ihccaptin IHC Captain i portainer

[MoellerClaus]

Jeg kører med Open Media Vault på en INTEL NUC. Dvs. har så docker containere som oprettes via portainer stacks.

Mit forslag til IHCCaptain portainer stack:

Citat

version: '3'
services:
  ihccaptain:
    container_name: ihccaptain
    image: "arberg/ihccaptain"
    volumes:
      - ./data:/etc/ihccaptain/data/
    ports:
      - "8100:80"
      - "9100:443"
    restart: unless-stopped
    privileged: true
    network_mode: host

Container deployes fint og nginx server er oppe. Men jeg har ikke adgang til den - den svarer ikke på port 8100. Har andre prøvet dette?

[EjvindHald]

Ja, jeg kører også IHC Captain i Docker administreret af Portainer. Det virker fint.

Jeg er på ferie uden adgang til min docker compose fil, så jeg kan ikke sanmenligne.

[MoellerClaus]

Hej 

Det vil jeg meget gerne se. Tak.

[EjvindHald]

Min ser således ud:

version: '3'

services:

  ihccaptain:

    image: arberg/ihccaptain:latest

    container_name: ihccaptain

    environment:

      - TZ=Europe/Copenhagen

    restart: "no"

    ports:

      - "8100:80"

      - "9100:443"

    volumes:

      - /home/ejvind/ihccaptain:/homebridge

[MoellerClaus]

Tusind tak. Det gjorde det for mig.

[MoellerClaus]

Hej Ejvind

Et tillægsspørgsmål til dig omkring adgang ude fra nettet.

Har du åbnet porte i din router eller bruger noget ala duckdns til at tilgå din IHC captain udenfor dit WIFI-netværk?

[EjvindHald]

Hej Claus

Jeg har ingen porte åben - det er for risikabelt. I stedet har jeg konfigureret vpn type L2TP på min Ubiquity router. Det virker fint både med Windows og min iPhone.

[Martin Abildgaard]

På 17.4.2022 at 13:47 , MoellerClaus skrev:

Hej Ejvind

Et tillægsspørgsmål til dig omkring adgang ude fra nettet.

Har du åbnet porte i din router eller bruger noget ala duckdns til at tilgå din IHC captain udenfor dit WIFI-netværk?

Der kommer en mulighed i IHC Captain med remote adgang uden port åbninger. Den er pt i Beta.

[MoellerClaus]

Det bliver et hit. Jeg sætter næsen mod skærmen og afventer i spænding...

[Lars1]

Jeg har en Raspberry PI liggende i en DMZ hjemme, som jeg kan nå med SSH udefra. Via Putty kan jeg bruge den som web proxy, så jeg kan nå web interfacet på mine IHC controller, IHC Captain m.m. via deres lokale IP addresser på mit netværk. Jeg har også en SSH VPN klient hvis jeg har behov for at få adgang til controlleren via Visual.

Jeg vil mene at løsningen er fuldt ud ligeså god som alle gængse VPN løsninger, men den kan være lidt tricke at sætte op hvis man ikke normalt roder med Linux eller netværk. Her er en simpel guide til at sætte Putty op som web proxy sammen med SSH og en Linux server som f.eks. en Raspberry PI. https://linuxhostsupport.com/blog/ssh-tunnel-using-putty-and-firefox/

[Lars Jacobsen]

Blot til orientering så har en del (nyere) routere har faktisk også indbygget VPN mulighed, så det er ikke ubetinget der skal bøvles med mere hardware.

Spørgsmålet vedr. al dette “Remote sikkerheds login” er i min optik om man stoler mere på det brugernavn og password man har på et system er bedre end end andet. For reelt kan man jo bare lade IHC controlleren være tilgængelig direkte på internettet. Om den så kan kan sættes ud af drift med et Ddos angreb er selvfølgelig så en mulighed.
(Om der måtte være Well knownn exploids i controlleren eller java, er selvfølgelig så også en risiko som kan minimeres vha et ekstra lag i form af VPN)

 

[Mikkel Skovgaard]

Min løsning er udelukkende ment som det skal være nemt - indtast en "kode" i IHC Captain og du kan tilgå den udefra

[MoellerClaus]

Hej Mikkel

Hvor skal den "kode" indtastes?

