Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Gemeinsam ins Internet mit Firewall und Proxy.
TomL
Beiträge: 3706
Registriert: 24.07.2014 10:56:59

Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 01.03.2018 16:51:43

Moin @ all

"Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router" aus der Betreffszeile ist eigentlich gar nicht die vollständige Frage.... für die ich jetzt etwas ausholen muss. Seit längerem befasse ich mich mit eigenen Client-Iptables (und auch nftables), was mir (beides) nach meinem Verständnis bisher ziemlich gut gelungen ist. Bei mir gilt die Prämisse "Es ist alles verboten, was nicht ausdrücklich erlaubt ist". Natürlich ist eine Verbesserung der lokalen Sicherheit die dahinterstehende Absicht.

Jetzt habe ich in der Vergangenheit schon öfter einzelne Meinungen gelesen, wo den Kommerz-Routern misstraut wird und das deshalb selbst-eingerichtete Linux-Router deren Aufgabe ebenfalls mit dem Ziel verbesserter Sicherheit übernommen haben. Da es aber nicht ohne DSL-Router geht, stelle ich mir hierbei also den Router hinter dem Router (DSL/WAN) vor. Wie wird aber so ein "innerer" eigener Router abgesichert...?... ich vermute mal mit einem Paketfilter, von dem man weiss, dass er keine Hintertüren offen hat... sofern man ausreichend Kenntnisse hat, einen solchen Filter i.ü.S. durch ein Audit zu bestätigen. Hat man die Kenntnisse nicht, ist da mehr oder weniger das Wunschdenken der eigentliche Kern der Sicherheit.

Was mich jetzt beschäftigt ist die Frage, wie verändert ein 'bestätigt Sicher eingestellter' Linux-Router tatsächlich die Sicherheit, im Vergleich zur Situation mit einem Kommerz-Router plus sehr restriktiven Client-Paketfilter? Im Moment neige ich zu der Meinung, dass der Client-Filter die sicherere Alternative ist, weil der zum Beispiel (wie bei mir) ganz klar auch regeln kann, welche Dienste/Ports ausgehend erlaubt sind.... also eine Filterung, die ich mir auf dem Router nur schwer vorstellen kann. Das passiert auf dem Client vor dem Hintergrund meiner Überzeugung, dass eine Kompromittierung immer von innen heraus erfolgt oder ermöglicht wird. Deshalb sind auf meinem PCs alle unprivilegierten Ports ausgehend perse verboten .... was auf einem Router imho schwerlich umzusetzen ist, weil damit pauschal das Netz kastriert wird. Darüber hinaus muss der Linux-Router alle Clients bedienen, wobei ich aber mit eigenem Filter auf den Clients deutlich mehr individuell unterschiedlich erlauben oder verbieten kann.

Kann so ein eigener Linux-Router wirklich noch weitergehend die Sicherheit verbessern, oder ist das nur ein pauschaler Weg, individuelle Arbeit auf den Clients zu vermeiden?

Wie sind Eure Meinung dazu?
vg, Thomas

mat6937
Beiträge: 1133
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 01.03.2018 17:38:33

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 16:51:43
.... also eine Filterung, die ich mir auf dem Router nur schwer vorstellen kann. ...

Kann so ein eigener Linux-Router wirklich noch weitergehend die Sicherheit verbessern, oder ist das nur ein pauschaler Weg, individuelle Arbeit auf den Clients zu vermeiden?
Ja, das was Du auf den Clients machst, kann man auch mit der FORWARD chain auf dem Linux-Router machen. D. h., den Zugang ins Internet, für einzelne IP-Adressen und dst-Ports bzw. Protokolle, regeln.

TomL
Beiträge: 3706
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 01.03.2018 18:21:21

mat6937 hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 17:38:33
Ja, das was Du auf den Clients machst, kann man auch mit der FORWARD chain auf dem Linux-Router machen. D. h., den Zugang ins Internet, für einzelne IP-Adressen und dst-Ports bzw. Protokolle, regeln.
Ja, klar, daran hatte ich keinen Zweifel... die Frage bleibt: wie verbessert das die Sicherheit im Vergleich zu einem individuell optimierten Paketfilter auf dem Client? Im Moment sehe ich bei einem weiteren Router nur weiteren Verwaltungsaufwand und zusätzliche Betriebskosten... ohne dass ich den Sicherheitsgewinn direkt erkennen kann.


