Live-plugin & internet & security

VDR ja DVB aiheista keskustelua

Live-plugin & internet & security

ViestiKirjoittaja bulldozer » 04.11.2015 9:56

Lyhyesti: Uskaltaako VDR live-pluginin avata internetiin?

Pidempi versio: Nyt kun Elisa lopulta tarjosi sellaisen kaapelimodeemin joka tukee porttiohjauksia, olisi taas mahdollisuus avata VDR-live omaan käyttöön yli internetin. Joskus aikoinaan tein tämän niin, että avasin muurista vain SSH-portin, ja tunneloin sitten yhteyden sitä kautta. Toimii PC:llä kohtuullisesti, mutta tableteilla/puhelimeilla/jne. joko ei toimi lainkaan tai on kovin kömpelö käyttää -> ei hyvä vaihtoehto. Helppoa olisi avata suoraan VDR-liven portti, mutta kuinka luotettava vdr-liven salasanatunnistus on, riittääkö se mihinkään (jos on hyvä salasana, siis)? Ja/tai/vai saisiko tuohon helposti mukaan esim. varmennepohjaista tunnistusta tai muuta lisävarmennusta?

Ja toinen kysymys, pystyykö tuon määrittelemään niin, että koti-LANissa menisi ilman käyttäjätunnusta ja salasanaa, mutta internetistä vaatisi tunnistautumisen?

Ei tuosta mitään Fort Knoxia ole tarkoitus tehdä, mutta pitää huoli siitä ettei nyt ihan satunnainen Heimo Haxori pääse järjestelmään käsiksi, tai vielä pahempaa, tuhoamaan arvokkaita tallenteita :)
HTPC: Gigabyte GA-E7AUM-DS2H, Intel E8400, Antec Fusion Remote Silver, 2 * Satelco EasyWatch PCI DVB-C, yaVDR 0.6
bulldozer
Vanhempi harrastaja
 
Viestit: 79
Liittynyt: 02.04.2008 10:43
Paikkakunta: Nokia

Re: Live-plugin & internet & security

ViestiKirjoittaja P.Kosunen » 04.11.2015 11:22

Minä olen tehnyt vastaavassa tilanteessa lighttpd:llä ssl proxyn paikalliseen palveluun pakkoautentikoinnilla.

Koodi: Valitse kaikki
server.modules = (
    "mod_redirect",
    "mod_access",
    "mod_auth",
    "mod_proxy",
    "mod_accesslog"
)

server.port   = 33333
ssl.engine    = "enable"
ssl.pemfile   = "/etc/lighttpd/server.pem"

$HTTP["url"] =~ "^/uri-path/" {
   proxy.server = ( "" => ( ( "host" => "127.0.0.1", "port" => 8080 ) ) )
}

auth.backend                   = "htpasswd"
auth.backend.htpasswd.userfile = "/etc/lighttpd/htpasswd.conf"
auth.require = ( "/" =>
   (
      # method must be either basic or digest
      "method"  => "basic",
      "realm"   => "Secret place!",
      "require" => "user=username"
   )
)


Tärkeimmät osat conffista, satunnainen portti pitää luultavasti jo osan koputtelijoista ulkona. Mahtaako itse allekirjoitettu sertifikaatti olla ongelma mobiililaitteiden kanssa?

Tunnukset voi laittaa suoraan bookmarkkiin mukaan: https://username:password@nimi-tai-ip:33333/uri-path/
P.Kosunen
Yli-ihminen
 
Viestit: 1130
Liittynyt: 06.11.2005 14:08
Paikkakunta: Helsinki

Re: Live-plugin & internet & security

ViestiKirjoittaja bulldozer » 04.11.2015 11:48

P.Kosunen kirjoitti:Minä olen tehnyt vastaavassa tilanteessa lighttpd:llä ssl proxyn paikalliseen palveluun pakkoautentikoinnilla.
Tärkeimmät osat conffista, satunnainen portti pitää luultavasti jo osan koputtelijoista ulkona.

