Filterung auf dem Client ist insofern problematisch, weil eine eingefangene Schadsoftware potentiell auch die Filter ausser Kraft setzen kann. Wenn man auf dem Router filtert, kommt die Schadsoftware des Clients nicht unmittelbar an gesetzten Filter ran. Zumindest müßte die Schadsoftware den Router ebenfalls befallen, um dortige Filter ausser Kraft zu setzen.
Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Interessanter Gedanke! Wegen Meltdown/Spectre wird sich in Firewall-Foren kaum ein Kopf gemacht. Es wird auf die Softwarehoheit auf dem Gerät verwiesen.MSfree hat geschrieben:02.03.2018 10:40:20Filterung auf dem Client ist insofern problematisch, weil eine eingefangene Schadsoftware potentiell auch die Filter ausser Kraft setzen kann. Wenn man auf dem Router filtert, kommt die Schadsoftware des Clients nicht unmittelbar an gesetzten Filter ran.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Genau das wollte ich damit ausdrücken.... was ich auch oben schon beschrieben haben, ohne eine Firewall -an welcher Stelle auch immer sie wirkt- qualifzieren zu können, ist Wunschdenken der eigentliche Kern der Sicherheit.pangu hat geschrieben:02.03.2018 09:33:01Gar nicht, wieso soll er das auch können. Sind doch Äpfel und Birnen.
::::
Kommt drauf an wie du "Verbesserung" verstehst, mit welchen Instrumenten du das messen kannst und in welcher Form du das quantifizieren und qualitativ bewerten kannst. Alles andere ist Hokuspokus und Glaskugelfetischismus.
Ja, das ist ein Problem und ein mir jetzt bewusst gewordener Aspekt... und ob eine Fritzbox nicht auch solche Funktionen zur Verfügung stellt...???... *hmmm*... die FB kennt natürlich alle Clients....Das Hautpproblem an deiner geschilderten Sache ist doch der: der vom Provider gestellte DSL/Model/Kabel Router muss klar als "kontaminiert" und "unsicher" angesehen werden ohne weiter zu überlegen. Sämtlicher Verkehr von und zu deinem Internetanschluss kann vom Provider mitgeschnitten und mitverfolgt werden.
:::
Davon weiß der Benutzer gar nichts. Also alles was du an diesem Router einstellst und einsiehst, kann dein ISP genauso kontrollieren und einsehen.
Vor diesem Hintergrund wäre also AVM der Angreifer... *hmmm*.... Das sind jetzt neue Aspekte, die ich nun auch verstanden habe, die ich aber nicht so recht auf meine eigene private Situation projizieren kann... also in dem Sinne, dass mein/unser digitales Leben solche Maßnahmen tatsächlich auch erfordert. Dabei gehts für mich auch immer um die persönliche Verhältnismäßigkeit der Mittel.Der Hauptknotenpunkt ist dein externer Router, und der ist kompromittiert zu betrachten.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Lord_Carlos hat geschrieben:02.03.2018 10:28:01Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Ja, genau, aber wie ich sagte, das passiert immer von innen heraus, in dem ein User vorher das System mit Schadsoftware unwissentlich oder fahrlässig kompromittiert hat. Das Aufbohren von egal welchen Ports ist als Initiative von außen nicht möglich... es muss vorher von innen vorbereitet sein.mat6937 hat geschrieben:02.03.2018 10:37:17Ja, ... und Löcher wird man in diese Firewalls (... egal ob sich diese auf dem Client-PC oder auf dem Router befindet) immer bohren können.
Die gesamte kontroverse Argumentation basiert darauf, dass der PC bereits befallen ist. Meine Perspektive ist aber, dass aufgrund meiner vorher an anderen Stellen getroffenen Maßnahmen keines unserer Systeme kompromittiert ist. Das bedeutet, die Client-Firewall soll nicht gegen einen virusbefallenen Clienten wirken, sondern soll als zusätzliche Maßnahme das User-Verhalten beschränken... mit ähnlichem Ziel, wie ich das mit einem NoExec-Remount für /home, /tmp und /dev/shm getan habe. Oder mit der User-bezogenen Einstellung, dass kein einziger User Rechte hat, die über sein Homedir hinausgehen, oder sich root-Rechte aneignen kann. Oder das statt pauschale Mount-Points in der fstab nur userbezogene Mounts geöffnet werden, also in dem Sinne, das Mountpoints nicht pauschal geöffnet werden, sondern nur die dem User zugewiesenen.MSfree hat geschrieben:02.03.2018 10:40:20Filterung auf dem Client ist insofern problematisch, weil eine eingefangene Schadsoftware potentiell auch die Filter ausser Kraft setzen kann. Wenn man auf dem Router filtert, kommt die Schadsoftware des Clients nicht unmittelbar an gesetzten Filter ran. Zumindest müßte die Schadsoftware den Router ebenfalls befallen, um dortige Filter ausser Kraft zu setzen.