PS
Ein Nachtrag bezogen auf meinen anderen Thread... ich hatte mich getäuscht. Auf wenn MDNS auf Port 5353 den Multicast-Adressraum verwendet (224.*) verwendet, so ist MDNS dennoch kein Packettype Multicast. Mit anderen Worten, MDNS fliegt raus, wenn Multicast ACCEPT ist, Port 5353 aber nicht. Ich habe das mehrfach getestet... und es hat mich auch überrascht.
vg, Thomas

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von NAB » 01.03.2018 18:40:58

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 16:51:43
Das passiert auf dem Client vor dem Hintergrund meiner Überzeugung, dass eine Kompromittierung immer von innen heraus erfolgt oder ermöglicht wird.
Das sehe ich genau so. Und welche Diagnosemöglichkeiten hast du nun auf deinem Kommerz-Router, wenn ein Client kompromittiert ist? Oder du den Verdacht hast, dass es so ein könnte (die schreien ja nicht laut HIER!)? Oder um überhaupt auf so einen Verdacht zu kommen?
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

TomL
Beiträge: 3706
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 01.03.2018 18:52:39

NAB hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 18:40:58
Und welche Diagnosemöglichkeiten hast du nun auf deinem Kommerz-Router, wenn ein Client kompromittiert ist? Oder du den Verdacht hast, dass es so ein könnte (die schreien ja nicht laut HIER!)? Oder um überhaupt auf so einen Verdacht zu kommen?
Wie unterscheiden sich die Diagnose-Möglichkeiten bei einem Custom-Router? Wie kann der unterscheiden, ob der ausgehende Traffic legaler Traffic ist oder Traffic eines kompromittierten Systems ist? Wie kann der Custom-Router unterscheiden, dass die Verschlüsselung auf einer Netzplatte durch die Ransomware etwas anderes ist, als die, die ich selber vor dem Upload meines Backups durchgeführt habe? Wie verbessert der Custom-Router hier die Sicherheit?
vg, Thomas

mat6937
Beiträge: 1133
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 01.03.2018 23:25:09

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 18:21:21
... die Frage bleibt: wie verbessert das die Sicherheit im Vergleich zu einem individuell optimierten Paketfilter auf dem Client? Im Moment sehe ich bei einem weiteren Router nur weiteren Verwaltungsaufwand und zusätzliche Betriebskosten... ohne dass ich den Sicherheitsgewinn direkt erkennen kann.
Ein Sicherheitsgewinn ist der Paketfilter auf dem Router nur dann, wenn es im (W)LAN des Routers user gibt, die ihr Gerät (PC/Tablet/Smartphone/etc.) nicht so konfigurieren können, wie Du es auf deinem Gerät schon machst. Es soll ja kein zusätzlicher Router (oder gleichwertig) verwendet werden, sondern nur einer bei dem die Firmware (oder das OS) zu 100% open source ist (d. h. eine modifizierte/benutzerdefinierte Firmware geflasht werden kann).

mat6937
Beiträge: 1133
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 01.03.2018 23:32:20

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 18:21:21
Auf wenn MDNS auf Port 5353 den Multicast-Adressraum verwendet (224.*) verwendet, so ist MDNS dennoch kein Packettype Multicast. Mit anderen Worten, MDNS fliegt raus, wenn Multicast ACCEPT ist, ...
Du meinst "Packettype Multicast", bezogen auf iptables? Jede Anwendung kann man anderes darunter verstehen. Mit z. B.:

Code: Alles auswählen

tcpdump -vvven multicast
sieht man, was tcpdump unter "multicast" versteht.

