Sicherheit Node und Homebridge/node-sonos-http-api/Pihole

M

Mihahn

Aktives Mitglied
Thread Starter
Dabei seit
06.10.2017
Beiträge
2.129
Reaktionspunkte
2.135
Moin,

da ich leider von Netzwerksicherheit wenig Ahnung habe, muss ich hier mal nachfragen.

Seit längerem lief hier ein Raspberry Pi mit Pihole im Netzwerk; dabei habe ich bei meiner Recherche im Internet gelesen, dass er kein "Sicherheitsrisiko" für das Heimnetz darstellen kann, da er ja nur die Anfragen filtert, die dann rausgehen dürfen oder auch nicht. Eine direkte Verbindung mit dem Internet "draußen" besteht da aber nicht.

Heute habe ich dann zum einen Homebridge, zum anderen eine HTTP API Bridge für Sonos auf demselben Raspberry Pi eingerichtet; beides läuft ja mit Node. Da ich über Node und die genaue Funktionsweise von Homebridge und dem Skript für HTTP requests für das Sonos System bisher wenig weiß, wollte ich euch fragen, ob das neue Setup in irgendeiner Weise ein Sicherheitsrisiko für mein Netzwerk darstellen kann? Aus meiner Logik als Laie heraus nicht, da der Raspberry Pi ja so erstmal nur eine lokale IP Adresse hat und die Befehle nur aus meinem Heimnetz heraus funktionieren sollten. Kann mir das jemand bestätigen oder eine qualifiziertere Antwort als meine eigene geben? Kann ich hier irgendwie Gefahr laufen, dass jemand von außen auf die Sonos Anlage oder andere über Homebridge angeschlossene Geräte zugreifen kann?

Vielen Dank schon mal ;)
 
Mihahn schrieb:
Eine direkte Verbindung mit dem Internet "draußen" besteht da aber nicht.
Zum Vergrößern anklicken....
Das ist doch falsch. Natürlich hat ein pihole eine Verbindung zu Internet. Er lädt updates und schickt deine Anfragen weiter.
Mihahn schrieb:
da der Raspberry Pi ja so erstmal nur eine lokale IP Adresse hat
Zum Vergrößern anklicken....
Geräte im Heimnetz haben ALLE nur eine lokale IP. Nur der Router hat eine öffentliche IP. Das heißt aber ja nicht, dass die lokalen Geräte keine Verbindung ins Netz hätten. Du musst dich schon darum kümmern, dass alle Rechner / Software aktuell gehalten werden, damit die neuesten Sicherheitspatches verfügbar sind.
 
  • Gefällt mir
Reaktionen: Mihahn
Sei beruhigt, es kann im Normalfall niemand so einfach von außen auf den Raspi zugreifen.

Dein Router vergibt IPv4-Adressen aus einem internen Adressraum. Diese sind von außen grundsätzlich (mehr später) nicht erreichbar.
Die einzige von außen erreichbare IP-Adresse ist die externe IP-Adresse deines Routers.

Der Raspi kann aber natürlich von innen eine Kommunikation nach außen aufbauen. Der Router merkt sich dann diesen Aufbau und leitet die Antwort und nur die an den Raspi zurück. Dazu übersetzt er quasi die interne IP-Adresse der Raspis in seine eigene IP-Adresse + eine Port-Nummer. Nach der Kommuniktation wird diese Übersetzungsschicht wieder verworfen und somit kann selbst der vom Rapsi angefragte externe Server nicht mehr an den Raspi heran kommen.

Solange du nicht selbst in deinem Router eine derartige Weiterleitung eines Ports an die interner IP-Adresse deines Raspis vornimmst (das nennt sich Port-Forwarding oder Port-Weiterleitung) kommt eben keine zu deinem Raspi durch.

Klar kommen gleich irgendwelche Bedenken "aber der Rotuer kann doch bugs haben, die ein eindringen ermöglichen könnten". Ja, sowas _könnte_ sein. Dagegen hilft nur, die Software im Router uptodate zu halten und an den Standardeinstellungen, wenn man sich nicht auskennt, auch nicht herum zu "optimieren".
 
  • Gefällt mir
Reaktionen: Mihahn
noodyn schrieb:
Das ist doch falsch. Natürlich hat ein pihole eine Verbindung zu Internet. Er lädt updates und schickt deine Anfragen weiter.
Zum Vergrößern anklicken....
Klar, das war falsch formuliert. Natürlich mache ich auch jede Woche die Updates für das OS und Pihole, also hat er eine Verbindung zum Internet. Was ich eigentlich meinte: Eine Verbindung mit dem Internet, dass jemand sich von außen auf meinem Raspberry Pi anmelden kann, besteht wohl nicht (dachte ich).
noodyn schrieb:
Geräte im Heimnetz haben ALLE nur eine lokale IP. Nur der Router hat eine öffentliche IP. Das heißt aber ja nicht, dass die lokalen Geräte keine Verbindung ins Netz hätten. Du musst dich schon darum kümmern, dass alle Rechner / Software aktuell gehalten werden, damit die neuesten Sicherheitspatches verfügbar sind.
Zum Vergrößern anklicken....
Rechner sind sowieso aktuell, Router auch. Raspberry Pi und Pihole bekommen einmal die Woche ein Update. Wie man Node/Homebridge aktualisiert, muss ich mir nochmal genauer anschauen.
lisanet schrieb:
Der Raspi kann aber natürlich von innen eine Kommunikation nach außen aufbauen. Der Router merkt sich dann diesen Aufbau und leitet die Antwort und nur die an den Raspi zurück. Dazu übersetzt er quasi die interne IP-Adresse der Raspis in seine eigene IP-Adresse + eine Port-Nummer. Nach der Kommuniktation wird diese Übersetzungsschicht wieder verworfen und somit kann selbst der vom Rapsi angefragte externe Server nicht mehr an den Raspi heran kommen.

Solange du nicht selbst in deinem Router eine derartige Weiterleitung eines Ports an die interner IP-Adresse deines Raspis vornimmst (das nennt sich Port-Forwarding oder Port-Weiterleitung) kommt eben keine zu deinem Raspi durch.
Zum Vergrößern anklicken....
Danke dir für die ausführliche Erklärung! Portfreigaben sind im Router nicht eingestellt, das habe ich geprüft.
lisanet schrieb:
Klar kommen gleich irgendwelche Bedenken "aber der Rotuer kann doch bugs haben, die ein eindringen ermöglichen könnten". Ja, sowas _könnte_ sein. Dagegen hilft nur, die Software im Router uptodate zu halten und an den Standardeinstellungen, wenn man sich nicht auskennt, auch nicht herum zu "optimieren".
Zum Vergrößern anklicken....
Alles klar, danke! Das mache ich so, dann sollte ich ja auf der sicheren Seite sein.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten