Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Gemeinsam ins Internet mit Firewall und Proxy.
TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 20:18:04

NAB hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 19:56:40
Mir gefällt diese "entweder auf dem Client oder auf dem Router"-Geschichte irgendwie nicht. Wenn man davon ausgeht, dass irgendein Gerät im LAN kompromittiert sein könnte, dann ist es egal ob's nun der Plastikrouter, der Custom-Router, das Schlaufon, die Glühbirne oder der selbstgestartete Trojaner ist. Eine möglichst sichere Konfiguration jedes einzelnen Gerätes halte ich so oder so für sinnvoll.
Genau das ist auch meine Meinung... wenns passiert ist, isses eh egal, dann liegt das Kind im Brunnen. Insofern baue ich Hürden, die meine Anwender vor sich selber beschützen und nach besten Wissen und Gewissen eine fahrlässige Kompromittierung erschwert und vielleicht sogar verhindert.
vg, Thomas

guennid
Beiträge: 11711
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 02.03.2018 20:38:34

TomL hat geschrieben:Das war doch nur ein hypothetisches Beispiel... wie kann man denn da eine Unterstellung ableiten?
Nein Thomas, das war es nicht. Durch das, was da im Zitat fehlt, was ich bewusst weggelassen habe, weil das eben keine Unterstellung, sondern Sache ist, wird ziemlich deutlich dass das auf mich gemünzt ist. Nach meiner Wahrnehmung bin ich hier so ziemlich der einzige, der shorewall nutzt. Und das, was im Zitat steht, trifft mich eben nicht mehr, ist folglich Unterstellung.
ThomL hat geschrieben:Allerdings fehlt mir noch die Antwort auf die Frage, mit welchen Mitteln Du die Wirksamkeit Deiner Router-FW konkret bestätigt hast...
Die Antwort kann ich dir mangels Fachwissen nicht geben. Ich hab's vor Jahren, als ich begann, meinen Debian Router mit shorewall einzurichten, hier mal versucht, konkrete kritische Rückmeldungen zu erhalten, habe aber das, was dann zurückkam, nur als oberflächliches allgemeines Geschwafel empfunden, das mir nicht weiterhalf und es schnell wieder sein lassen. Eine Erfahrung, die dir nicht fremd ist, wie ich meine.

In diesem Sinne gebe ich ja gerne zu, dass meine firewall überflüssig sein mag und drehe nochmals den Spieß um: was soll daran schädlich sein - mal abgesehen von den eben nicht zutreffenden Unterstellungen.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 20:45:10

