Habe eine Sicherheitslücke im "Server" (Linux) und bräuchte dringend Hilfe.

SSH und OpenVPN ggf reichen volkommen aus um auf dein Heimnetzwerk zu Kommen!

Warum zum Geier nutzt du einen Honeypot? Dieser solte ggf auf einer VM laufen zu Studienzwecken oder sonstwo aber doch nicht auf dem Selben System auf das du dein Heimnetzwerk Aufbaust?!

Fail2ban zur Absicherung von SSH und OpenVPN reicht volkommen aus um div. login versuche zu Unterbinden!

Setz den Pi mal komplettt sauber auf und dan mach nur die Ports auf die du auch Wirklich Brauchst! Schmeis den ganzen anderen Müll runter von deinem System!

Und wie Joe schon schrieb ist deine Samba Version alles andere als Stable!
 
Artillery benutze ich, weil es auch IPs auf die Blacklist setzt die Ports scannen. Meines Wissens nach tut das fail2ban (übrigens auch mit auf dem Pi) nicht.

Hat den jemand dann mal einen Vorschlag welches Betriebssystem ich statt dessen auf dem Pi nutzen sollte ?? Raspbian und Armbian basieren ja beide auf Debian und andere Alternativen fallen mir gerade nicht ein.

Das mit Samba werde ich als nächstes angehen und ist hoffentlich noch heute behoben.
 
Auf meinem Pi läuft ein Arch Linux aber das ist jetzt auch nicht unbedingt für den super stabilen Serverbetrieb ausgelegt. Ich hatte zwar seit knapp zwei Jahren keine Probleme mehr aber in der Vergangenheit konnte es durchaus zu Konflikten kommen bei Upgrades und man musste erst einmal das System reparieren. Generell möchte ich jetzt hier auch nicht auf jeden möglichen Vor- und Nachteil eingehen, da ich dann vermutlich morgen immer noch schreiben würde.

Ansonsten sind Portscans völlig egal, denn wo nichts offen ist, kann ein Angreifer auch nichts machen. Und selbst wenn er offene Ports entdeckt: die dort laufenden Services müssen abgesichert werden, denn sonst könnte es auch zu folgendem Szenario kommen: "Böser" Portscanner findet offenen Port für Service XYZ. Du blacklistest seine IP aber dann wird der eigentliche Angriff eben von einem zweiten System aus dem Botnet ausgeführt. Aus meiner Sicht ist das also eher Schlangenöl.

Auch ganz typisch: keine Scans aller Ports sondern gezielt einzelne Ports "attackieren", in der Hoffnung, dass der dahinter stehende Service falsch konfiguriert wurde oder in einer verwundbaren Version vorliegt.
 
Last edited by a moderator:
vor allem gehört ein HoneyPot-System oder ein IDS netzwerktechnisch soweit von dem produktiven Kisten isoliert wie es nur geht...
 
@marce:
Ein Rasbery Pi würde ich jetzt nicht als Produktiv System ansehen :P
Aber dennoch gebe ich dir recht! Ein IDS&Honypot gehören in ein getrenntes Netz das den Angreiffer ggf rein läst aber nicht mehr RAUS!

Dazu gehören aber auch eine Menge an Kentnisse im Bereich Netzwerk Technik und Firewall Konfig!

@Topic:
Zum Thema Portscannen und blocken der IP's ... gibt es Portsentry was aber bei einer Gescheiten Firewall Config deines Routers auch Schwachsin wäre!

Und zum Thema Versions-Pinning:
Gebe meinen Vorpostern Volkommen recht! bei einem Gewissen KnowHow kann und solte man sich ggf nicht auf die Distribution Verlassen sondern seine Software immer mit den Aktuellen Stable Quellen der Herrausgeber Compilern!

Man muss dan zwahr sein System Manuell Pflegen aber hat dafür in Punkto Sicherheit und Aktuallität seiner Eingesetzen Software mehrer Vorteile aber auch Nachteile!

Securty by Obsecurty ist halt das was die Meisten Hobby-Admins unter Absichern verstehen :P
 
Sofern der Raspberry PI hinter einem Router betrieben wird, braucht man eigentlich gar nichts zu machen.

Sobald auch nur irgendein Port zum Raspberry PI weitergeleitet wird, muss man sich Gedanken machen, welche Konsequenzen das hat.

SAMBA weitergeleitet -> Virenbefall
SSH weitergeleitet -> Loginversuche
FTP -> Loginversuche
HTTP + PHP usw.. -> Angriffe auf die Website
DNS -> Amplification Attack (geht das noch?)


Jedenfalls hat alles Konsequenzen. Update verpasst und unglücklichen Zeitpunkt erwischt -> Kompromittiert.


@offtopic
Offensichtlich sehen Unternehmen wie z.B. Siemens, Codesys und Kunbus das etwas anders.

Wer immer noch meint den Raspberry Pi könnte man nicht produktiv einsetzen, soll mal einfach die kommende Hannover Messe besuchen und stauen. Wir sind auch da :-)

Karten gibt es unter anderem bei Siemens kostenlos. Dran denken, dass man Parkgebühren bezahlen muss. Ich glaub das waren 10€. Jedenfalls wird diese Messe ziemlich interessant sein, auch für IT-Fachkräfte.
 
Back
Top