Samba abdichten?

    Hallo,


    ich habe eine Frage zu Sicherheit und Samba (unter Debian).


    Ich habe auf meinem vdr (debian) einen samba-share auf das Verzeichnis /var/lib/video.00, so daß ich mit meinem PC (winXP) darauf zugreifen kann. Der PC ist über WLAN mit dem vdr verbunden. Der PC hat neben diesem lokalen Netz auch Zugang zum Internet. Logo: Ich poste ja grade diesen thread ;)


    In meiner samba.conf steht unter anderem diese Zeile:

    Code
    log file = /var/log/samba/log.%m


    wobei ich nicht genau weiß, in was dieses %m expandiert wird.


    Jedenfalls fiel mir bei der Inspektion des Verzeichnisses auf, daß es dort massig log-files gibt, die meisten logfiles sind wie folgt benamst:


    Code
    log.89.51.148.80     log.89.51.210.175  log.89.51.4.49


    Es gibt allerdings auch andere, die mir reichlich suspekt vorkommen:

    Code
    log.werner
log.privat-meinpc
log.apotheke
log.arbeitszimmer
log.bad-boy
log.patrickbecker


    Die allermeisten dieser logs haben zwar die Größe 0, aber mir passt das trotzdem nicht. Einige haben auch eine Größe <> 0.
    Der Inhalt dieser logs lautet zB:

    Code
    [2006/10/19 23:32:44, 1] smbd/service.c:make_connection(729)
  make_connection: refusing to connect with no session setup
[2006/10/20 18:34:15, 1] smbd/service.c:make_connection(734)
  make_connection: refusing to connect with no session setup
[2006/10/21 23:46:53, 1] smbd/service.c:make_connection(734)
  make_connection: refusing to connect with no session setup


    Wie kann ich das abstellen?


    Gibt es weitere Sicherheitslücken, von denen ich nix weiß?


    Der PC hat eine Zone Alarm Firewall, als trusted zone ist lediglich der loopback und mein WLAN-Netz (IP Range 192.168.0.1 - 192.168.0.5)
    eingetragen.


    Bin für jeden Tip dankbar
    Peter

    VDR1: Asrock K7VT4A, Duron 800, 512MB, Samsung HD300LD, Hauppauge PVR-350+Nova-T, Silverstone LC16M //1.4.3-1ctvdr3,Kernel : 2.6.16-ct-1, ivtv: version 0.6.1
    VDR2: MSI G31M2, Celeron 430, WD10EACS+WD20EARS, 2xNova-T+1xTechnotrend Premium S2300 V 2.3 "modded", Aplus Blockbuster // 1.6.0-8ctvdr1, Kernel 2.6.28.7

    VDR3 (in Arbeit): Asus M4A78TD-EVO, AMD Phenom(tm) II X4 955, 8GB RAM, Crucial M4 C128, NVIDIA Corporation GM204 [GeForce GTX 970] (rev a1), Digital Devices Cine S2 V6.5

    Wie geht ihr ins Internet ? Router mit WLAN ? Ist WLAN Verschlüsselung eingestellt ?


    Greetz

    VDR: PIII 933MHz, 512MB Ram, D1184 FSC A11, TechnoTrend 1.3 + SkyStar 2.d - Base 1.4 / BigPatch - streamdev, vdradmin, mplayer, femon, text2skin, DeepBlue / HDD 160GB + 400GB


    Sometimes, Linux is like an old Text-Adventure... take Module A and use it with Lib B and see what happens..

    Hallo kayser,


    der PC ist (noch) per Analog-Modem ausgestattet. Aber nimmer lang: Seit letzten Mittwoch ist DSL bestellt.


    Der PC funkt über einen WLAN-Router an eine Bridge, an der der vdr hängt.
    Der WLAN-Router könnte zwar WPA-802.1x, aber die Bridge macht nur WEP. Also ist das WLAN nur WEP-verschlüsselt.


