Hop til indhold

IHC Captain i portainer


MoellerClaus
 Share

Recommended Posts

Jeg kører med Open Media Vault på en INTEL NUC. Dvs. har så docker containere som oprettes via portainer stacks.

Mit forslag til IHCCaptain portainer stack:

Citat

version: '3'
services:
  ihccaptain:
    container_name: ihccaptain
    image: "arberg/ihccaptain"
    volumes:
      - ./data:/etc/ihccaptain/data/
    ports:
      - "8100:80"
      - "9100:443"
    restart: unless-stopped
    privileged: true
    network_mode: host

Container deployes fint og nginx server er oppe. Men jeg har ikke adgang til den - den svarer ikke på port 8100. Har andre prøvet dette?

Link til kommentar
Del på andre sites

Min ser således ud:

version: '3'
services:
  ihccaptain:
    image: arberg/ihccaptain:latest
    container_name: ihccaptain
    environment:
      - TZ=Europe/Copenhagen
    restart: "no"
    ports:
      - "8100:80"
      - "9100:443"
    volumes:
      - /home/ejvind/ihccaptain:/homebridge
Link til kommentar
Del på andre sites

På 17.4.2022 at 13:47 , MoellerClaus skrev:

Hej Ejvind

Et tillægsspørgsmål til dig omkring adgang ude fra nettet.

Har du åbnet porte i din router eller bruger noget ala duckdns til at tilgå din IHC captain udenfor dit WIFI-netværk?

Der kommer en mulighed i IHC Captain med remote adgang uden port åbninger. Den er pt i Beta.

Link til kommentar
Del på andre sites

Jeg har en Raspberry PI liggende i en DMZ hjemme, som jeg kan nå med SSH udefra. Via Putty kan jeg bruge den som web proxy, så jeg kan nå web interfacet på mine IHC controller, IHC Captain m.m. via deres lokale IP addresser på mit netværk. Jeg har også en SSH VPN klient hvis jeg har behov for at få adgang til controlleren via Visual.

Jeg vil mene at løsningen er fuldt ud ligeså god som alle gængse VPN løsninger, men den kan være lidt tricke at sætte op hvis man ikke normalt roder med Linux eller netværk. Her er en simpel guide til at sætte Putty op som web proxy sammen med SSH og en Linux server som f.eks. en Raspberry PI. https://linuxhostsupport.com/blog/ssh-tunnel-using-putty-and-firefox/

Link til kommentar
Del på andre sites

Blot til orientering så har en del (nyere) routere har faktisk også indbygget VPN mulighed, så det er ikke ubetinget der skal bøvles med mere hardware.

Spørgsmålet vedr. al dette “Remote sikkerheds login” er i min optik om man stoler mere på det brugernavn og password man har på et system er bedre end end andet. For reelt kan man jo bare lade IHC controlleren være tilgængelig direkte på internettet. Om den så kan kan sættes ud af drift med et Ddos angreb er selvfølgelig så en mulighed.
(Om der måtte være Well knownn exploids i controlleren eller java, er selvfølgelig så også en risiko som kan minimeres vha et ekstra lag i form af VPN)

 

Link til kommentar
Del på andre sites

3 timer siden, Henning Pedersen skrev:

Bare for at få lidt overblik - er der overhovedet nogen der kender nogen der kender nogen der har fået hacket deres controller.

Nej men det er nok også et lav interesse produkt men der er kendte exploits i den - f.eks. det faktum du kan hente controller filen etc. og 60% af folk har admin/admin som adgangskode etc.  - derfor fraråder jeg folk at sætte en controller ud på nettet - og det faktum den kan finde på at lægge sig på ryggen hvis man tæver nok på den.

Link til kommentar
Del på andre sites

5 timer siden, Mikkel Skovgaard skrev:

Nej men det er nok også et lav interesse produkt men der er kendte exploits i den - f.eks. det faktum du kan hente controller filen etc. og 60% af folk har admin/admin som adgangskode etc.  - derfor fraråder jeg folk at sætte en controller ud på nettet - og det faktum den kan finde på at lægge sig på ryggen hvis man tæver nok på den.

Så med anden kode end admin/admin, er risikoen forsvindende lille.

Link til kommentar
Del på andre sites

23 timer siden, Lars Jacobsen skrev:

Blot til orientering så har en del (nyere) routere har faktisk også indbygget VPN mulighed, så det er ikke ubetinget der skal bøvles med mere hardware.

Spørgsmålet vedr. al dette “Remote sikkerheds login” er i min optik om man stoler mere på det brugernavn og password man har på et system er bedre end end andet. For reelt kan man jo bare lade IHC controlleren være tilgængelig direkte på internettet. Om den så kan kan sættes ud af drift med et Ddos angreb er selvfølgelig så en mulighed.
(Om der måtte være Well knownn exploids i controlleren eller java, er selvfølgelig så også en risiko som kan minimeres vha et ekstra lag i form af VPN)

LK IHC controllerens overfølsomhed overfor netværks trafik er den primære årsag til at jeg aldrig kunne drømme om at give direkte internet adgang til en IHC controller.

14 timer siden, Henning Pedersen skrev:

Bare for at få lidt overblik - er der overhovedet nogen der kender nogen der kender nogen der har fået hacket deres controller.

Jeg kender ingen som har fået hacket sin IHC controller, men jeg havde en overgang som test åbnet for direkte internet til min test controller, og den blev efter 1 mdr. lagt ned af et DDOS angreb. Jeg har logning på min firewall, så jeg kunne dokumenter angrebet overfor min ISP.

4 timer siden, Henning Pedersen skrev:

Så med anden kode end admin/admin, er risikoen forsvindende lille.

For at få nogle logger ind på den ja, men ikke for at nogen kan lægge den ned med et DDOS angreb. Selv en 10 år gammel PC kan uden problemer lægge en LK IHC controller ned med et DDOS angreb.

 

 

Hvis man absolut vil give direkte internet adgang til sin LK IHC controller, så bør man som minimum ændre både default bruger ID OG password. Det er ikke nok bare at ændre en af tingene. Derudover bør man lave portmapping i sin router/firewall, således at det er andre porte end 80 og 443 som man bruger på den offentlige IP. Mange ISP'er overvåger og bloker for port scanninger så sandsynligheden for at en hacker finder de nye porte er ikke så stor som den var for 5-10 år siden. Man er dermed nogenlunde beskyttet mod DDOS angreb.

Link til kommentar
Del på andre sites

16 hours ago, Henning Pedersen said:

Bare for at få lidt overblik - er der overhovedet nogen der kender nogen der kender nogen der har fået hacket deres controller.

Hvordan vil du vide at den er blevet hacket? Jeg er med på at hvis det er hackere der er interesseret i at tænde og slukke lyset i dit hus, så vil du nok hurtigt opdage det. Det samme hvis de bare var interesseret i at ødelægge din controller. Men hvis de nu bare inficerede den til fremtidigt brug, hvordan ville du så opdage det? Det er grundlæggende problemet ved alle de devices vi putter på internettet.

 

12 hours ago, Mikkel Skovgaard said:

Nej men det er nok også et lav interesse produkt men der er kendte exploits i den - f.eks. det faktum du kan hente controller filen etc. og 60% af folk har admin/admin som adgangskode etc.  - derfor fraråder jeg folk at sætte en controller ud på nettet - og det faktum den kan finde på at lægge sig på ryggen hvis man tæver nok på den.

Der kører en oldgammel java stak på controlleren. Den har også et operativ system - jeg ved ikke hvilket men jeg er ganske sikker på at LK ikke har udviklet det selv set i lyset af størrelsen af udviklingsteamet. Så med et slemt hul i java stakken eller et problem med OS så er man inde. Softwaren på V2 controllen bliver ikke opdateret længere. Det samme vil sikkert snart ske med V3 controlleren. Og så kan der være sikkerhedshuller som vi må leve med.

 

6 hours ago, Henning Pedersen said:

Så med anden kode end admin/admin, er risikoen forsvindende lille.

Forsvindende lille er et meget vidt begreb. Problemet er at folk vælger et password de kan huske og som også er nogenlunde nemt at indtaste på en telefon. Det gør at der er begrænsninger for kompleksiteten og så bliver risikoen faktisk ikke så lille. Hackere vil ikke komme ind gennem IHC brugerfladen. De vil tilgå controlleren programmatisk og evt. kunne udnytte sikkerhedshuller i java stakken eller netværksstakken. Når de går igang med at hacke den vil de sikkert ikke engang vide at det er en IHC controller. 

 

2 hours ago, Lars1 said:

LK IHC controllerens overfølsomhed overfor netværks trafik er den primære årsag til at jeg aldrig kunne drømme om at give direkte internet adgang til en IHC controller.

Enig. Men den aldrende software er nummer to på min liste. Med manglen på certificat baseret authentikering som en tæt nummer 3.

Link til kommentar
Del på andre sites

19 timer siden, Astronaut skrev:

Hvordan vil du vide at den er blevet hacket? Jeg er med på at hvis det er hackere der er interesseret i at tænde og slukke lyset i dit hus, så vil du nok hurtigt opdage det. Det samme hvis de bare var interesseret i at ødelægge din controller. Men hvis de nu bare inficerede den til fremtidigt brug, hvordan ville du så opdage det? Det er grundlæggende problemet ved alle de devices vi putter på internettet.

Med den ringe processor kraft der er i LK IHC controllerne incl. den seneste HW7 version er jeg ret sikker på at du hurtigt vil opdage hvis din controller er blevet inficeret til fremtidig brug. Det samme gælder for rigtig mange af de IOT devices som findes idag. Oven i det er de ikke så lette at inficer og modificer til fremtidig brug. Deres OS er somregl et OS med kraftigt reduceret funktionalitet som gør dem temmelig svære at inficer eller bruge som jumpstone.

