Admin ohne WebZugang

[Tommes]

Ich denke schon, das sowas auch auf ein NAS gehört und ja, es beruht unter anderem auf iptables.

Ohne das jetzt zu sehr vertiefen zu wollen und ohne das ich das zwischenzeitlich überhaupt mal ausprobiert habe, verstehe ich das Portknocking aus dem von mir o.a. Tutorial eher so, das durch eine zufällige Abfolge ausgewählter Ports (z.B. 7000, 8000, 9000) ein zeitlich begrenztes Klopfzeichen generiert wird, welches den Eintrag des eigentlich zu öffnenen Ports in iptables schreibt und dadurch gestattet oder verweigert. Um bei dem Beispiel für SSH zu bleiben...

[openSSH]
        sequence    = 7000:tcp,8000:tcp,9000:tcp
        seq_timeout = 5
        command     = iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Ebenso wird das Schließen des Ports durch ein weiteres bzw. erneutes Klopfzeichen ausgelöst. So jedenfalls die Lösung für ein Ubuntu Linux. Das mag auf einem entsprechenden Router anders gelöst sein, halt so, wie du es erklärt hast, oder wir meine beide das gleiche und haben nur aneinander vorbei geredet. Nichts desto trotz ist das eine sehr schöne Möglichkeit, sein System ein Stück weit sicherer zu bekommen, wenngleich ich bei dieser Lösung bei mir auf einem Pi halt die Klopfzeichen-Ports ja erstmal in der Router-Firewall freigeben muß, damit das Klopfzeichen auf dem Pi ankommt. Oder ich müsste den Pi in eine DMZ stecken... aber soweit bin ich noch nicht. Jedoch wäre der Betrieb in einer DMZ für dieses Unternehmen wohl Sinnvoller.

BTW: ich muß irgendwie immer an diesen Klopfkäfer aus "Die lustige Welt der Tiere" denken... der klopft sich ja auch die ganze Zeit ein Wölfchen um gehört zu werden.

Tommes.

 

[Tommes]

Noch ein Hinweis für alle Interessierten. Portknocking kann man sich auch über die Alternative Fritz!Box Firmware Freetz einrichten... also direkt im Router! Ist natürlich nicht jedermans Sache seine Fritz!box umzufrickeln und ich persönlich würde es auch nicht tun

Tommes

 

[MaCoM]

@Tommes

Danke für die hilfreichen Hinweise zum "Portknocking".

Ich wollte das eigentliche Thema auch nicht unnötig unterbrechen.
Sorry für die zwischenfrage.

 

[Tommes]

Sorry für die zwischenfrage.

Ich persönlich fand deine Zwischenfrage eher als Bereicherung, auch wenn sich hier noch keine Lösung für die DS herauskristallisiert hat. Überhaupt war mir Portknocking bisher nicht bekannt gewesen. Ich fand es sehr interessant.

 

[whitbread]

Also testweise kann man ja erstmal eine Sequenz aus 1 Port nehmen, also bspw. Port 1234 und dann für die IP SSH freischalten.

Nichtsdestotrotz wäre mir auch ein Admin lieber, der sich nur aus dem internen Netz anmelden darf.

Ich habe es halt so gelöst, dass bei mir nur sog. Admin-Clients Zugriff aufs DSM haben. Dafür habe ich meine Netze getrennt in Lan, Wlan, DMZ u.a. Und da kommt dann eben meine Router-Firewall-Lösung ins Spiel. Wenn ich ein System schützen will kann dieses System nicht gleichzeitig der Wächter sein - meine Meinung.

 

[raymond]

Über Portknocking habe ich auch mal nachgedacht. Da es aber ein nicht so bekanntes Verfahren ist wieder verworfen. Zudem ist es deutlich einfacher (finde ich) für alle Admins zu verstehen (Thema nur Admin Zugang von privaten IP-Adressen, natürlich optional): "Wenn ich den Haken anklicke kann ich mich als Admin nur anmelden wenn ich im lokalen Netzwerk bin. Okay dann lege ich eine zweiten Benutzer an für den Zugriff über das Internet. Das ist ja einfach und sicher..."