[glöest] Dyn. IP-Adresse an anderes Linuxsystem melden

Verschlüsselte Übertragung / Autentifizierung

Jep, so in der Art habe ich mir das auch gedacht.
Leider habe ich keinen HTTPs Zertifikat auf meinem WebSpace, so das ich das ganze nicht verschlüsselt übertragen könnte.

Jemand eine andere Idee für eine Verschlüsselte Übertragung / Autentifizierung?

Gruß.
 
Du machst beim Senden ungefähr folgendes:
Code:
// Client-Seite
$user = 'XXX';
$pass = 'yyy;
$time = sprintf ('%08d', time ());
$s = sprintf ('%s%s%s', $time, $user, $pass, $ip);
$md5 = md5 ($s);
GET http://xxx/xx.php?time=$time&ip=$ip&auth=$md5
Auf der Serverseite dann das Gegenstück
Code:
$user = 'XXX';
$pass = 'yyy;
$time = $_REQUEST['time'];
$ip = $_REQUEST['ip'];
$s = sprintf ('%s%s%s', $time, $user, $pass, $ip);
$md5 = md5 ($s);
if ($md5 != $_REQUEST['auth'])
  die 'Fehler';
if (abs ($time - time () > 60)
  die 'Fehler';
Das macht folgendes:
Der Client konstruiert einen String aus aktueller Uhrzeit, IP-Adresse, Name und Paßwort. Daraus wird ein MD5 Hash erzeugt, der zum Server gesendet wird.

Der Server konstuiert den gleichen String aus den mitgesendeten Werten Uhrzeit und IP-Adresse und dem bekannten Namen und Paßwort. Wenn der MD5 Hash identisch ist, kann man davon ausgehen, daß Namen und Paßwort korrekt sind.
Die Prüfung der Uhrzeit verhindert, daß jemand später das gültige Paket nochmal senden kann und der Server es akzeptiert (Replay Attack). Der Wert 60 (Sekunden) hier ist nur ein Beispiel. Nun könnte ein Angreifer das Paket nochmal innerhalb der 60 Sekunden schicken und der Server würde es in dieser Zeit akzeptieren. Das Paket ist aber nur gültig, wenn auch die IP-Adresse unverändert ist. Ein Angreifer könnte also nur innerhalb von 60 Sekunden nochmal die gleiche IP-Adresse übertragen, die man auch selbst schon übertragen hat. Das würde ihm also nicht viel nützen.

Was bei diesem Verfahren wichtig ist, ist die richtige Uhrzeit auf dem Client, sonst werden Änderungen vom Client aufgrund der Zeitdifferenz auch abgewiesen.

Das ist übrigens auch das Prinzip, das für die Updates von DNS-Einträgen über das DNS-Update Protokoll verwendet wird (RFC2136). Unter Linux gibt es dafür das Programm nsupdate.

Dies ist auch das Verfahren, das ich am liebsten für DNS-Updates verwende. Man braucht dafür nur einen DNS-Server, der entsprechend konfiguriert ist. Über nsupdate kan man mit den nötigen Zugriffsrechten beliebige Änderungen im DNS vornehmen, die Übermittlung ist sehr effizient (ein UDP Paket Anfrage und eine UDP Antwort), und es braucht keinen Web-Server zusätzlich zum DNS-Server. Im Fall von DynDNS und ähnlichen wird vermutlich vom Web-Server die DNS-Update Anfrage an den DNS-Server geschickt. Mit nsupdate auf dem Client macht man das gleich selbst.
 
MD5 für eine Vergleichsprüfung zu nehmen ist ein guter Ansatz

@RalfFriedl
MD5 für eine Vergleichsprüfung zu nehmen ist ein guter Ansatz. :)

Würde das auch noch mit einer Original FRTIZ!Box gehen ohne Freetz oder so? Sprich mit dem ganz normalen DynDNS-Konfiguratiosmenü?

Entwickelst du das noch weiter das ganze zu einem "ausgereiften" Project?

Zu dem mit dem DNS im letzten Absatz, klingt gut nur was genau meinst du (sehe wohl den Wald vor Bäumen nicht)?

Gruß.
 
Was genau die Box von sich aus kann, weiß ich auch nicht. Vermutlich ist es (teilweise) im Handbuch beschrieben, das ich auch nur lese, wenn es sich nicht vermeiden läßt.

An sich hatte ich nicht vor, das zu einem großen Projekt zu entwickeln, zumal dazu ein passender Server gehört. Falls das von aktuellen DynDNS-Servern schon angeboten wird, kann es vermutlich auch die Box (in einer aktuellen oder zukünftigen Version), dann wäre es nicht notwendig, etwas selbst zu machen. Wenn es noch keine Server dafür gibt, gibt es vermutlich auch wenig Bedarf für einen Client.

Ich vermute mal, die meisten machen sich keine Gedanken zur Absicherung und übertragen Zugangsdaten unverschlüsselt oder lassen sie ganz weg. Das einzige, was man damit tun kann, ist eine falsche IP-Adresse der Box zu melden.

