VPN (gigantisches) Sicherheitsproblem: Jeder kann mein OpenELEC/LibreELEC anpingen und zugreifen (SSH)

Zitat von marty29ak

Kann bei solchen Anwendungen gar nicht verstehen warum man seinen gesamten Traffic über einen VPN Dienstleister schicken muss.
Welchen Vorteil soll das haben?
Ich nutze dafür einen DNS Service der meine IP verändert und gut.

Nunja,

1. Schicke ich nicht den gesamten Traffic darüber (das wäre der Fall, wenn ich einen OpenWRT router extra dafür abstellen würde, wie vorhin schon vorgeschlagen wurde). Ich mache das nur für das eine Gerät, da es nur zum Streamsempfangen da ist
2. Smart DNS ist eher unsicherer, weil: DNS hijacking man-in-the-middle attack

Mir persönlich ist es recht wurscht, ob DNS oder VPN, am Ende tut sich da sicherlich nichts mit der Sicherheit.

@membrane
Ja ich verstehe deinen Standpunkt voll und ganz. Das Ding ist, dass ich selbst jetzt erst über die Problematik gestolpert bin und ich würde mich nicht als einen vollkommen desinteressierten Nutzer bezeichnen. Ich habe gegooglet und praktisch keinen einzigen offenkundigen Beitrag zu genau dieser Problematik gefunden. Klar, wenn man sich auskennt ist das alles kein Problem. Aber wenn man sich nicht auskennt, stößt man ja in diesem Fall nicht mal auf diese Problematik, also selbst das normale Informieren bei sowas hilft nichts, wenn es eben nichts dazu im netz auf gibt, solange man nicht komplett gezielt die genauen Stichworte absucht. Deswegen bin ich ja so geschockt, dass es gar nicht wirklich in aller Munde ist

Zitat von Snakebitez

Ich habe einen raspberry pi 3 mit jessie und openvpn am Laufen. Der Raspberry pi ist also nur mein VPN Gateway. Provider ist ist bei mir ebenfalls PureVPN. Speed ist auch super und laßtet meine 50er Leitung voll aus.
Meine Geräte sind von außen nicht erreichbar. Im Gegenteil, würde gerne meinen Plexserver erreichen können aber das geht nur über PureVPN, in dem ein Extraservice dazu gebucht und der Port freigeschaltet wird.

Ich denke das liegt einzig an deiner config.

Gruß
Snake

Du hast ein anderes Setup als ich. Du nutzt nicht OpenELEC/LibreELEC, welches von Haus aus keine Iptables-Einträge hat. Dein setup wird wohl eine Firewall (ufw etc.) bzw. manuelle iptables einträge haben. Mit solchen habe ich das nun ja auch gesichert.

Ich habe vorhin einen Live Chat mit PureVPN gehabt und die meinten ich solle das NAT-Firewall Addon dazubuchen, kostet natürlich. Also klar liegt es an meiner Config, es liegt halt daran, dass ich (wie viele andere OE/LE) user halt OpenELEC bzw. LibreELEC einsetze, welches nunmal nur für den LAN betrieb gedacht ist und daher keine eingerichtete Firewall hat. Daher geht der Tunnel wie @membrane (und ich auch bereits im OP) sagt direkt zu meinem OpenELEC, und da dieses keine Firewall hatte, ist mein gesamtes LAN dadurch exposed.

Das was ich mit diesem Thread eigentlich sagen möchte: Es gibt bestimmt hunderttausende OpenELEC user. Und davon haben sicherlich mindestens 1000 einen VPN am laufen, damit man IPTV schauen kann, oder Netflix oder sonstwas, und von diesen ganzen Usern sind bestimmt so einige (wie ich) Kunden bei einem VPN Anbieter, der anfragen von seiner Seite aus schlicht nicht blockt, und daher ein übelstes Sicherheitsloch bei den unbedarften Usern öffnet.

Es wäre schön, wenn jemand, der LE/OE einsetzt, das bei sich mal testen könnte. Wenns PureVPN ist, dann könnte man meine Problematik reproduzieren, wenns IPVanish ist oder so, könnte man sehen, ob das bei denen besser gelöst ist.

EDIT
könntest du vielleicht deine *.ovpn config posten, damit ich sehen kann, ob vielleicht ansonsten noch etwas anders ist? Ich wüsste nämlich sonst gar nicht was ich an meiner config falsch haben könnte. Aber ich denke das liegt daran, dass du halt eine Firewall und sowieso eine ganz anderes Setup (dank debian / gateway setup) hast.

@Bane
Danke für das Feedback! Ich muss mir deine config mal morgen in Ruhe ansehen. Aber ich fürchte das Problem liegt eher auf der Seite von PureVPN, sodass ich nicht viel machen kann.
Im übrigen macht das addon auch nichts anderes als deine Skriptzeile. Hatte es früher auch mit einem simplen script gemacht. Also daran dürfte es nicht liegen. Vielleicht tut die Eingabe im Browser IP:8080 auch nichts, weil dein Webserver aus ist in Kodi? Ansonsten schätze ich einfach, dass PIA gut konfiguriert ist und nicht son saftladen wie PureVPN.

Zitat von bumblebee

also ich habe das selbe problem, bin uber die vpn erreichbar bzw uber port 8080, die windows firewall macht erstmal nix.

Wie kann ich ihm das den verbieten bzw mal den zugriff begrenzen ?

Welchen Anbieter hast du denn? Ich habe mein OpenELEC soweit mit iptables abgesichert, es scheint zunächst mal zu helfen.

An meinem Windows 10 Lappy habe ich gerade auch mal OpenVPN installiert und mit einem PureVPN server verbunden. Zwar fragt mich windows, ob es ein öffentliches, oder Heimnetz ist (ich wähle öffentlich), aber eine SMB verbindung wird aufgebaut, jedoch wird zumindest ein Passwort prompt abgefragt (was ohne VPN nicht kommt). Also windows scheint zumindest ein wenig einzuschränken.
Leider bekomme ich meine ESET firewall nicht dazu dies zu filtern. Die kann wohl nichts machen, weil der tunnel ja verschlüsselt ist und somit filtern währenddessen nicht geht - Aber ich würde erwarten, dass er zumindest den ausgang des Tunnels dann überwachen würde hmm... :\.
Iptables auf Linux scheint es zumindest hinzubekommen, da kann ich nun weder angepingt werden, noch den 8080 Port erreichen, und auch SSH geht nicht zu erreichen. Irgendwie steige ich bei Windows noch nicht dahinter, kenne mich zu wenig aus mit VPN zeugs.

Zitat von MaxRink

uhm, alles außer der windows FW ist absoluter schwachsinn, kostet a) zusätzliche cpu-cycles pro paket und bringt b) 0 sicherheitszugewinn.
Eine zusätzliche FW zur trennung von Netzte macht allerdings Sinn (also im "Router").

Keine Ahnung von was für einer Konfiguration du ausgehst, aber sobald man eine andere als die Windows Firewall installiert, wird die Windowseigene automatisch deaktiviert und die andere benutzt. Windows hat seit bestimmt 10 Jahren eigens dafür eine Schnittstelle. Also gibt es keine redundanten CPU-Cycles. Und es ist sehr wohl sinnvoll, da die Windows firewall nur eingehende Pakete filtert, alle anderen überwachen auch den ausgehenden Verkehr. Zudem nutze ich die Eset firewall sehr gerne, weil ich da bei jeder neuartigen Verbindung sofort einen Prompt bekomme und auch sehe von welcher IP, welche *.EXE und ob ich diese Verbindung ausnahmsweise auch mal zulassen will für diese eine Laufzeit derjenigen Exe. Also so pauschale Aussagen sind nicht sehr konstruktiv, da jeder seine eigenen Einsatzzwecke hat.

Und nur die Firewall im Router finde ich eine mutige Aussage. Jede Fritzbox bzw jeder Router hat heutzutage eine Firewall integriert und trotzdem sollte jeder Rechner eine zusätzliche Software Firewall haben.

