VPN (gigantisches) Sicherheitsproblem: Jeder kann mein OpenELEC/LibreELEC anpingen und zugreifen (SSH)

Hi,
irgendwie bin ich gerade geschockt, nachdem ich die Tragweite meines Problems begriffen habe.

Ich setze einen Raspberry Pi2 (OpenELEC 6.03) und auch einen Odroid C2 (LibreELEC 7) ein und nutze eine VPN Verbindung zum IPTV schauen.
Nun habe ich festgestellt, dass die meinem LibreELEC von PureVPN zugewiesene externe IP Adresse (schweiz) von außen direkt mit dem Browser erreichbar ist.

Sagen wir mal ich bekomme von PureVPN beim Aufbau der VPN Verbindung durch "curl ifconfig.co" die IP: 136.0.5.123, dann kann ich folgendes damit machen:

• Im browser: 136.0.5.123:8080 - jeder hat von überall auf der Welt Zugriff auf all meine Filme/Datenbank, Steuerung. Ich sichere das also lieber mit einem Passwort ab (ist per default nicht gesetzt). Dann kommt zumindest ein user:pass prompt vom browser, aber ob das wirklich eine Attacke oder so überlebt, bezweifle ich mal
• In putty: 136.0.5.123:22 - jeder kann von überall auf der Welt per SSH in meinen Server rein! Da root:openelec bzw root:libreelec im build hardgecodet ist, kann ich das nicht mal ändern, ich kann höchstens SSH deaktivieren, einen anderen Port festlegen (bringt ja auch nichts, wenn derjenige die scant) oder das passwort deaktivieren und mit einem Key lösen.
• ich denke auch der Zugriff auf SMB wird somit problemlos möglich sein, evtl NFS auch.
• Ich habe nachgedacht wie das überhaupt möglich ist, wenn der Router doch eigentlich alle Ports geschlossen haben müsste, aber dann wird einem ja klar, dass ein VPN tunnel eine Direktverbindung zu dem OpenELEC Rechner ist, die verschlüsselt einfach als passthrough durch die Fritz!Box geht. Also eben ein tunnel mit zwei Enden. Dummerweise will ich aber ja gar nicht, dass jemand vom anderen Ende aus vollständig auf mein Ende zugreifen kann
• Auf einem Windows/Linux/MacOS PC müsste ja die interne Firewall für Sicherheit sorgen, oder? Aber OpenELEC/LibreELEC ist ja ein System, das für den Betrieb im LAN gedacht ist und ein VPN öffnet da offenbar ein unglaublich großes Scheunentor :(. Ganz ohne VPN sorgt ja allein schon der Router mit seinem NAT und seiner Firewall für Sicherheit bei den Ports usw.

Was nun noch komischer ist:
Ich habe nach dieser "Entdeckung" mal den Entwickler des genialen Addons "VPN Managers for OpenVPN" kontaktiert, was er so davon denkt und er hat das bei sich getestet und meint, dass bei ihm weder ein Ping geht, noch der Webserver erreichbar ist und auch SSH nicht verfügbar ist, wenn er versucht meinen Fall zu reproduzieren. Also ist bei ihm offenbar alles sicher.
Nun bringt mich das gewissermaßen zum Verzweifeln, da ich nicht verstehe warum bei mir alles unsicher ist, und bei jemand anderem nicht? Kann mir jemand, der sich mit Netzwerken/VPN auskennt, vielleicht erklären wie das sein kann? Müsste ein VPN tunnel nicht immer den Ping usw ermöglichen, wenn man keine Firewall konfiguriert hat?

Als erste Abhilfe, habe ich in LibreELEC ein paar iptables regeln in die autostart.sh geschrieben, damit das Problem zunächst unterbunden ist, aber ich würde gerne eure Meinungen bzw. Vorschläge dazu hören und hoffentlich auch eine Erklärung warum das bei jemand anderem nicht so unsicher ist, aber bei mir?

Mein Setup:
Hardware: Odroid C2 / Raspberry Pi2
OS: LibreELEC 7 / OpenELEC 6.0.3
VPN Provider: PureVPN

meine OpenVPN Konfiguration *.ovpn

client
dev tun
proto #PROTO
remote #SERVER #PORT
nobind
persist-key
persist-tun
ca #CERT
tls-auth #TLSKEY 1
cipher AES-256-CBC
comp-lzo
verb 1
mute 20
route-method exe
route-delay 2
route 0.0.0.0 0.0.0.0
auth-user-pass #PASS
explicit-exit-notify 2
float
ifconfig-nowarn

Ist das wirklich unüblich? Also meinst du, dass das der Grund sein könnte für dieses Problem? Sprich, PureVPN hat also eine unübliche Konfiguration, die dazu führt, und nicht mein Rechner OE/LE Rechner ist der Übeltäter?

