctr -- [info] available since OpenSSH 3.7, Dropbear SSH 0.52
# message authentication code algorithms (mac) [email protected] -- [info] available since OpenSSH 6.2 (mac) [email protected] -- [info] available since OpenSSH 6.2 (mac) hmac-sha2-512 -- [warn] using encrypt-and-MAC mode `- [info] available since OpenSSH 5.9, Dropbear SSH 2013.56 (mac) hmac-sha2-256 -- [warn] using encrypt-and-MAC mode `- [info] available since OpenSSH 5.9, Dropbear SSH 2013.56
# algorithm recommendations (for OpenSSH 6.6.1) (rec) -ecdh-sha2-nistp521 -- kex algorithm to remove (rec) -ecdh-sha2-nistp384 -- kex algorithm to remove (rec) -ecdh-sha2-nistp256 -- kex algorithm to remove (rec) -ecdsa-sha2-nistp256 -- key algorithm to remove (rec) +aes128-ctr -- enc algorithm to append (rec) [email protected] -- enc algorithm to append (rec) +aes192-ctr -- enc algorithm to append (rec) -hmac-sha2-512 -- mac algorithm to remove (rec) -hmac-sha2-256 -- mac algorithm to remove (rec) [email protected] -- mac algorithm to append
Und noch einen kleineren Mangel bereinigt:
To disable TCP timestamps on linux add the line 'net.ipv4.tcp_timestamps = 0' to /etc/sysctl.conf. Execute 'sysctl -p' to apply the settings at runtime.
Für die easyvdr 4.0 lässt sich das bestimmt noch feinfühliger Einstellen, aber der Aufwand erscheint mir doch nicht unlösbar.
Mit meiner Holzhammermethode habe ich nun jedenfalls keine "findings" mehr (s. Report in der Anlage).
(25.11.2018, 20:15)mpcww schrieb: Für die easyvdr 4.0 lässt sich das bestimmt noch feinfühliger Einstellen, aber der Aufwand erscheint mir doch nicht unlösbar.
Ja, kein Samba kein Web-If(lighttpd und shellinabox) usw. ..wäre es nicht sinnvoller, gleich das Netzwerkkabel nach
install vom VDR zu trennen??
25.11.2018, 22:06 (Dieser Beitrag wurde zuletzt bearbeitet: 26.11.2018, 13:31 von mpcww.)
(25.11.2018, 21:48)mango schrieb: Hi!
(25.11.2018, 20:15)mpcww schrieb: Für die easyvdr 4.0 lässt sich das bestimmt noch feinfühliger Einstellen, aber der Aufwand erscheint mir doch nicht unlösbar.
Ja, kein Samba kein Web-If(lighttpd und shellinabox) usw. ..wäre es nicht sinnvoller, gleich das Netzwerkkabel nach
install vom VDR zu trennen??
Gruss
Wolfgang
Samba ist für nicht Windows-Nutzer tatsächlich nicht notwendig.
Ich ziehe den gehärteten ssh-Zugang dem fancy shellinsthebox, was ja keinen Mehrwert bringt, vor.
lighttpd ist wirklich eine alte, unsichere Version.
Falls Ubuntu dieses Softwarepakete nicht aktuell hält und auf Sicherheit achtet, ist vielleicht ein anderer Werbserver (nginx ?) besser geeignet. Vielleicht sogar eine andere Distri ?
SSL sollte grundsätzlich eingerichtet sein. Jedes NAS bringt das im Heimnetz mit.
Wie gesagt. Ich bin zufrieden, so wie es jetzt ist und hoffe auf Verbesserungen in 4.0.
Die obigen Konfigurationsschrtte und Test sind für 4.0 doch kein Unmöglichkeit, oder ?
26.11.2018, 01:03 (Dieser Beitrag wurde zuletzt bearbeitet: 26.11.2018, 01:34 von geraldkainz.)