    Diese dubiosen Lognamen lassen mich eher Eindringlinge aus dem Internet vermuten. Da sind auch Dinger wie log.familylopez oder lo.myke dabei...


    greets
    Peter

    VDR1: Asrock K7VT4A, Duron 800, 512MB, Samsung HD300LD, Hauppauge PVR-350+Nova-T, Silverstone LC16M //1.4.3-1ctvdr3,Kernel : 2.6.16-ct-1, ivtv: version 0.6.1
    VDR2: MSI G31M2, Celeron 430, WD10EACS+WD20EARS, 2xNova-T+1xTechnotrend Premium S2300 V 2.3 "modded", Aplus Blockbuster // 1.6.0-8ctvdr1, Kernel 2.6.28.7

    VDR3 (in Arbeit): Asus M4A78TD-EVO, AMD Phenom(tm) II X4 955, 8GB RAM, Crucial M4 C128, NVIDIA Corporation GM204 [GeForce GTX 970] (rev a1), Digital Devices Cine S2 V6.5

    Zitat

    Original von Homer Simpson
    Der WLAN-Router könnte zwar WPA-802.1x, aber die Bridge macht nur WEP. Also ist das WLAN nur WEP-verschlüsselt.


    WEP ist Dreck - wenn ich die c't richtig in Erinnerung habe, kannst du die Schlüssel gar nicht so schnell wechseln, wie man sie mittlwerweile knacken kann. Wenn du die Bridge nicht tauschen kannst, denke dringend über ein VPN nach. Zonealarm nützt allenfalls zur Beruhigung...


    BTW: Die Eindringlinge müssen bei so 'nem WLAN gar nicht über's Internet kommen - Wardriving tut's auch. Frag' mal die Nachbarn. ;)

    LG
    Jochen


    Rpi4 headless mit MLD 5.4 als Server via satip-Plugin hinter einem Telestar Digibit Twin, ein Rpi3 als Streamdev-Client mit MLD 5.4

    Rpi3 auch hinter Telestar Digibit Twin und mit MLD 5.4

    Einmal editiert, zuletzt von foobar42 ()

    Moin!


    In der Zeile

    Code
    log file = /var/log/samba/log.%m

    wird %m expandiert zum Namen der jeweiligen Maschine, die die Verbindung zum Samba-Server aufgebaut hat. Du bekommst also im Prinzip pro Client eine eigene Log-Datei. Wo kein Name greifbar ist, wird statt dessen die IP-Adresse verwendet.
    Bei dem Sammelsurium von IP-Adressen und Namen sieht es aber tatsächlich so aus, als ob jemand mit den unterschiedlichsten Namen und IP-Adressen versuchen würde, Zugriff auf deinen Samba zu bekommen.
    Wenn ich dein Setup richtig verstanden habe, hat der vdr keinen Internetzugang, oder? Dann ist die Vermutung mit dem Wardriving vermutlich nicht so falsch...


    Bye,
    Andreas

    VDR: AsRock Q1900M Pro, 2TB, 2GB RAM, GT720, 2x Cinergy C - Debian 8

    Aah, jetzt versteh ich:


    andreas_h: Ich hab den vdr erst seit paar Tagen am laufen. Will sagen, ich hab ihn erst neulich aufgesetzt und da war er schon direkt (per Modem) mit dem Internet verbunden. Wegen apt-get.


    Seit der vdr (halbwegs) richtig läuft und in' Wohnzimmer umgezogen ist und nicht mehr direkt am Internet hängt, sondern nur noch über WLAN am PC - also es gibt keine suspekten logs mit timestamp nach diesem 'Umzug'.


    foobar42: Und wardriving, also ich weiß nicht... Ich wohne in der Mitte einer etwa 200 Meter langen Sackgasse. Es würde schon auffallen, wenn in meiner Mini-Straße dunkelverglaste Gangsterlimousinen parken würden ;)


    Ein anderer Punkt: Es ist doch aber sicher massig WLAN-Hardware unterwegs, die maximal WEP kann! Also wie machen die das dann sicher? Gar nicht?
    Du sagst also, die einzige Möglichkeit mein WLAN ausreichend abzusichern, besteht darin, meine Bridge wegzuwerfen und eine neue zu kaufen. Hab ich das richtig verstanden?