[Henning Pedersen]

Bare for at få lidt overblik - er der overhovedet nogen der kender nogen der kender nogen der har fået hacket deres controller.

[Mikkel Skovgaard]

3 timer siden, Henning Pedersen skrev:

Bare for at få lidt overblik - er der overhovedet nogen der kender nogen der kender nogen der har fået hacket deres controller.

Nej men det er nok også et lav interesse produkt men der er kendte exploits i den - f.eks. det faktum du kan hente controller filen etc. og 60% af folk har admin/admin som adgangskode etc.  - derfor fraråder jeg folk at sætte en controller ud på nettet - og det faktum den kan finde på at lægge sig på ryggen hvis man tæver nok på den.

[Mikkel Skovgaard]

10 timer siden, MoellerClaus skrev:

Hej Mikkel

Hvor skal den "kode" indtastes?

Når det nye er ude så taster man den bare inde i kontrolpanelet.

[Henning Pedersen]

5 timer siden, Mikkel Skovgaard skrev:

Nej men det er nok også et lav interesse produkt men der er kendte exploits i den - f.eks. det faktum du kan hente controller filen etc. og 60% af folk har admin/admin som adgangskode etc.  - derfor fraråder jeg folk at sætte en controller ud på nettet - og det faktum den kan finde på at lægge sig på ryggen hvis man tæver nok på den.

Så med anden kode end admin/admin, er risikoen forsvindende lille.

[Lars1]

23 timer siden, Lars Jacobsen skrev:

Blot til orientering så har en del (nyere) routere har faktisk også indbygget VPN mulighed, så det er ikke ubetinget der skal bøvles med mere hardware.

Spørgsmålet vedr. al dette “Remote sikkerheds login” er i min optik om man stoler mere på det brugernavn og password man har på et system er bedre end end andet. For reelt kan man jo bare lade IHC controlleren være tilgængelig direkte på internettet. Om den så kan kan sættes ud af drift med et Ddos angreb er selvfølgelig så en mulighed.
(Om der måtte være Well knownn exploids i controlleren eller java, er selvfølgelig så også en risiko som kan minimeres vha et ekstra lag i form af VPN)

LK IHC controllerens overfølsomhed overfor netværks trafik er den primære årsag til at jeg aldrig kunne drømme om at give direkte internet adgang til en IHC controller.

14 timer siden, Henning Pedersen skrev:

Bare for at få lidt overblik - er der overhovedet nogen der kender nogen der kender nogen der har fået hacket deres controller.

Jeg kender ingen som har fået hacket sin IHC controller, men jeg havde en overgang som test åbnet for direkte internet til min test controller, og den blev efter 1 mdr. lagt ned af et DDOS angreb. Jeg har logning på min firewall, så jeg kunne dokumenter angrebet overfor min ISP.

4 timer siden, Henning Pedersen skrev:

Så med anden kode end admin/admin, er risikoen forsvindende lille.

For at få nogle logger ind på den ja, men ikke for at nogen kan lægge den ned med et DDOS angreb. Selv en 10 år gammel PC kan uden problemer lægge en LK IHC controller ned med et DDOS angreb.

 

 

Hvis man absolut vil give direkte internet adgang til sin LK IHC controller, så bør man som minimum ændre både default bruger ID OG password. Det er ikke nok bare at ændre en af tingene. Derudover bør man lave portmapping i sin router/firewall, således at det er andre porte end 80 og 443 som man bruger på den offentlige IP. Mange ISP'er overvåger og bloker for port scanninger så sandsynligheden for at en hacker finder de nye porte er ikke så stor som den var for 5-10 år siden. Man er dermed nogenlunde beskyttet mod DDOS angreb.

[Mikkel Skovgaard]

6 timer siden, Henning Pedersen skrev:

Så med anden kode end admin/admin, er risikoen forsvindende lille.

Alt hardware med software i der er forbundet med internet er udsat

[Astronaut]

16 hours ago, Henning Pedersen said:

Bare for at få lidt overblik - er der overhovedet nogen der kender nogen der kender nogen der har fået hacket deres controller.

Hvordan vil du vide at den er blevet hacket? Jeg er med på at hvis det er hackere der er interesseret i at tænde og slukke lyset i dit hus, så vil du nok hurtigt opdage det. Det samme hvis de bare var interesseret i at ødelægge din controller. Men hvis de nu bare inficerede den til fremtidigt brug, hvordan ville du så opdage det? Det er grundlæggende problemet ved alle de devices vi putter på internettet.

