Frage betreffend ausreichender Vorkehrungen www

[marfla]

Schönen Nachmittag,

Nach längerer Abstinenz bin ich wieder mal zugegen, um euch mit einer Frage zu nerven.
Konkret: Ich habe auf meinem Lenovo AMD Quadcore ein nagelneues Debian LXDE aufgesetzt, unnötigen Ballast wie Plymouth, Bluetooth, Modemmanager, Virtualbox, Nvidia etc. entfernt (auch aus systemd und dem kernel).

Danach habe ich mir die Uncomplicated Firewall sprich ufw installiert, die Regeln auf default deny gestellt.

Zusätzlich filtert ein Hardware-Firewall-Router das www.

Weiters hab ich Firejail und Firetools installiert, Icedove und iceweasel laufen nur in der Sandbox. Fremdpaketquellen sind nicht installiert. Auf Antivirensoftware verzichte ich aus Performance-Gründen (und weil AV-Software per se seit Monaten primäres Ziel von Angriffen ist) bzw. da Heuristik unangebracht scheint unter Linux. Auch habe ich nur nen Desktop keinen Server am Laufen. Langt das ? Ich surfe keine Pornoseiten, tausche keine Files übers Net, lade nichts runter. Meiner Meinung nach sollte ich auf der sicheren Seite sein.

Danke im Voraus für eure Tipps !

[MSfree]

Zusätzlich filtert ein Hardware-Firewall-Router das www.

Also der übliche Schrott, der von D-Link, Netgear, AVM etc. verkauft wird? Die filtern nämlich überhaupt nichts.

Überhaupt, was ist ein "Hardware-Firewall-Router"? Meinst du die Dinger, wo auf einer Hauptplatine mindestens zwei Netzwerkschnittstellen montiert sind, die über eine CPU verfügen und mithilfe eines Betriebssystems und Dienstprogrammen einen Router realisieren?

Ich surfe keine Pornoseiten, tausche keine Files übers Net, lade nichts runter. Meiner Meinung nach sollte ich auf der sicheren Seite sein.

Du lädts also nichts herunter? Wie kommen dann aber die Webseiten auf deinen Browser? Schonmal was von Drive-by-Downloads gehört?

[Radfahrer]

@marfla
Sorry, aber kann es sein, dass du ein wenig paranoid bist?

Ich nutze seit 10 Jahren Linux. In diesen 10 Jahren hatte ich noch nie eine der tollen Firewalls aka Paketfilter installiert, noch nie einen Virusscanner benutzt (was interessieren mich Windowsviren?) und auch sonst nichts großartiges veranstaltet, um "sicher" im Netz zu surfen.

Alles, was ich nutze ist das NAT meines Routers und Brain 1.0.

Und bist jetzt ist mir noch nicht passiert.

[BenutzerGa4gooPh]

Falls Router mit NAT oder/und Firewall ist Desktop-Firewall unnötig, weil doppelt. Desktop-FW ist nur Notlösung: OS kompromittiert, FW kompromittiert. Sinnvoll jedoch bei Zugang per Modem oder Accesspoint (eher unüblich).

Gute Router-Firewalls beherrschen Stateful Packet Inspection, die aufgrund von innen initiierter Verbindungen notwendige weitere Verbindungen (damit ausgehandelte offene Ports) z. B. für FTP ebenfalls überwachen.
https://de.m.wikipedia.org/wiki/Statefu ... Inspection
Aber was ist ein guter und bezahlbarer Router? Vlt. schreibt MSFree was dazu.

@Radfahrer: Zumindest mit Desktop Linux sollte NAT auf Router wirklich genügen, völlig deiner Meinung. Datensicherheit und Privatsphäre sind jedoch nicht das schlechteste Hobby. Surfen nur noch per VM überlege ich gerade, trotzdem meine bisherigen Kompromittierungen und Viren sich in Grenzen halten (<1 seit Linux).

Edit:
Über entsprechende Browser-Addons könnte man sich Gedanken machen, da findest du interessante Threads hier.

[marfla]

Zusätzlich filtert ein Hardware-Firewall-Router das www.

Also der übliche Schrott, der von D-Link, Netgear, AVM etc. verkauft wird? Die filtern nämlich überhaupt nichts.