pangu hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 20:17:08
Du vernarrst dich aber viel zu sehr in Firewalls und Router. Security ist ein rieeeeeeeeeeeeeeeeeeeßiges Wort von satten 8 Buchstaben, da steckt noch weitaus wichtigeres Zeug drin. Die Firewall/Router Geschichte ist nur ein kleiner Pipiteil davon. Statistisch gesehen nehmen Unternehmen die größten Schäden durch "interne Angriffe".
Nein, überhaupt nicht... ganz im Gegenteil... der Paketfilter ist nur eine Komponente meiner Maßnahmen... und Du bestätigst genau das, was ich immer sage, die eigentliche Gefahr geht von innen aus, nicht von außen... deswegen reglementiert meine FW die Möglichkeiten der User, nicht die vom Internet kommenden Attacken... das übernimmt -so hoffe ich- mein VDSL-Router. Aber was das Vertrauen angeht, ganz ohne -meinetwegen auch Gutgläubigkeit bzgl. der Hardware- gehts eben nicht. Irgendwelche Kompromisse muss man eingehen... oder wie wir früher gesagt haben "einen tod muss man sterben"... das ist unausweichlich.... also vertraue ich darauf, dass die Fritte für von-außen-kommend dicht macht.
Wie kontrollierst du hier? Es gibt für alles Möglichkeiten, es gibt Kontrollmechanismen, es gibt Werkzeuge.
Aufklärung? Gespräche? Das einstimmige und willentliche Vertreten von gemeinsamen familiären Interessen zur Einhaltung der digitalen Privatsphäre? Ich bin da sehr hartnäckig und wir sprechen darüber, was wir wollen, was wir nicht wollen.
Du bist grad mit Scheuklappen so sehr auf die FW/Routergeschichte fixiert dass du alles andere dadurch ausgeblendet hast oder gar nicht erst in Frage stellst.
Wie gesagt, das stimmt überhaupt nicht. Ich befasse mich hier im Moment nur gerade mit der Argumentation und dem Für und Wider eines Custom-Routers, mehr nicht. Und die Scheuklappen sind natürlich dummes Zeug... den Spruch, dass eine Firewall kein Sicherheitskonzept ist, kenn ich schon seit Zonealarm, eine Desktop-FW, die ich schon vor annähernd 20 Jahren umfassend customized habe... die Firewall ist nur ein Faktor im größeren Sicherheitskonzept, keinesfalls mehr. Aber wie gesagt, die anderen Komponenenten meines Konzeptes sind hier nicht diskutiert, insofern ist die Fokussierung auf die FW-Elemente natürlich zwangsläufig, eben weils das Thema ist... was aber nicht bedeutet, dass es bei mir kein grundsätzliches umfassendes Sicherheits-Konzept gibt.
Mein Tip --> spul zurück und stell dir die Frage was du eigentlich erreichen möchtest und davor frag dich nach dem WARUM ? Was ist dein Ziel, was ist es wert an Zeit, Geld und Nerven dafür zu investieren und wie sieht deine Mission aus.
Äh... sorry, ich habe keine Unsicherheiten darüber, was ich erreichen möchte im Verhältnis zu dem, was theoretisch erreicht werden kann. Ich habe mich nur gefragt, welche Sicherheiten sich Leute von einer Custom-Router-FW versprechen bzw. welche Sicherheit dann real ist. Meine Erkenntnis ist bisher, dass er keinen Schaden anrichtet, weil der VDSL-Router im IPv4-Netz sowieso NAT macht und firmware-mäßig alle ankommenden NEW-Pakete blockt, sofern die Ports nicht geöffnet sind und weitergeleitet werden.... aber er hat auch imho ohne deutliche Sachkenntnis nur einen sehr begrenzten Nutzen für die Sicherheit... was noch mal gravierend beeinflusst wird, wenns um Global-Scope-IPv6-Adressen geht.
Du kannst 1 Jahr opfern und deine selbstgestrickte FW/Routerkombination aufzustellen und zu betreiben.
Eigentlich ist es genau das, was ich nicht will... ich habe eigentlich nur Argumente gesucht, die mich genau davon abbringen. Was mich erstmal erschüttert hat, war die Sichtweise, dass ein Kommerz-Router perse als kompromittiert zu bezeichnen ist... darauf war ich nicht vorbereitet. Aber nachdem ich drüber nachgedacht habe, habe ich mich entschlossen, dieses Risiko einzugehen.
Zuletzt geändert von TomL am 02.03.2018 21:17:42, insgesamt 6-mal geändert.
vg, Thomas

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 20:50:20

guennid hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 20:38:34
Nein Thomas, das war es nicht. Durch das, was da im Zitat fehlt, was ich bewusst weggelassen habe, weil das eben keine Unterstellung, sondern Sache ist, wird ziemlich deutlich dass das auf mich gemünzt ist.
Mönsch Günni... komm runner... Du glaubst doch nicht allen Ernstes, ich hätte dabei an Dich gedacht... welches Interresse sollte ich haben, Dir ans Bein zu pissen...?... vergisses, das ist Mist und stimmt so nicht. Das mir in dem Moment Shorewall in den Sinn gekommen ist, ist reiner Zufall, das hätte genauso gut ufw sein können... ich kenne nur keine anderen... aber bei der Nennung von Shorewall habe ich an eines nicht gedacht, und zwar an Dich.... zumal ich das ja selber auch einschätzen kann, wenn ich mich an den WLAN-Thread erinnere. Also hak das ab... Du bist nicht das Thema... :-)
vg, Thomas

guennid
Beiträge: 11711
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 03.03.2018 11:39:06

Akzeptiert Thomas.

Was mir gerade so durch den Kopf geht: Kann es sein, dass deine Frage nicht so richtig passt? Eigentlich willst du doch dieses diskutieren: "Sicherheitsunterschiede? Linux-Custom-Router vs. individueller Client-Sicherung." :wink:

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 03.03.2018 13:56:48

guennid hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 11:39:06
Was mir gerade so durch den Kopf geht: Kann es sein, dass deine Frage nicht so richtig passt? Eigentlich willst du doch dieses diskutieren: "Sicherheitsunterschiede? Linux-Custom-Router vs. individueller Client-Sicherung."
Nee, dieser Vergleich hätte eigentlich überhaupt nicht zu meinen Absichten gepasst. Und ja, ich gebe zu, dass meine Betrachtungsweise hier eher unorthodox ist. Der markante Unterschied in meiner Sichtweise ist, dass die Client-Firewall (mir passt der Begriff Firewall hier eigentlich gar nicht) gegen den User gerichtet ist, und die Router-Firewall ist gegen das Internet gerichtet.
Ich kann die Router-Firewall nicht so individuell ausgestalten, dass sie gegen das Internet und gleichzeitig gegen den User die gleiche Wirkung hat, wie ein Paketfilter auf dem Client-PC selber... einfach deshalb nicht, weil auf dem Router die Belange von vielen Clients aus dem Netz berücksichtigt werden müssen. Das heisst, auf dem Router gibt es mehr pauschale Einstellungen. Wenn ich das wirklich tun wollte, müsste ich wieder mit diesem Quatsch mit Static-IPs anfangen, was gsd hier seit langem beseitigt ist und was imho sowieso nicht funktioniert, wenn man Global-Scope-IPv6-Adressen verwendet. Damit würde der Verwaltungsaufwand explodieren, weil man dann entweder auf ULA-Adressen ausweichen muss oder permant auf ISP-Prefix-Aktualisierung prüfen muss... was ich beides hier rigoros ablehne.

Für mich war die Frage interessant, ist der Custom-Router hinter dem DSL-Router ein Globuli, Gesundbeten oder hat er tatsächlich eine sinnvolle Bedeutung. Und da ich mich nach diesem Thread dazu entschlossen habe, AVM nicht zu misstrauen, sehe ich für uns mit einem solchen Teil nur eine Verschlechterung... ein zusätzlicher unnützer Hop für IPv6, und ein zusätzliches unnützes NAT für IPv4, eine weitere Hardwareanschaffung, weitere Energiekosten, weiterer Verwaltungsaufwand... also nix dabei, was ich mir wünsche oder was ich als sinnvoll erachte. Vor einem anderen Hintergrund und unter anderen Rahmenbedingungen kann das natürlich alles gaaaanz anders sein... wie.zb. bei DS-Lite oder reinem IPv4-DSL.... das muss aber jeder für sich selber herausfinden.
vg, Thomas

guennid
Beiträge: 11711
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 03.03.2018 14:41:08

TomL hat geschrieben:Ich kann die Router-Firewall nicht so individuell ausgestalten, dass sie gegen das Internet und gleichzeitig gegen den User die gleiche Wirkung hat, wie ein Paketfilter auf dem Client-PC selber... einfach deshalb nicht, weil auf dem Router die Belange von vielen Clients aus dem Netz berücksichtigt werden müssen.
Also ich lese das als Bestätigung meiner Vermutung. :wink:
TomL hat geschrieben:sehe ich für uns mit einem solchen Teil nur eine Verschlechterung...
Das mag dann wohl so sein, beurteilen kann ich das nicht. :wink:

Jana66
Beiträge: 3720
Registriert: 03.02.2016 12:41:11

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von Jana66 » 03.03.2018 15:03:35

Mal ein Zwischenstand:
Was du beabsichtigst oder tust, fällt unter den Fachbegriff "Personal Firewall". Dazu wurde im Thread bereits geschrieben, nicht nur von mir.
Dazu findet sich im Internet viel. :wink:
Zu Consumer- oder Plastikroutern, insbesondere AVM war selbst ich blauäugig, hat @NAB hier schön zusammengefasst:
Da ja inzwischen herausgekommen ist, dass es sich bei dem mysteriösen "Kommerz-Router" um ne popelige Fritzbox handelt und nicht etwas um was Schickes von Cisco, noch ein paar Links dazu:
viewtopic.php?f=18&t=168878&start=30#p1166815

Haupteinfallstore für Malware sind (neben Exploits, DDoS, Bufferoverflows, heimlichen Backdoors/Management-Zugriff) hauptsaechlich Mail-Clients, Browser mit Javascript und nicht vollständig kontrollierbare "Bring Your Own Devices", private Smartphones, Laptops etc. Dagegen könnte Personal Firewall, Sandboxing/VM auf Clients und Gastnetz helfen. Inwieweit Nutzer damit verbundene Unbequemlichkeiten akzeptieren (müssen) steht auf einem anderen (privatem vs. professionellem) Blatt.

Eine Hardwarefirewall kann nicht so granular regeln wie eine Personal Firewall auf PC. Erstere ist nicht durch Nutzerhandlungen angreifbar, letztere kann zwar bis auf Applikationsebene regeln, tritzdem leichter kompromittierbar einschließlich Gesamtsystem!

