Sikkerhet igjen og igjen

[Fermate]

Jeg og dama sitter og ser på TV og så tenner lysene. Vi ser på hverandre, smiler og tenker "30 min før solnedgang"  

Men så går to av rullegardinene plutselig opp.

Jeg sier, -ø ble vi ening om at de skulle opp ved solnedgang? Burde de ikke gå ned?

Før hun rekker å svare hører vi en lyd nedenfra. -Hva er det for en lyd?

Er det sentralstøvsugeren?

Joda det er det, den står og uler i boden og jeg skrur den av med den trådløse bryteren på slangen og tenker; hva har jeg gjort av rar feil programmering i kveld? Byttet noen DevID'er?

Men når vi kommer opp blinker lysene vilt og inngangsdøra låser seg... Bzzzt klikk

DET ER NOEN SOM STYRER HUSET UTENFRA!

 

Inn i HS og inn i loggen og joda:

 

 

Her er det folk inne  

 

Teamviewer til HS serveren og stenger HS og da blir det stille.

iplocation.net peker 90.184.106.128 til Danmark.

Logger inn på hytta i DK og sjekker den men der ser alt normalt ut og det står ingen åpen VPN der som kunne ha vært brukt til noe.

 

Så slår meg at brukeren som det er logget inn på er "default", -hva faen har ikke jeg fjernet default brukeren i HS??!??!

Starter opp HS igjen og går rett i tools/setup/network og joda den ligger der og blir slettet på et sekund.

 

Sjekker litt mer og må innrømme at tanken på hevn slår meg så jeg forsøker noen std passord på ZyXEL routeren hans men nei.

 

Antakeligvis har jeg skrudd på default brukeren for å kunne bruke Z-tool og glemt å skru den av igjen.

Herre gud for en amatør jeg er. Jeg blir litt flau men bestemmer meg for å legge ut alt sammen for å minne folk på sikkerheten.

 

Tenk om dama hadde vært alene hjemme.....

 

Men det er en god historie da!

 

[ZoRaC]

Oi, da hadde jeg også blitt svett!  

Bra det bare var en "tulling" fra Danmark og ikke en som sto utenfor og låste seg inn når dere ikke var hjemme...

[Fermate]

Og som nøyde seg med å trykke på device knappene...

[Merko]

Skummelt ja

Kan jo fort gjøre mye rart dersom man har tilgang til 'alt'

Endret 8. mai 2017 av Merko

[Evelen]

han skulle heller skrudd av alle lysene, rullet ned gardinet, låst døra og spilt av skumle skrikelyder (om du har lyd-enheter koblet til :P)

Ja, jeg kan være litt skummelt.

Forøvrig veldig spesielt å ha ruter-konfigurasjonsinterface på WAN-porten.

[Fermate]

Sitter og finleser loggen nå.
Han har vært inne i 12 minutter.

Men det er fra scanne softwaren hans første gang slo igjennom så med ett menneske i browseren er det noe kortere.

 

Må ha hvert en guttunge som bare trykker vilt på knappene i device manageren.

- En "tagger" som ikke forlater gutterommet ..

 

Finner ikke at det er gjort noe rekonfigurering eller sletting av eventer.

 

Grøss...Om det var noen som ikke viste seg fram men tenkte seg om...skrekk og gru..

[Moskus]

*gasp* Takk for skrekkhistorien! ?

Alltid kjekt med en oppvekker nå og da. 

 

Du har oppgradert HS etter .311 (eller hva det nå var)?

 

Som flere andre har jeg også gått over til å bruke nginx for å kunne bruke https. Enda en ekstra sikkerhet, og så slipper webserveren i HS å være et svakt leddet. 

[Fermate]

Ja HS er oppgradert hele tiden, men det hjelper jo ikke med noen ting når det er en idiot som lar Default brukeren stå åpen med default passordet  

[Moskus]

19 minutter siden, Fermate skrev:

Ja HS er oppgradert hele tiden, men det hjelper jo ikke med noen ting når det er en idiot som lar Default brukeren stå åpen med default passordet  

Nei, det er klart. Nå er det lett å føle seg litt ovenpå, men jeg har selv vært idiot og dermed har enkelte kunnet i løpet av 2 dager se forsiden på min HS-installasjon (det er et valg om å IKKE be om passord for førstesiden under Setup -> Web som jeg idiotisk nok hadde skrudd på pga. debugging men glemt å skru av igjen).