Überhaupt, was ist ein "Hardware-Firewall-Router"? Meinst du die Dinger, wo auf einer Hauptplatine mindestens zwei Netzwerkschnittstellen montiert sind, die über eine CPU verfügen und mithilfe eines Betriebssystems und Dienstprogrammen einen Router realisieren?

Ich surfe keine Pornoseiten, tausche keine Files übers Net, lade nichts runter. Meiner Meinung nach sollte ich auf der sicheren Seite sein.

Du lädts also nichts herunter? Wie kommen dann aber die Webseiten auf deinen Browser? Schonmal was von Drive-by-Downloads gehört?

Hast du eine erschwingliche Alternative zu Netgear, Linksys, etc. für Privatanwender parat ? Klar, wenn ich Firmeninhaber bin, schaff ich mir was Anständiges für 2000 Euro an. Mit nichts runterladen meinte ich dass ich lediglich surfe, keine Filme etc. ziehe, du hast schon recht, war wohl nicht präzise genug meine Formulierung, sorry.

[MSfree]

Ich nutze seit 10 Jahren Linux. In diesen 10 Jahren hatte ich noch nie eine der tollen Firewalls aka Paketfilter installiert,...
Und bist jetzt ist mir noch nicht passiert.

Ich habe bereits einen Einbruch in ein Linuxsystem life miterleben dürfen, inklusive Installation eines Rootkits und IRC-Software. Die hatten damals eine Lücke in SSH genutzt.

Aber was ist ein guter und bezahlbarer Router? Vlt. schreibt MSFree was dazu.

Ein guter Router mit Firewall ist einer, den man selbst konfiguriert hat. Das Korsett, in das man durch Plastikrouter gezwängt wird, ist mir zu eng und viel zu unflexibel. Bei mir läuft zur Zeit noch ein alter 600MHz VIA Epia mit Debian als Router. Das Teil hat allerdings vor 12 Jahren um die 400€ gekostet.

Aber was ist ein "bezahlbarer" Router? Jeder vierte rennt mit einem 600€ teuren iPhone rum, aber ein Router darf nicht mehr als 25€ kosten? Aber OK, als Router reicht PC-Hardware der untersten Geschwindigkeitsklasse und selbst die langweilt sich noch mit max. 20% CPU-Auslastung. Zusammen mit 256MB RAM und 20GB Festplattenplatz kann man sich sowas für 150-300€ neu kaufen.

[BenutzerGa4gooPh]

Einen Router für 150 Euro finde ich noch okay. (Habe allerdings auch nur ein unsmartes Prepaid-Handy für dazumal 40 Euro.) Mini-PC dafür mag ja funktionieren, auch schon dran gedacht. Aber Stromkosten??? Einplatinencomputer mit WLAN und mind. 2 (!!!) 100BaseT-Ports für LAN und WAN und extra Switch und noch mehr Strom. M. E. bleibt nur ein guter Customer Router übrig.

[Radfahrer]

Ich habe bereits einen Einbruch in ein Linuxsystem life miterleben dürfen, inklusive Installation eines Rootkits und IRC-Software. Die hatten damals eine Lücke in SSH genutzt.

Ja klar passiert so etwas. Aber wie oft? Und wo? Auf meinem privaten Rechner zu Hause hinterm NAT?
Man muss ja immer abwägen, was an Vorkehrungen sinnvoll ist und was nicht.
Und ich bin der Meinung, dass für den Desktoprechner eines Privatanwenders ein Router mit NAT, sowie ein aktuelles System mehr als ausreichend ist. Vom gesunden Menschenverstand mal ganz abgesehen. Aber wer den nicht hat, dem nützen auch alle Firewalls dieser Welt nichts.

Desktopfirewalls halte ich sowieso für Augenwischerei und Virenscanner sind unter Linux nicht nur überflüssig, sondern auch sinnlos, weil in Ermangelung von Linuxviren eh nur nach Windowsviren gescannt wird.

Aber klar, es gibt immer Ausnahmen und auch ein Linuxrechner ist natürlich angreifbar.
Aber wie gesagt... welche Maßnahmen sind sinnvoll und welche nicht?

Es werden auch Menschen von Blitzen getroffen.
Aber ist es deswegen notwendig oder auch nur ratsam, ständig einen Hut mit Blitzableiter zu tragen? Mir wäre das zu unbequem, also nehme ich das äußerst geringe Restrisiko halt in Kauf. Und ich lebe ganz gut damit.

