[port knocking] wie gebruikt dat? - Netwerken

Vraag

vrijdag 15 april 2022 09:38

Acties:

0 Henk 'm!

Op grote hoogte

Topicstarter

Ik ben een huis- tuin- en keukengebruiker en nu heb ik sinds kort Home Assistant. Om diverse redenen zou ik 't leuk vinden om die ook van buiten te kunnen gaan gebruiken, maar ik ben wat terughoudend met porten openzetten.

Nu dacht ik weer 's aan het concept port knocking. Als je daarop Googled en logisch nadenkt snap je al snel dat security through obscurity nooit een briljant plan is, zie bijvoorbeeld:

https://www.howtogeek.com...nux-and-why-you-shouldnt/

Goede argumenten, maar als je zorgt voor updates van de rest van je hardware en software is zo'n extra laag als gewone gebruiker toch best een toevoeging? Ik verwacht namelijk niet dat ik uberhaupt een zinnige target ben als simpele Henkie. En als ik dit alleen voor mezelf houd, wie komt daar dan achter?

Zijn hier mensen die in een soortgelijke privé situatie port knocking hebben? (of durf je dat niet te zeggen omdat alle Tweakers dan wakker zijn en bij jou komen kloppen?)

Aan bovenstaande tekst kunnen geen rechten worden ontleend. Aan de tekst hieronder wel.

Alle reacties

vrijdag 15 april 2022 09:44

Acties:

+1 Henk 'm!

Harmen

⭐⭐⭐⭐⭐⭐

Hier ook een HA gebruiker. Heb op m'n router (OPNsense) openvpn ingericht, kan zo vanaf buiten er makkelijk bijkomen. Poorten openen heb ik slechte ervaringen mee.

Whatever.

vrijdag 15 april 2022 09:47

Acties:

+1 Henk 'm!

laurens0619

Port knocking is een grappig concept maar in praktijk niet heel nuttig aangezien de app het moet ondersteunen

praktischer is het om vpn te gebruiken

CISSP! Drop your encryption keys!

vrijdag 15 april 2022 09:47

Acties:

0 Henk 'm!

ISaFeeliN

Ja portknocking wel vaker gebruikt. Het is natuurlijk wel behoorlijk obscure en als het goed is staat het dan ook maar even open. Als je een statefull firewall draait kun je ook gelijk daarna de boel weer dicht gooien, je 'established' verbinding blijft dan alsnog bestaan. Niet ideaal qua security uiteraard, maar wel erg makkelijk.

vrijdag 15 april 2022 11:01

Acties:

0 Henk 'm!

nelizmastr

Goed wies kapot

VPN is idd uiteindelijk de beste oplossing. IPSec of een IKEv2 roaming VPN zijn de handigste omdat deze ook breed ondersteund worden op telefoons en tablets van alle merken.

I reject your reality and substitute my own

vrijdag 15 april 2022 11:29

Acties:

0 Henk 'm!

upje

Voor het gebruik van homeassistant buitenshuis kan je nginx installeren. In combinatie met duckdns is dan alles geregeld.

vrijdag 15 april 2022 11:53

Acties:

+1 Henk 'm!

holygame

Support Home Assistant en betaal $6.50 per maand zodat zij het voor je regelen

https://www.nabucasa.com/

[ Voor 21% gewijzigd door holygame op 15-04-2022 11:56 ]

vrijdag 15 april 2022 12:42

Acties:

0 Henk 'm!

jvanhambelgium

Ik heb nog steeds een port-knocking setup actief op m'n Mikrotik, maar tegenwoordig werk ik meer met Wireguard VPN.

Geen enkele "app" moet port-knocking ondersteunen,

Je kan zelfs de port-knocks vanaf een web-browser sturen.
Het is natuurlijk een stuk praktischer als je een "port knock" app kan gebruiken.

vrijdag 15 april 2022 12:51

Acties:

0 Henk 'm!

Ben(V)

Je kunt wel denken dat je als "simpele Henkie" geen doelwit van een hacker bent maar dat is toch echt een vergissing.
Er zijn twee zaken waar hackers van "huis tuin en keuken" omgevingen op uit zijn en dat is je data encrypten en ransomwares vragen of je PC hacken en opnemen in een botnet waar ze weer van alles mee doen zoals DDOS aanvallen plegen.

