Fare med åpne porter i nettverket

[Erlend0_o]

Har en server som jeg blant annet bruker til jellyfin og VPN. Og disse har åpne porter slik at jeg kan på tilgang til dem når jeg ikke er hjemme. Har også et par andre  portet som qBittorent slik at jeg kan laste opp og ned Linux distroer raskest mulig.

Er det noen sikkerhetsrisiko med å ha for mange åpne porter på nettet? Jeg passer på å fjerne dem som ikke er i bruk, men er alltid 5-6 porter åpne.

[Uderzo]

Det kommer an på hvilke porter du har åpne, noen er mer utsatt enn andre. Slik du beskriver situasjonen så ser det ikke ut som du er spesielt utsatt.
Gjerne vær litt mer konkret.

Generelt sett så bør man eksponere så lite som mulig ut på nettet. Hvis du kjører andre tjenester, utover de nevnte, som du ønsker tilgang på utenifra, så kan jeg anbefale Tailscale.
Tailscale bruker wireguard til å lage et kryptert nettverk og på den måten så kan du få kontakt med interne servere på ditt nettverk. Ingen åpne porter.

https://tailscale.com/

[Erlend0_o]

Uderzo skrev (1 time siden):

Det kommer an på hvilke porter du har åpne, noen er mer utsatt enn andre. Slik du beskriver situasjonen så ser det ikke ut som du er spesielt utsatt.
Gjerne vær litt mer konkret.

Generelt sett så bør man eksponere så lite som mulig ut på nettet. Hvis du kjører andre tjenester, utover de nevnte, som du ønsker tilgang på utenifra, så kan jeg anbefale Tailscale.
Tailscale bruker wireguard til å lage et kryptert nettverk og på den måten så kan du få kontakt med interne servere på ditt nettverk. Ingen åpne porter.

https://tailscale.com/

Bruker Truenas som OS og installerer apper der, bruker portene som appene velger selv.

Har lest litt om at cloadflare hadde en tjeneste som blokkerte uønskede iper. Så ble litt nysgjerrig hva som kan gå galt, og om en vanlig mann i gata som meg er et interessant mål vis noen skulle finne ip og portene.

Antar noen kan se filmene jeg har på jellyfin og logge innpå torrentene mine og laste ned uønskede filer ved å finne innloggingen

[Uderzo]

Jeg vil ikke anbefale å eksponere webui-et til qbittorrent ut på internett, bruk VPN eller Tailscale.

Du kan bruke Authelia til å beskytte Jellyfin, tror nemlig ikke Jellyfin støtter MFA per i dag (?).

https://www.authelia.com/integration/openid-connect/jellyfin/

Endret 25. juni av Uderzo

[arne22]

2 hours ago, Erlend0_o said:

Er det noen sikkerhetsrisiko med å ha for mange åpne porter på nettet?

Ja, selvfølgelig er det en sikkerhetsrisiko. Hvor stor den er kommer jo an på graden av robusthet og motstandsdyktighet mot angrep som den serverfunksjon som ligger ba den åpne porten har.

For mange kjente åpne porter og serverfunksjoner, så fungerer det slik at når man åpner portene, så vil dette mer eller mindre automatisk medføre at det trigges hackerangrep, i løpet av noen timer. Disse hackerangrepene vil så kjøre mer eller mindre automatisk, med for eskempel hundrevis eller tusenvis av angrep gjennom døgnet.

For IPv4 adresser så skjer disse angrepene som automatiserte angrep fra servere, som er satt opp til å scanne tusenvis av nettverksadresser for bestemte åpne porter. Neste trinn i denne automatiserte prosessen, det er jo å undersøke om den serverfunksjonen som ligger bak den åpne porten har bestemte svakheter, som man er på jakt etter.

Hackeren vil så kunne få oversent en liste fra de automatiserte angrepssystemene over systemer og servere som har de svakheter man er på jakt etter, slik at man kan fokusere mer inngående angrep mot "gunstige objekter".

Hvis man setter opp en server som kjører ut mot internett, og man leser i systemloggen, så ser man loggingen av alle disse angrepene.

Det er forholdvis enkelt å sette opp slike automatiserte angrepsrutiner. Det krever ikke mer enn litt "basic IT kompetanse".  

Linux kernel har ellers innebygd firewall funksjonalitet, slik at man for eksempel kan åpne for eller stenge for de avsender ip som man måtte ønske.

Det er også mulig å bare ha åpen en enkelt port, for eksempel ssh, som er sikret med "nøkler" og så ha alle de andre portene vanligvis stengt, og så bare åpne dem midlertidig, via script, når man skal bruke dem. 

[Thor.]

En veldig enkel analogi er at en port er en dør mellom et program på pc-en din og Internett. Åpner du en port, låser du opp en dør inn til maskinen din og det programmet som er ansvarlig for denne porten. Normalt er en port reservert til et program av gangen.