 

En forumbruker på det "andre" forumet gav meg et vennlig hint, så heldgvis ble det fort oppdaget. Det er noen år siden nå, så jeg dobbeltsjekker alt.

 

[Fermate]

2 minutter siden, Moskus skrev:

Nei, det er klart. Nå er det lett å føle seg litt ovenpå, men jeg har selv vært idiot og dermed har enkelte kunnet i løpet av 2 dager se forsiden på min HS-installasjon (det er et valg om å IKKE be om passord for førstesiden under Setup -> Web som jeg idiotisk nok hadde skrudd på pga. debugging men glemt å skru av igjen).

 

En forumbruker på det "andre" forumet gav meg et vennlig hint, så heldgvis ble det fort oppdaget. Det er noen år siden nå, så jeg dobbeltsjekker alt.

 

Tenker du på "Require a Password for Custom Page 1" ?

[Tverfyll]

Hvilken vei kom han seg inn til serveren din?

[Merko]

2 timer siden, Tverfyll skrev:

Hvilken vei kom han seg inn til serveren din?

Trenger nok bare IPen. feks   http://<ip>   Kjører man HomeSeer på Port 80 så er det jo det første man møter på.

 

Finnes nok forskjellige nettsteder som shodan som er søkemotor for åpne homeseer\nettverkskameraer osv.

[LaStrada]

Da kom jeg på hva jeg skulle sette opp... Blokkere IP adresser  Har nå fått blokkert stort sett alle land. Har også blokkert alle henvendelser direkte til IP-adresse, alt må gå gjennom domenene jeg har satt opp. Så og si alle fremmede requester jeg har hatt har prøvd seg på IP-adressen min uten domene. Og overraskende nok er det ingen "hackere" fra Russland eller Kina som har prøvd seg! De fleste er fra rundt om kring i Europa.

[Merko]

2 minutter siden, LaStrada skrev:

Da kom jeg på hva jeg skulle sette opp... Blokkere IP adresser  Har nå fått blokkert stort sett alle land. Har også blokkert alle henvendelser direkte til IP-adresse, alt må gå gjennom domenene jeg har satt opp. Så og si alle fremmede requester jeg har hatt har prøvd seg på IP-adressen min uten domene. Og overraskende nok er det ingen "hackere" fra Russland eller Kina som har prøvd seg! De fleste er fra rundt om kring i Europa.

Nå vet jeg ikke hvordan du har gjort det, men kan du ikke bare gjøre sånn at den kun tillater trafikk fra Norge? så er samtlige land "blokkert" fra før.

 

Evt kun gi tilgang til en spesifikk leverandør (feks Telenor, dersom du kobler til HomeSeer fra mobilen)

[LaStrada]

Just now, Merko said:

Nå vet jeg ikke hvordan du har gjort det, men kan du ikke bare gjøre sånn at den kun tillater trafikk fra Norge? så er samtlige land "blokkert" fra før.

 

Evt kun gi tilgang til en spesifikk leverandør (feks Telenor, dersom du kobler til HomeSeer fra mobilen)

 

Det hadde vært mulig det, men kjedelig å endre innstillingene hver gang man er ute og reiser. Vil gjerne ha tilgang på kamera og varmestyring (feriemodus på/av). Tillater nå kun Norge, Sverige og Danmark, tror det skal holde en stund. Ser ut til at IFTTT blir stoppa nå, så må vel legge inn et filter på denne.

[xibriz]

Helt urelatert men fortsatt relevant: https://en.wikipedia.org/wiki/Port_knocking

Endret 10. mai 2017 av xibriz

[ZoRaC]

7 timer siden, LaStrada skrev:

Har også blokkert alle henvendelser direkte til IP-adresse, alt må gå gjennom domenene jeg har satt opp.

 

Hvordan gjorde du det?

[Moskus]

50 minutter siden, ZoRaC skrev:

 

8 timer siden, LaStrada skrev:

Har også blokkert alle henvendelser direkte til IP-adresse, alt må gå gjennom domenene jeg har satt opp.

 

Hvordan gjorde du det?

 

+1!!

[LaStrada]

Dette er ingen magi i det hele tatt. Det jeg har gjort er å sette opp proxy på alle nettsider, hovedsakelig Home Assistant og et par små python-servere som tar imot data fra nettet. Home Assistant støtter bare ett passord, derfor kjører jeg dette gjennom andre webservere som kun tillater én tjeneste (IFTTT -> oppdaterer status på gitte binary sensors), slik at jeg slipper å eksponere hele systemet. Håper virkelig Home Assistant får støtte for flere brukere med forskjellige tilganger...

 

Jeg bruker nginx og har satt opp en default config her som håndterer dette:

server {
    listen 80 default;
    server_name     _;
    return 403;
}

server {
    listen 443 default;
    server_name     _;

    ssl     on;
    ssl_certificate         /etc/ssl/certs/sslTestCert.crt;
    ssl_certificate_key     /etc/ssl/certs/sslTestCert.key;

    return 403;
}

Dette er config jeg har funnet på nettet Som dere også ser har jeg satt opp for https trafikk, så har generert et selvsignert sertifikat for dette.

 

I tillegg til dette har jeg lignende config for domenen mine, hvor jeg setter inn domenenavnene under server_name. Jeg bruker Home Assistant og all trafikk går gjennom nginx (proxy).

 

Jeg prøver å bare tillate port 80/443 (web), 22 (ssh) og 32400 (plex) inn i huset. Hvordan tjenester som feks mqtt settes opp, vet jeg ikke. Dette kjører jeg bare lokalt så har ikke behov for å åpne opp for dette.

 

Ble dere klokere? Jeg er ingen ekspert her... Men dette fungerer for meg!

[Moskus]

Dette er veldig kjent, men blokkerer det trafikken som ikke går gjennom serverenavnet?

[LaStrada]

Å bruke ordet blokkere var kanskje litt feil... Men den gjør at folk ikke når mine applikasjoner som kjører, den viser kun en side hvor det står "403 Forbidden". Jeg kan fortsatt bli utsatt for feks DDOS-angrap. De fleste (av erfaring) prøver bare å nå IP-adressen, ikke domene, og gir opp der. Finner de en påloggingsside, er det nesten garantert at de prøver noen ganger.

 

Prøver å ikke publisere domene-navnene for mange steder for å unngå at de blir plukket opp av boter.

[ZoRaC]

3 minutter siden, LaStrada skrev:

Å bruke ordet blokkere var kanskje litt feil... Men den gjør at folk ikke når mine applikasjoner som kjører, den viser kun en side hvor det står "403 Forbidden". Jeg kan fortsatt bli utsatt for feks DDOS-angrap. De fleste (av erfaring) prøver bare å nå IP-adressen, ikke domene, og gir opp der. Finner de en påloggingsside, er det nesten garantert at de prøver noen ganger.

 

Prøver å ikke publisere domene-navnene for mange steder for å unngå at de blir plukket opp av boter.

 

Så det du sier er at dette er det som "slår til" når noen går via IP? 

server_name     _;

Og at du har en annen konfig for den "ekte", altså med server_name domene.no;?

[lilfire]

Ikke så lenge siden noe kom seg inn på squeezebox serveren min og lekte seg meg musikk hjemme . 
Har alltid vært slapp på sikkerhet - men etter noen tilfeller hvor andre har vært inne i systemet å lekt seg så har jeg begynt å ta det på alvor.

 

 

[LaStrada]

Litt kjedelig, som trådstarter fikk oppleve, at fremmede tar kontroll  Har aldri tatt sikkerhet på alvor, så det er viktig for meg å lese tråder som dette... Det får meg til å gjøre en del, og glemme det til neste gang jeg leser om lignende...

[Moskus]

34 minutter siden, LaStrada skrev:

Å bruke ordet blokkere var kanskje litt feil... Men den gjør at folk ikke når mine applikasjoner som kjører, den viser kun en side hvor det står "403 Forbidden".

Jo... men hvordan slipper du gjennom de (dvs du) som bruker server/domene-navnet?

Det er noe jeg ikke forstår her (ikke at det skal så mye til)...  

 

EDIT: Det er visst det denne linja skal gjøre, på en måte:

server_name _;

Må kikke litt på det.