Ja ich habe jetzt vorsichtshalber als Übergangslösung mal schnell im Netz alles mögliche für die Iptable Einträge zusammengesucht und erstmal notdürftig abgesichert. Aber ich weiß nicht, ob das wirklich sicher ist, da ich von Iptables nicht viel weiß bzw. mangels Erfahrung gar nicht alles berücksichtigen könnte:

# IPTables Rules
# based on https://wiki.debian.org/iptables


# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT


# Accepts all established inbound connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# Allows all outbound traffic
# You could modify this to only allow certain traffic
iptables -A OUTPUT -j ACCEPT


# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT


# Allows LOCAL SSH connections
# The --dport number is the same as in /etc/ssh/sshd_config
iptables -A INPUT -p tcp --dport 22 -s 192.168.178.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 127.0.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP


# Allow Kodi Webserver access through port 8080 from local network
iptables -A INPUT -p tcp --dport 8080 -s 192.168.178.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -s 127.0.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP


# Allow ping
#  note that blocking other types of icmp packets is considered a bad idea by some
#  remove -m icmp --icmp-type 8 from this line to allow all kinds of icmp:
#  https://security.stackexchange.com/questions/22711
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT


# [definition='1','0']log[/definition] iptables denied calls (access via 'dmesg' command)
#iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7


# Reject all other inbound - default deny unless explicitly allowed policy:
# This rule disrupts Yatse controls and Samba
#iptables -A INPUT -j DROP


# Yatse EventServer (Cursor Steuerung usw): https://yatse.tv/redmine/projects/yatse/knowledgebase/articles/26
#UDP 9777
iptables -A INPUT -s 192.168.178.0/24 -m state --state NEW -p udp --dport 9777 -j ACCEPT


# Allow Samba shares
iptables -A INPUT -s 192.168.178.0/24 -m state --state NEW -p udp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.178.0/24 -m state --state NEW -p udp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.178.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.178.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT

Also könnte der Grund dafür sein, dass bei dem VPN Manager Addon Entwickler das Problem nicht auftritt, der sein, dass bei seinem VPN Anbieter keine eigene IP vergeben wird?

Zitat von membrane

Ich würde lieber einen 10€ OpenWRT Router oder einen alten Raspberry Pi einsetzen, der alles regelt. Man muss das ganze nur ein mal einrichten und kann mit jeden Clienten ohne weiteres zugreifen. Das dürfte für zwei Nutzer ausreichen.

Wozu? Was würde sich dann ändern? Bzw was sollte der "regeln"? VPN arbeitet ja auf dem Gerät auf dem ich das haben will. Ich möchte für nichts anderes VPN haben. Oder was genau wären deiner Meinung nach die Vorteile ein weiteres Gerät dafür anzuschaffen?

Zitat von membrane

Den Zugang kann mal dann auch nicht nur von Kodi aus nutzen, sondern auch von anderen Geräten wie Tablet oder Laptop (z.B. für Youtube).

Ach so, ja das ist mir klar, das war hier aber nicht die Problematik :). Es würde zudem ja auch nicht dieses Sicherheitsproblem hier lösen. Schließlich ist das Problem ja, dass durch den VPN mein LAN erreichbar ist :/.

Zitat von skybird1980

Das Problem scheint hier grundsätzlich bei deinen VPN Anbieter zu suchen zu sein. Ein richtiges VPN wird von Endgerät zu Endgerät aufgebaut und ist nicht von aussen erreichbar.
Ich habe dies hier mit meiner Fritzbox am laufen mit einer festen Router wo der VPN Nutzer auch nur auf den HTPC zugreifen kann.
Anmelden kann sich darauf mein Bruder mit einem Clienten und der Passphrase und einen einmaligen Ident.

Das klingt einleuchtend! Andererseits ist der VPN durch die Fritzbox ja einer, der halt eine passphrase usw hat. Aber ich nutze ja einen VPN anbieter fürs streaming, also ein ganz anderer Fall.
Es würde ja keinen Sinn machen, wenn Netflix jedes mal, wenn ich einen Film von denen streamen will, eine VPN Passwortanfrage beantworten müsste, um mir den Stream bereitzustellen. Das ist ja ein geöffneter Tunnel in ein anderes Land. Irgendwie fehlt hier ein detail :/.