En mensen die gewoon maar wat poorten forwarden zijn daar een gewillig slachtoffer van beide zaken.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 15 april 2022 16:38

Acties:

0 Henk 'm!

Shinji

Ben(V) schreef op vrijdag 15 april 2022 @ 12:51:
Je kunt wel denken dat je als "simpele Henkie" geen doelwit van een hacker bent maar dat is toch echt een vergissing.
Er zijn twee zaken waar hackers van "huis tuin en keuken" omgevingen op uit zijn en dat is je data encrypten en ransomwares vragen of je PC hacken en opnemen in een botnet waar ze weer van alles mee doen zoals DDOS aanvallen plegen.

En mensen die gewoon maar wat poorten forwarden zijn daar een gewillig slachtoffer van beide zaken.

Dat botnet zeker, ransomware richt zich volgens mij al lang niet meer op individuen maar op bedrijven.

Ik heb een poort geforward voor een WireGuard VPN tunnel, ben ik nu een gewillig slachtoffer? Ik vind die opmerking nogal kort door de bocht. Ja, je moet er over nadenken, maar dat wil niet zeggen dat je niet verantwoord iets open kan zetten.

vrijdag 15 april 2022 16:41

Acties:

0 Henk 'm!

borft

Harmen schreef op vrijdag 15 april 2022 @ 09:44:
Hier ook een HA gebruiker. Heb op m'n router (OPNsense) openvpn ingericht, kan zo vanaf buiten er makkelijk bijkomen. Poorten openen heb ik slechte ervaringen mee.

Hoe verbind je met je VPN zonder open poort dan?

Ik heb HA gewoon achter https, wat is daar mis mee?

vrijdag 15 april 2022 16:48

Acties:

0 Henk 'm!

spaceboy

Op grote hoogte

Topicstarter

borft schreef op vrijdag 15 april 2022 @ 16:41:
[...]

Hoe verbind je met je VPN zonder open poort dan?

Ik heb HA gewoon achter https, wat is daar mis mee?

"Achter HTTPS"? HTTPS is alleen een protocol die zorgt voor veilig transport he? Dus als iemand jouw datastroompje onderschept kan hij/zij er niet zoveel mee doen (waarschijnlijk, tenzij HTTPS toch (on)bewust lek blijkt te zijn).

Het risico van een port openzetten is dat je van buiten een portscan kunt doen en (als je erachter weet te komen welke service draait) kun je op basis van bekende kwetsbaarheden (in dit voorbeeld in Home Assistant) proberen iets vervelends te doen. Dat die communicatie via HTTPS verloopt lijkt me irrelevant voor een aanvaller. Het is hooguit fijn dat jouw verkeer niet onderschept kan worden, maar dat lijkt me niet het grootste risico.

Of mis ik iets?

Aan bovenstaande tekst kunnen geen rechten worden ontleend. Aan de tekst hieronder wel.

vrijdag 15 april 2022 16:50

Acties:

0 Henk 'm!

spaceboy

Op grote hoogte

Topicstarter

laurens0619 schreef op vrijdag 15 april 2022 @ 09:47:
Port knocking is een grappig concept maar in praktijk niet heel nuttig aangezien de app het moet ondersteunen

praktischer is het om vpn te gebruiken

Ja, ik dacht ook al zoiets, maarrrr... ik wil er eigenlijk niet voor betalen. Of heb jij 't nu over een gratis oplossing? #onsbintzuunig

Aan bovenstaande tekst kunnen geen rechten worden ontleend. Aan de tekst hieronder wel.

vrijdag 15 april 2022 16:56

Acties:

+1 Henk 'm!

u_nix_we_all

Er zijn genoeg gratis oplossingen om zelf een vpn server te draaien, bijv openvpn of wireguard.
Het idee hierachter is dat je hele thuisnetwerk alleen via een veilige tunnel te bereiken is. Dan hoef je geen aparte poorten open te zetten voor HA, of je NAS, of een webserver of whatever.
De vpn is goed te beveiligen dmv certificaten en sleutels, over het algemeen is het risico dat hier een hacker op binnekomt heel klein (mits netjes ingericht)

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

vrijdag 15 april 2022 17:08

Acties:

0 Henk 'm!

borft

spaceboy schreef op vrijdag 15 april 2022 @ 16:48:
[...]

