Hi,
irgendwie bin ich gerade geschockt, nachdem ich die Tragweite meines Problems begriffen habe.
Ich setze einen Raspberry Pi2 (OpenELEC 6.03) und auch einen Odroid C2 (LibreELEC 7) ein und nutze eine VPN Verbindung zum IPTV schauen.
Nun habe ich festgestellt, dass die meinem LibreELEC von PureVPN zugewiesene externe IP Adresse (schweiz) von außen direkt mit dem Browser erreichbar ist.
Sagen wir mal ich bekomme von PureVPN beim Aufbau der VPN Verbindung durch "
Was nun noch komischer ist:
Ich habe nach dieser "Entdeckung" mal den Entwickler des genialen Addons "VPN Managers for OpenVPN" kontaktiert, was er so davon denkt und er hat das bei sich getestet und meint, dass bei ihm weder ein Ping geht, noch der Webserver erreichbar ist und auch SSH nicht verfügbar ist, wenn er versucht meinen Fall zu reproduzieren. Also ist bei ihm offenbar alles sicher.
Nun bringt mich das gewissermaßen zum Verzweifeln, da ich nicht verstehe warum bei mir alles unsicher ist, und bei jemand anderem nicht? Kann mir jemand, der sich mit Netzwerken/VPN auskennt, vielleicht erklären wie das sein kann? Müsste ein VPN tunnel nicht immer den Ping usw ermöglichen, wenn man keine Firewall konfiguriert hat?
Als erste Abhilfe, habe ich in LibreELEC ein paar iptables regeln in die autostart.sh geschrieben, damit das Problem zunächst unterbunden ist, aber ich würde gerne eure Meinungen bzw. Vorschläge dazu hören und hoffentlich auch eine Erklärung warum das bei jemand anderem nicht so unsicher ist, aber bei mir?
Mein Setup:
Hardware: Odroid C2 / Raspberry Pi2
OS: LibreELEC 7 / OpenELEC 6.0.3
VPN Provider: PureVPN
meine OpenVPN Konfiguration *.ovpn
irgendwie bin ich gerade geschockt, nachdem ich die Tragweite meines Problems begriffen habe.
Ich setze einen Raspberry Pi2 (OpenELEC 6.03) und auch einen Odroid C2 (LibreELEC 7) ein und nutze eine VPN Verbindung zum IPTV schauen.
Nun habe ich festgestellt, dass die meinem LibreELEC von PureVPN zugewiesene externe IP Adresse (schweiz) von außen direkt mit dem Browser erreichbar ist.
Sagen wir mal ich bekomme von PureVPN beim Aufbau der VPN Verbindung durch "
curl ifconfig.co
" die IP: 136.0.5.123, dann kann ich folgendes damit machen:- Im browser: 136.0.5.123:8080 - jeder hat von überall auf der Welt Zugriff auf all meine Filme/Datenbank, Steuerung. Ich sichere das also lieber mit einem Passwort ab (ist per default nicht gesetzt). Dann kommt zumindest ein user:pass prompt vom browser, aber ob das wirklich eine Attacke oder so überlebt, bezweifle ich mal
- In putty: 136.0.5.123:22 - jeder kann von überall auf der Welt per SSH in meinen Server rein! Da root:openelec bzw root:libreelec im build hardgecodet ist, kann ich das nicht mal ändern, ich kann höchstens SSH deaktivieren, einen anderen Port festlegen (bringt ja auch nichts, wenn derjenige die scant) oder das passwort deaktivieren und mit einem Key lösen.
- ich denke auch der Zugriff auf SMB wird somit problemlos möglich sein, evtl NFS auch.
- Ich habe nachgedacht wie das überhaupt möglich ist, wenn der Router doch eigentlich alle Ports geschlossen haben müsste, aber dann wird einem ja klar, dass ein VPN tunnel eine Direktverbindung zu dem OpenELEC Rechner ist, die verschlüsselt einfach als passthrough durch die Fritz!Box geht. Also eben ein tunnel mit zwei Enden. Dummerweise will ich aber ja gar nicht, dass jemand vom anderen Ende aus vollständig auf mein Ende zugreifen kann
- Auf einem Windows/Linux/MacOS PC müsste ja die interne Firewall für Sicherheit sorgen, oder? Aber OpenELEC/LibreELEC ist ja ein System, das für den Betrieb im LAN gedacht ist und ein VPN öffnet da offenbar ein unglaublich großes Scheunentor :(. Ganz ohne VPN sorgt ja allein schon der Router mit seinem NAT und seiner Firewall für Sicherheit bei den Ports usw.
Was nun noch komischer ist:
Ich habe nach dieser "Entdeckung" mal den Entwickler des genialen Addons "VPN Managers for OpenVPN" kontaktiert, was er so davon denkt und er hat das bei sich getestet und meint, dass bei ihm weder ein Ping geht, noch der Webserver erreichbar ist und auch SSH nicht verfügbar ist, wenn er versucht meinen Fall zu reproduzieren. Also ist bei ihm offenbar alles sicher.
Nun bringt mich das gewissermaßen zum Verzweifeln, da ich nicht verstehe warum bei mir alles unsicher ist, und bei jemand anderem nicht? Kann mir jemand, der sich mit Netzwerken/VPN auskennt, vielleicht erklären wie das sein kann? Müsste ein VPN tunnel nicht immer den Ping usw ermöglichen, wenn man keine Firewall konfiguriert hat?
Als erste Abhilfe, habe ich in LibreELEC ein paar iptables regeln in die autostart.sh geschrieben, damit das Problem zunächst unterbunden ist, aber ich würde gerne eure Meinungen bzw. Vorschläge dazu hören und hoffentlich auch eine Erklärung warum das bei jemand anderem nicht so unsicher ist, aber bei mir?
Mein Setup:
Hardware: Odroid C2 / Raspberry Pi2
OS: LibreELEC 7 / OpenELEC 6.0.3
VPN Provider: PureVPN
meine OpenVPN Konfiguration *.ovpn