Hvis du åpner en port, blir programmet bak porten ansvarlig for aktiviteten. Det er da dette programmet som vurderer om trafikken er gyldig, og om den skal tillates eller avvises. Dette betyr at sikkerheten til hele systemet kan avhenge av hvor godt programmet håndterer trafikken som kommer gjennom den åpne porten. Hvis programmet har sårbarheter, kan ondsinnet trafikk utnytte disse for å få tilgang til systemet ditt. Derfor er det viktig å kun åpne nødvendige porter og sikre programvaren som lytter på disse portene.

 

[NULL]

3 hours ago, Thor. said:

Hvis du åpner en port, blir programmet bak porten ansvarlig for aktiviteten. Det er da dette programmet som vurderer om trafikken er gyldig, og om den skal tillates eller avvises. Dette betyr at sikkerheten til hele systemet kan avhenge av hvor godt programmet håndterer trafikken som kommer gjennom den åpne porten. Hvis programmet har sårbarheter, kan ondsinnet trafikk utnytte disse for å få tilgang til systemet ditt. Derfor er det viktig å kun åpne nødvendige porter og sikre programvaren som lytter på disse portene.

På veien til programmet, går pakkene også gjennom nettverksstack til OS, hvor det potensielt også kan være svakheter.

Når man ellers her tjenester som f.eks. VPN, er det jo gjerne en dør som når fort den er passert, gir ganske store muligheter i nettet.

Jeg hadde ikke åpnet porter uten at det i hvert fall var visse ekstra begrensninger - f.eks. gjennom å sette opp aksessliste i det minste som f.eks. begrenser til norske IP-adresser. Hvis det er behov kun å nå fra visse IP-er ellers (eller f.eks. fra spesifikke operatører) kan man jo raskt snevre det inn enda mer ganske fort.

[vidor]

Filosofien om dette er relativt enkel. Færrest mulig åpne porter/tjenester. Jo flere porter åpne, jo mer kode som potensielt kan utnyttes eksponeres.

Sånn sett er det bedre å sette ting bak ett TCP/IP interface enn å ha en hel haug med dem.

[ali q]

Siden ingen hittil har nevnt alternativet: CloudFlare tunneller er gratis og da slipper du å eksponere din egen hjemme-IP, og du er betydelig vanskeligere å DDoS'e

[vidor]

1 hour ago, ali q said:

Siden ingen hittil har nevnt alternativet: CloudFlare tunneller er gratis og da slipper du å eksponere din egen hjemme-IP, og du er betydelig vanskeligere å DDoS'e

 

Virker som det er en betaltjeneste her i alle fall

https://www.cloudflare.com/products/tunnel/

[arne22]

Har brukt Cloudflare, men ikke cloudflare tunnels. Dette ser jo på maqnge måter ganske bra ut:

Man kan vel velge mellom gratis eller betalt versjon. Har tidligere brukt gratisversjon ifbm drift av webserver. (MEn ikke "tunnels".) 

Endret 26. juni av arne22

[NoBo]

Pass også på at de tjenestene du eksponerer mot Internett er konfigurert ihht. oppdaterte anbefalinger. Ta VPN som eksempel, enkelte implementasjoner er mer sårbare for suksessfulle angrep enn andre.

Sitat

NCSC anbefaler å erstatte SSLVPN/WebVPN med sikrere alternativer

NCSC har over lengre tid observert og varslet om kritiske sårbarheter i VPN-løsninger som benytter Secure Socket Layer/Transport Layer Security (SSL/TLS), ofte kjent som SSLVPN, WebVPN eller klientløs VPN. 

Sårbarhetenes alvorlighetsgrad og aktørers gjentakende utnyttelse av denne typen sårbarheter gjør at NCSC anbefaler å erstatte løsninger for sikker fjernaksess som bruker SSL/TLS med sikrere alternativer. NCSC anbefaler Internet Protocol Security (IPsec) med Internet Key Exchange (IKEv2). Andre lands myndigheter har anbefalt tilsvarende. 

Formålet med denne anbefalingen er å redusere sårbarhets- og angrepsflaten for sikker fjernaksess. Det er sannsynlig at det vil avdekkes nye nulldagssårbarheter i produktkategorien SSLVPN i fremtiden. Det må understrekes at løsninger som bruker IPsec med IKEv2 også kan ha sårbarheter, men dette teknologivalget medfører mindre angrepsflate og lavere grad av feiltoleranse i konfigurasjon av løsningen. 

 

https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/ncsc-anbefaler-a-erstatte-sslvpn-webvpn-med-sikrere-alternativer

Hvis man har mulighet til å bruke to-faktor autentisering mot tjenestene man eksponerer mot Internett så er det å anbefale.

