infostabil > edb.* > edb.sikkerhed

TJ (21.11.2014, 15:49)
Jeg har købt en RPI og sat den på nettet. Den er bag et standard
kabelmodem med NAT fra Thomson (TWG870TS) på Stofanet, hvor jeg har
lavet en portforwarding til RPI på port 22.

På RPI'en har jeg sat SSH op til /kun/ at acceptere login med SSH-key og
/ikke/ tillade password-login (som beskrevet under Adding the final
security measures)

[..]

Derudover har jeg sat iptables op til kun at tillade indkommende trafik
på port 22 (med mindre det er RPI selv der har startet den).

Spørgsmålet er; hvor godt er RPI'en og mit LAN beskyttet nu? Hvor
nemt/svært er det at få adgang til RPI'en? Kabelmodemmet videresender
kun port 22 til RPI, SSHD på RPI tillader kun folk med den rette nøgle
adgang og iptables skulle gerne afværge forsøg på indtrængen via andre
porte - men er det noget man kan omgå? Er den stadig sårbar?

Og skal jeg også sætte en stram adgangspolitik op på andre computere på
mit LAN, eller kan jeg stole på at de ikke kan angribes, fordi
portforwardingen kun peger på RPI'en?
Leif Neland (22.11.2014, 02:42)
TJ frembragte:
[..]
> Spørgsmålet er; hvor godt er RPI'en og mit LAN beskyttet nu? Hvor nemt/svært
> er det at få adgang til RPI'en? Kabelmodemmet videresender kun port 22 til
> RPI, SSHD på RPI tillader kun folk med den rette nøgle adgang og iptables
> skulle gerne afværge forsøg på indtrængen via andre porte - men er det noget
> man kan omgå? Er den stadig sårbar?
> Og skal jeg også sætte en stram adgangspolitik op på andre computere på mit
> LAN, eller kan jeg stole på at de ikke kan angribes, fordi portforwardingen
> kun peger på RPI'en?


Det lyder ganske sikkert.

Er der i øvrigt noget at komme efter?
Jeg kan ikke tænke mig noget værre end at nogen piller ved temperaturen
i dit akvarium, eller lignende småtterier.
Du har ikke nogen uran-centrifuger eller andet, der gør dig interessant
som hackeroffer?

:-)

Leif
TJ (22.11.2014, 12:00)
Den 22-11-2014 kl. 01:42 skrev Leif Neland:
> Er der i øvrigt noget at komme efter?


Intet.

> Du har ikke nogen uran-centrifuger eller andet, der gør dig interessant
> som hackeroffer?


Nej, jeg er mere bekymret for at nogen skulle bruge den til DDoS eller
til at udsende spam. Når du spørger på den måde, så kan jeg da godt se,
at jeg næppe har noget at frygte. Dem der er i risiko, er dem med
standard passwords o.l., som jo nærmest er sitting ducks for bots.

Men stadig - jeg åbner en dør til mit LAN med den portforwarding (port
22 sendes til RPI'en). Er RPI'en tilstrækkeligt sikret, så man ikke kan
bruge den som springbræt til andre enheder på mit LAN?

Hvis nu jeg *har* en uran-centrifuge på mit LAN, hvad er så de mulige
angrebsvinkler? Der er selvfølgelig selve kabelmodemmet. Hvis man kan få
kontrol over det, så er der jo åbnet en ladeport. Hvor nemt er det at
bryde igennem en standard router/kabelmodem og angribe de computere der
er bag? Kan man regne med at stofa auto-updater vores kabelmodemmer når
det er nødvendigt?

Hvis *ikke* man har kontrol over modemmet/routeren, så har man kun port
22 der peger på en RPI. Hvad kan man bruge det til? SSHD vil ikke
umiddelbart acceptere password, kun ssh-key, men er det noget man kan
omgå? Kan man bruge den åbne port til at angribe andre servere på
RPI'en? Hvor meget hjælper iptables-reglerne i denne sammenhæng?

Er mit setup så sikkert at jeg kan offentliggøre en IP og sige "Okay,
tøser, kom og ta' mig!"? Hvorfor ikke? ;-)
Lignende emner