Umbrel Node wird nicht komplett in das Tornetzwerk getunnelt

Hallo Zusammen,

mir ist aufgefallen, dass die Umbrel Node nicht komplett im Tor Netzwerk terminiert, sondern ständig über FTP (Port 21) rausquasselt zu einer bestimmten IP Adresse. Zunächst einmal ist das ein ziemlicher Unfug und zum Anderen, warum muss ich das unsicherste Protokoll dafür nutzen, welches seit den 80er Jahren nicht mehr weiterentwickelt wurde? Es ist ja nicht einmal SFTP oder SSH.

Ich finde es im Allgemeinen immer so eine Sache eine „Magic Box“ innerhalb des Heimnetzes laufen zu lassen und nicht in einer DMZ. Klar die ganzen Projekte sind open Source, aber mal ganz im ernst wer von den Standardanwendern befasst sich mit dem Code oder meldet sich im raspian auf der shell an und schaut was noch für Dienste am Laufen sind.

6 „Gefällt mir“

Umbrel Node ist für Anfänger und nicht gesichert (ssh) und Raspiblitz ist für Fortgeschrittene und sicher.

1 „Gefällt mir“

Gerade weil sie für Anfänger ist, welche nur auf Vertrauen Dinge beurteilen könnten, finde ich eine Lösung die Vorgibt 100% Tor zu nutzen und dies dann nicht tut, sehr fragwürdig.

2 „Gefällt mir“

Hi,

ganz kurz zu meinem Background: bin seit erst sehr kurzer Zeit als Anfänger mit einer Umbrel Node gestartet und seitdem kontinuierlich am Dazulernen auch hier im Austausch. Demensprechend mag ich die Einfachheit der Umbrel-Lösung, um überhaupt einen Einstieg zu finden und sich zu verbessern. Allerdings scheitert es bei mir nun auch mit der Anbindung des Ledgers über SatStack (ich schrieb dazu im anderen Thread). Zu unausgereift, zu experimentell (für mich an meinem jetzigen Punkt).

Kurze Rückfragen:

falls alle Umbrel Nodes über dieses Protokoll zu einer festen IP kommunizieren und das ganze im Heimnetzwerk stattfindet, ist das, aus deiner Sicht eine signifikante Schwachstelle, da die Dinger überwiegend 24/7 im Netz hängen?

Wie kann ich das bei mir überprüfen, ob die Verbindung nicht komplett via Tor abläuft - da ich im Dashboard permanente Tor-Verbindung angezeigt bekomme?

Was wären Verbesserungen aus eurer Sicht? @Chaot112 … sehr brauchbare Hinweise auch im Austausch in > „Privatsphäre und Anonymität durch eigene (Umbrel) Node?“. Danke.

Das SSH Passwort sollte dringendst geändert werden.

2 „Gefällt mir“

Fortsetzung der Diskussion von Umbrel Node wird nicht komplett in das Tornetzwerk getunnelt:

ebenfalls noch folgendes machen. Wenn ihr das Passwort geändert habt.

1.) sudo su -
2.) passwd
3.) ein anderes passwort verwenden als für den Umbrel user
4.) exit

Das ändert auch noch das passwort des „Administrators“ (root users) auf dem System.

3 „Gefällt mir“

Interessant! Das halte ich für sehr, sehr kritisch! Wie hast du das Funken über den Port 21 bemerkt?

Ich hab den Kübel bei mir in einer DMZ hängen und lasse alle Anfragen Aufzeichnen und natürlich auch wohin die Anfragen gestellt werden. Mittlerweile ist es nicht nur Port 21 gewesen sondern auch diverse Highports. Ich werde das in einer Woche auswerten und alle Anfragen und Ziele hier offenlegen.

An dieser Stelle möchte ich erneut niemandem Unterstellen irgendwelche Schadsoftware auf den Umbrel Nodes auszuführen. Es geht mir nur darum, dass die Node nun Mal nicht das ist was sie vorgibt zu sein, nämlich eine 100% Tor basierte Anonyme BTC und Lighinig Wallet.

1 „Gefällt mir“

@xebia hast News?

Service Packets
NTP (udp/123) 5538
FTP (tcp/21) 797
HTTP (tcp/80) 644
ETLSERVICEMGR (tcp/9001) 158
(tcp/51101) 70
PCSYNC-HTTPS (tcp/8443) 21
(tcp/38443) 7
(tcp/32123) 7
PALACE-2 (tcp/9993) 7
HTTP-ALT (tcp/8080) 7
IMAP (tcp/143) 7
CSLISTENER (tcp/9000) 7
DOMAIN (udp/53) 4
HTTPS (tcp/443) 4

Sind alle nicht über die Tor Verbindung raus in den letzten 6 Tagen.

1 „Gefällt mir“

Prinzipiell ein Thema zur Sicherheit solcher Systeme, was nichts mit der Umbrel Node zutun hat. Wenn ich möchte, dass 1 Client niemals über „normale“ Wege mit dem Internet verbindet, verschaffe ich mir diese Garantie, indem ich alle Firewallports auf dem Client dicht mache und alles nur über den Proxy der Tordenode Tunnel. Das beinhaltet dann auch Anfragen über NTP oder sonstige Systemupdates. Alles andere ermöglicht evtl. doch eine Identifikation meines Systems und somit meiner Location.

Klar kann man sich dies vereinfachen indem man das Gerät über eine weitere Firewall abgeklemmt. Damit verhindert man, dass ungewollt Verbindungen nach außen geöffnet werden können und habe somit mein Problem gelöst. Das ist in 15 min passiert.

Warum meine Spitzfindigkeit an dieser Stelle?
Die Umbrel Node ist und bleibt ist eine empfohlene Lösung für DAUs, welche ich gerne gerne weiter geben würde. Da ich auch einige meiner Freunde, welche nicht im IT Bereich fit sind, gerne zu etwas mehr „Initiative“ erziehen würde. Das geht aber nur, wenn ich mir sicher bin, dass ich dieses Produkt empfehlen kann. Was ich eindeutig unter diesen Umständen KEINESFALLS kann.

1 „Gefällt mir“

„95.216.14.206“ hier stellt die Node alle paar Stunden eine Anfrage über FTP hin. Löst man das ganze auf landet man hier „kenzie-b.arbitrary.ch“

Bist Du Dir sicher das es nicht ein Tor Relay ist ?
https://yui.cat/relay/FA1845C313B88EF49E8BE1F23B02CD0AC702B636.html
https://tor.0x800.cz/index.php?SR=ORPort&SO=Asc

Könnte aber schöner gelöst sein und kann Dir auch nicht 100% sagen für was das gut ist.
Wahrscheinlich zum schnelleren sync der Bitcoin Blockchain.

Das kann ja schon sein, dass die Adresse „auch“ ein Tor Relay Service hat, aber Port 21 und FTP Traffic ist halt nun Mal keine Tor Verbindung. Der Aufbau ins Tornetzwerk findet Random statt. Das habe ich schon überprüft. Man könnte auch die Verbindung durch abändern der Config über die eigene TorNode laufen lassen. Das werde ich bei Gelegenheit auch einmal machen.

Hat also meines Erachtens nichts damit zutun.

Ich werde mir jetzt die Node noch einmal komplett zurücksetzen und dann einen Bericht uploaden wie viel Traffic über welchen Port gegangen ist. Bei Umbrel habe ich keine Antwort auf meine Anfragen dazu erhalten.

2 „Gefällt mir“

Witzig wäre es, wenn es ein Tor Relay wäre, welches fix irgendwo in einer config hinterlegt ist und über port 21 geht. Habe aber eignetlich so ziemlich alle configs durchgeschaut und .sh Files auf der Node.

Hab mir noch nicht die Mühe gemacht Deep Package Inspection auf den Traffic zu legen.

Vielleicht mal schauen welcher Prozess den Port verwendet ?

Ich werde der Sache nächste Woche weiter nachgehen und auch herausfinden welcher Dienst alle 90 min statisch auf diese Adresse geht. Es scheint ja wohl eine Tornode auf Port 21 zu sein.

Das wäre etwas unschön wenn für verschiedene Tasks verschiedene feste Entrynodes hinterlegt sind. Ich habe das aber jetzt mal ebenfalls an der „richtigen“ Stelle erfragt und hoffe auf eine Antwort. Es bleibt spannend. Den spaß werde ich dann mit allen anderen Ports auch noch durchnehmen.

Btw. bisher habe ich alle ports nach außen geblockt bis auf den Standard Tor Port und habe dennoch keine Einschränkungen.

1 „Gefällt mir“

Würde mich freuen wenn du genaueres darüber herausfindest.

Die Frage die sich mir stellt: Ist die Node so überhaupt sicher nutzbar?
Wenn du alle Ports außer den Tor Port blockst, und es dann immer noch komplett läuft, wozu sind die Dienste die davor da waren dann überhaupt da?

Hätte sonst gerade 10 Tage unnötig Blockchain synchronisiert , falls es potentielle Sicherheitslücken geben könnte, und evtl. die BTC in Gefahr wären wenn ich die Node nutze :smiley:

Habe mich für Umbrel aufgrund der Leichtigkeit entschieden und da ich kein Display auf dem Raspi brauche. Aber dennoch würde ich es nicht nutzen, falls sich das bestätigt.

Die Nachfrage scheint zu laufen, aber ein gängiges Mittel um Dienste zu verschleiern ist es sie auf anderen Port laufen zu lassen. So laufen einige Tor Dienste auf dem Filetransferprotokoll oder auf dem Webserverprotokoll um sicher an dem Provider vorbeizukommen ohne das er es groß mitkriegt.

Das Passwort vom SSH Dienst sollte halt schnellstmöglich geändert werden. Siehe im Forum.

Sehe ich absolut genauso! Aber ja, es ist irgendwie alles Beta und so… daher lagere ich auch nur eine kleine Menge an BTC auf umbrel, um einfach „dabei“ zu sein. Reich durch das Routing wird man hier sicherlich nicht.