Hat hier jemand vielleicht einen anderen VPN Anbieter am laufen (nicht PureVPN), mit dem er mal dieses von mir beschriebene Sicherheitsproblem reproduzieren könnte? Also einfach mal die IP:8080 in den Browser eingeben und schauen, ob da was pasiert? Ich habe das fast ein Jahr lang nicht bemerkt und ich bin ja nicht der einzige PureVPN user

Zitat von MaxRink

jop, bei mir macht das ne Sophos UTM, mittels Policyroutes macht das Teil fürs gesamte Intranet VPN in die USA, UK, die schweiz, frankreich etc.

ja solch eine Lösung hatte ich selbst auch in Betracht gezogen, aber es hat hier leider nichts mit der Problematik zu tun Das ist einfach ein Thema für sich auf welche Art man einen Tunnel aufbaut.

Zitat von skybird1980

Ich glaube du machst dir hier über selbstverständlichkeiten Gedanken.
Natürlich hat dein VPN einen Ausgang in einem anderen Land. Aber genauso ist dieser Ausgang auch ein Eingang. Ansonsten könnte der Anbieter Dir ja keine Antworten liefern.

Auch das ist ja selbstverständlich. Habe ich ja auch beschrieben. Das Problem ist hier aber, dass durch diesen Eingang von der anderen Seite Zugriff auf mein gesamtes Netzwerk besteht, alle geschlossenen Ports im Router, die Router-Firewall, alles ist durch diesen bypass direkt ausgehebelt. Deswegen frage ich ja, ob es bei anderen auch so ist. Ich bin ja nicht der einzige, der auf OpenELEC/LibreELEC OpenVPN einsetzt. Wenn das also so "normal" und korrekt so ist, dann bedeutet das, dass alle, die auf OE/LE einen VPN einsetzen ihr komplettes Netzwerk im Internet offen haben. Also SMB, SSH, Webserver, alle Computer die dahinter sind. Denn OE/LE haben keine konfigurierte Firewall.

Verstehst du was ich meine? Das kann ja eigentlich nicht so gedacht sein... also muss entweder bei dem VPN Anbieter eine Fehlkonfiguration vorliegen, oder tausende OpenELEC/LibreELEC user sind so gefährdet wie ein Windows 95 user, der ohne Firewall im Internet surft.

Ich würde gerne einen VPN user hören, der das bestätigen kann. Am besten einen PureVPN user.

Zitat von Nord75

[...]
Hab aber jetzt mal etwas gegoogelt und so wie es aussieht machen das einige und einige wiederum nicht.
Hat ja danach wie viel KnowHow der User hat Vor oder Nachteile.

Also kann man meine Aussage: "unüblich" streichen

pureVPN macht das wie wir jetzt sehen nicht

VyprVPN oder SwitchVPN haben wiederum NAT

lg

Torben

Alles anzeigen

Das waren sehr gute Stichworte Nord75! Damit konnte ich nun auch googlen und fand das hier:
https://www.purevpn.com/blog/ensure-op…n-nat-firewall/

Es scheint ein paid addon zu sein, das man dafür nutzen muss. Was mich wundert ist aber die Tatsache, dass damit dann einfach in der Windows PureVPN App eine Art Firewall integtriert wird, es ist nichts serverseitiges, sondern einfach eine Software. Obs bei anderen Anbietern dann schon serverseitig umgesetzt wird, ist für mich irgendwie unklar.

Zitat von membrane

Ich würde niemals einem VPN Anbieter vertrauen, dass er mir meinen Traffic filtert. Das ist generell Problem des Klienten (im Sinne von Geschäftsbeziehung).
Wer halt ohne Wissen mit so etwas herumspielt kann ganz schnell auf die Nase fallen. Ich hab das auch mal ein Semester studiert (mit Zugang zu etlicher Cisco Hardware) und bin nicht sicher in diesem Thema. VPN ist keine Plug and Play Lösung, die ich den normalen Nutzer vorsetzen würde.

Darum würde ich auch nur mit Whitelists arbeiten und alles andere blocken. Das geht halt auf einen externen Gerät um einiges einfacher.

Wenn man sich damit mehr befasst hat ist das verständlich. VPN ist aber seit ein paar Jahren keine Nischenlösung mehr... jeder den ich kenne hat den einen oder anderen VPN provider und trotzdem habe ich von dieser Problematik noch nicht wirklich was gehört. Und auch dein erster Vorschlag mit dem OpenWRT router hätte ja das Problem nicht von selbst gelöst, wenn man nicht genau an dieses Problem denkt und es dahingehend aktiv angeht. Also so pauschal wie du das jetzt sagst, kann man es halt leider nicht stehen lassen. Schließlich gibt es mobile apps, Windows programme und alle möglichen services von VPN anbietern, die es mittlerweise kinderleicht machen, diese einzusetzen. Leider ist dieses Problem hier aber nirgends an erster Stelle zu finden.