    Ich werde das mal weiter beobachten, aber ich vermute mal sehr stark, daß keine weiteren dubiosen logs hinzukommen werden, seit der vdr nicht mehr direkt am Modem hängt.



    So, jetzt aber ne ganz andere Frage: Der vdr soll wieder an's Internet, sobald mein DSL-Anschluß kommt. Wie sichere ich also Debian gegen das Internet ab? Hat jemand ein paar Tips oder gute links dazu?


    peace&pizza
    Peter

    VDR1: Asrock K7VT4A, Duron 800, 512MB, Samsung HD300LD, Hauppauge PVR-350+Nova-T, Silverstone LC16M //1.4.3-1ctvdr3,Kernel : 2.6.16-ct-1, ivtv: version 0.6.1
    VDR2: MSI G31M2, Celeron 430, WD10EACS+WD20EARS, 2xNova-T+1xTechnotrend Premium S2300 V 2.3 "modded", Aplus Blockbuster // 1.6.0-8ctvdr1, Kernel 2.6.28.7

    VDR3 (in Arbeit): Asus M4A78TD-EVO, AMD Phenom(tm) II X4 955, 8GB RAM, Crucial M4 C128, NVIDIA Corporation GM204 [GeForce GTX 970] (rev a1), Digital Devices Cine S2 V6.5

    Zitat

    Original von Homer Simpson
    sondern nur noch über WLAN am PC - also es gibt keine suspekten logs mit timestamp nach diesem 'Umzug'.


    Dann vergiss' das Wardriving für den Moment.


    Zitat

    maximal WEP kann! Also wie machen die das dann sicher? Gar nicht?

    Normalerweise wohl nicht. :(

    Zitat

    Du sagst also, die einzige Möglichkeit mein WLAN ausreichend abzusichern, besteht darin, meine Bridge wegzuwerfen und eine neue zu kaufen.


    Wenn du es einfach haben möchtest: Ja. Wenn du kein Geld, aber Zeit hast: Setzt eine VPN-Verbindung auf. Dann gehen die Daten verschlüsselt darüber. Das setzt aber einiges an Verständnis in Sachen Netzwerkabsicherung voraus.

    Zitat

    So, jetzt aber ne ganz andere Frage: Der vdr soll wieder an's Internet


    Bekommst du für deinen DSL-Zugang einen Router? Dann ist der durchzukonfigurieren und gut is' für den Hausgebrauch.

    LG
    Jochen


    Rpi4 headless mit MLD 5.4 als Server via satip-Plugin hinter einem Telestar Digibit Twin, ein Rpi3 als Streamdev-Client mit MLD 5.4

    Rpi3 auch hinter Telestar Digibit Twin und mit MLD 5.4

    meiner Meinung nach reicht WEP, grade wenn du in einer Sackgasse wohnst :) Klar - WPA, VPN, etc sind sicherer, aber das muss jeder selber wissen wie viel Aufwand, Zeit und Kohle er investieren möchte.

    Manche Hardware lässt sich u.U. per Firmware-Update auf WPA aufrüsten. So erlebt bei 'nem D-Link-Router. Schau mal auf der Hersteller-Homepage nach.


    Bye,
    Andreas

    VDR: AsRock Q1900M Pro, 2TB, 2GB RAM, GT720, 2x Cinergy C - Debian 8

    foobar: Sapperlot! Ich behaupte jetzt einfach mal: Der Großteil der WLAN-Hardware, der im Moment so unterwegs ist, kann höchstens WEP. Die allerwenigsten der Leute, die diese hardware benutzen, haben schon mal was von VPN gehört - geschweige denn im Einsatz! Oder anders ausgedrückt: Der Großteil der WLAN-Netze ist relativ unsicher. Würdest du dem zustimmen?