Der letzte Absatz sollte nur sagen, daß ich mir das Prinzip nicht selbst ausgedacht habe, sondern nur etwas vorhandenes leicht abgewandelt habe. Und daß man sich in der ganzen Kette den Web-Server spart, wenn man die Update-Anforderungen gleich an einen passen konfigurierten DNS-Server schickt. Dafür braucht man aber einen Server, den man selbst konfigurieren kann, weil mir kein Anbieter bekannt ist, der diese Möglichkeit bietet, obwohl sie intern vermutlich das gleiche Protokoll nutzen.
 
Was ich mit meinem ansatz auch sagen wollte:
man braucht nicht unbedingt einen fremden dyndns service.
Man braucht nicht unbedingt einen dyndns service.
Man braucht nicht einmal unbedingt einen dns service.

Denn hat man die ip-adresse erst einmal in der datenbank, ist es ein leichtes, inhalte von dort zu holen oder zu includen oder ein redirect zu machen.
 
Also ich finde es schon bequem, die Adresse in einem DNS-Server zu haben, denn meistens brauche ich die Adresse, um eine Verbindung aufzubauen. Und die meisten Programme, die eine Verbindung aufbauen, holen eine Adresse automatisch von einem DNS-Server, aber nicht aus einer anderen Datenbank.
 
Passwortgeschützter DynDNS

Hi,

das Problem mit DynDNS ist aber mehr ein Problem (wenn überhaut) der Sicherheitsnatur her.

Kennt jemand deinen DynDNS-Namen (mal irgendwo irgendwem gezeigt und der hat es wieder jemanden gezeigt usw. ... bis ein Scriptkiddi den Eintrag erhalten hat) dann kann er sich viel Zeit lassen deine Box anzureifen.

Jetzt hast du Freunde und Bekannte denen du mit Ihren Boxen hilfst, also wäre ein DynDSN für die sehr gut, nur eben unsicher, weil man kann es erklären so oft man will ... gebe die DynDNS-Adresse nicht weiter, sonst ... hift alles nix. Also ist ein Login geschützter DynDNS doch der Schutz. Du hast immer die IP der FBs deiner Bekannten grifbereit und kein anderer kann die einsehen :) .

Finde ich Klasse.

Gruß.
 
Hallo chriwi!
Dein NAS steht in Deinem LAN und
Code:
wget http://whatismyip.org
klappt nicht? Wenn auf Deiner FritzBox Freetz läuft, dann probier doch mal stattdessen
Code:
wget http://admin:[email protected]:81/cgi-bin/rudi_shellcmd.cgi?script=get_ip

Gruß Beetlejuice
 
Hallo Beetlejuice,

wen das so klappt ist das doch genau das was ich gesucht habe, kanns leider erst später testen, da ich nicht zu hause bin.

Viellen Dank schonmal vorab :) .
.
 
Ist nicht böse gemeint, aber ich kann dem Kommentar nicht widerstehen:
wenn das so klappt ist das doch genau das was ich gesucht habe...
... dann hast du das aber nicht gesagt ;-) Ich dachte, du wolltest die FB dazu bringen, dir eine evtl. geänderte IP zu schicken, sie "abzufragen" ist ja "langweilig" ;-).

Jörg
 
Hallo MaxMuster,

hast schon recht, so hatte ich die Frage formuliert und wäre ja auch wirklich die bessere Lösung, damit der NSLU2 nicht alle 5 Minuten pollen müßte und dabei die IP dann doch bis zu 5 Min lang falsch ist.
Vorschläge das zu verwirklichen csind ja auch hier schon gekommen sind aber im vergleich zur vorhandenen whatismyip.org-Abfrage mit größeren änderungen seitens des NSLU2 verbunden.
Insofern finde ich den Vorschlag von Beetlejuice als vollwertigen 1:1 ersatz für die whatismyip.org Abfrage erstmal eine gute Idee.
Noch besser wäre es wohl wenn ich die Fritzbox gleich dazu bringen könnte auf jede DNS-Anfrage von Extern gleich mit ihrer Aktuellen dynamischen-IP zu antworten ohne dabei auf den internen dnsmasq verzichten zu müssen.
.
 
Noch besser wäre es wohl wenn ich die Fritzbox gleich dazu bringen könnte auf jede DNS-Anfrage von Extern gleich mit ihrer Aktuellen dynamischen-IP zu antworten.

Und was soll das bringen?
Ein Client, der auf diesem Weg die Adresse der Box herausfinden wollte, müßte vorher schon die Adresse kennen, um die Anfrage an die Box zu schicken. Wenn die Adresse aber schon bekannt ist, dann wozu noch die Anfrage?
 
Hallo RalfFriedl,

das hat schon seinen Sinn und zwar um eine andere Domain, die ich auf den Philippienen registreirt habe als Alias auf meine DYNDNS-URL zu verwenden indem ich dort die DYNDNS-URL als Nameserver fuer die Subdomain www.xxxx.ph eintrage. Bitte diskutiert nicht wieder ueber den Sinn oder Unsinn dieses Verfahrens (ist hier im Forum schon mehrfach Abgehandelt), Tatsache ist es funktioniert schon seit ueber 2 Jahren und ich habe auch kein Problem mit der Erreichbarkeit solange die DSL-Verbindung schon laenger als 10 Minuten besteht , solange ich in der dnsmasq.cfg immer eine aktuelle IP-Adresse stehen habe.
.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,195
Beiträge
2,247,817
Mitglieder
373,748
Neuestes Mitglied
fanti88
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.