Zitat von mam

Also, wie immer im Leben gilt erstmal: NO PANIC (da gibts ein nettes Buch drüber mit nem dicken roten "no Panic" Button auf dem Cover)

Was Du da als Sicherheitsproblem ansiehst, sind nichts weiter, als die Geister, die Du selber gerufen und bezahlt hast.

VPN bedeutet, Du baust einen Tunnel aus dem (öffentlichen) Internet direkt in Dein Heimnetzwerk auf. Der Tunnel umgeht jegliche Sicherheitsmaßnahmen, wie den Firewall des Routers usw.

Und NATÜRLICH bist Du damit von aussen voll angreifbar, das ist sogar der Sinn der Sache (nein, nicht das Angreifen, aber die Bereitstellung von eigenen Servern ans Internet trotz dynamischer Adresse, Geofilterung, Firewalls usw.)

Wenn Du glaubst VPN wäre nur dazu da, dass Deine IP Adresse aussieht, wie aus einem anderen Land, dann hat Dir jemand nur die halbe Wahrheit erzählt.

Es ist DEINE Aufgabe, am Ende des Tunnels wieder für Sicherheit zu sorgen, ein Router mit NAT und Firewall z.B. Oder zumindest ein lokaler Firewall auf den Rechnern, die im VPN hängen.

Das (wie auch alles andere) musst Du selber machen. Ist aber recht trivial, Du musst nur bei den Netzwerkeinstellungen (oder im DHCP Server) dafür sorgen, dass KEIN Standardgateway für Libreelec vorhanden ist. Schon kann er nur noch in dem LAN agieren, in dem er auch eine Adresse hat.

Alles anzeigen

Phuh.... also ich verstehe nicht, wie du "NO PANIC" sagen kannst. Das Sicherheitsproblem ist AKUT und betrifft sicherlich tausende von Usern, denen genau diese Thematik nicht bewusst ist. Der VPN Manager for OpenVPN release Thread hat bald 700 Posts und da posten sicherlich nur diejenigen, die mal ein Problem beim Installieren oder bei der Einrichtung haben.

Ich verstehe ja, dass mein OP etwas lang ist, aber genau das was du geschrieben hast, habe ich selbst bereits geschrieben, ich habe da bereits erläutert, also ist mir schon klar, dass der Tunnel genau so funktioniert, wie ein VPN Tunnel nunmal gedacht ist. Ich will damit sagen, dass ich diesen Thread hier nicht eröffnet habe, um nun mehrmals "Hätte ich Dir auch gleich sagen können"-Posts zu sammeln, sondern alle betroffenen User darauf hinzuweisen, ihre Konfiguration bzgl. dieser Problematik zu testen, denn sehr viele nutzen mittlerweile einen VPN provider für die Umgehung des Geoblockings und es wird nirgends auf genau diese Problematik hingewiesen. Ich hole das hiermit für alle nach!

Außerdem sind nicht alle VPN Anbieter so freizügig konfiguriert, also ist es wohl nicht ganz so normal, dass man von außen direkt drauf zugreifen kann, denn anständige Anbieter scheinen sich dessen bewusst zu sein, und diese Richtung der Verbindung zu unterbinden, was auch angebracht ist, wenn man den Service für otto-normal user anbietet und so bewirbt.

Im übrigen geht es hier nicht um VPN-Funktionsweisen im Allgemeinen, sondern darum, dass diese Services eine selbstverständliche Grundabsicherung nicht konfiguriert haben. Wir sind nicht im Jahr 2000, wo nur eine Handvoll ausgebildete Admins einen VPN für ihre Zwecke einsetzen, sondern im Jahr 2016, wo es VPN Anbieter wie Sand am Meer gibt, und die User bei der Sensibilisierung nun erstmal nachziehen müssen. NUR dafür habe ich diesen Thread eröffnet.
Also bitte @mam... Das soll ein Konstruktiver Thread sein, wo "NO PANIC" nun überhaupt nicht reingehört. Oder würdest du auch NO PANIC sagen, wenn du feststellst, dass im hypotherischen Fall dein FireTV seit einem halben Jahr dein gesamtes ansonsten super abgesichertes LAN ins Netz stellt, weil Amazon irgendwas beim Prime instant Video dienst falsch konfiguriert hat. Du dachtest so wie jeder user, dass du mal 49€ im Jahr fürs Streaming zahlst, aber dann stellst du fest, dass vor 2 wochen auf tausende Dateien auf deiner am FTV hängenden externen HDD mit einem 10 Jahre alten Trojaner verseucht sind und du dir das partout nicht erklären kannst? Nun... ich hoffe der Prime instand video Dienst verursacht nicht so eine Problematik, aber an meinem OpenELEC Raspberry ist mir genau diese Trojanerinfektion vor 2 Wochen aufgefallen und nun ahne ich auch, was der Grund dafür sein könnte.