    Also ich hab einfach kein Bock, meine Bridge, die ich vor paar Tagen gekauft hab, jetzt wieder zu verhökern. Also werd ich mich mal in die VPN-Materie einarbeiten. Hast du einen guten link für'n newbie?


    Zitat


    Bekommst du für deinen DSL-Zugang einen Router?


    Ich hab bei QSC bestellt und es hieß, ich bekomme die nötige hardware mitgeliefert - whatever that means.
    Davon abgesehen hab ich schon einen ADSL-Router. Das ist der bereits erwähnte. Das ist ein ADSL-WLAN Router, der im Moment als reiner WLAN-Router eingesetzt wird.


    loswillios

    Zitat


    http://rocky.eld.leidenuniv.nl/page/iptables/iptframe.htm


    Hey, diese Seite klingt interessant. Thanx!


    andreas_h:


    Cool, dann schau ich doch erst mal bei netgear nach! Und wenn's da kein WPA per Firmware-update gibt, dann werd ich mich mal in die VPN-Materie einarbeiten. Weniger aus Paranoia als vielmehr aus Wißbegierde. Aber dazu braucht's halt Zeit und das ist das Problem. Ganz oben auf meinem stack liegt erstmal nvram oder set-time zum laufen kriegen. Dann DVD's aus den vdr-Aufnahmen erstellen. Dann mp3-plugins einrichten, dann Analog-Radio, dann das LCD Display meines Gehäuses ansteuern und dann ist schon wieder Weihnachten ;)



    Thanx alle!
    Peter

    VDR1: Asrock K7VT4A, Duron 800, 512MB, Samsung HD300LD, Hauppauge PVR-350+Nova-T, Silverstone LC16M //1.4.3-1ctvdr3,Kernel : 2.6.16-ct-1, ivtv: version 0.6.1
    VDR2: MSI G31M2, Celeron 430, WD10EACS+WD20EARS, 2xNova-T+1xTechnotrend Premium S2300 V 2.3 "modded", Aplus Blockbuster // 1.6.0-8ctvdr1, Kernel 2.6.28.7

    VDR3 (in Arbeit): Asus M4A78TD-EVO, AMD Phenom(tm) II X4 955, 8GB RAM, Crucial M4 C128, NVIDIA Corporation GM204 [GeForce GTX 970] (rev a1), Digital Devices Cine S2 V6.5

    Zitat

    meiner Meinung nach reicht WEP, grade wenn du in einer Sackgasse wohnst smile Klar - WPA, VPN, etc sind sicherer, aber das muss jeder selber wissen wie viel Aufwand, Zeit und Kohle er investieren möchte.


    Wenn ich meine Wlan-Antenne(4er Quad) mal zum Fenster raushänge und die Umgebung scanne, hagelt es nur so von WEP und offenen Wlan-Netzen.
    Soll heisen: ich muß keinen Gangsterwagen mit schwarzen Scheiben fahren, um in andere Netze zu kommen, nein ich könnte es vom Sofa aus. ;)
    Und ein WEP-Schlüssel ist bei ein bissl Datenverkehr im Wlan in 5min geknackt, glaubt mir... :unsch


    Wie foobar42 oben schon schrieb, wenn du einen Router zum DSL mit dazu bekommst, langt es, den gescheit zu konfigurieren und dein netz is vom internet her relativ sicher.


    vdrtux

    Zitat

    Original von Homer Simpson
    Würdest du dem zustimmen?

    Ja, allerdings kann nicht jeder DAU ein solches WEP-Netz knacken.

    Zitat

    VPN. Hast du einen guten link für'n newbie?

