Hop til indhold

IHC Captain i portainer

MoellerClaus

Af MoellerClaus,
i Fejlmelding

 Share

Recommended Posts

MoellerClaus Apprentice

MoellerClaus

Skrevet
Skrevet

Jeg kører med Open Media Vault på en INTEL NUC. Dvs. har så docker containere som oprettes via portainer stacks.

Mit forslag til IHCCaptain portainer stack:

  Citat

version: '3'
services:
  ihccaptain:
    container_name: ihccaptain
    image: "arberg/ihccaptain"
    volumes:
      - ./data:/etc/ihccaptain/data/
    ports:
      - "8100:80"
      - "9100:443"
    restart: unless-stopped
    privileged: true
    network_mode: host

Expand  

Container deployes fint og nginx server er oppe. Men jeg har ikke adgang til den - den svarer ikke på port 8100. Har andre prøvet dette?

Link til kommentar
Del på andre sites
EjvindHald Collaborator

EjvindHald

Besvaret
Besvaret

Min ser således ud:

version: '3'
services:
  ihccaptain:
    image: arberg/ihccaptain:latest
    container_name: ihccaptain
    environment:
      - TZ=Europe/Copenhagen
    restart: "no"
    ports:
      - "8100:80"
      - "9100:443"
    volumes:
      - /home/ejvind/ihccaptain:/homebridge
Link til kommentar
Del på andre sites
Martin Abildgaard Explorer

Martin Abildgaard

Besvaret
Besvaret
  På 17.4.2022 at 11:47 , MoellerClaus skrev:

Hej Ejvind

Et tillægsspørgsmål til dig omkring adgang ude fra nettet.

Har du åbnet porte i din router eller bruger noget ala duckdns til at tilgå din IHC captain udenfor dit WIFI-netværk?

Expand  

Der kommer en mulighed i IHC Captain med remote adgang uden port åbninger. Den er pt i Beta.

Link til kommentar
Del på andre sites
Lars1 Mentor

Lars1

Besvaret
Besvaret

Jeg har en Raspberry PI liggende i en DMZ hjemme, som jeg kan nå med SSH udefra. Via Putty kan jeg bruge den som web proxy, så jeg kan nå web interfacet på mine IHC controller, IHC Captain m.m. via deres lokale IP addresser på mit netværk. Jeg har også en SSH VPN klient hvis jeg har behov for at få adgang til controlleren via Visual.

Jeg vil mene at løsningen er fuldt ud ligeså god som alle gængse VPN løsninger, men den kan være lidt tricke at sætte op hvis man ikke normalt roder med Linux eller netværk. Her er en simpel guide til at sætte Putty op som web proxy sammen med SSH og en Linux server som f.eks. en Raspberry PI. https://linuxhostsupport.com/blog/ssh-tunnel-using-putty-and-firefox/

Link til kommentar
Del på andre sites
Lars Jacobsen Collaborator

Lars Jacobsen

Besvaret
Besvaret

Blot til orientering så har en del (nyere) routere har faktisk også indbygget VPN mulighed, så det er ikke ubetinget der skal bøvles med mere hardware.

Spørgsmålet vedr. al dette “Remote sikkerheds login” er i min optik om man stoler mere på det brugernavn og password man har på et system er bedre end end andet. For reelt kan man jo bare lade IHC controlleren være tilgængelig direkte på internettet. Om den så kan kan sættes ud af drift med et Ddos angreb er selvfølgelig så en mulighed.
(Om der måtte være Well knownn exploids i controlleren eller java, er selvfølgelig så også en risiko som kan minimeres vha et ekstra lag i form af VPN)

 

Link til kommentar
Del på andre sites
Mikkel Skovgaard Community Regular

Mikkel Skovgaard

Besvaret
Besvaret
  På 21.4.2022 at 19:09 , Henning Pedersen skrev:

Bare for at få lidt overblik - er der overhovedet nogen der kender nogen der kender nogen der har fået hacket deres controller.

Expand  

Nej men det er nok også et lav interesse produkt men der er kendte exploits i den - f.eks. det faktum du kan hente controller filen etc. og 60% af folk har admin/admin som adgangskode etc.  - derfor fraråder jeg folk at sætte en controller ud på nettet - og det faktum den kan finde på at lægge sig på ryggen hvis man tæver nok på den.