Dette med logging av trafikk  - og ikke minst proaktiv overvåking monitorering og handling på disse - er noe jeg ser selv bedriftskunder sliter med å få kontroll på, dessverre, så at man som privatperson skal få det til krever sitt. Får man det ikke til bør man i det minste sørge for at tjenestene man eksponerer mot I trenert er konfigurert etter til en hver tid oppdaterte anbefalinger 😊

 

Erlend0_o skrev (13 timer siden):

om en vanlig mann i gata som meg er et interessant mål vis noen skulle finne ip og portene.

Som nevnt av andre; det handler i utgangspunktet ikke om hvor interessant man måtte være eller interessante data man måtte ha; det handler om hvor enkelt det er å få tilgang og eks. kryptere alt angriper måtte finne av data og kreve løsepenger. Møter angriper en IP-adresse uten åpne porter eller som har porter som er vanskelige å utnytte eventuelle sårbarheter på, går de videre til neste. Som et eksempel: en innbruddstyv velger heller boligen uten alarm enn den med.

En av de eldste tjenestene man kan bruke for å sjekke hvilke porter som er eksponert mot Internett er https://www.grc.com/x/ne.dll?rh1dkyd2 (litt grisete og 90-tallsaktig nettside men den gjør jobben 😆). Tjenesten https://www.shodan.io er også fin til å finne både egne og andres internetteksponerte sårbarheter 😊

[ali q]

vidor skrev (12 timer siden):

 

Virker som det er en betaltjeneste her i alle fall

https://www.cloudflare.com/products/tunnel/

https://blog.cloudflare.com/tunnel-for-everyone/ (title: "A Boring Announcement: Free Tunnels for Everyone")

[strike_]

Det er mange som har tatt i bruk cloudflare tunnels, men det mange ikke er klar over er at det er i mot deres vilkår å streame audio og video igjennom tjenesten. Det har ikke blitt håndhevet så strengt enda, men det er bare spørsmål om tid før de som bryter vilkårene enten blir banna eller blir bedt om å betale. Så emby/jellyfin/plex/abs brukere av cloudflare for seg nok en overraskelse snart. Jeg ville heller gått for tailscale eller reverse proxy. 

[vidor]

De har jo full kontroll på denne teknologien siden de tilbyr den selv, så de kan jo begrense båndbredden gratis-brukerne får.

[strike_]

Det gjør/har de gjort allerede også på en del brukere. Men det har jo blitt ganske populært så det blir nok håndhevet strengere ettrhvert. 

[arne22]

On 25.6.2024 at 2:55 PM, Erlend0_o said:

Så ble litt nysgjerrig hva som kan gå galt, og om en vanlig mann i gata som meg er et interessant mål vis noen skulle finne ip og portene.

Hele poenget med å overta kontrollen med en server eller en PC som tilhører en forholdvis anonym person, det er jo å kunne bruke den til videre angrep mot andre servere og andre datamaskiner. Når politiet sjekker loggene etter et større dataangrep for å finne ut hvem som sto bak, så er det du som har blitt logget som angriperen. En annen variant er jo ved gjennomføring av DDOS angrep. Her legger man bare din server eller din PC in som en del av et boot net, so så kan aktiveres til ønsket angrep ved tid og anledning. 

[Uderzo]

strike_ skrev (5 timer siden):

Det gjør/har de gjort allerede også på en del brukere. Men det har jo blitt ganske populært så det blir nok håndhevet strengere ettrhvert. 

Det er begrensninger på filstørrelse også, maks 100MB for gratis brukere. Så med mindre filoverføringer gjøres i "chunks" hvor hver chunk er på under 100MB, så vil overføringen blokkeres. Det gjelder både tunnel og proxy, så det kommer litt an på hva slags tjeneste man ønsker å tilgjengeliggjøre på nett om det er gjennomførbart.

Endret 27. juni av Uderzo

[Erlend0_o]

Veldig interessant lesing og jeg har en del hjemmelekser å gjøre.

Et annet dumt spørsmål. Siden alle portene jeg har åpne er til programmer som kjører som Docker så er jeg vel ekstra beskyttet? Porten gir vel bare tilgang til dockeren og den har begrenset rettigheter mot "hoved OS" . qBittorent og jellyfin har rettigheter til å lese og skrive på deler av hdd så disse er vel mest utsatt.

[Uderzo]

Erlend0_o skrev (28 minutter siden):

Veldig interessant lesing og jeg har en del hjemmelekser å gjøre.

Et annet dumt spørsmål. Siden alle portene jeg har åpne er til programmer som kjører som Docker så er jeg vel ekstra beskyttet? Porten gir vel bare tilgang til dockeren og den har begrenset rettigheter mot "hoved OS" . qBittorent og jellyfin har rettigheter til å lese og skrive på deler av hdd så disse er vel mest utsatt.

Det kommer veldig an på, hvis docker containerne deler nettverk med serveren (host eller bridge), så er det full tilgang til resten av nettverket.
For å lage et eget isolert nett så må du sette opp et eget docker nettverk.