TomL
Beiträge: 3706
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 01.03.2018 23:36:29

mat6937 hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 23:32:20
Du meinst "Packettype Multicast", bezogen auf iptables?
Ich meine, das MDNS für Iptables kein Packettype Multicast ist. Damit das durchkommt, musste ich Port 5353 extra freigeben.... oder anders ausgedrückt "Packettype Multicast = ACCEPT" lässt kein MDNS durch, wenn die Policy DROP ist.
mat6937 hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 23:25:09
Ein Sicherheitsgewinn ist der Paketfilter auf dem Router nur dann, wenn es im (W)LAN des Routers user gibt, die ihr Gerät (PC/Tablet/Smartphone/etc.) nicht so konfigurieren können, wie Du es auf deinem Gerät schon machst.
Jo... das ist nicht zu widerlegen... das muss ich jetzt erst mal sacken lassen... :roll:
vg, Thomas

mat6937
Beiträge: 1133
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 02.03.2018 00:01:20

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 23:36:29
... "Packettype Multicast = ACCEPT" lässt kein MDNS durch, wenn die Policy DROP ist.
D. h., wenn die default policy der chain auf ACCEPT wäre, könnte man mit "-m pkttype --pky-type multicast" und dem target DROP, diese Pakete auch nicht blocken. Für iptables müssen die Datenpakete einen IP-header (mind. 3. Schicht) haben.

EDIT:

Mit dem Pakettyp "host/multicast/broadcast" ist ja auch nur festgelegt, an wen bzw. an wie viele die Daten gesendet werden und nicht die genaue Art der Daten:
host
-> an uns

broadcast
-> an alle

multicast
-> an eine Gruppe
Quelle: http://www.netfilter.org/documentation/ ... html#ss3.8
Zuletzt geändert von mat6937 am 02.03.2018 10:06:08, insgesamt 2-mal geändert.

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von NAB » 02.03.2018 00:17:01

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 23:36:29
Jo... das ist nicht zu widerlegen... das muss ich jetzt erst mal sacken lassen... :roll:
Vielleicht kommst du dabei ja auch noch auf eine Idee, wie du mit nem Router herausfinden kannst, ob das Tablett sekündlich ne Mail verschickt ...

(Ob dein Kommerz-Router das dann kann, weiß ich aber immer noch nicht)
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Jana66
Beiträge: 3946
Registriert: 03.02.2016 12:41:11

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von Jana66 » 02.03.2018 08:04:29

Vielleicht sind auch irgendwelche kommerziellen, unsicheren, lange nicht upgedateten Netzkomponenten (Accesspoints, Switches, Android-TV, Smartphones) oder Gastgeräte zu schützen, einzuschränken, auf ungewöhnlichen Traffic zu überwachen (zentrale Logs)? Des Weiteren halte ich aufwändige Sicherheitsmaßnahmen (iptables, Logs) mit Doppelungen an mehreren Geräten für fehleranfälliger (Doku, Netzänderung). Logdurchsichten mehrerer Geräte? Kannst ja noch rsyslog-Server basteln. Zuzüglich für aggregierte Vebindungsdaten.
Eine Desktop-Firewall ist natürlich granulierbarer, kann auch Programme OSI-Layer-7 berücksichtigen, währen eine Firewall meist nur auf OSI-Layer-4 arbeitet. Aber die Arbeit ...

Abwägung, was zentral (Firewall mit Zonen und VLANs) sinnvoll, was dezentral (Hosts). Damit fällt ein Plasterouter ohne xWRT/LEDE zumindest aus. Des Weiteren ist wohl sinnvoll, ein dummes xDSL-Modem (*) zu betreiben. Angriffe auf unsichere Plasterouter in Bitcoin-Mining-Zeiten und Botnetzen werden wohl nicht weniger. Zumindest weniger Performance und Übertragungsrate mit laufender Malware. Für deine unwesentlichen Daten werden sich die bösen Buben kaum interessieren.

