Via SMS tijdelijk een poort open zetten in mijn router

Kan je niet veel makkelijker gewoon een mailtje gebruiken? Of een IRC kanaal? Of een telegram client? Of een port-knock? Of een SSH tunnel? Of een VPN?

Waarvoor zet je die poort open? Filetransfer? HTTP? Ik denk dat je het jezelf onnodig moeilijk maakt. Via een SSH verbinding kan je filetransfers uitvoeren en bv een tunnel opzetten voor andere services. Als dat niet voldoende is zou je altijd nog aan de VPN kunnen.

Denk dat je een up to date en goed instelde openVPN of openSSH verbinding gewoon veilig open kunt laten staan. Want zelfs wanneer je hebt bedacht hoe je het de opdracht tot openen wilt versturen (zou het dan gewoon via mail doen), moet je die poort nog daadwerkelijk openen. Via uPNP kan wellicht, maar juist dat protocool is in het verleden juist niet erg veilig gebleken.

Aanvulling: ja en ik zie ook dagelijks een 10/20 tal loze pogingen tot verbinden op de ssh log echter met key-based auth komen ze simpelweg nooit in. Ik zou nog de ssh poort aan kunnen passen maar daar ben ik dan weer te lui voor.

[ Voor 16% gewijzigd door Verwijderd op 23-12-2016 01:57 ]

Ik zou de portforwarding laten staan, maar toegang regelen via een firewall rule op de nas. Stuk makkelijker te scripten!
Leuk idee trouwens! Mail lijkt mij makkelijkste optie trouwens. Evt ixm google authenticator code

unfold schreef op vrijdag 23 december 2016 @ 10:10:
@kwibox: Ik wil poort 80 kunnen openzetten om in de webinterface van mijn nas te kunnen en daar bestanden te up- of downloaden, bijvoorbeeld als ik een presentatie geef buitenshuis.

En ik begrijp je punten over SSH en een tunnel, maar ik deel je vertrouwen in die systemen wat minder. Zodra een stukje software uberhaupt aanspreekbaar is, kunnen er waarschijnlijk al dingen omzeild worden. Ook SSH heeft zero-days. De Heart bleed bug was ook een mooi voorbeeld. Een firewall vertrouwt ook gewoon op de linux kernel e.d.

Over het algemeen wordt SSH, ondanks een (aantal) 0-day(s), toch als veilig gezien. Je zou SSH nog op een andere poort kunnen draaien om te ontkomen aan de meeste port-scans, maar over het algemeen is dit veilig genoeg voor een heleboel toepassingen.

In een wereld vol aanvallen die uit science fiction films lijken te komen (Mirai botnet..) wil ik het aanvalsoppervlak gewoon zo veel mogelijk verkleinen.

@laurens: Als ik toegang tot mijn nas toesta, dan heb ik nog een apparaat waarvan de firewall zero-day vrij moet zijn. En een nas is zo'n sappig randomware doelwit dat ik die graag zoveel mogelijk verberg.

@johnkeates: Ik wist niet precies wat een port-knocking was, en dat lijkt eigenlijk precies gemaakt te zijn om tijdelijk een firewall poort open te zetten van buitenaf! Dank je wel!

Het lastige met port-knocking vind ik dat het vooral 'security through obscurity' is. Als die sequentie de webpagina van je NAS openzet denk ik dat je daar weinig mee wint. (Je hebt altijd de mogelijkheid dat iemand je internetverkeer afluistert, en daarmee de sleutel in handen heeft).

Als je die interface benadert via een SSH-tunnel hangt hij nooit direct aan het internet. Ik denk dat dat een veiligere optie is.

OpenWrt heeft een server voor port knocking
https://wiki.openwrt.org/doc/howto/portknock.server
Zie ook deze pagina met andere suggesties:
https://wiki.openwrt.org/doc/howto/secure.access

Ik zou gewoon een VPN gaan regelen.
En als je wilt kan je dat ook met certificaten beveiligen.
En je zou ook nog rules kunnen aanmaken dat alleen bepaalde IP adressen een VPN mogen opzetten.

