Wie sicher ist das Webinterface ? (VDR LIVE)

    Hallo,
    ich habe gestern mit dem Gedanken gespielt auf meinem DSL ROuter den Port für das Webinterface für VDR Live nach außen (zum Internet) freizugeben damit ich auch zB von der Arbeit aus einen timer setzen kann.


    Die Frage ist nun wie sicher ist dieses Webinterface ?
    Ich will natürlich vermeiden dass da irgend ein Spaßvogel von außen eindringt und mir zB meine Aufzeichnungen löscht.
    Natürlich würde ich Usernamen und Passwort auf sichere Werte ändern.


    Ich habe keine feste IP (DSL, alle 8h Zwangstrennung) und der Port ist ja nicht unbedingt gängig - trotzdem wäre diese "Lücke" sicher per Portscanner auffindbar.


    kann mir da jemand einen Rat geben ?


    Danke

    Auf jeden Fall nur per SSL ansprechen, nicht plain HTTP.
    Ansonsten ist natürlich eine "Lücke" nicht per Portscan auffindbar, sondern nur der offene Port.
    Um dann einzudringen bedarf es eines Fehlers in der Authentifizierung um die Benutzername/Passwort-Kontrolle zu überwinden. Da der Webserver recht rudimentär implementiert ist, ist das nicht ganz auszuschließen, erfordert aber schon ein gewisses Know-How. Bekannte Schwachstellen in diese Richtung gibt es jedenfalls m.W. nicht, so dass zumindestens mit automatisierten Methoden nichts feststellbar sein dürfte.



    Wenn Du es noch weiter absichern willst, wäre ein reverse proxy mit separater Authentifizierung denkbar (z.B. Apache, obwohl das sicher ein overkill wäre nur für live).

    Ich habe da eigentlich keine großen Bedenken... wenn du aber ganz sicher gehen möchtest, dann könntest du dir z. B. auch einen SSH Port (nicht unbedingt den Standard 22er) für einen bestimmten User freigeben und dann einen Tunnel zum Server aufbauen... Anleitungen gibts hier genug... und wäre nicht schwierig einzurichten! So wäre alles sicher verschlüsselt...

    Server: 19" Rack - yaVDR 0.5, 4x DVB-S2
    Server (Reserve): 19" Rack Server - Ubuntu 10.04 + yaVDR Repo (COMPUCASE 4HE, GIGABYTE 770TA-UD3, SNT-BA3151-1 Backplane, Athlon II X2 245e, 4 GB, 2x WD Caviar Green 2TB, 3x TT-budget S2-1600)
    Client "Wohnzimmer": Zotac ZBOX (MLD 4.0.1, Nvidia, Atom)
    Client "Schlafzimmer": Zotac ZBOX (MLD 3.0.3, Nvidia, Atom)
    Client "Kinderzimmer": Asus EeeBox EB1012P-B0550 (yaVDR 0.5, Nvidia, Atom)
    Client "Fitness": Zotac ZBOX (MLD 3.0.3, Nvidia, Atom)
    Client "Küche": Asus EeeBox B202 (Lubuntu+VLC)
    Client "Büro" (Lubuntu)
    Client "Terrasse": NSLU2 (Debian, MPD)

    Zitat

    Original von Razorblade
    Ansonsten ist natürlich eine "Lücke" nicht per Portscan auffindbar, sondern nur der offene Port.
    .


    ja, das meinte ich damit


    Nun gut ich denke mal ein bissel darüber nach.
    Momentan glaube ich dass ich den Port einfach aufmache, es sei denn ich komm noch auf andere ideen die mich dazu veranlassen ein größeres Loch
    zu bohren um mehr auf der Kiste machen zu können als nur das "live" aufrufen ;)


    Danke erstmal

    Ich hab da recht wenig bedenken.


    Was kann denn ein Angreifer auf dem VDR-live tun? Ihn lahmlegen? Meine Timer löschen? Alle Aufnahmen löschen?!
    Würde mich echt interessieren.

    VDR-Server: AMD Athlon X2 5200+ ,ASUS M3N78 (Geforce8200), 2x 2GB RAM, 2xTT DVB-C 1501, 3x WD AV-GP 2000GB in RAID5, yaVDR 0.5
    Client 1: Desktop PC, Win7

    Na wenn er sich am Webinterface anmelden kann, kann er alles tun was du auch mit dem "live" interface tun kannst. Also ja - aufnahmen löschen und timer löschen - alles eben.


    Ich hab mich erstmal dagegen entschieden -
    zudem ist der VDR tagsüber meist aus und ich müsste ihn vorher noch aufwecken. Da muss ich mir auch noch was überlegen (WOL ?)

    SSh Tunnel zum gescheiten Router und dann getunnelt webIFace vom router zum Wecken nutzen bzw. getunnelt live oder was Du möchtest.
    SSh muss auch nicht außen auf dem Standard Port erreicht werden können ;)

    Software: gen2vdr V3 ( Beta8 ) / gen2vdr V2
    Hardware: Intel 5200EE - 5N7A-VM - Scythe Shuriken - BeQuiet(Netzteil) - X10-USB Remote
    SMT 7020S & P3@900 - Testsystem mit FF und X10-USB Remote
    Links für Neueinsteiger


    "Jetzt, wo ich weiß wie es geht, versteh ich auch die Gebrauchsanleitung"

    Also bei mir weckt die Fritzbox über eine unbenutzte Voip nummer und WOL.


    Nach außen forgewarded ist nur der SSH-Port und IP bekomm ich über no-ip.com account(managed auch fritzbox).