    Keinen, mit dem meine begrenzte Intelligenz es geschafft hätte, ein selbstgeb(r)autes VPN aufzusetzen. Ich bin auch an den diversen Howtos gescheitert, hab's nur mit fertigen Lösungen (fli4l, ipcop) geschafft. Wie gesagt, das sagt weniger was über die Howtos aus... ;)

    LG
    Jochen


    Rpi4 headless mit MLD 5.4 als Server via satip-Plugin hinter einem Telestar Digibit Twin, ein Rpi3 als Streamdev-Client mit MLD 5.4

    Rpi3 auch hinter Telestar Digibit Twin und mit MLD 5.4

    vdrtux:

    Zitat


    Wenn ich meine Wlan-Antenne(4er Quad) mal zum Fenster raushänge und die Umgebung scanne, hagelt es nur so von WEP und offenen Wlan-Netzen.
    Soll heisen: ich muß keinen Gangsterwagen mit schwarzen Scheiben fahren, um in andere Netze zu kommen, nein ich könnte es vom Sofa aus.


    Aha. Also nicht wardriving, sondern warpotatocouching ;) Das hamwer nu von den Spritpreisen!


    Zitat


    Wie foobar42 oben schon schrieb, wenn du einen Router zum DSL mit dazu bekommst, langt es, den gescheit zu konfigurieren und dein netz is vom internet her relativ sicher.


    Na, das find ich aber komfortabel! Gilt das eigentlich auch für meine Windows-Büchse, die am selben DSL-Router hängen wird?


    foobar:

    Zitat


    Ich bin auch an den diversen Howtos gescheitert, hab's nur mit fertigen Lösungen (fli4l, ipcop) geschafft.


    Soll mir auch recht sein. (Solang's freeware is steht in Klammern dahinter)


    peace&pizza
    Peter

    VDR1: Asrock K7VT4A, Duron 800, 512MB, Samsung HD300LD, Hauppauge PVR-350+Nova-T, Silverstone LC16M //1.4.3-1ctvdr3,Kernel : 2.6.16-ct-1, ivtv: version 0.6.1
    VDR2: MSI G31M2, Celeron 430, WD10EACS+WD20EARS, 2xNova-T+1xTechnotrend Premium S2300 V 2.3 "modded", Aplus Blockbuster // 1.6.0-8ctvdr1, Kernel 2.6.28.7

    VDR3 (in Arbeit): Asus M4A78TD-EVO, AMD Phenom(tm) II X4 955, 8GB RAM, Crucial M4 C128, NVIDIA Corporation GM204 [GeForce GTX 970] (rev a1), Digital Devices Cine S2 V6.5

    Zitat

    Original von Homer Simpson
    Na, das find ich aber komfortabel! Gilt das eigentlich auch für meine Windows-Büchse, die am selben DSL-Router hängen wird?


    Ja, aber nur gegen Angriffe von außen, der router nützt aber wenig gegen "unwissentlich" installierten Müll auf deinen Rechnern (Trojaner und Konsorten). Und wie gesagt, er schützt nicht die WLAN-Karten in deinen Rechnern.


    Zitat

    peace&pizza


    Her mit der Pizza, der Rest ist Illusion. ;)

    LG
    Jochen


    Rpi4 headless mit MLD 5.4 als Server via satip-Plugin hinter einem Telestar Digibit Twin, ein Rpi3 als Streamdev-Client mit MLD 5.4

    Rpi3 auch hinter Telestar Digibit Twin und mit MLD 5.4

    Zitat

    Aha. Also nicht wardriving, sondern warpotatocouching ;) Das hamwer nu von den Spritpreisen!


    So in etwa ;)
    Aber im ernst, WEP ist aktuell fast mit'nem offenen Wlan zu vergleichen, da auch jeder DAU mit den entsprechenden Tools, den Schlüssel knacken kann.


    vonner Pizza hätt ich auch gern was...


    vdrtux

    Zitat

    Original von vdrtux
    vonner Pizza hätt ich auch gern was...


    Sieht so aus, als müsstest du vorbeikommen - gibt auch 'n :prost2
    Der Homer rückt ja offenbar nichts raus - is wohl mit 'nem neuen "Trojanischen" Krieg beschäftigt. :unsch

    LG
    Jochen


    Rpi4 headless mit MLD 5.4 als Server via satip-Plugin hinter einem Telestar Digibit Twin, ein Rpi3 als Streamdev-Client mit MLD 5.4

    Rpi3 auch hinter Telestar Digibit Twin und mit MLD 5.4

    Papperlapapp!


    Ihr seid beide herzlich eingeladen. :mahlzeit
    Dazu gibt's wahlweise ein Augustiner oder Chianti! :prost2

    Und wer auf meiner Kiste nvram-wakeup oder settime oder ACPI oder sonst ein controlled Dornröschen auf meiner Kiste zum Laufen bringt, kriegt ne ganze Kiste davon.
    Ich les zwar schon seit Stunden,blick aber immer noch nicht richtig durch :schiel


    peace&pizza&papperlapappbecher
    Peter

    VDR1: Asrock K7VT4A, Duron 800, 512MB, Samsung HD300LD, Hauppauge PVR-350+Nova-T, Silverstone LC16M //1.4.3-1ctvdr3,Kernel : 2.6.16-ct-1, ivtv: version 0.6.1
    VDR2: MSI G31M2, Celeron 430, WD10EACS+WD20EARS, 2xNova-T+1xTechnotrend Premium S2300 V 2.3 "modded", Aplus Blockbuster // 1.6.0-8ctvdr1, Kernel 2.6.28.7

    VDR3 (in Arbeit): Asus M4A78TD-EVO, AMD Phenom(tm) II X4 955, 8GB RAM, Crucial M4 C128, NVIDIA Corporation GM204 [GeForce GTX 970] (rev a1), Digital Devices Cine S2 V6.5

    Einmal editiert, zuletzt von Homer Simpson ()

    Also ich würd's mal mit WEP (grösst möglichen Schlüssel) und mit MAC Filter versuchen. Wie mein vorredner schon sagte, fast allen WLAN Geräten lässt sich da mit einem FW Update unter die Arme greifen.


    Meine Konfig. WPA-PSK ohne Radius Server und MAC Filter. Das macht das Netz (nur!!!) gegn script Kiddies sicher.


    Zum VPN muss man dazu sagen dass im Netzt es einen Server und einen (oder mehrere) Klienten geben muss. Dieses Linux - Windows VPN zeugs ist wahrhaftig nicht einfach. Ich persönlich kann Dir zwar versichern dass es möglich ist, aber wirklich nur mit enormem Zeitaufwand, und für einen Newbie erst recht.


    Zu deiner anfänglichen Frage würde ich Dir raten im Router den Port 139 zu blockieren... ach was sage ich da, blockier' sie einfach alle und mach nur die auf die Du wirklich brauchst. So ein WLAN Router kann in 2 Modis koniguriert werden.
    1. Multiuser
    2. Singleuser


    Im Modus Singleuser wird der Router normalerweise als stink normales Modem eingesetzt. Einfach alles was an Traffic anfällt, wird zum Arbeitsplatz weitergeleitet. (Schlechte Wahl)


    Im Multiuser Modus wird der Router gleichzeitig zum Firewall (der eine besser der andere schlechter ;) So kann man dann den ganzen Firewall am PC weglassen (vorausgesetzt man kann sicher davon ausgehen das keiner von "innen" unser LAN hacken wird) denn das erledigt dann der Router.


    Wenn man keine echte Flatrate hat, ist die Multiuser Wahl jedoch die schlechtere, denn man hat nicht immer die Einwahlkontrolle (es gibt aber Router die das auch können) deswegen kann es unter Umständen sein dass man auf diesen Modus ausweichen muss da man sonst "always on" ist.


    Gruss
    Merlin

    Zitat

    Original von MerlinElMago
    Meine Konfig. WPA-PSK ohne Radius Server und MAC Filter. Das macht das Netz (nur!!!) gegn script Kiddies sicher.


    ??? Bitte den link, der nachweist, dass WPA geknackt wurde. Hab ich da was nicht mitbekommen?

    LG
    Jochen


    Rpi4 headless mit MLD 5.4 als Server via satip-Plugin hinter einem Telestar Digibit Twin, ein Rpi3 als Streamdev-Client mit MLD 5.4

    Rpi3 auch hinter Telestar Digibit Twin und mit MLD 5.4

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden