SSH-Tunnel für DSM aufsetzen

[wolfn]

Hallo zusammen,

nachdem ich ich jetzt schon tagelang vergeblich versuche, den Port 5000 der DS per SSH-Tunnel zu erreichen, hoffe ich, daß hier jemand den entscheidenden Tip weiß...
Habe leider noch mit keiner Suchmaschine den Tip gefunden oder steh' irgendwie im Wald...

Mein setup:
Mein Laptop (Ubuntu) soll aus dem Internet (Hotel oder was auch immer) per SSH ins heimische Netz. DynDNS funktioniert (meistens). Hinter meinem Router/FW (Easybox803)
sitzt ein RaspberryPi (Raspbian), der den SSH-Tunnel aufbaut (Port-mapping am Router).
Weil die DS meistens aus ist, kann der Pi bei Bedarf ein WOL losschicken um sie zu starten. Klappt reibungslos, auch per SSH.
Ich kann mich dann auch per SSH bis auf die DS hangeln und per Kommandozeile alles machen.
Auf dem Laptop wird SSH mit Socks5-Proxy gestartet, sodaß auch ein Web-Browser was davon hat.
Per Firefox kann ich dann alle im lokalen (heimischen) Netz laufenden Webserver erreichen, aber NUR die auf Port 80, auch die Testseite der DS (läuft nix weiter).

Was mir aber einige weitere graue Haare beschert hat: Port 5000 (die DSM-Oberfläche) ist auf diesem Wege nicht erreichbar, jedenfalls bekomme ich es nicht gebacken.

Wenn jetzt jemand nach Fehlermeldungen etc. fragt, muß ich leider passen: Ich habe nur selten Gelegenheit, von extern Tests zu machen und muß meist durch den eigenen
Router raus und gleich wieder rein, das könnte zu Verfälschungen/Problemen führen.
Ich bin aber fast sicher, daß es keinerlei Meldungen gab. Es ist einfach nichts passiert.
Irgendwelche Port-Filter sind nicht im Spiel - kein Firmennetz oder sowas.

Die ganzen man-pages, cookbooks und was ich noch so gefunden habe liegen hier schon ziemlich zerlesen umher, aber an dem Port 5000 bin ich bis jetzt gescheitert.

Wer hat DEN Tip?

 

[Ardiff]

Hallo kann deine Herausforderung nachvollziehen.

Port 443 wäre ideal. Hast du schon was gefunden?

Wir hängen bei dem gleichen Problem.

 

[wolfn]

So, kurzes Update:
Hatte gestern Gelegenheit, richtig extern zu testen - und o Wunder, die DSM-Oberfläche kommt.
Erklärung dafür habe ich keine...

Einziger mir bewußter Unterschied ist, daß die Komponenten neu gestartet waren (reboot).

Allerdings habe ich nicht explizit den Port 5000 im Browser angegeben, sondern nur die IP der DS,
dann kam plötzlich so eine Art Weiterleitung auf 5000 - das versteh' einer.

@Ardiff: Wenn Du auf Deinem (Ziel-)Router/Rechner 443 offen hast, sagst Du halt dem SSH-Client, er soll 443 nehmen.
Alles unter 1024 braucht aber root soweit ich weiß.
Ich bin deswegen (und weil da -vielleicht- nicht so viele Scanner rumtoben) nach weiter oben gezogen.

 

[mova]

habe auch kuerzlich ein Nas gekauft.

nur so ein Gedanke, spielte auch mit dem Gedanken SSH zu oeffnen, habe es aber aus Sicherheitsbedenken nicht gemacht. Die DSM Oberflaeche erreicht man aber trotzdem, und zwar ueber ConnectId.

 

[wolfn]

Bitte nichts durcheinanderbringen:
Meine DS ist nicht direkt von außen zu erreichen. Der SSH-Tunnel von außen endet im Raspbpi und der geht dann intern drauf!
Ich sehe da einen erheblichen Unterschied.

Und soweit ich mich eingelesen habe, sind die aktuellen SSH-Implementierungen (Vers. 6.5 oder neuer) mit das sicherste was man derzeit haben kann, aber eben nur die.
Deshalb habe ich mich auf SSH festgelegt.

Zu dem Connect ID kann ich allerdings nichts sagen.