Ich trage übrigens auch keinen Fahrradhelm. Warum nicht? Siehe oben.

[inne]

Es verunglücken auch Menschen mit Fahrradhelm tödlich! Was sagt uns diese Analogie?

[dufty2]

Evtl. wäre Qubes OS (incl. Whonix (incl. Tor)) was für Dich:
https://www.qubes-os.org/

[thoerb]

Es werden auch Menschen von Blitzen getroffen.
Aber ist es deswegen notwendig oder auch nur ratsam, ständig einen Hut mit Blitzableiter zu tragen? Mir wäre das zu unbequem, also nehme ich das äußerst geringe Restrisiko halt in Kauf.

Das Restrisiko ist nur so gering, weil die meisten Menschen so vernünftig sind und sich bei einem Gewitter nicht auf der freien Wiese aufhalten.

[Radfahrer]

Es verunglücken auch Menschen mit Fahrradhelm tödlich! Was sagt uns diese Analogie?

Und viele Autofahrer hätten Unfälle überlebt, wenn sie einen Helm getragen hätten. Das Gleiche gilt für Fußgänger.....
Ach, eigentlich sollte man gar nicht mehr vor die Tür gehen.... wobei.... die meisten Unfälle passieren zuhause...

.... tja, das Leben ist nun mal ausweglos und immer tödlich.....

Das Restrisiko ist nur so gering, weil die meisten Menschen so vernünftig sind und sich bei einem Gewitter nicht auf der freien Wiese aufhalten.

Womit wir wieder beim von mir bereits oben erwähnten gesunden Menschenverstand wären. Der ersetzt nämlich nicht nur Blitzableiterhüte bei Gewitter, sondern auch so manche "Sicherheitssoftware" auf dem Computer.

[MSfree]

Ja klar passiert so etwas. Aber wie oft? Und wo?

Die netten Herren hatten direkt einen Linuxrouter an einem heimatlichen DSL-Anschluß gekapert. Wenn ich so meine Logfiles ansehe, habe ich alleine auf meinem Router rund 100 Verbindungsversuche auf dem SSH-Port pro Tag, auch Telnet wird kräftig ausprobiert. Ich würde also sagen, daß die Gefahr, gekapert zu werden, schon real ist, von Plastikroutern aber ziemlich effektiv abgewehrt werden.

Man muss ja immer abwägen, was an Vorkehrungen sinnvoll ist und was nicht.

Ich habe öfter das Problem, daß ich für meine Bekannten Fernwartung durchführen können muß. Daher muß man irgendein Loch von außen zugänglich machen, über das man Fernwartung betreiben kann. Einfach alles zuzumachen geht also nicht.

Aber wie gesagt... welche Maßnahmen sind sinnvoll und welche nicht?

Ich halte es durchaus für sinnvoll, nicht nur alles von aussen kommende zu blockieren, sondern auch ausgehende Verbindungen einzuschränken. Ich habe z.B. einen Squid auf dem Router, der mit einer langen Liste von Zugangsregeln unter anderem Werbung rausfiltert. Der gesamte WWW-Verkehr geht bei mir zwangsweise durch den Proxy.

Damit ich von aussen auf den Router komme, habe ich Pingknocking so implementiert, daß der SSH-Port nur auf Befehl via Ping mit Paßwort in der Payload des Pingpakets für eine kurze Zeit geöffnet wird.

Virenscanner halte ich nur dann für sinnvoll, wenn sich im LAN Windowsrechner befinden, was bei mir nur ausnahmsweise mal der Fall ist, wenn ich eine Windowsmöhre zur Wartung/Installation hier habe. Selbst habe ich keine Windowskisten.

Einen Router für 150 Euro finde ich noch okay. (Habe allerdings auch nur ein unsmartes Prepaid-Handy für dazumal 40 Euro.)

Dann bleib dabei. Wenn man erstmal ein Smartphone hatte, will man nie mehr zurück in die Steinzeit

Mini-PC dafür mag ja funktionieren, auch schon dran gedacht. Aber Stromkosten??? Einplatinencomputer mit WLAN und mind. 2 (!!!) 100BaseT-Ports für LAN und WAN und extra Switch und noch mehr Strom. M. E. bleibt nur ein guter Customer Router übrig.

Den Switch bräuchte ich sowieso, es sei denn, du kannst mit einen Plastikrouter zeigen, der mehr als 5 GBit-Ports hat. WLAN im Router ist in vielen Fällen unpraktisch. Bei mir steht ein separater WLAN-AP rum, weil ich den so platzieren kann, daß ich überall Empfang habe, bei meinen Eltern steht der Router sogar im Keller, da fängt man mit WLAN gar nichts an.

Mein Epia zieht etwa 7W und mein 8-Port GBit-Switch nochmal etwa 5W. Die Stromkosten betragen also rund 32€ pro Jahr.

Ich habe vor ein paar Monaten für ein paar Experimente einen Windows 2012-Server auf einem Mainbaord mit Atom J1900 installiert. Das Ding hat ab Steckdose auch nur 15W inkl. laufender 3.5"-Platte gezogen. Für einen Router reicht aber auch eine 8GB CF-Karte, so daß der Stromverbrauch mit der Hardware auf unter 10W geht.

[dufty2]

Den Switch bräuchte ich sowieso, es sei denn, du kannst mit einen Plastikrouter zeigen, der mehr als 5 GBit-Ports hat.

Asus RT-AC88U hat 8 Gbit-Ports, aber auch nicht ganz billig.

Geht es in den thread nicht eher um WWW & Security?

[BenutzerGa4gooPh]

Danke MSfree. Prima Idee, Router und AP zu trennen: mehr Freiheitsgrade für Standortwahl, billige Änderung der WLAN-Technologie durch Tausch AP möglich, Debian-Eigenbau-Router ohne Probleme mit WLAN-Treiber. Überlege mir Eigenbau-Router. Welche Hardware Plattform nutzt du, gibt ja mehrere?
https://de.m.wikipedia.org/wiki/EPIA

@dufty2: Für WWW ist Router unbedingt erforderlich. OT-Hinweis aber verstanden.
Und lies mal spasseshalber die Beurteilungen bei Amazon zur Stabilität des Plastikbombers. Ich glaube auch nicht, dass der 8 x GBE annähernd bedienen kann.

[MSfree]

Überlege mir Eigenbau-Router. Welche Hardware Plattform nutzt du, gibt ja mehrere?
https://de.m.wikipedia.org/wiki/EPIA

Naja, die Epias sind inzwischen einfach veraltet, du hast ja hoffentlich mitbekomen, daß Debian diese CPUs mit dem nächsten Release nicht mehr unterstützen wird. Von daher ist diese Hardware keine Empfehlung mehr. Aber rein der Vollständigkeit halber, ich habe ein Epia-CL Board mit lüfterloser 600MHz CPU. Heute kann man zahlreiche Bretter mit Intel Atoms bekommen, die als Router zwar hoffnungslos übermotorisiert, aber dennoch genauso sparsam sind.

Raspis sind auch eine preiswerte Möglichkeit, die auch noch leistungsfähiger als die alten Epias sind. Das einzige Problem beim Raspi ist, daß das Netzwerk über USB angebunden ist, also Onboardschnittstelle genauso wie die nötige zweite (und dritte) Ethernetschnittstelle. Wer einen 100MBit Internetanschluß hat, bringt den USB dann schon an seine Grenze.

Ich glaube auch nicht, dass der 8 x GBE annähernd bedienen kann.

Das fürchte ich allerdings auch. Und Klamotten, die alle paar Mondphasen abstürzen, kann ich überhaupt nicht brauchen. Das Gammelteil bei meinen Nachbarn stelt auch regelmässig seinen Dienst ein, was besonders ärgerlich ist, weil es dank VoIP auch für den Telefonanschluß verantwortlich ist. Sofern man nicht gerade selbst raustelefonieren wil, bekommt man davon dann nicht einmal etwas mit. Betriebssicherheit ist also nicht gegeben.

[uname]

Zurück zu Firewalls. Bei Desktops sinnlos. Man sollte Schadcode verhindern z.B. durch Verzicht auf Flash usw. Schadcode kümmert sich nicht um Firewalls. Nutzt einfach Browser und/oder HTTPS.

[Colttt]

Nunja Routerhardware gibts ja genug, es gibt hier auch irgendwo nen Thread dazu..