Link til kommentar
Del på andre sites
Henning Pedersen Proficient

Henning Pedersen

Besvaret
Besvaret
  På 21.4.2022 at 23:10 , Mikkel Skovgaard skrev:

Nej men det er nok også et lav interesse produkt men der er kendte exploits i den - f.eks. det faktum du kan hente controller filen etc. og 60% af folk har admin/admin som adgangskode etc.  - derfor fraråder jeg folk at sætte en controller ud på nettet - og det faktum den kan finde på at lægge sig på ryggen hvis man tæver nok på den.

Expand  

Så med anden kode end admin/admin, er risikoen forsvindende lille.

Link til kommentar
Del på andre sites
Lars1 Mentor

Lars1

Besvaret
Besvaret
  På 21.4.2022 at 10:16 , Lars Jacobsen skrev:

Blot til orientering så har en del (nyere) routere har faktisk også indbygget VPN mulighed, så det er ikke ubetinget der skal bøvles med mere hardware.

Spørgsmålet vedr. al dette “Remote sikkerheds login” er i min optik om man stoler mere på det brugernavn og password man har på et system er bedre end end andet. For reelt kan man jo bare lade IHC controlleren være tilgængelig direkte på internettet. Om den så kan kan sættes ud af drift med et Ddos angreb er selvfølgelig så en mulighed.
(Om der måtte være Well knownn exploids i controlleren eller java, er selvfølgelig så også en risiko som kan minimeres vha et ekstra lag i form af VPN)

Expand  

LK IHC controllerens overfølsomhed overfor netværks trafik er den primære årsag til at jeg aldrig kunne drømme om at give direkte internet adgang til en IHC controller.

  På 21.4.2022 at 19:09 , Henning Pedersen skrev:

Bare for at få lidt overblik - er der overhovedet nogen der kender nogen der kender nogen der har fået hacket deres controller.

Expand  

Jeg kender ingen som har fået hacket sin IHC controller, men jeg havde en overgang som test åbnet for direkte internet til min test controller, og den blev efter 1 mdr. lagt ned af et DDOS angreb. Jeg har logning på min firewall, så jeg kunne dokumenter angrebet overfor min ISP.

  På 22.4.2022 at 05:04 , Henning Pedersen skrev:

Så med anden kode end admin/admin, er risikoen forsvindende lille.

Expand  

For at få nogle logger ind på den ja, men ikke for at nogen kan lægge den ned med et DDOS angreb. Selv en 10 år gammel PC kan uden problemer lægge en LK IHC controller ned med et DDOS angreb.

 

 

Hvis man absolut vil give direkte internet adgang til sin LK IHC controller, så bør man som minimum ændre både default bruger ID OG password. Det er ikke nok bare at ændre en af tingene. Derudover bør man lave portmapping i sin router/firewall, således at det er andre porte end 80 og 443 som man bruger på den offentlige IP. Mange ISP'er overvåger og bloker for port scanninger så sandsynligheden for at en hacker finder de nye porte er ikke så stor som den var for 5-10 år siden. Man er dermed nogenlunde beskyttet mod DDOS angreb.

Link til kommentar
Del på andre sites
Astronaut Collaborator

Astronaut

Besvaret
Besvaret
  På 21.4.2022 at 19:09 , Henning Pedersen skrev:

Bare for at få lidt overblik - er der overhovedet nogen der kender nogen der kender nogen der har fået hacket deres controller.

Expand  

Hvordan vil du vide at den er blevet hacket? Jeg er med på at hvis det er hackere der er interesseret i at tænde og slukke lyset i dit hus, så vil du nok hurtigt opdage det. Det samme hvis de bare var interesseret i at ødelægge din controller. Men hvis de nu bare inficerede den til fremtidigt brug, hvordan ville du så opdage det? Det er grundlæggende problemet ved alle de devices vi putter på internettet.

 

  På 21.4.2022 at 23:10 , Mikkel Skovgaard skrev:

Nej men det er nok også et lav interesse produkt men der er kendte exploits i den - f.eks. det faktum du kan hente controller filen etc. og 60% af folk har admin/admin som adgangskode etc.  - derfor fraråder jeg folk at sætte en controller ud på nettet - og det faktum den kan finde på at lægge sig på ryggen hvis man tæver nok på den.