Hi,
Ich denke ich muß da auch meine Erfahrungen teilen..
Einerseits sind Linux basierte Rechner die im internen Netz werkeln sicherheitsmäßig hintanzustellen, das wäre die Grundidee dieser "ganz miserablen" security-policy von EasyVDR, weil Maßnahmen zur Sicherheit nur dann Sinn machen wenn sie auch notwendig sind.
Es sei denn man macht, wie bereits Peter bemerkte, vom Gateway aus Portforwards direkt zu diesen internen "Schwachstellen", dann trägt man aber selbst die Verantwortung und sollte wissen wie man den EasyVDR genügend absichert.
Sobald ein Rechner als Gateway fungiert ist die Sache natürlich eine komplett andere.
Ich betreibe seit Jahren sorgenfrei einen Easyvdr 2.5 als Gateway, Webserver, Mailserver, sshServer, Hausautomationsserver und Streamingserver und andere Dienste mit fixer externer IP Adresse. Ein nmap scan sagt mehr als tausend Worte. Die Angiffe aus aller Welt laufen rund um die Uhr, hauptsächlich brute force attacs.
Natürlich habe ich eine kleine Firewall laufen, aber die einzig wichtige Sicherung des Systems waren gute Passwörter.
Um den Rest kümmert sich der Kernel, und der war bei Easyvdr 2.5 --kurz nachschauen.. 3.12.0-7-generic, also aus heutiger Sicht völlig veraltet :-)
Ich empfehle jetzt zwar nicht jedem Neuankömmling EasyVDR als Gateway einzusetzen, aber das soll nur zeigen daß sogesehen die Möglichkeit für Netzwerk-internen Angriff auf Ubuntu-basierte Systeme zu vernachlässigen ist.
Nur zur Info, wer eine aktuelle Fritzbox hat kann ohne Probleme ein VPN erstellen, ist aber etwas langsam, ich denke bei meiner ist so bei 20MBit Schluss.
Jetzt noch eine ernsthafte Frage, warum willst du Easyvdr so absichern, betreibst du ihn ein einem öffentlichen Netz?
Oder ist es mehr cool das ich das kann (auch wichtig so lernt man was)?
Normal hat man ja heute eh schon 2 Netze zuhause, einmal das normale, dann ein Wlan für Gäste, das kann jeder Router. Damit ist man komplett getrennt. Und solltest du den VDR tatsächlich über Internet nutzen wollen, dann würde ich eine Firewall dazwischen schalten, schon deshalb weil du da prüfen kannst was läuft. Pfsense ist da recht gut.
Und mehr als SSH würde ich da auch nicht freigeben (da kann man so ziemlich alles tunneln), lieber VPN.
Gruß
Bleifuss
Produktiv-VDR:
Board GA H77-DS3H, Intel Intel® Core™ i5-3470, Cine S2 DVB, WD 3TB Green, WDC WD20EARS-00J 2TB, Geforce 750Ti oder Intel HD
Easyvdr 3.0
26.11.2018, 13:27 (Dieser Beitrag wurde zuletzt bearbeitet: 26.11.2018, 13:33 von mpcww.)
Ausgangspunkt war ein Scan aller Geräte im Heimnetz : Arbeitsplatz-Rechner, NAS, MPD-Server, 2. Firewall, WEB-Server, DNS-Filter und VPN-Proxy ....) .
Für alle rein internen Server gelten die gleichen "Risikoabwägungen" oder Unwahrscheinlichkeiten.
Was "interne genutzte" Geräte belangt: Es gibt auch genügend kritische Artikel zu smarten Fertig-TVs bezüglich Sicherheit oder ein anderes Thema: Datenschutz .
Unabhängig von solchen Betrachtungen war der VDR beim openVAS-Scan im Vergleich deutlich aus der Reihe gefallen.