Aber man kann ja sowas nutzen:
http://www.pcengines.ch/alix.htm
Oder
http://www.cnx-software.com/2015/08/12/ ... wdfunding/
Oder
http://www.banana-pi.org/r1.html

Oder aber nen tp-link Router(Bsp C7) und openwrt drauf, da kann man dann auch viel mit spielen

Gesendet von meinem MI 2S mit Tapatalk

[MSfree]

Zurück zu Firewalls. Bei Desktops sinnlos.

Weil die so "sinnlos" sind, hat MS sie bei Windows-XP mit SP1 eingeführt und seitdem zahlreiche Rechnerinfektionen verhindert. Vormals waren XP-Rechner extreme Schadsoftwaremagneten, das hat sich drastisch reduziert.

Seit die meisten Leute allerdings hinter NAT-Routern sitzen, hat sich das mit dem Paketfilter auf dem eigenen Rechner, was du so schön als "Desktopfirewall" umschreibst, erübrigt. Wenn man aber immer noch direkt per (DSL)-Modem, UMTS-Stick oder eingebauten LTE/UMTS-Modem ins Internet geht, für den ist die eingebaute Windowsfirewall zumindest anzuraten und auch unter Linux würde ich meine Kiste mit iptables vernageln.

Man sollte Schadcode verhindern z.B. durch Verzicht auf Flash usw. Schadcode kümmert sich nicht um Firewalls. Nutzt einfach Browser und/oder HTTPS.

Sorry, das ist ziemlich substanzloses Geschwätz.

OK, Flash ist eine Seuche, aber erzähl das Lieschen Müller, die einfach nur ein funktionierendes Internet will. Die wird es nicht akzeptieren, wenn der Flash-Videoplayer auf Chefkoch.de nicht mehr angezeigt wird. Und Lieschen Müller will auch kein Linux auf ihrem Rechner. Ich habe es aufgegeben, Leute zu missionieren, die schauen sich Linux maximal 20 Minuten an, finden es eigentlich ganz wunderbar, aber wenn eine ganz bestimmte Funktion nicht wie gewohnt in Menüspalte 1, dritter Erintrag von oben ist, gehen sie sofort zu Windows zurück. Die Bereitschaft umzulernen, ist schlicht überhaupt nicht vorhanden.

Auch über HTTPS kann man Schadcode übertragen. Das klappt sogar besser als über unverschlüsseltes HTTP, weil der Virenscanner den Datenstrom nicht analysieren kann.

Daß man sich auch über Javascript, ohne den keine Webseite mehr auskommt, Schadcode einfangen kann, ist dir hoffentlich auch bewußt. Wenn du auf Flash und Javascript verzichtest, kannst du auch gleich den Stecker an der TAE-Dose ziehen, dann das, was dann vom Web übrig bleibt, ist ziemlich traurig.

Fazit, wer Windows nutzt, braucht unbedingt einen Virenscanner. Die Windowsfirewall ist bei direktem Internetzugang (DSL-Modem, LTE-Moden, UMTS-Stick, ISDN, Telefonmodem) unerläßlich, kann aber hinter einem NAT-Router abgestellt werden. Die wenigsten Anwender wissen aber, ob sie direkt am Internet hängen oder hinter einem NAT-Router, so daß man hier sogar die Empfehlung geben muß, immer mit Firewall zu arbeiten.

Unter Linux sind Virenscanner eher Nebensache. Auf einem Mailserver, der auch Windowsclients bedient, kann man E-Mail bereits im Server scannen, was aber bei Mailverschlüsselung nicht funktioniert. Auch hier gilt, direkte Internetverbindung = Paketfilter.

[shinobi]

Es werden auch Menschen von Blitzen getroffen.
Aber ist es deswegen notwendig oder auch nur ratsam, ständig einen Hut mit Blitzableiter zu tragen? Mir wäre das zu unbequem, also nehme ich das äußerst geringe Restrisiko halt in Kauf. Und ich lebe ganz gut damit.

Ich bin zwar wiedermal spät dran und das Thema ist etwas off-topic, doch beim Lesen deines Textes musste ich irgendwie schmunzeln und mir fiel sofort wieder der arme Kerl hier ein: Roy Sullivan[1]. 8x vom Blitz getroffen, dann (wohl) "selbstmord" … glaube der wäre ein Stammkunde für BSA-Hüte geworden.

[1] http://www.spiegel.de/einestages/roy-su ... 51268.html