Fragen: ssh, wake on LAN, Sicherheit

[Dr_Ingo]

Hallo Netzwerk Pros !

Ich habe mich neulich ein wenig über die "Entferntes Anmelden" schlaugemacht.
Allerdings habe ich dazu noch einige Fragen.

In unserer WG betreiben wir einen fli4l Router und dahinter ein kleines Netzwerk.
Ziel meiner Bemühungen ist, von ausserhalb des LANs per ssh auf meinen Mac zuzugreifen.

Port 22 habe ich auf dem Router geöffnet, und Anfragen auf dem Port an meinen Mac weitergeleitet. Anmelden auf meinem Mac ist aus über das Internet möglich. Ebenso das aktivieren des Ruhezustandes.
Über das Interne LAN habe ich die Möglichkeit, den MAC durch das sensen des "Magic Packet" (mit dem Tool Wake550) aufzuwecken. Funktioniert das auch übers Internet? Falls ja, auf welchem Port "lauscht" der Mac im Ruhezustand ? Der müsste dann ja auch noch auf dem Router freigegeben werden.

Wie ist es um die Sicherheit einer solchen Installation bestellt

Danke schonmal für Eure Antworten.

 

[MacomX]

Habe ähnliches auch schon versucht, bin dann aber an meiner dynamischen IP-Adresse vom ISP gescheitert. Die Lösung war dann ein Remote-Access-Server. Der ist im Prinzip sicher.

 

[cla]

Original geschrieben von Dr_Ingo
Hallo Netzwerk Pros !

In unserer WG betreiben wir einen fli4l Router und dahinter ein kleines Netzwerk.
Ziel meiner Bemühungen ist, von ausserhalb des LANs per ssh auf meinen Mac zuzugreifen.

Port 22 habe ich auf dem Router geöffnet, und Anfragen auf dem Port an meinen Mac weitergeleitet. Anmelden auf meinem Mac ist aus über das Internet möglich. Ebenso das aktivieren des Ruhezustandes.
Über das Interne LAN habe ich die Möglichkeit, den MAC durch das sensen des "Magic Packet" (mit dem Tool Wake550) aufzuwecken. Funktioniert das auch übers Internet?

Nein. Die Magic-Packets WOL Funktion ist MAC-Adressenbasiert (Das MAC steht hier NICHT für MACintosch). Und vom Internet aus betrachtet ist nur die MAC eures Routers sichtbar.

Falls ja, auf welchem Port "lauscht" der Mac im Ruhezustand ?

Gar keinem Port. Die Netzwerkkarte wartet auf das richtige Magic Packet, welches ihre MAC-Adresse enthält.

Machs anders...installiere auf dem Router SSH, logge dich vom Internet auf dem Router über SSH ein...und schicke von diesem das Magic-Packet in dein internes LAN...der Mac geht an...du kannst dich vom Router aus dann mit SSH weiterverbinden zu deinem MAC. Portforwarding brauchste für den Fall dann nichtmal.

Und WOL funktioniert imho nur, wenn der MAC im Ruhezustand ist. Wenn er ausgeschaltet ist, wacht er nicht auf.

cu
Carsten

 

[cla]

Original geschrieben von MacomX
Habe ähnliches auch schon versucht, bin dann aber an meiner dynamischen IP-Adresse vom ISP gescheitert.

 

Für diesen Zweck (dyn. IP) gibts DYNDNS.
http://www.dyndns.org

Und dein Server ist immer unter einem Namen zu erreichen

cu
Carsten

 

[tomric]

Re: Re: Fragen: ssh, wake on LAN, Sicherheit

Original geschrieben von cla
du kannst dich vom Router aus dann mit SSH weiterverbinden zu deinem MAC. Portforwarding brauchste für den Fall dann nichtmal.

Die Lösung von Carsten kann ich nur befürworten, erstens ist es die einfachste funktionierende für das Problem, zweitens schafft man sich damit definitiv kein Sicherheitsloch.

gruss vom Tom

 

[cla]

Re: Re: Re: Fragen: ssh, wake on LAN, Sicherheit

Original geschrieben von tomric
Die Lösung von Carsten kann ich nur befürworten, erstens ist es die einfachste funktionierende für das Problem, zweitens schafft man sich damit definitiv kein Sicherheitsloch.

 

"Kein Sicherheitsloch" ist vielleicht etwas übertrieben. Es ist ein Port offen, hinter dem ein nach aussen hin sichtbarer Dienst läuft. Zudem ist es noch ein Login-Dienst, bei dem meist Passwort und Loginname ausreichen, um draufzukommen (Brute-Force). Je nachdem wäre es zu empfehlen, den SSH auf einem anderen Port laufen zu lassen, und für höchste machbare Sicherheit mit Schlüsselkeys zu arbeiten. Ausserdem sollte nur ein eingeschränkter Benutzeraccount eingerichtet werden, der sich dann als einziger von aussen einloggen darf.

Aber Sicherheit ist immer eine Abwägung von Aufwand/Kosten/Notwendigkeit...

Wollt ich bloss erwähnen. Nötig ist es in diesem Fall wahrscheinlich alles nicht.

cu
Carsten

 

[tomric]

Re: Re: Re: Re: Fragen: ssh, wake on LAN, Sicherheit

Naja, wenn man wie es sich gehört erstmal mit nem normalen User anmeldet, dann per su nochmal mit nem zweiten Passwort konfrontiert wird, die Passwörter sinnvoll gewählt sind (min. 8 Zeichen, Sonderzeichen, Groß-/Kleinschreibung, Zahlen etc.), glaube ich kaum daß jemand sich das mit nem Brute-Force antun mag... Wenn, dann ist die Gefahr auf nem Rechner der als Router läuft doch eher gering, da ja keine relevanten Daten drauf sein sollten. Mit nem Proxy wär das gefährlicher (Proxy Cache auslesen macht Laune und bringt oft nette Dinge ans Licht). Zusätzlich könnte man natürlich auch den sshd in einer chgrt umgebung laufen lassen.
Hatte mich aber auch undeutlich ausgedrückt, meinte natürlich, daß keine zusätzliche Lücke entsteht (nachdem der ssh Port ja eh schon offen ist).

gruss vom Tom

 

[whitegerber]

bitte aufwachen!

Hier hätte ich auch noch eine Frage:

Soweit ich weiss, ist es nicht möglich, den Mac über ssh aus dem StandBy aufzuwecken. Habe es probiert, geht aber nicht.
Gibt es eine andere Möglichkeit StandBy zu beenden, damit ich dann über's Netz Zugriff auf meinen Rechner habe???

Habe übrigens keinen Router vorgeschaltet und meine IP ist statisch.

 

[cla]

Soweit ich weiss, ist es nicht möglich, den Mac über ssh aus dem StandBy aufzuwecken. Habe es probiert, geht aber nicht.
Gibt es eine andere Möglichkeit StandBy zu beenden, damit ich dann über's Netz Zugriff auf meinen Rechner habe?

Kurz und knapp: Nein.

Um ihn aufzuwecken brauchst du ein Magic-Packet.

Diese Magic-Packets werden aber im normalen Internet/Providernetzwerk aus Sicherheitsgründen rausgefiltert.

cla

 

[xlqr]

ich hab das bei mir gelöst, indem ich nur den monitor in den ruhezustand schicke, während die platte sich tag und nacht dreht

ach ja und ich find no-ip besser im handling und zuverlässiger als dyndns

 

[whitegerber]

ich hab das bei mir gelöst, indem ich nur den monitor in den ruhezustand schicke, während die platte sich tag und nacht dreht

...bis sie sich eines Tages nicht mehr dreht. Schade, das es keine andere Möglichkeit gibt!