Dan kan jij er gewoon bij. Staat je poort gewoon "open". En hoef je niet moeilijk te doen met SMS of wat dan ook.
Want als ik je SMS weet kan ik je poort ook open zetten bv.

Kun je beter gewoon op een URL even een waarde van 0 op 1 zetten..
of van 0 naar een poortnummer....

Maak je op de NAS een cron job of een draai je een scriptje die de waarde van die URL in de gaten houd en de poort kan forwarden.

Trouwens zou ik hem gewoon altijd geforward laten en waarschijnlijk het script op je NAS een firewall regel laten toevoegen of wijzigen denk ik.

[ Voor 24% gewijzigd door Verwijderd op 23-12-2016 12:04 ]

Wat voor NAS gaat het om? Op een Synology kun je 2FA aanzetten op de webinterface.

Ik heb op mijn NAS ingesteld dat alleen het IP-adres van m'n ouders erbij mag. Als ik er vanaf een andere plek bij wil dan start ik een VPN-verbinding naar m'n thuisnetwerk op.

Je kunt toch ook openvpn opzetten in die nas, vervolgens met andere gebruikersnaam je nas benaderen?

Aan de veiligheid van SSH zou ik zeker nog niet al te snel twijfelen. Van zodra daar echt een probleem mee is ga je het nieuws zien ontploffen. Zoals andere aanhalen kan je die nog combineren met port knocking. Ook bij de meeste VPN oplossingen zou ik niet snel twijfelen om gelijkaardige redenen. Als de oplossing breed genoeg wordt ingezet mag je er van op aan dat je het hier op de frontpage snel zult weten als er een lek in zit.

Een systeem met SMS zou je kunnen opzetten, maar ofwel betaal je een provider waar je via een API binnenkomende berichten kunt opvragen ofwel koop je zelf een SMS modem en ga je zelf aan de slag met software. Vergeet daarbij ook niet dat de SIM kaart die je gaat gebruiken ook niet voor eeuwig meegaat als je deze enkel maar gebruikt om af en toe een SMS mee te ontvangen (tenzij je een abbonement afsluit voor die kaart).

Om van buitenaf dan toch berichten naar binnen te kunnen krijgen kan je dan het vlotste met e-mail werken. Even betrouwbaar als SMS en vaak ook even snel.

Al gedacht aan een 3G stick ? Daar sms naar sturen... Vanaf bepaald nummer en bericht... Deze in je nas die dan een script runt voor de router port... Fyi kun je ook gewoon poort 80 forwarden en de iptables op uw nas het werk laten doen ...

unfold schreef op vrijdag 23 december 2016 @ 10:10:
@kwibox: Ik wil poort 80 kunnen openzetten om in de webinterface van mijn nas te kunnen en daar bestanden te up- of downloaden, bijvoorbeeld als ik een presentatie geef buitenshuis.

Gebruik gewoon HTTPS (443), een sterk wachtwoord en zorg dat je software bijgewerkt is. Dat is veilig genoeg voor zo'n beetje de hele wereld dus zou voor jou ook prima moeten werken.

Als je gewoon HTTP (poort 80) gebruikt dan is al het verkeer onversleuteld en dus afluisterbaar. Dat los je op door HTTPS te gebruiken, dan is al het verkeer versleuteld.

[ Voor 15% gewijzigd door Jazzy op 23-12-2016 13:22 ]

Jazzy schreef op vrijdag 23 december 2016 @ 13:21:
[...]
Gebruik gewoon HTTPS (443), een sterk wachtwoord en zorg dat je software bijgewerkt is. Dat is veilig genoeg voor zo'n beetje de hele wereld dus zou voor jou ook prima moeten werken.

Als je gewoon HTTP (poort 80) gebruikt dan is al het verkeer onversleuteld en dus afluisterbaar. Dat los je op door HTTPS te gebruiken, dan is al het verkeer versleuteld.

Precies zoals hierboven gezegd wordt, gebruik https en geen http.

Je zegt dat je SSH niet vertrouwd, maar je gebruikt wel http

Ikzelf gebruik altijd SSH tunnels voor poorten waar ik niet vaak bij hoef. Voor de poorten waar ik wat vaker bij moet kunnen zet ik het alleen open als het verkeer in transit encrypted is (https bv.), en daar bovenop heb ik dan wat geo-fencing geconfigureerd op de firewall in mn NAS.

Dit is ook wat ik jou aan zou raden, dus of SSH tunnels, of switchen naar https en dan geo-fencing configureren op je NAS, dat scheelt alweer aanzienlijk in wie er bij die poort kan komen.

1. SSH en OpenVPN wantrouwen heeft zoals eerder gezegd een redelijk alu-hoedje gehalte. Bedenk ook, degene die in staat zal zijn jou te hacken via nog onbekende lekken in SSH of OpenVPN zal dat zeker niet toepassen op zo'n low-profile target als jij of ik (excuses als ik het mis heb). Die dingen zijn op de zwarte markt veel geld waard.

2. Als die persoon al in staat is om SSH en/of OpenVPN te hacken en dan ook jou als target hebben, dan zal jouw eigen knutseloplossing zeker onveiliger zijn. Ze zullen eerst proberen je te drogeren en je telefoon te stelen of je huissleutels

3. Als een webserver door een serieuze sysadmin wordt beheerd, dan zal hij alleen inloggen d.m.v. SSH sleutels. Dat is al een flinke tijd een best-practice en wordt nog altijd als veilig beschouwd. Ik daag je uit nieuwsberichten te vinden waarbij servers / websites zijn gehacked waar alleen SSH sleutels als toegang werden gebruikt.

4. De lekken (e.g. Heartbleed) die je aanhaalt zaten niet in OpenVPN, maar in OpenSSL. Als je dus OpenSSL niet vertrouwd (waar je best een punt in kan hebben), dan gebruik je toch een OpenVPN versie die gelinked met een andere SSL library zoals mbedtls. Die is in OpenWRT gewoon standaard beschikbaar.

5. Je hebt nog niet gezegd welke router je hebt en of deze stock firmware draait? Zo ja, dan is dat ook een veiligheidsrisico voor het type veiligheid dat jij zoekt

Verder wel goed dat je er over nadenkt, schiet er alleen niet in door!

unfold schreef op vrijdag 23 december 2016 @ 01:21:
Ik heb trouwens ook gezocht of er routers zijn waarbij je poorten via een tijdschema open kan zetten, maar zelfs dat heb ik niet gevonden. Wel 'parental controls', maar dat is van binnen naar buiten, voor het blokkeren van apparaten die al op het netwerk zitten.

Alle custom firmware's kunnen dit zoals OpenWRT, DD-WRT, PFSense.

[ Voor 13% gewijzigd door CurlyMo op 23-12-2016 14:38 ]

CurlyMo schreef op vrijdag 23 december 2016 @ 14:32:
1. SSH en OpenVPN wantrouwen heeft zoals eerder gezegd een redelijk alu-hoedje gehalte.

En om dat nog maar eens wat kracht bij te zetten; beide zijn relatief gezien veel veiliger dan de webinterface van een willekeurige NAS. De laatste keer dat OpenSSH echt een securityprobleem had ligt inmiddels alweer 14 jaar achter ons.

OpenVPN of OpenSSH is een prima manier om apparaten over het internet te benaderen, een webinterface van een willekeurige NAS zou ik juist niet aan het internet hangen, zelfs als de fabrikant je een wachtwoord laat instellen. Als ik het me goed herinner was de Synolocker-crisis het gevolg van een serie vulnerabilities waarbij het wachtwoord op de webinterface ook niet meer terzake deed.

Ik heb trouwens ook gezocht of er routers zijn waarbij je poorten via een tijdschema open kan zetten, maar zelfs dat heb ik niet gevonden.

Kijk eens naar Mikrotik routers. Gebruik zelf al jaren mikrotik routers, niet voor deze usecase, maar ik weet daardoor wel dat het prima mogelijk is.

Wat trouwens ook goed werkt is alternatieve poorten kiezen. De standaard poorten van Synology apparaten worden erg vaak gebruikt bij port scans. Ik merkte op mijn eigen FreeNAS systeem ook dat toen ik SSH van 22 naar 23 veranderde ik veel minder portscans zag. Tegenwoordig staat SSH sowieso dicht in de firewall en moet er eerst een VPN opgezet worden.

Maar als jij geen eenvoudige usernames en passwords kiest en enkel versleutelde verbindingen gebruikt zit het goed. Port scans zal je vaak zien maar die zijn eenvoudig te ontwijken met alternatieve poorten.

En anders het QuickConnect systeem gebruiken? Hoef je geen poorten open te zetten.

unfold schreef op vrijdag 23 december 2016 @ 16:19:
Wat ik nu nog steeds denk: fijn dat ik als technoloog dit via SSH kan aanpakken (en geofencing, HTTPS e.d. gebruikte ik al). Maar allerlei mensen om me heen hebben daar geen kaas van gegeten. Die hebben wel een NAS met uPNP en open poorten.

Dat was aanvankelijk geen eis

Of je doet iets veilig of je doet iets noob proof. Dat gaat nou eenmaal niet altijd samen.

De veiligste en makkelijkste optie is bij iedere vriend een router met OpenWRT of een Raspberry Pi, Vanuit hun NAS maak je gewoon een SSH tunnel voor een veilige Samba share. Hetzelfde kan ook via een OpenVPN verbinding tussen beiden NAS-en. Dan is de verbinding tussen jullie versleuteld, maar dan verbinden je vrienden gewoon met een windows netwerk share, alsof het hun lokale NAS is.

[ Voor 11% gewijzigd door CurlyMo op 23-12-2016 16:40 ]

Wat ik ook weleens heb gedaan is een reverse proxy voor de wegservices zetten, waarmee je SSL client auth forceert. Hiermee kunnen derden dus alleen de website benaderen wanneer ze een geldig ssl certificaat in hun browser hebben. Daarnaast moeten ze natuurlijk ook nog aanmelden met username en password.

Het nadeel hiervan is dat als je bv. apps gebruikt op mobiele devices om bij je wegservices te komen, aangezien 99 vd 100 dit niet ondersteunen.

Gezien het feit dat veel NAS'en docker ondersteunen, kan je die reverse proxy gewoon op je NAS zelf draaien.

[ Voor 11% gewijzigd door Verwijderd op 23-12-2016 16:33 ]

Je zou de ingebouwde functie quickconnect kunnen gebruiken.
Deze werkt als een soort broker en zet een beveiligde verbinding op tussen je pc en je Nas.

Je hoeft dan geen poorten te forwarden.

link: https://www.synology.com/...essible_over_the_Internet

[ Voor 25% gewijzigd door Martijndunnink op 23-12-2016 16:57 ]

Je kan toch gewoon https gebruiken en wachtwoorden op mappen en de interface? Of heb je zulke belangrijke dingen dat zelfs dat niet voldoet. Ik kan me ook niet voorstellen dat iemand een Nas met foto's en presentaties gaat hacken. Wie hacked er uberhaupt een nas?

Thralas schreef op vrijdag 23 december 2016 @ 15:46:
[...]


En om dat nog maar eens wat kracht bij te zetten; beide zijn relatief gezien veel veiliger dan de webinterface van een willekeurige NAS. De laatste keer dat OpenSSH echt een securityprobleem had ligt inmiddels alweer 14 jaar achter ons.

OpenVPN of OpenSSH is een prima manier om apparaten over het internet te benaderen, een webinterface van een willekeurige NAS zou ik juist niet aan het internet hangen, zelfs als de fabrikant je een wachtwoord laat instellen. Als ik het me goed herinner was de Synolocker-crisis het gevolg van een serie vulnerabilities waarbij het wachtwoord op de webinterface ook niet meer terzake deed.

Dit. Hoewel ik geen nas heb van synology ben ik er van overtuigd dat zij over het algemeen de security van hun apparaten goed in orde hebben. Dat neemt echter niet weg dat zo'n webinterface over het algemeen veel meer toeters en bellen exposed waar mogelijk mee gerommeld kan worden dan een relatief simpel ssh-servertje of een vpn. Er is een reden voor het feit dat als het echt veilig moet er vaak een ssh tunnel word gebruikt of een vpn. Denk bv aan verbindingen tussen de centrale opslag en de client bij veel epd's van huisartsen of beheer interfaces van professionele netwerkapparatuur.

tim-405 schreef op vrijdag 23 december 2016 @ 17:47:
Je kan toch gewoon https gebruiken en wachtwoorden op mappen en de interface? Of heb je zulke belangrijke dingen dat zelfs dat niet voldoet. Ik kan me ook niet voorstellen dat iemand een Nas met foto's en presentaties gaat hacken. Wie hacked er uberhaupt een nas?

Alles wat aan het internet hangt wordt constant geprobed voor zwakheden, als iemand denkt dat er iets te halen is bij je of gewoon niks beters te doen heeft zie je regelmatig e.a. aan pogingen in je firewall langskomen...

RGAT schreef op zaterdag 24 december 2016 @ 12:27:
[...]


Alles wat aan het internet hangt wordt constant geprobed voor zwakheden, als iemand denkt dat er iets te halen is bij je of gewoon niks beters te doen heeft zie je regelmatig e.a. aan pogingen in je firewall langskomen...

Er hoeft niet eens iets te halen te zijn, het is namelijk heel interessant om always-on apparaten als een nas op te nemen in je botnet, of om te gebruiken om je eigen ip-adres te verbergen bij het hacken van anderen.

Hoezo een raar verhaal? Quickconnect werkt doordat jouw Synology een verbinding initieert naar een externe server van Synology. Daardoor laat de firewall die uitgaande verbinding en alle daarbij behorende binnenkomende verbindingen door in de firewall. Poort forwarding is dus niet nodig.

unfold schreef op zaterdag 24 december 2016 @ 16:51:
@martijen & tsurany: Ik wist niet dat Quickconnect zonder open poorten werkte, kijk aan. Ik ga daar even naar kijken,want als dat zo is dan kan ik de poort sowieso gewoon dichtzetten? Ik vind het een raar verhaal :-)

Je maakt de fout om 'open poorten' gelijk te stellen aan 'veiligheid'.

Die service maakt de webinterface van je Synology alsnog voor iedereen* beschikbaar, maar dan via een HTTP reverse proxy van Synology.

Dat is dus effectief precies hetzelfde als het openzetten van een poort, alleen voeg je nog een extra laag toe die je zelf niet onder controle hebt (dat quickconnect.to domein met bijbehorend SSL-certificaat). En je mag hopen dat ze het verkeer van reverse proxy naar NAS versleutelen.**

Feitelijk kun je dus beter zelf een poort naar de webinterface forwarden dan die Quickconnect feature gebruiken, maar ik heb eerder al betoogd waarom SSH/VPN een veel beter idee is.


* Nouja, tenminste iedereen die de 'Quickconnect-naam' van je NAS weet. Maar die was sowieso niet als 'geheim' bedoeld.

** Dat is eigenlijk vooral een theoretische discussie, want het meest reeële risico is niet zozeer dat iemand geinteresseerd is in de inhoud van je NAS, maar misbruik maken van de resources of wat (ransom) money uit je zak kloppen is dat wel.

tl;dr je kunt beter OpenVPN opzetten op een 'open' poort en via die route de webinterface benaderen (of iedere ander protocol naar keuze, dat is het handige aan een VPN) dan die Quickconnect gebruiken.

[ Voor 7% gewijzigd door Thralas op 24-12-2016 17:58 ]