Die Firmware von Consumer-Routern und professionellen Routern ist proprietär, Closed Source. Exploits treten bei beiden auf. Professionelle Firmen (Cisco) reagieren weit transparenter und proaktives als AVM, TP-Link. Code Reviews sind nur bei Open-Source-Firewalls (PFSense, OPNSense, IPFire & Co.) möglich. Letztere Systeme sind bereits von Profis "gehärtetet". Mehr als eine selbstgebaute Linux-Firewall, die schwer zu administrieren ist: Verstreuselte Konfigs, Logs, Parameter: viewtopic.php?f=37&t=168594#p1166796
(Schon realisiert oder gar nicht gewusst? :wink: Vorschlag meinerseits wäre spezielle, von Experten in langjähriger Arbeit gehärtete OS-Distribution für Firewall = Einsparung Lebenszeit, Fahrrad muss nicht mehrfach erfunden werden!)

Nun habe ich nicht mehr viel Lust, zu schreiben, selber Vor- und Nachteile einer Personal Firewall bezüglich Hardwarefirewall bzw.deren Ergänzung untereinander lesen: https://de.wikipedia.org/wiki/Personal_Firewall
Fefe macht's kurz: https://www.fefe.de/pffaq/ mit Links :wink:
Ach ja, Schlangenoel bezieht sich nur auf Windows, nicht auf Linux??? Irrtum: Es ist ein Unterschied, einen einzelnen Root-Server ohne DE unter Administrationshoheit einer Einzelperson mit iptables (in dem Falle auch "Personal Firewall") zu sichern als ein ganzes Netzwerk von Hosts mit (erfahrungsgemäß vorauszusetzenden unerfahrenen, undisziplinierten) Nutzern, die ein Desktop-Environment, Mail-Clients und Browser mit Javascript und demzufolge künftige, unbekannte Malware zu Verfuegung haben oder haben könnten.

Des Weiteren möchte ein professioneller Administrator ein Netzwerk effizient und demzufolge vorzugsweise zentral regeln, nicht ganztägig nur wenige PCs einzeln reglementieren und Umsetzung der Regeln prüfen (Log-Auswertung) und bei Bedarf an mehreren Stellen/Hosts ändern, dabei Teile vergessen (Konfig, Doku, Log-Durchsicht). Schon damit werden zentrale Lösungen bevorzugt, auf Hosts einfach Standard-Konfigs
eingesetzt. Eine Frage der professionellen Effizienz - oder der aufgewendeten Lebenszeit im Ruhestand dafür. :wink:

@TomL: Dein Vertrauen kann doch nur auf Personal Firewall, Sandboxing/VMs der Browser, Disziplin, (unnötiger, zu weit gehender?) Reglementierung deiner Nutzer bezüglich Nutzung dessen und vorausgesetzter Disziplin bei Mail-Bearbeitung und (zu) viel Gottvertrauen in AVM und keine Kompromittierung der Systeme mit Personal Firewall beruhen? M. E. zu viele Voraussetzungen, Annahmen, Fehlermoeglichkeiten für erwünschte Sicherheit.

So, fertsch, ohne Schlechtschreibkorrektur.

Edit, tl;dr: Man sollte auch privat gewichtige Gründe haben, mehr zu tun, als in Firmen mit Profi-Admins (und hier wohl nur Linux-Clients) bewährte Standards sind: M. E. professionelle Firewall (privat Open Source) und Segmentierung von Servern, DMZ, Filialen und möglichst einheitlichen Clients mit VLANs und Sicherheitszonen - möglichst KISS-Prinzip - sonst mehr Fehler, weniger Erkennungsmerkmale!!!
In privaten Netzen dürften Sicherheitszonen für WAN, LAN, WLAN, DMZ bzw. Teile davon genügen. Siehe "4 Farben" von IPFire. :wink:
Zuletzt geändert von Jana66 am 03.03.2018 17:02:42, insgesamt 25-mal geändert.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 03.03.2018 15:10:56

guennid hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 14:41:08
Also ich lese das als Bestätigung meiner Vermutung.
Nein, es geht nicht um Vor- oder Nachteile des Paketfilters auf dem Client-PC... der ist gesetzt, alternativlos und zementiert und steht bei mir gar nicht zur Debatte. Es geht wirklich nur um die Sinnhaftigkeit des Routers hinter dem Router, ob das die Situation unter meinen Rahmenbedingungen verbessern würde oder nicht.... und es geht auch nicht um den Fall, wenn der Custom-Router selber Border-Device ist... das wäre wieder ein anderer Fall.
vg, Thomas

mat6937
Beiträge: 1020
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 03.03.2018 15:24:20