 

[Frogman]

QuickConnect ist etwas völlig anderes - damit wird praktisch an der NAT vorbei eine Kommunikation von innen aufgebaut. Und den SSH der DS nach außen freizugeben, ist doch schon reichlich riskant, jedenfalls für jemanden, der keine weiteren Maßnahmen ergreift und dieses unbedarft als dauerhaften Zugang sieht! Der Sinn hält sich darüber auch für den regulären Einsatz einer DS stark in Grenzen. Wenn man hier nicht genau weiß, was man tut, reißt man durch Konfigurationsfehler und eventuell auch nicht geschlossene Löcher in zusätzlichen eingesetzten Tools wahre Scheunentore auf!

 

[wolfn]

Ja, das sehe ich genauso.
Deswegen auch meine 'zweistufige' Anbindung, hat allerdings auch noch andere Gründe.
Authentifizierung geht nur über Keys.

Aber das mit dem Quick-Connect halte ich ja nachgerade für Harakiri!
Damit wird ja, jedenfalls was ich bisher gelesen habe, alles an (Rest-)Sicherheit aushehebelt.
Ist bei mir komplett blockiert (hatte das schon völlig verdrängt).

 

[Puppetmaster]

Authentifizierung geht nur über Keys.

Ja, wenn du das Métier beherrschst, und mit Zertifikaten und Schlüsseln umzugehen weißt, dann ist das schon ziemlich sicher. Allerdings ist das Potential für Fehler eben enorm hoch, und jemand, der dort im Blindflug was "installiert" hat sich am Ende weitaus größere Probleme (eben die besagten Scheunentore) aufgerissen, als es ein simpler Port für den Webserver macht.

 

[wolfn]

Da hast Du zweifellos recht.
Nur könnte ich mich kaum überwinden, per Webserver quasi einen 'Seiteneinstieg' in meine Datensammlung zu erzeugen,
außer das ist die einzige Bestimmung der DS.

 

[Puppetmaster]

Nur könnte ich mich kaum überwinden, per Webserver quasi einen 'Seiteneinstieg' in meine Datensammlung zu erzeugen,
außer das ist die einzige Bestimmung der DS.

Der apache ist ja ein alter Bekannter und die halbe Welt arbeitet damit. Möglich, dass er Löcher hat, aber die kann eine Backdoor in deinem RaspiSSH auch haben.

Aber dann bin ich doch lieber auf der ganz sicheren Seite und lasse es erst gar nicht zu, von aussen auf meine Daten intern zuzugreifen.

Und letztlich: woher weißt du, dass die fernöstliche Programmierung der Synology-Software keine Backdoors hat? Möglicherweise telefoniert sie ja auch von sich aus irgendwohin und es bedarf gar keines Zugriffs von aussen, um deine Daten abzusaugen!? Die geeigneten Werzeuge (QuickConnect) hat die DS schließlich schon im Standardgepäck.

 

[wolfn]

Ja, da fällt mir ein Satz, ich glaube von Ringelnatz, ein: 'Nichts ist sicher, noch nicht einmal das.'
Dann sollte man auch nicht vor die Tür gehen, könnte ja ein Auto kommen oder ein Dachziegel runterfallen ;-)

Aber Spaß beiseite: ich habe mich für den Pi mit SSH entschieden, weil -wie ich an anderer Stelle schon geschrieben habe- die neueren SSH-Versionen Verschlüsselung enthalten,
die ohne Beteiligung einer gewissen Behörde arbeitet. Alles sonst (IPsec, SSL usw.) gilt mittlerweile als suspekt oder kompromittiert (siehe Heise online).
Was ich auch durchaus für einen großen Vorteil ansehe: Die Lösung mit dem SSH-Tunnel braucht nur genau einen offenen Port in der FW und nicht etwa mehrere.
Da sollte die Absicherung und Kontrolle deutlich einfacher sein.

Und was die Verbindung von innen nach außen anbelangt: Alle 'smarten' Stationen, die mit kommerzieller Software laufen, sind im Router blockiert, d.h. können nicht 'nach Hause' telefonieren.
Updates und sowas geht 'zu Fuß' oder wird in Einzelfällen kurz freigeschaltet.

 

[Frogman]

... Alles sonst (IPsec, SSL usw.) gilt mittlerweile als suspekt oder kompromittiert (siehe Heise online).....

Wie kommst Du darauf?

 

[wolfn]

@Frogman: lies mal hier: http://www.heise.de/security/artikel/Nach-Snowden-Wenig-Schlaf-fuer-Kryptoforscher-2392236.html
und hier: http://www.heise.de/security/meldun...nativen-zu-NIST-Krypto-Standards-2103493.html

Bin selber kein Profi darin, aber was soll man überhaupt noch glauben...

 

[Puppetmaster]

Richtig, aber das Problem bestand schon immer, und meines Wissens ist noch kein Quantencomputer gebaut worden.

Es ist halt wie beim Arzt: du bist nicht gesund, du bist nur nicht richtig untersucht!


Nachtrag: Wenn du ein VPN nutzt, dann kommst du i.d.R. auch mit einem Port aus. Darüberhinaus gestattet es das VPN auch noch mit Diensten zu arbeiten, die die DS anbietet (MailStation, FileStation, div. Webserver, etc.). Da benötige ich auch keinen bunten Strauß von Ports zu. Wenn du jetzt sagst, dass IPSec, SSL etc. alle kompromittiert sind, dann ist für meine Begriffe die Grenze dessen, was dem Normalsterblichen zumumutbar ist, weit überschritten. Dies sind die gängigen Technologien, die auch in Firmennetzen weit verbreitet sind.
Mit der Lösung die du fährst könnte ich jedenfalls nicht "leben". Ich möchte z.B. von meinem Smartphone aus meine Mails von der DS abrufen. Mit deinem Verfahren sehe ich jetzt nicht, wie das ohne irgendwelche - womöglich kritischen - Klimmzüge gehen sollte. Da vertraue ich einfach dem genutzen VPN und selbst wenn das keine 100% Sicherheit bietet: im Zweifel wurden meine Mails schon kopiert, gelesen, ... bevor sie meine DS überhaupt erreichten.

 

[Frogman]

@Frogman: lies mal hier: http://www.heise.de/security/artikel/Nach-Snowden-Wenig-Schlaf-fuer-Kryptoforscher-2392236.html...

Was glaubst Du, wie die asymmetrischen Schlüssel für Deinen SSH-Tunnel angelegt werden? Elliptische Kurven als Alternative für die üblichen Zufallszahl-Arien ist aktuell die mathematisch anspruchvollste (und daher auch sicherste) Methode - ob nun für TLS oder SSH. Letztlich geht es um die Wahrung der hohen Dimensionalität der Zahlenkörper, sowohl bei Zufallsgeneratoren wie auch bei den elliptischen Funktionen. Dem Vorschlag des NIST ist aufgrund der Vorgeschichte mit dem Zufallsgenerator sicherlich Vorsicht entgegenzubringen, ändert aber dennoch nichts an der mathematischen Stabilität der zugrunde liegenden Kryptoalgorithmen. Die Verwendung anders parametrisierter elliptische Kurven ist kein Alleinstellungsmerkmal von OpenSSH, sondern kann von jeder Implementierung verwendet werden - und wird nach meiner Ansicht auch zeitnah Eingang in die Standards finden (der TLS-Draft ist ja schon da!). Deswegen davon zu sprechen, SSL oder IPSec seien suspekt oder gar kompromittiert, geht mächtig an der Sache vorbei und - wie Puppetmaster schon richtig sagt - schürt völlig unbegründet Zweifel bei den Usern, die als einfache Anwender weniger tief in die Inhalte einsteigen wollen/können! Ganz abgesehen davon: selbst bei einer geschwächten asymmetrischen Implementierung, wo irgendwann in der Zukunft der Zeitaufwand für eine Entschlüsselung in Jahren oder Monaten bemessen werden könnte, wachsen mir angesichts der Verwendung eines temporären symmetrischen Session-Keys (Stichwort PFS) noch keine grauen Haare... Und nebenbei gesagt: glaubst Du ernsthaft, Dein Laptop wäre derart gut gesichert, dass ein Eindringling, der mit der Manipulation von elliptischen Kurven klarkommt, nicht auch problemlos Deine Keys abgreifen könnte? Wenn er die hat, stehst Du mit heruntergelassenen Hosen da...

 

[wolfn]

@Puppetmaster: Du hast schon recht, ich sehe das -speziell mit den mails- genauso. Da gibt es garantiert noch ein paar 'Sicherheitskopien'.
Aber auf so einer DS liegen ja meist auch Sachen, Die Du nicht unbedingt auf dem Marktplatz zur Schau stellen möchtest (ganz jenseits irgendwelcher zweifelhaften Dateien).

Ich habe auch an keiner Stelle gesagt, daß nun alle sowas wie SSH machen müssen. Ich finde nur immer wieder, daß alle viel zu lax mit dem Thema umgehen.
Man muß halt für sich entscheiden, ob Komfort oder Sicherheit Vorrang hat. Beides wäre natürlich optimal.

Daß ich jetzt bei SSH hängengeblieben bin hat auch garnicht so sehr seinen Ursprung in der tollen Sicherheit, das habe ich erst so nach und nach mitbekommen.
SSH nutze ich schon seit Urzeiten als Ersatz für Telnet und weil es in meinem 'Schweizer Taschenmasser' (MidnightCommander) gleich eingebaut ist.
Ich hatte auch versucht, ein VPN aufzusetzen, war dann aber mit SSH viel schneller am Ziel und habe dann an mehreren Stellen gelesen, daß damit der erzielbare Durchsatz
unter sonst gleichen Bedingungen deutlich besser sein soll (ca. +50%). Bin damit auch durchaus zufrieden.
Klar gilt SSH-Tunneln als 'poor mens VPN', aber Du kannst auch jedes beliebige Protokoll durchschleusen.

Bei mir dient die DS nur als Datenlager und als Streaming-Server im lokalen Netz. Insofern empfinde ich das nicht als Einschränkung.

Und was den 'Normalsterblichen' zumutbar ist oder nicht - da will ich mir kein Urteil anmaßen. Wer zu spät kommt...
Eigentlich sollte man erwarten können, daß die Firmen, die entsprechende Produkte (Hardware wie Software) verkaufen, diesem Aspekt hinreichend Rechnung tragen.
Wie die Realität aussieht wissen wir ja.

Was schließlich die Sicherheit von Firmennetzen anbelangt - da hole ich jetzt mal den großen Maulkorb...


@Frogman: Ich rede nur über die aktuell verfügbaren Mittel/Tools und will auch keinem hier irgendwas verkaufen.
Und - wie schon gesagt, hat sich einiges infolge diverser Randbedingungen in die beschriebene Richtung entwickelt.
Ich will weder irgendwas schlechtreden noch irgendeinen 'Glaubenskrieg' anzetteln.
Und daß ich auf der Krypto-Strecke nicht der Ober-Guru bin, hatte ich wohl weiter oben schon gesagt (oder wars in dem anderen Thread?).

Fakt ist aber wohl, daß bei den aktuell gebräuchlichen Methoden (siehe NIST-Standard) die Mitarbeit und die Vorgaben einer bestimmten Firma ganz wesentlich waren.
Darauf baut mein 'suspekt'. Und damit muß noch nichtmal einer in mein Laptop eindringen, was sicher auch kein Kunststück wäre.

 

[Frogman]

...Man muß halt für sich entscheiden, ob Komfort oder Sicherheit Vorrang hat. ..

Aber genau hier treffen Deine Ausführungen oben eben nicht - weder ist SSH ein Argument pro Sicherheit/gegen Komfort noch TLS pro Komfort/gegen Sicherheit! Es geht auch hohe Sicherheit und hoher Komfort (wenngleich man sich aktuell mit der Materie beschäftigen muss, um zu wissen, was man benötigt... die Anwendung ist dann aber ziemlich komfortabel).

 

[wolfn]

ups, da wars Du schneller.
Wie oben schon gesagt, etwas ist besser als garnichts, wenns denn richtig gemacht ist.

 

[Frogman]

....Darauf baut mein 'suspekt'. Und damit muß noch nichtmal einer in mein Laptop eindringen, was sicher auch kein Kunststück wäre.

Tja, dann müßte Dir Deine Lösung auch 'suspekt' sein - denn ein potentieller Eindringling wird von Deinem LAN nur von einem dagegen recht unkomplizierten Angriff auf Dein Laptop und die dort liegenden Keys ferngehalten... Mir ist da der Zugriff auf einen TLS-geschützten Dienst mit ausreichend starkem Algorithmus inkl. PFS mit einem starken Passwort weniger suspekt

 

[wolfn]

Mir ist da der Zugriff auf einen TLS-geschützten Dienst mit ausreichend starkem Algorithmus inkl. PFS mit einem starken Passwort weniger suspekt

Das würde ich mir gerne nochmal im Detail ansehen. Hast Du dazu was zum nachlesen griffbereit?
Kann denn eine DS überhaupt sowas?