19 timer siden, Astronaut skrev:

Der kører en oldgammel java stak på controlleren. Den har også et operativ system - jeg ved ikke hvilket men jeg er ganske sikker på at LK ikke har udviklet det selv set i lyset af størrelsen af udviklingsteamet. Så med et slemt hul i java stakken eller et problem med OS så er man inde. Softwaren på V2 controllen bliver ikke opdateret længere. Det samme vil sikkert snart ske med V3 controlleren. Og så kan der være sikkerhedshuller som vi må leve med.

Mig bekendt ligger der ikke Java på controllerne. Det er en embed linux kerne som køre på dem såvidt jeg ved. Java bruges kun til klient programmerne på din PC. Der behøver ikke ligge Java på controllerne for at det vil virke. Linux kernen er dog også gammel og bliver sjældent opdateret så her har man nøjagtig de samme udfordringer med sikkerhedshuller. Jeg er dog ikke så bekymret for det netop fordi det er et OS med stærkt reducereret funktionalitet som gør det svært at udnytte for en hacker.

Link til kommentar
Del på andre sites

On 4/23/2022 at 9:47 AM, Lars1 said:

Med den ringe processor kraft der er i LK IHC controllerne incl. den seneste HW7 version er jeg ret sikker på at du hurtigt vil opdage hvis din controller er blevet inficeret til fremtidig brug. Det samme gælder for rigtig mange af de IOT devices som findes idag. Oven i det er de ikke så lette at inficer og modificer til fremtidig brug. Deres OS er somregl et OS med kraftigt reduceret funktionalitet som gør dem temmelig svære at inficer eller bruge som jumpstone.

Der er masser af power i en moderne ARM processor. Så længe malware bare sover koster det meget meget lidt både i RAM og storage. Med hensyn til OS så er det eneste der er brug for en TCP/IP stack og et filsystem. 

 

On 4/23/2022 at 9:47 AM, Lars1 said:

Mig bekendt ligger der ikke Java på controllerne. Det er en embed linux kerne som køre på dem såvidt jeg ved. Java bruges kun til klient programmerne på din PC. 

Ok. Det lyder fornuftigt. Jeg mente jeg havde set en fejlmeddelse fra controlleren på et tidspunkt som indikerede at den kørte noget Java ifbm. SOAP serveren.

 

On 4/23/2022 at 9:47 AM, Lars1 said:

Jeg er dog ikke så bekymret for det netop fordi det er et OS med stærkt reducereret funktionalitet som gør det svært at udnytte for en hacker.

Det er underordnet. Hvis man har et hack så kan man komme med det meste af koden selv. Alt hvad skal bruge er et hul i fx. TCP stakken (dem er der ikke mange af) eller i SOAP serveren (mere sandsynligt) eller i LKs kode (mest sandsynligt). Når første man kan køre en stump kode på controlleren så har man blot brug for en smule RAM og storage. Der er ikke brug for nogen af de programmer der ellers findes i en Linux Server (eller Desktop) installation.

Link til kommentar
Del på andre sites

2 timer siden, Astronaut skrev:

Der er masser af power i en moderne ARM processor. Så længe malware bare sover koster det meget meget lidt både i RAM og storage.

Men det er ikke en moderne ARM processor som sidder i controlleren. Selv Visual 3 controlleren er designet for 10 år siden med de processor som var tilgængelig dengang, og det er stadigvæk dem de stopper i de controller som bliver produceret idag.

 

2 timer siden, Astronaut skrev:

Med hensyn til OS så er det eneste der er brug for en TCP/IP stack og et filsystem.

Det er underordnet. Hvis man har et hack så kan man komme med det meste af koden selv. Alt hvad skal bruge er et hul i fx. TCP stakken (dem er der ikke mange af) eller i SOAP serveren (mere sandsynligt) eller i LKs kode (mest sandsynligt). Når første man kan køre en stump kode på controlleren så har man blot brug for en smule RAM og storage. Der er ikke brug for nogen af de programmer der ellers findes i en Linux Server (eller Desktop) installation.

Det er heldigvis ikke så simpelt at hacke en LK IHC controller, som du gerne vil gøre det til, og slet ikke hvis du vil bruge den til at hacke andre enheder på nettet. Årsagen hertil er ikke LK's sikkerhed, men at funktionaliteten i LK IHC controlleren's OS er stærkt reduceret og her tænker jeg ikke på GUI og desktops, men banale ting som shell, terminal server etc. Man har ganske simpelt fjernet alt funktionalitet fra OS'et og webserveren m.m. som ikke er strengt nødvendigt. Dette er ikke gjort at sikkerheds hensyn, men for at få OS'et og web serveren ned i en størrelse som gør at de kan køre på den processor kraft som er tilrådighed i controlleren.

Selvfølgelig er det fortsat muligt at hacke en LK IHC controller, men det er noget svære når der er tale om et reduceret OS og når antallet af LK IHC controller på nettet samtidig er så lavt som det er, er det ikke noget som mange hacker gider spilde mange sekunder på. Det er meget nemmer at finde og hacke en IIS server som ikke har fået alle sine daglige sikkerheds opdateringer fra microsoft.

Link til kommentar
Del på andre sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gæst
Svar på dette emne...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loader...
 Share

×
×
  • Tilføj...

Important Information

Privatlivspolitik og We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.

1200x630bb.png

ok