TomL hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 15:10:56
... die Sinnhaftigkeit des Routers hinter dem Router, ob das die Situation unter meinen Rahmenbedingungen verbessern würde oder nicht....
So wie Du deinen Client-PC z. Zt. abgesichert hast, ist m. E. ein Router hinter dem Router (der border device ist), keine Verbesserung in puncto Sicherheit. Du könntest deinen Client-PC mit dieser Absicherung, auch direkt (d. h. ohne Router) im Internet benutzen.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 03.03.2018 15:36:53

mat6937 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 15:24:20
So wie Du deinen Client-PC z. Zt. abgesichert hast, ist m. E. ein Router hinter dem Router (der border device ist), keine Verbesserung in puncto Sicherheit. Du könntest deinen Client-PC mit dieser Absicherung, auch direkt (d. h. ohne Router) im Internet benutzen.
:THX:

Das ist doch genau die bestehende Situation, die mit Verwendung von IPv6 bei mir vorliegt... und zwar dann, nachdem eine Verbindung von innen nach außen etabliert wurde. Ab dann ist mein Interface mit seiner IPv6 direkt Client im Internet. Meine Hintergedanken dabei sind, dass ich das IPv6-Netz Zuhause auf dem Client mit gleicher Skepsis und mit gleichem Misstrauen betrachte, als würde ich auf Reisen meinen Laptop an einem offenen/unbekannten WLAN-AP verbinden. Das, und meine Absicht, es dem User zu erschweren oder zu verbieten, Anwendungen oder Protokolle oder Schnittstellen (Ports) zu verwenden, die nicht erlaubt sind.
vg, Thomas

Jana66
Beiträge: 3720
Registriert: 03.02.2016 12:41:11

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von Jana66 » 03.03.2018 17:06:57

mat6937 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 15:24:20
Du könntest deinen Client-PC mit dieser Absicherung, auch direkt (d. h. ohne Router) im Internet benutzen.
Mit komplettem Desktop-Environment, mehreren Nutzern, Browser/Javascript, Mail-Client würde ich das nur mit Personal Firewall nicht mehr tun. Die Zeiten von Desktop-PCs mit Modems und kurzfristigen, niederbitratigen Wählverbindungeng sind lange vorbei. Im Thread geht es um Personal Firewall auf mehreren Desktop-PCs hinter welchem ratsamen Router (proprietär vs. Open-Source-Eigenbau).

Oder wo hat der TO geschrieben, dass es um einen reine Server geht?
Nun IPv6 als neues Protokoll (ohne NAT) in's Spiel zu bringen, verschärft die Sache noch.

Es erscheint keineswegs plausibel, warum mehreren Hosts mit Personal Firewalls in Verbindung mit einem proprietären Plastikrouter zumindest mit mangelhaften Segmentierungs- (VLAN, Zonen) und Logmoeglichkeiten vertraut wird!
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

mat6937
Beiträge: 1020
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 03.03.2018 18:02:52

Jana66 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 17:06:57
Mit komplettem Desktop-Environment, mehreren Nutzern, Browser/Javascript, Mail-Client würde ich das nur mit Personal Firewall nicht mehr tun.
Wie bzw. gegen was hilft zusätzlich ein (IPv4-)Router hier, bei einem komplettem Desktop-Environment?

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 03.03.2018 18:26:21

Jana66 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 17:06:57
Mit komplettem Desktop-Environment, mehreren Nutzern, Browser/Javascript, Mail-Client würde ich das nur mit Personal Firewall nicht mehr tun. Die Zeiten von Desktop-PCs mit Modems und kurzfristigen, niederbitratigen Wählverbindungeng sind lange vorbei. Im Thread geht es um Personal Firewall auf mehreren Desktop-PCs hinter welchem ratsamen Router (proprietär vs. Open-Source-Eigenbau).
Jana, Du solltest vielleicht weniger frei interpretieren und Dich dafür mehr an den genannten Fakten orientieren. Natürlich gibt es für mich wiederholt kurzfristige Einwählverbindungen... an Routern, die ich NICHT kenne und wo ich mich mit IPv6 durchaus als Border-Device verstehen muss. Natürlich nicht an meinem PC zuhause, aber dafür mit meinem Laptop, den ich auf Reisen mitnehmen. Aber ich richte beide Maschinen zur Aufwandsminimierung natürlich identisch ein.... warum..?... wie ich schon sagte, ich stufe IPv6 auf die Risikosituation auf, die ich bei offenen WLAN-AP vermute.
Oder wo hat der TO geschrieben, dass es um einen reine Server geht?
Nein, habe ich zu keiner Zeit. Und um das weiter zu verkomplizieren, natürlich läuft auch auf meinem Server der Paketfilter... dergestalt, dass der überhaupt nur 2 oder 3 Ports von sich aus öffnen darf... dem ist jedweder von ihm ausgehender (CT-State NEW) Verkehr ins Internet verboten.
Nun IPv6 als neues Protokoll (ohne NAT) in's Spiel zu bringen, verschärft die Sache noch. Toms "Daumen" könnte für eine Filterblase (unreflektierte gern gesehene Bestätigung der eigenen Meinung) zeugen. Sorry.
Das ist so unsachlich, wie es falsch ist... in Wahrheit bedeutet der Daumen, dass ich meine erkannt zu haben, dass er sowohl problemverursachende Umstände als auch Lösung verstanden hat. Ich brauche keine Bestätigung für meinen Paketfilter, ich weiss, dass der "hart" ist, weil alle Policies "DROP" sind und am Ende jeder Chain gnadenlos rejected wird. Das heisst, es funktioniert rein und raus nur das wenige, was ich ausdrücklich erlaubt habe.
Es erscheint keineswegs plausibel, warum mehreren Hosts mit Personal Firewalls in Verbindung mit einem propietaerem Plastikrouter mit mangelhaften Segmentierungs- (VLAN, Zonen) und Logmoeglichkeiten vertraut wird!
Also empfiehlst Du allen Linux-Usern, die in der Mehrheit vermutlich und üblicherweise ohne FW unterwegs sind, wegen der mangelhaften Plastikrouter am Besten alle Kontakte zum Internet einzustellen...?... als Resümee, wenn Internet sogar auch MIT lokalem Paketfilter absolut unvertrauenswürdig ist? Mannomann... was hat das denn noch mit der normalbürgerlichen Realität zu tun... ?... oder mit der von mir mehrfach angesprochenen Verhältnismäßigkeit?

Manchmal wundere ich mich nur noch, warum für soviele Leute immer der größere Ehrgeiz darin besteht, etwas schlechtzureden, als einfach mal die Vorteile einer wirklich einfachen (und keinesfalls schadenden) Maßname und deren effektive Verbesserung zum vorherigen Zustand zu akzeptieren ... mit der bei mir und unter unseren Rahmenbedingungen gleich zwei Effekte erreicht werden: Zuhause erspart es mir einen weiteren Router, unterwegs sichere ich mich gegen unbekannte Router. Was ist daran verkehrt? Was muss man daran noch kritisieren? Wieso muss man an dieser Maßnahme den Maßstab des US DoD oder eines kommerziellen zertifizierten RZ anlegen und generell alle mangelhaften Plastikrouter als Gefahr definieren? Welchen konstruktiven Sinn hat es, auf Schwächen rumzureiten, die wahrscheinlich dem Standard für 99,9% aller privaten Internetbenutzer entsprechen?

Um das Gelaber zu beenden... ich habe mit diesem Thread nur eine Bestätigung meiner Meinung gegen den zweiten Router gesucht, oder andersrum (was ich aber nicht erwartet habe) konkrete Hinweise auf eine Notwendigkeit dafür. Aber beides geht aus Mat's Antwort, der ich den Daumen-Hoch gegeben habe, gar nicht draus hervor. Er hat lediglich festgestellt, welche zusätzliche Wirkung/Bedeutung mein Paketfilter hat... und das habe ich wieder auf meine Rahmenbedingungen projiziert... eben mit IPv6 und Reisen.
vg, Thomas

Benutzeravatar
pangu
Beiträge: 1386
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 04.03.2018 12:34:24

Jana66 hat einige nützliche Links gepostet. Einer davon bringt es kurz und präzise auf den Punkt. Ich zitiere und wiederhole:

https://www.fefe.de/pffaq

Wer das nicht akzeptieren, wahrhaben oder glauben möchte, selber schuld. Alles andere ist Wunschdenken und Balsam für die eigene Meinung.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

Antworten