    Wenn ich aufs webinterface will, wird dann einfach der entsprechende port über ssh forgewarded, entweder per linuxbordmittel oder halt putty, wenns sein muss :)


    gruß red

    hi


    die sicherste methode den zugriff auf die admin oberflaeche ( oder jeden anderen port ) zu realisieren , ohne den riesen aufwand ssl oder ssh etc zu betreiben ist per fw regel zu begrenzen von wo zu gegriffen wird.


    da du ja scheinbar weisst wie man den port nach aussen zu verfuegung stellst solltest du
    entpsrechend auch deien firewall auf dem router anpassen.


    somit kann kommen wer will der port ( wo auch immer der ist ) ist nicht sichtbar
    es seiden man kommt von der vordefinieren ip.


    ich kenne die fritzbox leider nicht so genau , aber da dort ein linux mit iptables laeuft sollte das
    machbar sein.


    holger

    VDR1 : core2duo 3.2 Ghz , 1GB Ram , 2x TT 1501 DVB-C 1 GB HD , Asus EN 210 Silent , Debian Squeeze 64bit + e-tobi Pakete
    VDR2 : 1.2 Ghz P3 , Digitainer 768 MB Ram , yavdr 0.3a 32 bit

    2 Mal editiert, zuletzt von mark05 ()

    Zitat

    Original von m. keller
    Ich hab da recht wenig bedenken.


    Was kann denn ein Angreifer auf dem VDR-live tun? Ihn lahmlegen? Meine Timer löschen? Alle Aufnahmen löschen?!
    Würde mich echt interessieren.


    Ja. Auch.


    Wie irgendwo oben schon geschrieben weiß man nicht, wie sicher der Webserver implementiert ist. Es könnten da Schwachstellen existieren die man ausnutzen könnte um z.B. einen Buffer Overflow durch manipulierte Eingaben zu bewirken und so Schadcode in das System einzuschleusen. Im schlimmsten Fall könnte der Angreifer eine root-Konsole bekommen und kann damit machen was er will.

    Intel Atom 330 1.6GHz, 2GB RAM, 160GB HDD, nVidia Ion, yaVDR 0.4

    Ich habe bei mir Dnydns eingerichtet. So bin ich immer über die gleiche IP erreichbar bzw über den aufgeschlüsselten Namen der IP.
    Das mit WOL hatte ich erst auch im Kopf. Dann habe ich aber für die Fritzbox Variante Fernwartung entschieden. Habs eingerichtet und nun kann ich von überall auf meine Fritzbox zu greifen.
    Dann mal schell ins Netzwerk Menü, VDR auf bearbeiten gehen und auf der nächsten Seite kannst Du Computer starten.
    Funktioniert bei mir wunderbar ;)

    Das Schlimmste wäre wohl wenn ein Eindringling neue Timer anlegt :


    - Traumschiff
    - Big Brother
    - Dschungelcamp


    Grüße Bernd

    VDR : POV Atom 330-1 Mainboard, MSI TV@nywhere Satellite II, 2 GB RAM, natürlich mit yaVDR 0.61. Heimkino mit Onkyo AVR, Nubert-Surround-Boxen und JVC Beamer mit 4K und HDR. HD-VDR für Newbies: www.partyfotos.de/vdr

    Also ich würde den VDR nicht direkt ins Inet hängen.
    Sicherste Methode dürfte ein VPN sein.
    Ich hab eh mein Laptop überall dabei (ist auch mein Geschäftsnotebook). Dann per VPN auf die Fritz und schon habe ich zugriff auf mein gesamtes Netz.

    Gruß


    Daniel
    --------------------------------------------------------------------------
    Vdr: Sempron 140, M3N78-VM, 2GB DDR, 180GB SDD, Silverstone ML01-B-MXR, yaVDR 0.6.1, CineS2 V6.5, Samsung LE42B530

    Problem stellt sich nur dort, wenn man in einem IT-Unternehmen arbeitet die etwas von Unternehmenssicherheit hält und weder SSH noch andere liebliche Ports frei sind.
    Einen VPN aus dem Firmennetz ins Inet aufzubauen ist da auch nicht möglich.


    von daher meist bleibt einem nur die Möglichkeit den VDR direkt ins netz zu hängen,


    man könnte jedoch einem Angreifer eine Falle bauen mittels der Honeypott methode;)

    HD-VDR (Wohnzimmer)
    HW: Zotac IONITX-F-E, 160GB SSD 2.5" & 320GB HDD 2,5", 2x1GB, Cine S2
    SW: yaVDR 0.6
    VDR:
    HW: SMT-7020S, 160GB Seagate 2.5"
    SW: zen2mms 1.1


    Da die meisten Zugriffsversuche ehe automatisiert ablaufen, sollten halt keine Standardports verwendet werden, gerade ssh auf port 22 wird gerne gescannt. Wenn man kein sicheres Passwort bzw. Key einsetzt, ist die ganze Sicherheit ehe für die Katz. Da hilft auch kein VPN.


    Gegen derartige brute force Angriffe hilft aber Software a'la fail2ban



    Auch ganz interessant empfinde ich übrigens Skipfish, welches die Frage beantworten könnte wie sicher vdr-live ist.

    Zitat

    Original von master_red
    Also bei mir weckt die Fritzbox über eine unbenutzte Voip nummer und WOL.


    Da würde mich doch mal interessieren, wie Du die Verknüpfung hinbekommen hast?


    Zitat

    Original von Hulk
    Da die meisten Zugriffsversuche ehe automatisiert ablaufen


    Eben und die meisten automatisierten Scans gehen dann kaum über den Port 12000 hinaus ... ;)


    Erstmal den Port, dann erstmal die Lücke und Zugriff finden und dann weiter? Timer manipulieren, Sexy Sport Clips löschen ... ?


    Gruß
    Frank

    HowTo: APT pinning

    Einmal editiert, zuletzt von fnu ()

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden