News Terrapin-Angriff: Fast 11 Millionen online erreichbare SSH-Server sind anfällig

[aid0nex]

Habe nämlich eine feste IPv4 Adresse bei Vodafone.

Sicher, dass du eine feste IPv4 hast? Das wäre - gerade bei Vodafone - äußerst ungewöhnlich. Fixed IPv4 lassen sich die Provider normalerweise äußerst gut bezahlen. Gerade Vodafone mit ihrem Kabelnetz spart doch eigentlich was geht und gibt den Leuten nicht mal mehr eine dedizierte IPv4 Adresse, sondern nutzt NAT64. Vielleicht siehst du daher immer die gleiche IPv4 Adresse und irrst dich dadurch?

Oder kann auf die feste IPv4 Adresse anstatt dem myfritz Server gewechselt werden ?

Wenn du wirklich eine feste IPv4 Adresse hast, musst du nur die Ports auf deinen Server weiter leiten und kannst dann direkt so über die IP Adresse auf deinen Server zugreifen. Da gibt es keine Vor- oder Nachteile. Aber wie gesagt, ich bezweifel sehr dass das wirklich der Fall ist.

Ich nutze übrigens NoIP und bin sehr zufrieden.

Ergänzung (7. Januar 2024)

Nicht zwingend. Oft hast du eine Lücke die dir Codeausführung oder Privilidge Escalation ermöglicht. Also auch eine Lücke im VPN kann dir eine root Shell geben. Dann ist der Server auch offen wie ein Scheunentor.

Nur zum Verständnis: Natürlich lasse ich den VPN NICHT auf der gleichen Kiste wie den Server laufen. In meinem Fall läuft Wireguard auf dem Router und der Server auf eigener Hardware. Wenn der VPN eine Lücke hat, muss man sich ggü. dem Server immer noch authentifizieren. Da ist nix mit privilidge escalation o.ä., da seperate Hardware. Ich würde im Leben nie darauf kommen VPN und Server auf der gleichen Kiste zu hosten. Die zweite Sicherheitsbarriere bleibt.

Ergänzung (7. Januar 2024)

Jetzt verstehe ich auch den Kommentar hier:

@mae sprach hypotetisch für den Fall, dass dein VPN mal ne Schwachstelle haben sollte.

Ihr seid davon ausgegangen, dass ich den VPN auf der gleichen Kiste wie den Serverdienst hoste. 😅 Das wäre mir nicht mal eingefallen.

 

[ownagi]

Sicher, dass du eine feste IPv4 hast? Das wäre - gerade bei Vodafone - äußerst ungewöhnlich.

Ohne feste IPv4 würde er diese gar nicht im Router sehen bzw. könnte sich auch auch nicht über die IP mit Wireguard verbinden, da DS-Lite. Es gab Übergangszeiten, da hat Vodafone auf Anfrage noch fest IPv4 rausgerückt.

Wenn du wirklich eine feste IPv4 Adresse hast, musst du nur die Ports auf deinen Server weiter leiten ...

Wireguard läuft bei ihm direkt auf der FRITZ!Box und die macht den Port automatisch auf.

Ich nutze übrigens NoIP und bin sehr zufrieden.

Überträgst du die IP(s) mit eigenem Script oder deinem Router (FRITZ!Box)?
Hatte nämlich bei allen getesteten DynDNS-Services über die FRITZ!Box Probleme, vermutlich da die Anbieter IPv4 und IPv6 erwarten und nicht nur eine IPv6.

 

[KitKat::new()]

Es gab Übergangszeiten, da hat Vodafone auf Anfrage noch fest IPv4 rausgerückt.

Ich hatte damals nur eine öffentlich zugreifbare, aber keine statische bekommen

Hatte nämlich bei allen getesteten DynDNS-Services über die FRITZ!Box Probleme, vermutlich da die Anbieter IPv4 und IPv6 erwarten und nicht nur eine IPv6.

Ich nutze weder script noch Router (eigene Software), aber https://dynv6.com nimmt gerne nur IPv6:

http://dynv6.com/api/update?hostname=<domain>&token=<username>&ipv6=<ip6addr>&ipv6prefix=<ip6lanprefix>

 

[ownagi]

Bin mir auch gerade nicht mehr sicher, ob ich das nicht mit dem Problem verwechsle, dass Wireguard gar nicht auf meiner alten FB lief sondern im Netzwerk selbst und die FRITZ!Box natürlich nur die eigene IPv6 weitergibt, nicht die von beliebigen Geräten im Netzwerk.

 

[KitKat::new()]

und die FRITZ!Box natürlich nur die eigene IPv6 weitergibt, nicht die von beliebigen Geräten im Netzwerk.

Kannst du auch einfach lösen indem du den Platzhalter der IPv6 (nicht prefix) entfernst und dort die Interface ID des beliebigen Gerätes (hinterer Teil der IPv6) fest einträgst.

 

[aid0nex]

Es gab Übergangszeiten, da hat Vodafone auf Anfrage noch fest IPv4 rausgerückt.

Eben, daher ja meine Verwunderung. Ich bin bei der Telekom mit meiner zwar wechselnden aber dennoch dedizierten IPv4 Adresse ja echt noch sehr luxoriös unterwegs, das hat man ja bei fast keinem Anbieter mehr.

Ergänzung (8. Januar 2024)

Wireguard läuft bei ihm direkt auf der FRITZ!Box und die macht den Port automatisch auf.

Okay, tbh weiß ich nicht genau wie WireGuard auf der Fritzbox funktioniert, ich nutze Wireguard auf dem Speedport Pro.

Ergänzung (8. Januar 2024)

Überträgst du die IP(s) mit eigenem Script oder deinem Router (FRITZ!Box)?
Hatte nämlich bei allen getesteten DynDNS-Services über die FRITZ!Box Probleme, vermutlich da die Anbieter IPv4 und IPv6 erwarten und nicht nur eine IPv6.

Mit meinem Router (Speedport Pro). Der kennt die Login Details von meinem NoIP Account und das funktioniert absolut problemlos, sowohl IPv4 und IPv6 werden übertragen, das hat noch nie irgendwelche Probleme gemacht.

 

[Teckler]

Sicher, dass du eine feste IPv4 hast? Das wäre - gerade bei Vodafone - äußerst ungewöhnlich

Jupp.. ist ne feste Adresse
Bzw bis wieder rumgeschraubt wird.
In letzter Zeit überlebt die Adresse aber stabil Router Neustarts (min 10min stromlos)
Hatte damals (2019 rum) angefragt ob ich die kostenlos zum 40€ Gigabit dazu bekomme.
VPN läuft, wie oben beschrieben, nun problemlos im Handy.
Bin begeistert.

 

[aid0nex]

Jupp.. ist ne feste Adresse

Mega, da kannste aber sehr glücklich und stolz drauf sein.

Ergänzung (8. Januar 2024)

VPN läuft, wie oben beschrieben, nun problemlos im Handy.
Bin begeistert.

Super, das freut mich!

 

[Teckler]

Super, das freut mich!

Und ich bedanke mich
Dank Deinem Kommentar hab ich mich ans VPN gewagt.

 

[ownagi]

Kannst du auch einfach lösen indem du den Platzhalter der IPv6 (nicht prefix) entfernst und dort die Interface ID des beliebigen Gerätes (hinterer Teil der IPv6) fest einträgst.

Tja, wer die Doku lesen kann ... das mit dem Präfix war mir nicht bekannt
Vielen Dank!

Nachtrag:
So, habe aufgegeben und dem Support ne Mail geschrieben.
Aktuell sehe ich keine Möglichkeit das Präfix zu übergeben