RPI på nettet

Discussion:

RPI på nettet

(for gammel til at besvare)

2014-11-21 13:49:52 UTC

Jeg har købt en RPI og sat den på nettet. Den er bag et standard
kabelmodem med NAT fra Thomson (TWG870TS) på Stofanet, hvor jeg har
lavet en portforwarding til RPI på port 22.

På RPI'en har jeg sat SSH op til /kun/ at acceptere login med SSH-key og
/ikke/ tillade password-login (som beskrevet under Adding the final
security measures)

http://blog.tomszpytman.com/raspberry-pi-ssh-in-depth-tutorial

Derudover har jeg sat iptables op til kun at tillade indkommende trafik
på port 22 (med mindre det er RPI selv der har startet den).

Spørgsmålet er; hvor godt er RPI'en og mit LAN beskyttet nu? Hvor
nemt/svært er det at få adgang til RPI'en? Kabelmodemmet videresender
kun port 22 til RPI, SSHD på RPI tillader kun folk med den rette nøgle
adgang og iptables skulle gerne afværge forsøg på indtrængen via andre
porte - men er det noget man kan omgå? Er den stadig sårbar?

Og skal jeg også sætte en stram adgangspolitik op på andre computere på
mit LAN, eller kan jeg stole på at de ikke kan angribes, fordi
portforwardingen kun peger på RPI'en?

--
Thomas Jensen, Horsens
Mænd er nogle svin - og det er kvinder også

Leif Neland

2014-11-22 00:42:32 UTC

Permalink

Jeg har købt en RPI og sat den på nettet. Den er bag et standard kabelmodem
med NAT fra Thomson (TWG870TS) på Stofanet, hvor jeg har lavet en
portforwarding til RPI på port 22.
På RPI'en har jeg sat SSH op til /kun/ at acceptere login med SSH-key og
/ikke/ tillade password-login (som beskrevet under Adding the final security
measures)
http://blog.tomszpytman.com/raspberry-pi-ssh-in-depth-tutorial
Derudover har jeg sat iptables op til kun at tillade indkommende trafik på
port 22 (med mindre det er RPI selv der har startet den).
Spørgsmålet er; hvor godt er RPI'en og mit LAN beskyttet nu? Hvor nemt/svært
er det at få adgang til RPI'en? Kabelmodemmet videresender kun port 22 til
RPI, SSHD på RPI tillader kun folk med den rette nøgle adgang og iptables
skulle gerne afværge forsøg på indtrængen via andre porte - men er det noget
man kan omgå? Er den stadig sårbar?
Og skal jeg også sætte en stram adgangspolitik op på andre computere på mit
LAN, eller kan jeg stole på at de ikke kan angribes, fordi portforwardingen
kun peger på RPI'en?

Det lyder ganske sikkert.

Er der i øvrigt noget at komme efter?
Jeg kan ikke tænke mig noget værre end at nogen piller ved temperaturen
i dit akvarium, eller lignende småtterier.
Du har ikke nogen uran-centrifuger eller andet, der gør dig interessant
som hackeroffer?

:-)

Leif

--
Husk kørelys bagpå, hvis din bilfabrikant har taget den idiotiske
beslutning at undlade det.

2014-11-22 10:00:25 UTC

Permalink

Post by Leif Neland
Er der i øvrigt noget at komme efter?

Intet.

Post by Leif Neland
Du har ikke nogen uran-centrifuger eller andet, der gør dig interessant
som hackeroffer?

Nej, jeg er mere bekymret for at nogen skulle bruge den til DDoS eller
til at udsende spam. Når du spørger på den måde, så kan jeg da godt se,
at jeg næppe har noget at frygte. Dem der er i risiko, er dem med
standard passwords o.l., som jo nærmest er sitting ducks for bots.

Men stadig - jeg åbner en dør til mit LAN med den portforwarding (port
22 sendes til RPI'en). Er RPI'en tilstrækkeligt sikret, så man ikke kan
bruge den som springbræt til andre enheder på mit LAN?

Hvis nu jeg *har* en uran-centrifuge på mit LAN, hvad er så de mulige
angrebsvinkler? Der er selvfølgelig selve kabelmodemmet. Hvis man kan få
kontrol over det, så er der jo åbnet en ladeport. Hvor nemt er det at
bryde igennem en standard router/kabelmodem og angribe de computere der
er bag? Kan man regne med at stofa auto-updater vores kabelmodemmer når
det er nødvendigt?

Hvis *ikke* man har kontrol over modemmet/routeren, så har man kun port
22 der peger på en RPI. Hvad kan man bruge det til? SSHD vil ikke
umiddelbart acceptere password, kun ssh-key, men er det noget man kan
omgå? Kan man bruge den åbne port til at angribe andre servere på
RPI'en? Hvor meget hjælper iptables-reglerne i denne sammenhæng?

Er mit setup så sikkert at jeg kan offentliggøre en IP og sige "Okay,
tøser, kom og ta' mig!"? Hvorfor ikke? ;-)

--
Thomas Jensen, Horsens
Mænd er nogle svin - og det er kvinder også