"Achter HTTPS"? HTTPS is alleen een protocol die zorgt voor veilig transport he? Dus als iemand jouw datastroompje onderschept kan hij/zij er niet zoveel mee doen (waarschijnlijk, tenzij HTTPS toch (on)bewust lek blijkt te zijn).

Het risico van een port openzetten is dat je van buiten een portscan kunt doen en (als je erachter weet te komen welke service draait) kun je op basis van bekende kwetsbaarheden (in dit voorbeeld in Home Assistant) proberen iets vervelends te doen. Dat die communicatie via HTTPS verloopt lijkt me irrelevant voor een aanvaller. Het is hooguit fijn dat jouw verkeer niet onderschept kan worden, maar dat lijkt me niet het grootste risico.

Of mis ik iets?

Wat is het verschil met een VPN dan? Daarvoor moet je ook een port openzetten (die je dus kunt vinden met een portscan). Nog sterker, bij port knocking luister je ook op een port...

En daarbij, als je niet heel strict firewalled, zet je met een VPN je hele netwerk open....

https zorgt ervoor dat mijn verbinding niet afgeluisterd kan worden. Er vanuitgaande (ik weet het assumptions), dat de authenticatie van HA niet lek is, denk ik dat het redelijk veilig is

[ Voor 3% gewijzigd door borft op 15-04-2022 17:08 ]

vrijdag 15 april 2022 17:11

Acties:

0 Henk 'm!

spaceboy

Op grote hoogte

Topicstarter

borft schreef op vrijdag 15 april 2022 @ 17:08:
[...]

Wat is het verschil met een VPN dan? Daarvoor moet je ook een port openzetten (die je dus kunt vinden met een portscan). Nog sterker, bij port knocking luister je ook op een port... En daarbij, als je niet heel strict firewalled, zet je met een VPN je hele netwerk open....

https zorgt ervoor dat mijn verbinding niet afgeluisterd kan worden. Er vanuitgaande (ik weet het assumptions), dat de authenticatie van HA niet lek is, denk ik dat het redelijk veilig is

Ja klopt. Ik vind port knocking ook een zwaktebod van heb ik jou daar. Ik zie 't meer als "extra". Een eigen VPN draaien vind ik ook best rigoreus, maar het blijft een afweging tussen effort/kosten en baten. En dan denk ik inderdaad ongetwijfeld weer te simpel dat ik een gebruiker ben met een beperkt risico-profiel. Maar daar zit ik ook vast wel een beetje naast. Ben gewoon lui.

En het verschil tussen VPN en HTTPS is prima te Googlen.

Maar je hebt gelijk, ik denk er nog maar ff over na. Ofzo.

Aan bovenstaande tekst kunnen geen rechten worden ontleend. Aan de tekst hieronder wel.

vrijdag 15 april 2022 17:17

Acties:

0 Henk 'm!

biomass

borft schreef op vrijdag 15 april 2022 @ 16:41:
[...]

Hoe verbind je met je VPN zonder open poort dan?

Ik heb HA gewoon achter https, wat is daar mis mee?

Transport Layer Security zorgt er gewoon voor dat je hackpogingen niet kunt loggen met een enige vorm van packet inspection. Dus zodra de login API van HA omzeild kan worden, ben jij de sjaak.

vrijdag 15 april 2022 17:18

Acties:

0 Henk 'm!

borft

spaceboy schreef op vrijdag 15 april 2022 @ 17:11:
[...]

En het verschil tussen VPN en HTTPS is prima te Googlen. Maar je hebt gelijk, ik denk er nog maar ff over na. Ofzo.

Dat is er in dit voorbeeld dus niet, beiden versleutelen je verbinding, en hebben een open port nodig

biomass schreef op vrijdag 15 april 2022 @ 17:17:
[...]

Transport Layer Security zorgt er gewoon voor dat je hackpogingen niet kunt loggen met een enige vorm van packet inspection. Dus zodra de login API van HA omzeild kan worden, ben jij de sjaak.

Misschien, hangt natuurlijk van de hack poging af. Je moet nog steeds http praten over je TLS tunnel, dus als je een reverse proxy voor HA hebt (bv voor ssl termination), kan je daar prima alle requests met payloads loggen. Een VPN lost dat natuurlijk niet op, tenzij je HTTP over je VPN gaat praten, en alle packets over je VPN gaat loggen

[ Voor 48% gewijzigd door borft op 15-04-2022 17:20 ]

vrijdag 15 april 2022 17:22

Acties:

0 Henk 'm!

DataGhost

iPL dev

borft schreef op vrijdag 15 april 2022 @ 17:18:
[...]