Distribution easyvdr
Die Situation bei easyvdr 3.0/3.5 würde sich m.E. leicht entspannen durch 2 einfache Maßnahmen:
- lighttp aktualisierte Version: Geht aber wohl mit den Ubuntu-Quellen für trusty nicht (nur das meine ich mit veraltet).
- in sshd.conf : HostKey /etc/ssh/ssh_host_dsa_key entfernen
Bei einem so geringen, überschaubaren Aufwand mache ich persönlich keine weiteren "Wahrscheinlichkeitsabwägungen" .
Als "Distributor", wenn auch basierend auf Ubuntu, würde ich leicht vermeidbare Schwächen auch abstellen. Deswegen erwarte ich keine Verbesserung in 3.5 aber in 4.0: lighttpd wird aktuell sein, und dsa-keys bei ssh zu vermeiden ist kein Hexenwerk. Vergleicht klappt es ja sogar mit grundsätzlichem https.
Anwendung/individuelle Konfiguration
Jeder Anwender kann natürlich sein Netz so absichern oder öffnen wie es seinen Bedürfnissen/Erfahrungen/Risikofreude entspricht. Von einer "eierlegenden Wollmilchsau" (Web, Mail, Multimedia ... -Server) halte ich ehrlich gesagt nicht so viel, unabhängig, wo sie im Netz integriert ist.
Ich sichere grundsätzlich bei jeder unabhängigen Hardware (auch im internen Netz) Webzugriff mit SSL und erlaube SSH-Zugänge nur per public-key-Zugriff. Das ist auch kein großer Aufwand, aber individuelle Konfiguration und nicht unbeding Job der Distribution. Nicht jeder Angriff muss immer durch die Fritzbox erfolgen. Er kann auch von einem anderen internen Gerät ausgehen.
Dienste, die ich nicht brauche, versuche ich abzuschalten oder nicht freizugeben (hier Samba). Wegen der Paketabhängigkeiten z.B. zu Kodi läßt sich Samba wohl nicht deinstallieren.
Hier finde ich es trügerisch, dass WebUI und setup samba nicht aktiviert anzeigen, es aber wegen der Kodi-Abhängigkeit aktiv ist (nmbd,smbd).
Also ich finde den Beitrag gut. Hinweise sind immer gut. Wenn wir etwas davon vernünftig umsetzen können ist doch gut. Ob/wer den Aufwand zum Webserver treibt wird sich zeigen.
Ich gehe erst mal davon aus was Canonical uns liefert ist gut genug. Aber es spricht ja nichts dagegen das noch besser zu machen.
An dem Beispiel: Wenn jemand ein konkretes PPA mit besserem Stand nennt ist kann (aus technischer Sicht, nicht aus Sicht einer getesteten Distrie) sowas sehr kurzfristig bereitgestellt werden (falls jemand Zeit + Lust hat das aufzugreifen).
Grüße
Martin
----------------------------------------------------------------------------------------------------------- Du brauchst Hilfe? Wir brauchen Daten! English-Version: Don't eat yellow snow!
Meine VDRs (Spoiler klicken)
23.12.2018, 00:01 (Dieser Beitrag wurde zuletzt bearbeitet: 23.12.2018, 00:04 von maxprox.)
Das Thema Sicherheit ist immer wieder so eine Sache...
erst mal Danke an dich, mpcww, für den Tipp mit openVAS, das sieht sehr interessant aus, werde die nächsten Tage mal eine Testinstallation durchführen (eher nicht um den VDR zu scannen).
Sicher sollte man gerade als Linux user das Thema Sicherheit immer sehr ernst nehmen und Sicherheitslücken sollte es kein geben.
ABER:
zB habe ich ein Multifunktionsgerät von HP (M477fdw) trotzdem interessiert mich die FAX Lücke nicht, weil die Faxfunktion nicht genutzt wird, und nicht mal ein Telefonkabel angeschlossen ist, so banal wie einfach.
Ein 16stelliges PW hilft mir nur an der einen Stelle, wo das PW benötigt wird, hab ich im Netz einen User, der einen Trojaner einspielt, und habe ich dann im LAN, wegen solcher dreckst HP Teile, die im Jahr (fast) 2019 nur das unverschlüsselte SMB 1.0 (unglaublich aber wahr und - wie ich finde - 1000fach schlimmer als die FAXLücke) können, eben nur SMB1 am Laufen, wäre denkbar, dass das 16stellige PW schnell ausgelesen ist.... usw. usw.
Also noch mal: Sicherheit wird ein immer wichtigeres Thema, dabei ist ABER immer der Weg des Schädlings zu betrachten: "wie kommt die Schadsoftware in mein System oder mein Netz?"
Ein direkt am Initernet hängender XP Rechner ist wohl im Schnitt nach wenigen Minuten übernommen (Stichwort Honeypot) ich möchte nicht wissen, wie viele XP Rechner heute immer noch problemlos in einer Art Sanbox laufen
In diesem Sinne: Holzauge sei Wachsam ;-)
easyVDR 5 auf: Digital Device Cine S2 V7; alter Terra-PC, FUJITSU D3041-A1, Pentium Dual-Core E5800 3.20GHz; 6GB RAM, NVIDIA GT-710 von PNY; IR-USB Selbstbau + Logitech Harmony + Funkverlängerung, 7,5m HDMI Kabel zum TV, Headless im Keller 24/7 weil gleichzeitig BackupPC
Hi,
Geldautomaten nutzen oft XP... (ok sind wohl nicht richtig online sondern in eigenem Netz und die Betreiber bezahlen fleißig für den extended Support, da sie den Wechsel auf gepflegte OS verpennt haben).
Aber Recht hast du: Mein Smart-TV hat auch keinen Zugriff... Aber wievel Promille der Nutzer juckt das?
SMB1 ist ein Thema für sich, AVM nutzt das wohl auch immer noch nur.
MfG,
Stefan
Test-VDR1: HP rp5700 Fertigsystem, Core2Duo E6400, 2GB RAM, Mygica t230 Stick als Tuner, nvidia Slim-GT218 512MB PCIe x1 - v3.5-64
VDR2 in Rente
VDR3 in Rente VDR4: MSI G31M2 v2, Intel E5200, 6" t6963c gLCD, 2GB, WD Red 4TB, 2x TT3200, ASUS GT730-SL-2GD3-BRK, mod. Digitainergeh. - v3.5-64 VDR5: GIGABYTE GA-G31M-S2L, Intel E5200, GT630 passiv, 2GB, 3TB, 6" t6963c gLCD, mod. Digitainergeh. - v3.5-64 VDR6: MSI MS-7236, Intel E2140, GT630 passiv, 2GB, WD Green 2TB, 6" t6963c gLCD, 2x TT3200 - v2.5-64 Hilfe gefällig? Dann brauchen wir ein easyInfo aus easyPortal!
Hallo Zusammen
Ich möchte niemandem einen Vorwurf machen, EasyVDR ist ein fantastisches System!
Herzlichen Dank für die vielen geleisteten Arbeitsstunden!!!
Ich kann dem Ersteller dieses Beitrags nur zustimmen.
Warum soll EasayVDR niemals von Aussen zugänglich sein?
EasyVDR sollte unabhängig von Betriebssystemen im Netzwerk einsetzbar sein (ich nutze zwar nur Linux, aber ob das überall zutrifft?)
Warum nicht sicher machen, wenn es relativ einfach machbar ist und keine wesentlichen Nachteile einbringt?
Ansonsten sollte man die Nutzer deutlich darauf hinweisen -
"Vorsicht, aus Sicherheitsgründen wird der Betrieb eines EasyVDR-Systems mit Internetzugang NICHT empfohlen... Oder so ähnlich...
Ich glaube wir sind alle der selben Meinung, das System sollte möglichst sicher sein.
)