"Veilig" internet op externe locaties

Hi.

Ik ben zakelijk afhankelijk van mijn computer en communicatie systemen. Lees: vooral een thuiskantoor met desktop en externe locaties / cliënten waar ik op een laptop werk, en in mindere mate mobiele telefoon en tablet.

Hierdoor ben ik erg hard gaan nadenken en werken aan de verschillende vormen van beveiliging. Dit begint bij de bron, en 1 van die bronnen is advertenties.

Ik heb inmiddels een Raspberry Pi draaien met Pi-Hole, waardoor thuis alle DNS requests via de pi gaan. Nu wil ik vanaf externe locaties ook van die pi gebruik kunnen maken.

Ik kan DNS verkeer doorlaten middels een port-forward op poort 53, maar dat is uiteraard af te raden. Beter is het om een VPN verbinding op te zetten.

Helaas zit ik met een beperkte uploadsnelheid, dus volgas een VPN verbinding met thuis opzetten is behoorlijk beperkend. Daarnaast wil ik niet 100% afhankelijk zijn van mijn thuisverbinding.

Mijn vraag: is het mogelijk om op mijn laptops een VPN verbinding op te zetten naar de pi voor de DNS requests, maar dat het normale internet verkeer via de gewone internetverbinding van de cliënt loopt.

De enige oplossingen die ik vind over dit onderwerp is de directe port-forward en een volledige VPN oplossing waarbij zowel de DNS requests als het internetverkeer over de VPN loopt.

Compizfox schreef op vrijdag 27 mei 2016 @ 16:43:
Als je één protocol/poort wilt tunnelen in plaats van al het verkeer is het meestal simpeler en beter om te kijken naar SSH tunneling in plaats van VPN.

Het enige wat je daarvoor nodig hebt is een SSH-server, dus aan je RPi heb je al genoeg.

Ah! Dus op m'n laptop met PuTTY een SSH tunnel opzetten port 53 -> 22, en thuis port-fw 22 naar de RPi instellen. (Zal wel nr. 22 vervangen voor een ander nummer)

Moet ik mijn RPi dan nog zien te vertellen dat via de SSH tunnel DNS requests komen?

F_J_K schreef op vrijdag 27 mei 2016 @ 16:32:
[...]

Waarom dan zo moeilijk doen en een SPOF creëren via een schijnbaar klein datalijntje? Stel lokaal op je laptop filters in.

Yes, idd geen SPOF. Als alleen de DNS via m'n thuis lijn loopt, is het in geval van problemen voldoende om m'n laptop "normaal" te laten internetten via de DNS instellingen van het netwerk van de klant.

In het geval van een SSH tunnel is het voldoende om die dicht te gooien om weer naar een "normale" situatie te gaan.

Overigens zou ik niet durven stellen dat beveiliging begint bij het blokkeren van ads. Het kan soms wel een deeltje zijn, maar bepaald niet stap 1. (Immers zijn er legio andere ingangen als je kwetsbaar zou zijn via ads).

True. Zaken als up-to-date software, degelijke backup strategie en encryptie zijn zeker ook zaken die al in-place zijn (en ik aan het aanscherpen ben). Ik zal binnenkort waarschijnlijk wel een groter topic openen om dieper op die zaken in te gaan

Compizfox schreef op vrijdag 27 mei 2016 @ 19:19:
[...]

Jep.

SSH op een andere poort zetten is security through obscurity. Je kunt beter key-based auth gebruiken en password-based login uitzetten (mits je dat nog niet hebt). Eventueel nog fail2ban installeren als je nog steeds last hebt van loginpogingen.

Haha, ik heb lang geleden eens gespeeld met Remote Desktop over SSH. Toén was het kiezen van een alternatieve poort nog een serieuze tip / opmerking Inmiddels dus achterhaald

De RPi draait nu nog met de standaard instellingen van Raspbian, aangezien deze achter de router/NAT staat en hij nog niet van buitenaf bereikbaar is.

Ik zal wat tutorials opzoeken en van t weekend eens stoeien met key-based auth en fail2ban. Dan kan idd de password-based login uit.

[...]

Nee, mits je DNS-server op alle interfaces luistert niet (het gaat er hier om dat de requests vanaf localhost zullen komen, dus dan moet de DNS-server wel op localhost luisteren).

ah ok. Zal na moeten gaan of Pi-hole dit standaard al doet of dat ik dit handmatig in moet regelen.

Thanks!

[ Voor 8% gewijzigd door Good_Lord op 27-05-2016 22:24 ]

Ok, toch nog een vervolg-vraag (ben redelijk onbekend in de unix-wereld, maar heb er wel af en toe al mee gespeeld)

Ik ben bezig met het correct opzetten van de pi:
- user pi vervangen door een andere user
- key-based auth, password login disabled
- fail2ban

Maar bij het zoeken naar informatie over fail2ban kom ik ook overal IPtables tegen.

Situatie: Mijn RPi staat in mijn netwerk, achter een "simpele" KPN ExperiaBox, met een enkele port-forward voor ssh toegang. Ik maak dus geen gebruik van de DMZ
ALLES wat dat ding ooit gaat doen via WAN wil ik per definitie over ssh laten lopen, wel zo veilig.

Vraag 1: Dan heb ik IPtables niet nodig op de RPi, toch?
Vraag 2: Zie ik verder nog iets over het hoofd mbt beveiliging?

[ Voor 8% gewijzigd door Good_Lord op 28-05-2016 11:55 ]

Voor de leesbaarheid zal ik mijn antwoorden zo kort mogelijk houden:

CMD-Snake schreef op zaterdag 28 mei 2016 @ 12:36:
[...]

Dat gezegd hebbende, dit is een hoop moeilijk doen voor weinig bescherming. Indien je bang bent voor malware via advertenties kan je beter een adblocker installeren. Is simpeler en misschien nog effectiever.

adblocker is idd al actief (Firefox addblocker en ghostery)

Nog wat verdere tips voor veilige gebruik van je machines:

• Zet in Windows je update instellingen op de aanbevolen instelling. Laat patches automatisch installeren. Het is ook handig om Windows updates voor overige programma's te laten vinden. Zaken als Office worden dan ook meteen gepatched.
• Zet automatische update aan voor kwetsbare componenten als Adobe Reader, Flash e.d. indien aanwezig. Let op dat Flash in Windows 8 en 10 via Windows Update bijgewerkt wordt.
• Installeer een goede virusscanner of een internet security pakket. Niet de gratis producten, die zijn bewezen niet zo effectief te werken als de betaalde AV pakketten.
• Patch je browser indien je geen Internet Explorer gebruikt.
• Laat User Account Control aanstaan op de aanbevolen instellingen.
• Zorg voor zo min mogelijk plugins in je browser.
• Gebruik geen warez
• Overweeg om een normaal account aan te maken in Windows en enkel je admin account voor installaties e.d. te gebruiken

- Alle updates gaan in principe automatisch
- behalve voor Windows, die geeft bij mij standaard een melding, waarna ik zsm opdracht geef tot updaten dit voorkomt dat de computer onverwachts gaat updaten op onhandige momenten. Wel geef ik uiteraard zsm die opdrachten.
- Flash en Java zijn überhaupt niet geïnstalleerd, niet nodig. Browser voert standaard niks uit (geen redirects, geen flash, java, etc)
- AV: NOD32
- geen browser plugins behalve ghostery en 2 woordenboeken (eng + nl)
- geen warez

Een 2de user account zal ik zeker overwegen (M'n desktop is toch toe aan een herinstallatie)

Indien je niet afhankelijk bent van software die enkel op Windows draait kan je ook overwegen om Linux te gebruiken. Win32 malware is dan buitenspel gezet.

can't do Ik gebruik o.a. Adobe software, dus dat is Windows of Mac...

Thralas schreef op zaterdag 28 mei 2016 @ 12:45:
[...]

fail2ban leest je logfiles uit en blokkeert 'indringers' door middel van iptables. Als je nu enkel port 22 'naar buiten' hebt openstaan is dat ook de enige poort/service waar fail2ban eventueel nuttig is, want op de overige poorten hoef je geen verkeer van het internet te verwachten.

Wel zou ik nog even beredeneren waarom je fail2ban wilt gebruiken - met PasswordAuthentication disabled is het geheel uitgesloten dat een bruteforcepoging van buiten ooit slaagt, de enige functie die dan nog overblijft is dat je auth.log wat 'schoner' blijft.

ah, ok. Dus eigenlijk is fail2ban overbodig vanwege "PaswordAuthentication no". Dat is het irritante: Er zijn genoeg tutorials over hoe je dingen kan doen / installeren / instellen, maar nergens staat het waarom uitgelegd.

Een ander punt: een SSH tunnel is hier niet heel erg handig, gezien DNS primair over UDP werkt en je dat niet kunt tunnelen met SSH. Dan kom je toch weer snel uit bij een VPN.

Hmm dan is dus deze hele exercitie hooguit interessant voor de ervaring maar heeft het voor dit doel geen praktisch nut. Jammer.

Er is niets wat TS belet om dat op te zetten middels OpenVPN. Of je dat wil is een tweede.

[...]

Ik denk dat ik het hier mee eens ben. Al je DNS over een VPN tunnelen is veel technisch geweld voor iets dat je gemakkelijker oplost met een browseraddon.

Duidelijk. Technisch onhaalbaar ivm UDP over SSH. Via een VPN is technisch misschien wel haalbaar maar is een mug/kanon scenario. Dan zal ik de RPi gaan gebruiken voor echte hobby-projectjes.[/u]



Om het samen te vatten:
Onafhankelijk van wat er over de tunnel gaat: een SSH tunnel
- met key auth
- PaswordAuthentication no
- zonder iptables
- zonder fail2ban
- achter NAT met alleen port xxx geforward
is veilig genoeg om actief te hebben?

Compizfox schreef op zaterdag 28 mei 2016 @ 13:51:
[...]

Kun je UDP niet over SSH tunnelen? Dat wist ik niet.

---

Ik zit nu te kijken, blijkbaar zitter er wat haken en ogen aan qua betrouwbaarheid (UDP -> TCP -> tunnel -> TCP -> UDP)

Wel zie ik e.e.a. over secure socket funneling, zal daar van de week eens wat meer naar kijken voor de gein, maar als het effect zo laag wordt geschat is het waarschijnlijk niet interessant daar mijn tijd in te steken. (hooguit voor de hobby misschien)

Never mind. Als ik aan ssf ga beginnen weet ik niet wat ik doe, waarmee ik potentieel dingen juist gevaarlijker maak.

[...]

Dan heb je Pi-Hole toch ook niet meer nodig?

Mug -> olifant

Pi-hole is rigoreuzer, ook buiten de browser worden advertenties geblocked, bijvoorbeeld in de apps op de tablets. Daarnaast, voor zover ik weet ziet de website niet dat de advertenties niet geladen worden.

---

Klopt het volgende statement?

Een SSH tunnel
- met key auth
- PaswordAuthentication no
- zonder iptables
- zonder fail2ban
- achter NAT met alleen port xxx geforward
is veilig genoeg om actief te hebben.

[ Voor 18% gewijzigd door Good_Lord op 28-05-2016 16:21 ]

Compizfox schreef op zaterdag 28 mei 2016 @ 16:27:
[...]

Ja, maar het nadeel is dat het (zonder VPN/SSH tunneling) alleen op je eigen netwerk werkt.

Ik gebruik op mijn telefoon gewoon AdAway. Daarmee zijn ads in apps ook weg en hoef ik niets te tunnelen.

[...]

Jawel, want de advertentie wordt niet gedownload. Dat wil je overigens ook niet, kost alleen maar extra bandbreedte (met mobiel internet is dat kut) en vertraagt het laden van de site.

Kijk! Dan is VPN/SSH idd niet meer nodig voor pi-hole!

Klopt, dat is veilig.

Thanks! Dan kan ik deze set-up wel gebruiken om andere delen van het netwerk te bereiken in geval van nood (bijv. NAS)