Dat is er in dit voorbeeld dus niet, beiden versleutelen je verbinding, en hebben een open port nodig

Alleen zorgt de ene ervoor dat iedereen kan proberen of de aldaar draaiende versie van HA vatbaar is voor exploit X, terwijl de andere de toegang beperkt tot mensen die via VPN al een extra authenticatiestap hebben doorlopen. Achter een VPN is de service verder niet zichtbaar van buitenaf. Om daar dan binnen te komen moet je dus niet alleen een exploit voor HA hebben maar ook voor de gebruikte VPN-software.

vrijdag 15 april 2022 17:24

Acties:

0 Henk 'm!

biomass

borft schreef op vrijdag 15 april 2022 @ 17:18:
[...]

Dat is er in dit voorbeeld dus niet, beiden versleutelen je verbinding, en hebben een open port nodig

Geen zeven verschillen, maar autorisatie van toegang of bescherming tegen afluisteren is me nogal een verschil

vrijdag 15 april 2022 17:25

Acties:

0 Henk 'm!

borft

DataGhost schreef op vrijdag 15 april 2022 @ 17:22:
[...]

Alleen zorgt de ene ervoor dat iedereen kan proberen of de aldaar draaiende versie van HA vatbaar is voor exploit X, terwijl de andere de toegang beperkt tot mensen die via VPN al een extra authenticatiestap hebben doorlopen. Achter een VPN is de service verder niet zichtbaar van buitenaf. Om daar dan binnen te komen moet je dus niet alleen een exploit voor HA hebben maar ook voor de gebruikte VPN-software.

Fair enough. Meer laagjes is natuurlijk (bijna) altijd veiliger

Voor mij is het een afweging tussen hoeveel moeite opzetten/onderhoud/gebruik kost, vs veiligheid. Ik vond een VPN tunnel op mijn telefoon (voor deze specifieke use-case) een stap te veel.

biomass schreef op vrijdag 15 april 2022 @ 17:24:
[...]

Geen zeven verschillen, maar autorisatie van toegang of bescherming tegen afluisteren is me nogal een verschil

Mwah, niet elke VPN heeft een ingebouwde authenticatie / authorisatie laag (nog sterker, een tunnel heeft ook niet per definitie versleuteling), net zoals niet elke web app dat niet heeft. In het geval van https+ha heb je versleuteling en authenticatie, net zoals veel VPN oplossingen.

[ Voor 24% gewijzigd door borft op 15-04-2022 17:28 ]

vrijdag 15 april 2022 20:06

Acties:

0 Henk 'm!

Ben(V)

Https is enkel een versleuteling en beschermt je hooguit tegen het onderscheppen van het verkeer over het internet.
Als je een forward doet naar Ha, ga je ervan uit dat Ha goed genoeg is om niet gehacked te kunnen worden.
Dat is wel erg veel vertrouwen stellen in een applicatie die gebouwd is om enkel in een vertrouwde omgeving te werken met voornamelijk aandacht voor functionaliteit en niet op security.

Het is gewoon veel verstandiger om een betrouwbare Vpn server zoals OpenVpn of Wireguard op te zetten en daar een poort naar te forwarden.
Die zijn ontworpen en gebouwd om de boel te beveiligen dat dat is Ha absoluut niet.
Daar komt bij dat Ha met veel privileges draait omdat het hardware drivers nodig heeft, waardoor de gevolgen van hacking erg groot worden.

En verder is randsomeware echt niet iets dat exclusief bedrijven overkomt, dat genereert alleen veel meer publiciteit.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 15 april 2022 20:25

Acties:

0 Henk 'm!

Krypt

Je zou ook naar cloudflared kunnen kijken; reverse tunnel naar cloudflare toe.

Wat ik zo snel zie, is er zelfs een HA addon voor die dat voor je kan regelen. Zelf geen ervaring mee overigens, en weet ook niet hoe andere diensten hier mee om gaan (bijv. Als je Google Assistant wilt koppelen)

Uiteraard is MFA dan altijd wel slim om in te schakelen.

[ Voor 9% gewijzigd door Krypt op 15-04-2022 20:26 ]

Pvouput live

Pagina: 1

Reageer