Hyvä ajatus, ja voisi olla ihan riittävä. Web serverin autentikointi on melko varmasti paremmin ajan tasalla pidetty kuin yhden vdr-pluginin. Joskin toki mahdollinen haavoittuvuuskin on nopeammin hyväksikäytetty.

EDIT: Ja tuo lighttpd ilmeisesti osaa myös serti-autentikoinnin, eli sitäkin tuon kanssa voisi kokeilla. Mielenkiintoista.

P.Kosunen kirjoitti:Mahtaako itse allekirjoitettu sertifikaatti olla ongelma mobiililaitteiden kanssa?

Tätä mietin enkä ihan varmaa vastausta löytänyt mutta luulen että nykylaitteilla ei olisi, noita kuitenkin käytetään yrityspuolella jonkin verran. Eipä se silti mitään takaa.
HTPC: Gigabyte GA-E7AUM-DS2H, Intel E8400, Antec Fusion Remote Silver, 2 * Satelco EasyWatch PCI DVB-C, yaVDR 0.6
bulldozer
Vanhempi harrastaja
 
Viestit: 79
Liittynyt: 02.04.2008 10:43
Paikkakunta: Nokia

Re: Live-plugin & internet & security

ViestiKirjoittaja Critter » 04.11.2015 16:37

bulldozer kirjoitti: Joskus aikoinaan tein tämän niin, että avasin muurista vain SSH-portin, ja tunneloin sitten yhteyden sitä kautta. Toimii PC:llä kohtuullisesti, mutta tableteilla/puhelimeilla/jne. joko ei toimi lainkaan tai on kovin kömpelö käyttää -> ei hyvä vaihtoehto. H

Mielestäni tämä on edelleen hyvä vaihtoehto ja käytin tätä. Nyt kun siirryin enigma2 maailmaan... käytän tätä edelleen. Tosin otan ssh yhteyden reitittimeen ja sieltä sitten porttiohjaukset digipoksille. :D
RIP VDR
VU+ DUO2 (OPENVIX 5), 2xDual T2/C viritin, La Digital CI+ CAM, 1 TB HD, LG 60PN650T, Chromecast 2
LG 55UH770V + PS4 + Wetek Play
Critter
Yli-ihminen
 
Viestit: 868
Liittynyt: 16.12.2008 19:25

Re: Live-plugin & internet & security

ViestiKirjoittaja bulldozer » 05.11.2015 10:37

P.Kosunen kirjoitti:Minä olen tehnyt vastaavassa tilanteessa lighttpd:llä ssl proxyn paikalliseen palveluun pakkoautentikoinnilla.

Toimii täydellisesti, kiitos vinkistä. Täytyy leikkiä noitten sertien kanssa joskus kun ehtii, mutta toistaiseksi menee user/pass tunnistautumisella.
HTPC: Gigabyte GA-E7AUM-DS2H, Intel E8400, Antec Fusion Remote Silver, 2 * Satelco EasyWatch PCI DVB-C, yaVDR 0.6
bulldozer
Vanhempi harrastaja
 
Viestit: 79
Liittynyt: 02.04.2008 10:43
Paikkakunta: Nokia

Re: Live-plugin & internet & security

ViestiKirjoittaja juice » 04.01.2016 22:16

Mulla on ollut live varmaan useamman vuoden (ja sitä ennen joskus muinoin vdradmin-am tms...) auki isoon intternettiin niin että olen proxyttanyt sen Apachen kautta (modproxy)
Tuossa on se etu että voin proxyttää kaikki muutkin mun sisäverkon palvelut saman https-portin kautta ulos, kukin nätisti oman urlinsa takana.
Lisäksi kun urli on tyyppiä https://toosa.swagman.org/palvelun-nimi-nnn/ ei tuohon ihan satunnaisella kolkuttelulla osu...
juice
Säätäjä
 
Viestit: 462
Liittynyt: 19.08.2006 20:43
Paikkakunta: Järvenpää


Paluu VDR & DVB

Paikallaolijat

Käyttäjiä lukemassa tätä aluetta: Ei rekisteröityneitä käyttäjiä ja 1 vierailijaa

cron