Einfach bitte konstruktiv und beim Thema bleiben. (habe schließlich 90% deines Bereits im OP beschrieben)

Für den Hinweis mit dem Standardgateway bedanke ich mich herzlich, genau auf solche Tipps warte ich hier Ich muss das mal probieren!

Zitat von bumblebee

ich hänge mich mal mit dran, bin aber windows nutzer.

Bin da etwas unerfahren in dem thema.

In meinem fall reicht da nicht die windows firewall richtig ?

Bei trifft es auch zu das ich über die externe ip zugreiifen kann über port 8080 wenn ich den webserver aktiviere, aber den brauche ich leider fur yatse.

Was sollte ich den am besten machen ? Aktuell ist meine vpn über “lp2p“ eingerichtet.
Sollte ich dieses lieber oder besser über openvpn machen ?
Und wie kann ich.mich noch absichern ausser der windows firewall?

Alles anzeigen

Welchen VPN Anbieter setzt du denn ein, wenn dich das Problem auch betrifft?
Ich habe gestern mal den PureVPN client runtergeschmissen und auch die offizielle OpenVPN binary installiert (TAP Netzwerkadapter). Aber auch diese hebelt die Windowsfirewall aus, also da scheint es auch keinen Schutz zu geben, wobei ich hier auch völlig unerfahren bin und möglicherweise eine Fehlkonfiguration habe. Da sich @MaxRink mit Firewalls auszukennen scheint, hätte er vielleicht einen Tipp wie man eine Firewall für OpenVPN anständig konfiguriert? Wenn ich im Netz nach Firewall+OpenVPN suche, finde ich nur Infos wie man die für OpenVPN eine Ausnahme in der Firewall einrichtet: also entweder es geht nichts durch, oder es geht alles durch.

Zitat von mam

Und NATÜRLICH bist Du damit von aussen voll angreifbar, das ist sogar der Sinn der Sache (nein, nicht das Angreifen, aber die Bereitstellung von eigenen Servern ans Internet trotz dynamischer Adresse, Geofilterung, Firewalls usw.)

Das trifft auf den ursprünglichen VPN Einsatzzweck zu, ja. Es ist das Ziel, dass man durch den Tunnel von der Arbeit oder aus dem Urlaub verschlüsselt und sicher auf das Heimnetzwerk zugreifen kann und umgekehrt. Das trifft völlig zu, wenn man beide Server selbst konfiguriert hat.

Aber wir reden hier von einem anderen Einsatzzweck, wo mir die Server am anderen Ende nicht gehören, und wo diese Server auch nicht für diesen Einsatzzweck hingestellt und von mir bezahlt werden. Bitte beim Thema bleiben :/. Wir reden hier nicht über VPN theorie und Grundlagen, sondern über eine Problematik und deren Lösungswege bzw. die Sensibilisierung und Aufklärung der User, welche einen VPN Anbieter nutzen, der für IPTV oder gegen Geoblocking angeschafft wird.

Ich verstehe ja selbst wie ein VPN funktioniert und wofür das ursprünglich erfunden wurde, jedoch ist das hier was ganz anderes. Hier geht es um einen Fremdserver, der für den gegebenen Einsatzzweck ungeeignet konfiguriert ist und somit eine extreme Gefahr für den Endnutzer darstellt.