(*) Telefonie per Ethernetport und VoIP-Adapter oder VoIP- (DECT-) Telefon möglich. Gerätezoo ... :facepalm:
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Benutzeravatar
pangu
Beiträge: 1386
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 02.03.2018 09:33:01

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 18:52:39
Wie kann der Custom-Router unterscheiden, dass die Verschlüsselung auf einer Netzplatte durch die Ransomware etwas anderes ist, als die, die ich selber vor dem Upload meines Backups durchgeführt habe?
Gar nicht, wieso soll er das auch können. Sind doch Äpfel und Birnen. Was hat der Verschlüsselungsvorgang mit deinem Router zu tun? Gar nichts. Der Router (L3) kommt nur dann ins Spiel wenn Daten die Grenze verlassen oder eingehen. Der Router ist weder Intrusion Detection Sytem noch überwacht er deine Clients in dem Fall.
TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 18:52:39
Wie verbessert der Custom-Router hier die Sicherheit?
Kommt drauf an wie du "Verbesserung" verstehst, mit welchen Instrumenten du das messen kannst und in welcher Form du das quantifizieren und qualitativ bewerten kannst. Alles andere ist Hokuspokus und Glaskugelfetischismus.
Das Hautpproblem an deiner geschilderten Sache ist doch der: der vom Provider gestellte DSL/Model/Kabel Router muss klar als "kontaminiert" und "unsicher" angesehen werden ohne weiter zu überlegen. Sämtlicher Verkehr von und zu deinem Internetanschluss kann vom Provider mitgeschnitten und mitverfolgt werden. Insofern du darin eingekapselt Verschlüsselung anwendest kannst du deine Nutzdaten etwas sicherer gestalten. Es ist nicht nur die Autoprovisionierung TR-09, aber auch sonstige Zero-Touch-Parametrisierungen. Du kannst auch nicht einfach deine MAC-Adresse des Routers ändern oder einen anderen Router statt dem vom Provider ausgelieferten verwenden, wenn du bei manchen bestimmten Kabelprovidern Kunde bist. Da wird nämlich exakt das Gerät von denen verlangt, dass die dir ausgeliefert haben. Sonst läuft dein Anschluss nicht, du kriegst keine passende Konfiguration und hast kein Internet. Noch krasser (selbst miterlebt, sowohl in DE als auch im Ausland, die für uns untypische Routermodelle verwenden) --> hardgecodete Serviceaccounts mit vollumfänglichen Administrationsrechten. Davon weiß der Benutzer gar nichts. Also alles was du an diesem Router einstellst und einsiehst, kann dein ISP genauso kontrollieren und einsehen.

Wenn du vor deinem externen Router einen "eigenen" internen Router verwendest, dann kannst du damit überwachen welcher Verkehr rein und rausgeht. Mit welcher Tiefe du das machst, hängt von der Firewall und deinen Kenntnissen ab. Trotzdem möchte ich nochmals betonen --> Der Hauptknotenpunkt ist dein externer Router, und der ist kompromittiert zu betrachten.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

mat6937
Beiträge: 1133
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 02.03.2018 10:14:10

pangu hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 09:33:01
Das Hautpproblem an deiner geschilderten Sache ist doch der: der vom Provider gestellte DSL/Model/Kabel Router muss ...
Das hat der TE so nicht geschrieben. Es geht um einen (eigenen/gekauften) nicht modifizierten Router mit der standard Firmware des Router-Herstellers (den man z. B. auch hinter einem Modem (DSL oder Kabel) verwenden/betreiben kann, vs. einen eigenen Router (als Router gekauft oder aus einem anderen Gerät gebastelt) mit 100% open source Firmware/OS, die man selber geflasht/installiert hat.

Benutzeravatar
Lord_Carlos
Beiträge: 4255
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von Lord_Carlos » 02.03.2018 10:28:01

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 16:51:43
weil der zum Beispiel (wie bei mir) ganz klar auch regeln kann, welche Dienste/Ports ausgehend erlaubt sind.... also eine Filterung, die ich mir auf dem Router nur schwer vorstellen kann. Das passiert auf dem Client vor dem Hintergrund meiner Überzeugung, dass eine Kompromittierung immer von innen heraus erfolgt oder ermöglicht wird.
Funktioniert das gut?
Ich haette jetzt gedacht die benutzten einfach http oder https ports.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

mat6937
Beiträge: 1133
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 02.03.2018 10:37:17

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:28:01
Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Ja, ... und Löcher wird man in diese Firewalls (... egal ob sich diese auf dem Client-PC oder auf dem Router befindet) immer bohren können.

Antworten