Expand  

Der kører en oldgammel java stak på controlleren. Den har også et operativ system - jeg ved ikke hvilket men jeg er ganske sikker på at LK ikke har udviklet det selv set i lyset af størrelsen af udviklingsteamet. Så med et slemt hul i java stakken eller et problem med OS så er man inde. Softwaren på V2 controllen bliver ikke opdateret længere. Det samme vil sikkert snart ske med V3 controlleren. Og så kan der være sikkerhedshuller som vi må leve med.

 

  På 22.4.2022 at 05:04 , Henning Pedersen skrev:

Så med anden kode end admin/admin, er risikoen forsvindende lille.

Expand  

Forsvindende lille er et meget vidt begreb. Problemet er at folk vælger et password de kan huske og som også er nogenlunde nemt at indtaste på en telefon. Det gør at der er begrænsninger for kompleksiteten og så bliver risikoen faktisk ikke så lille. Hackere vil ikke komme ind gennem IHC brugerfladen. De vil tilgå controlleren programmatisk og evt. kunne udnytte sikkerhedshuller i java stakken eller netværksstakken. Når de går igang med at hacke den vil de sikkert ikke engang vide at det er en IHC controller. 

 

  På 22.4.2022 at 09:52 , Lars1 skrev:

LK IHC controllerens overfølsomhed overfor netværks trafik er den primære årsag til at jeg aldrig kunne drømme om at give direkte internet adgang til en IHC controller.

Expand  

Enig. Men den aldrende software er nummer to på min liste. Med manglen på certificat baseret authentikering som en tæt nummer 3.

Link til kommentar
Del på andre sites
Lars1 Mentor

Lars1

Besvaret
Besvaret
  På 22.4.2022 at 12:06 , Astronaut skrev:

Hvordan vil du vide at den er blevet hacket? Jeg er med på at hvis det er hackere der er interesseret i at tænde og slukke lyset i dit hus, så vil du nok hurtigt opdage det. Det samme hvis de bare var interesseret i at ødelægge din controller. Men hvis de nu bare inficerede den til fremtidigt brug, hvordan ville du så opdage det? Det er grundlæggende problemet ved alle de devices vi putter på internettet.

Expand  

Med den ringe processor kraft der er i LK IHC controllerne incl. den seneste HW7 version er jeg ret sikker på at du hurtigt vil opdage hvis din controller er blevet inficeret til fremtidig brug. Det samme gælder for rigtig mange af de IOT devices som findes idag. Oven i det er de ikke så lette at inficer og modificer til fremtidig brug. Deres OS er somregl et OS med kraftigt reduceret funktionalitet som gør dem temmelig svære at inficer eller bruge som jumpstone.

  På 22.4.2022 at 12:06 , Astronaut skrev:

Der kører en oldgammel java stak på controlleren. Den har også et operativ system - jeg ved ikke hvilket men jeg er ganske sikker på at LK ikke har udviklet det selv set i lyset af størrelsen af udviklingsteamet. Så med et slemt hul i java stakken eller et problem med OS så er man inde. Softwaren på V2 controllen bliver ikke opdateret længere. Det samme vil sikkert snart ske med V3 controlleren. Og så kan der være sikkerhedshuller som vi må leve med.

Expand  

Mig bekendt ligger der ikke Java på controllerne. Det er en embed linux kerne som køre på dem såvidt jeg ved. Java bruges kun til klient programmerne på din PC. Der behøver ikke ligge Java på controllerne for at det vil virke. Linux kernen er dog også gammel og bliver sjældent opdateret så her har man nøjagtig de samme udfordringer med sikkerhedshuller. Jeg er dog ikke så bekymret for det netop fordi det er et OS med stærkt reducereret funktionalitet som gør det svært at udnytte for en hacker.

Link til kommentar
Del på andre sites
Astronaut Collaborator

Astronaut

Besvaret
Besvaret
  På 23.4.2022 at 07:47 , Lars1 skrev:

Med den ringe processor kraft der er i LK IHC controllerne incl. den seneste HW7 version er jeg ret sikker på at du hurtigt vil opdage hvis din controller er blevet inficeret til fremtidig brug. Det samme gælder for rigtig mange af de IOT devices som findes idag. Oven i det er de ikke så lette at inficer og modificer til fremtidig brug. Deres OS er somregl et OS med kraftigt reduceret funktionalitet som gør dem temmelig svære at inficer eller bruge som jumpstone.

Expand  

Der er masser af power i en moderne ARM processor. Så længe malware bare sover koster det meget meget lidt både i RAM og storage. Med hensyn til OS så er det eneste der er brug for en TCP/IP stack og et filsystem. 

 

  På 23.4.2022 at 07:47 , Lars1 skrev:

Mig bekendt ligger der ikke Java på controllerne. Det er en embed linux kerne som køre på dem såvidt jeg ved. Java bruges kun til klient programmerne på din PC. 

Expand  

Ok. Det lyder fornuftigt. Jeg mente jeg havde set en fejlmeddelse fra controlleren på et tidspunkt som indikerede at den kørte noget Java ifbm. SOAP serveren.

 

  På 23.4.2022 at 07:47 , Lars1 skrev:

Jeg er dog ikke så bekymret for det netop fordi det er et OS med stærkt reducereret funktionalitet som gør det svært at udnytte for en hacker.

Expand  

Det er underordnet. Hvis man har et hack så kan man komme med det meste af koden selv. Alt hvad skal bruge er et hul i fx. TCP stakken (dem er der ikke mange af) eller i SOAP serveren (mere sandsynligt) eller i LKs kode (mest sandsynligt). Når første man kan køre en stump kode på controlleren så har man blot brug for en smule RAM og storage. Der er ikke brug for nogen af de programmer der ellers findes i en Linux Server (eller Desktop) installation.

Link til kommentar
Del på andre sites
Lars1 Mentor

Lars1

Besvaret
Besvaret
  På 25.4.2022 at 13:14 , Astronaut skrev:

Der er masser af power i en moderne ARM processor. Så længe malware bare sover koster det meget meget lidt både i RAM og storage.

Expand  

Men det er ikke en moderne ARM processor som sidder i controlleren. Selv Visual 3 controlleren er designet for 10 år siden med de processor som var tilgængelig dengang, og det er stadigvæk dem de stopper i de controller som bliver produceret idag.

 

  På 25.4.2022 at 13:14 , Astronaut skrev:

Med hensyn til OS så er det eneste der er brug for en TCP/IP stack og et filsystem.

Det er underordnet. Hvis man har et hack så kan man komme med det meste af koden selv. Alt hvad skal bruge er et hul i fx. TCP stakken (dem er der ikke mange af) eller i SOAP serveren (mere sandsynligt) eller i LKs kode (mest sandsynligt). Når første man kan køre en stump kode på controlleren så har man blot brug for en smule RAM og storage. Der er ikke brug for nogen af de programmer der ellers findes i en Linux Server (eller Desktop) installation.

Expand  

Det er heldigvis ikke så simpelt at hacke en LK IHC controller, som du gerne vil gøre det til, og slet ikke hvis du vil bruge den til at hacke andre enheder på nettet. Årsagen hertil er ikke LK's sikkerhed, men at funktionaliteten i LK IHC controlleren's OS er stærkt reduceret og her tænker jeg ikke på GUI og desktops, men banale ting som shell, terminal server etc. Man har ganske simpelt fjernet alt funktionalitet fra OS'et og webserveren m.m. som ikke er strengt nødvendigt. Dette er ikke gjort at sikkerheds hensyn, men for at få OS'et og web serveren ned i en størrelse som gør at de kan køre på den processor kraft som er tilrådighed i controlleren.

Selvfølgelig er det fortsat muligt at hacke en LK IHC controller, men det er noget svære når der er tale om et reduceret OS og når antallet af LK IHC controller på nettet samtidig er så lavt som det er, er det ikke noget som mange hacker gider spilde mange sekunder på. Det er meget nemmer at finde og hacke en IIS server som ikke har fået alle sine daglige sikkerheds opdateringer fra microsoft.

Link til kommentar
Del på andre sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gæst
Svar på dette emne...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Gå til liste over emner
×
×
  • Tilføj...

Important Information

Privatlivspolitik og We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.

  I accept

1200x630bb.png

ok