 

12 hours ago, Mikkel Skovgaard said:

Nej men det er nok også et lav interesse produkt men der er kendte exploits i den - f.eks. det faktum du kan hente controller filen etc. og 60% af folk har admin/admin som adgangskode etc.  - derfor fraråder jeg folk at sætte en controller ud på nettet - og det faktum den kan finde på at lægge sig på ryggen hvis man tæver nok på den.

Der kører en oldgammel java stak på controlleren. Den har også et operativ system - jeg ved ikke hvilket men jeg er ganske sikker på at LK ikke har udviklet det selv set i lyset af størrelsen af udviklingsteamet. Så med et slemt hul i java stakken eller et problem med OS så er man inde. Softwaren på V2 controllen bliver ikke opdateret længere. Det samme vil sikkert snart ske med V3 controlleren. Og så kan der være sikkerhedshuller som vi må leve med.

 

6 hours ago, Henning Pedersen said:

Så med anden kode end admin/admin, er risikoen forsvindende lille.

Forsvindende lille er et meget vidt begreb. Problemet er at folk vælger et password de kan huske og som også er nogenlunde nemt at indtaste på en telefon. Det gør at der er begrænsninger for kompleksiteten og så bliver risikoen faktisk ikke så lille. Hackere vil ikke komme ind gennem IHC brugerfladen. De vil tilgå controlleren programmatisk og evt. kunne udnytte sikkerhedshuller i java stakken eller netværksstakken. Når de går igang med at hacke den vil de sikkert ikke engang vide at det er en IHC controller. 

 

2 hours ago, Lars1 said:

LK IHC controllerens overfølsomhed overfor netværks trafik er den primære årsag til at jeg aldrig kunne drømme om at give direkte internet adgang til en IHC controller.

Enig. Men den aldrende software er nummer to på min liste. Med manglen på certificat baseret authentikering som en tæt nummer 3.

[Lars1]

19 timer siden, Astronaut skrev:

Hvordan vil du vide at den er blevet hacket? Jeg er med på at hvis det er hackere der er interesseret i at tænde og slukke lyset i dit hus, så vil du nok hurtigt opdage det. Det samme hvis de bare var interesseret i at ødelægge din controller. Men hvis de nu bare inficerede den til fremtidigt brug, hvordan ville du så opdage det? Det er grundlæggende problemet ved alle de devices vi putter på internettet.

Med den ringe processor kraft der er i LK IHC controllerne incl. den seneste HW7 version er jeg ret sikker på at du hurtigt vil opdage hvis din controller er blevet inficeret til fremtidig brug. Det samme gælder for rigtig mange af de IOT devices som findes idag. Oven i det er de ikke så lette at inficer og modificer til fremtidig brug. Deres OS er somregl et OS med kraftigt reduceret funktionalitet som gør dem temmelig svære at inficer eller bruge som jumpstone.

19 timer siden, Astronaut skrev:

Der kører en oldgammel java stak på controlleren. Den har også et operativ system - jeg ved ikke hvilket men jeg er ganske sikker på at LK ikke har udviklet det selv set i lyset af størrelsen af udviklingsteamet. Så med et slemt hul i java stakken eller et problem med OS så er man inde. Softwaren på V2 controllen bliver ikke opdateret længere. Det samme vil sikkert snart ske med V3 controlleren. Og så kan der være sikkerhedshuller som vi må leve med.

Mig bekendt ligger der ikke Java på controllerne. Det er en embed linux kerne som køre på dem såvidt jeg ved. Java bruges kun til klient programmerne på din PC. Der behøver ikke ligge Java på controllerne for at det vil virke. Linux kernen er dog også gammel og bliver sjældent opdateret så her har man nøjagtig de samme udfordringer med sikkerhedshuller. Jeg er dog ikke så bekymret for det netop fordi det er et OS med stærkt reducereret funktionalitet som gør det svært at udnytte for en hacker.

[Mikkel Skovgaard]

Nu har jeg skilt en controllers firmware ret meget af - men vil lige undlade at gå alt for meget i ind det lige nu men det er en af grundene til jeg ikke vil have den ude på internettet. Jeg håber snart at dele en grundig gennemgang af hvordan IHC Controlleren virker internt.

[Astronaut]

On 4/23/2022 at 9:47 AM, Lars1 said:

Med den ringe processor kraft der er i LK IHC controllerne incl. den seneste HW7 version er jeg ret sikker på at du hurtigt vil opdage hvis din controller er blevet inficeret til fremtidig brug. Det samme gælder for rigtig mange af de IOT devices som findes idag. Oven i det er de ikke så lette at inficer og modificer til fremtidig brug. Deres OS er somregl et OS med kraftigt reduceret funktionalitet som gør dem temmelig svære at inficer eller bruge som jumpstone.

Der er masser af power i en moderne ARM processor. Så længe malware bare sover koster det meget meget lidt både i RAM og storage. Med hensyn til OS så er det eneste der er brug for en TCP/IP stack og et filsystem. 

 

On 4/23/2022 at 9:47 AM, Lars1 said:

Mig bekendt ligger der ikke Java på controllerne. Det er en embed linux kerne som køre på dem såvidt jeg ved. Java bruges kun til klient programmerne på din PC. 

Ok. Det lyder fornuftigt. Jeg mente jeg havde set en fejlmeddelse fra controlleren på et tidspunkt som indikerede at den kørte noget Java ifbm. SOAP serveren.

 

On 4/23/2022 at 9:47 AM, Lars1 said:

Jeg er dog ikke så bekymret for det netop fordi det er et OS med stærkt reducereret funktionalitet som gør det svært at udnytte for en hacker.

Det er underordnet. Hvis man har et hack så kan man komme med det meste af koden selv. Alt hvad skal bruge er et hul i fx. TCP stakken (dem er der ikke mange af) eller i SOAP serveren (mere sandsynligt) eller i LKs kode (mest sandsynligt). Når første man kan køre en stump kode på controlleren så har man blot brug for en smule RAM og storage. Der er ikke brug for nogen af de programmer der ellers findes i en Linux Server (eller Desktop) installation.

[Mikkel Skovgaard]

Der er både java og binaries (MIPS) på den

[Lars1]

2 timer siden, Astronaut skrev:

Der er masser af power i en moderne ARM processor. Så længe malware bare sover koster det meget meget lidt både i RAM og storage.

Men det er ikke en moderne ARM processor som sidder i controlleren. Selv Visual 3 controlleren er designet for 10 år siden med de processor som var tilgængelig dengang, og det er stadigvæk dem de stopper i de controller som bliver produceret idag.

 

2 timer siden, Astronaut skrev:

Med hensyn til OS så er det eneste der er brug for en TCP/IP stack og et filsystem.

Det er underordnet. Hvis man har et hack så kan man komme med det meste af koden selv. Alt hvad skal bruge er et hul i fx. TCP stakken (dem er der ikke mange af) eller i SOAP serveren (mere sandsynligt) eller i LKs kode (mest sandsynligt). Når første man kan køre en stump kode på controlleren så har man blot brug for en smule RAM og storage. Der er ikke brug for nogen af de programmer der ellers findes i en Linux Server (eller Desktop) installation.

Det er heldigvis ikke så simpelt at hacke en LK IHC controller, som du gerne vil gøre det til, og slet ikke hvis du vil bruge den til at hacke andre enheder på nettet. Årsagen hertil er ikke LK's sikkerhed, men at funktionaliteten i LK IHC controlleren's OS er stærkt reduceret og her tænker jeg ikke på GUI og desktops, men banale ting som shell, terminal server etc. Man har ganske simpelt fjernet alt funktionalitet fra OS'et og webserveren m.m. som ikke er strengt nødvendigt. Dette er ikke gjort at sikkerheds hensyn, men for at få OS'et og web serveren ned i en størrelse som gør at de kan køre på den processor kraft som er tilrådighed i controlleren.

Selvfølgelig er det fortsat muligt at hacke en LK IHC controller, men det er noget svære når der er tale om et reduceret OS og når antallet af LK IHC controller på nettet samtidig er så lavt som det er, er det ikke noget som mange hacker gider spilde mange sekunder på. Det er meget nemmer at finde og hacke en IIS server som ikke har fået alle sine daglige sikkerheds opdateringer fra microsoft.