Alles zusammen ist ein Konglomerat an Maßnahmen zur Beschränkung von Userverhalten... eben um es den User zu erschweren oder gar unmöglich machen, das System von innen heraus zu kompromittieren. Ich behaupte, dass das vor dem Kenntnisstand meiner User gelungen ist.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Sehe ich genauso. Warum sollte eine Malware durch eine Personal Firewall einschranken lassen?LordCarlos hat geschrieben:Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Die zentrale Firewall kann wenigstens Einiges erkennen (eingehend wie ausgehend nur erlauben, was erwünscht, alles Verbotene loggen). Dann kann man reagieren. Rein lokalen Verkehr behandelt sie nicht. Aber LAN-Verkehr zwischen lokalen Zonen/VLANs schon. Läuft ja dann über FW.
Zuletzt geändert von BenutzerGa4gooPh am 02.03.2018 11:39:11, insgesamt 2-mal geändert.
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Dann verstehe ich nicht warum du die ausgehenden Ports filters.TomL hat geschrieben:02.03.2018 10:54:44Ja, genau, aber wie ich sagte, das passiert immer von innen heraus, in dem ein User vorher das System mit Schadsoftware unwissentlich oder fahrlässig kompromittiert hat. Das Aufbohren von egal welchen Ports ist als Initiative von außen nicht möglich... es muss vorher von innen vorbereitet sein.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Und wieder wird vorausgesetzt, dass das System bereits befallen ist... was ich derzeit bei uns aber nicht für gegeben halte. Ich denke, wenn es "passiert" ist, ist eh alles zu spät, dann haben alle vorherigen Maßnahmen versagt. Und genau da ist mein Ansatz... die vorherigen Maßnahmen so zu gestalten, dass ein Versagen immer weniger wahrscheinlich wird und in immer größerem Maßstab echten Vorsatz für die Sabotage verlangt.uname hat geschrieben:02.03.2018 11:22:35Sehe ich genauso. Warum sollte eine Malware durch eine Personal Firewall einschranken lassen?LordCarlos hat geschrieben:Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Um zu verhindern, dass Anwendungen auf privilegierten ESTABLISHED Ports zusätzlich unprivilegierte Ports öffnen dürfen, wie das z.B. bei FTP der Fall wäre, wenn man nicht das ALG verwendet. Und um nur ausdrücklich freigebene privilegierte Ports für ganz bestimmte Dienste zu erlauben. Das funktioniert nur aus der Perspektive, dass es als Maßnahme zur Beschränkung von User-Verhalten wirkt und nur solange man sicher ist (oder davon ausgeht), dass die Systeme nicht kompromittiert sind.... soweit man das von Linux und Desktop-Environment erwarten kann.Lord_Carlos hat geschrieben:02.03.2018 11:37:34Dann verstehe ich nicht warum du die ausgehenden Ports filters.
Zuletzt geändert von TomL am 02.03.2018 11:45:20, insgesamt 1-mal geändert.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Dann sage doch mal bitte, wie du dir in https-Zeiten (*) weiterer Nutzer sicher sein kannst??? Ich will wenigstens erkennen und reagieren können.TomL hat geschrieben:02.03.2018 11:39:55Und wieder wird vorausgesetzt, dass das System bereits befallen ist... was ich derzeit bei uns aber nicht für gegeben halte.
Edit (*) zuzüglich Zwangs-Javascript der meisten Webseiten, zuzüglich Meltdown/Spectre, zuzüglich "broken by design" wird verpflastert
Zuletzt geändert von BenutzerGa4gooPh am 02.03.2018 11:53:58, insgesamt 1-mal geändert.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Stimmt, und genau gegen diesen (unwahrscheinlichen) Fall sollte man einen Plan-B in der Tasche haben.TomL hat geschrieben:02.03.2018 10:54:44Die gesamte kontroverse Argumentation basiert darauf, dass der PC bereits befallen ist.
Es ist löblich, daß du versuchst, einen Befall von vorn herein zu verhindern. Und ich stimme dir zu, daß man so viel wie möglich tun sollte, um das Ziel zu erreichen.Meine Perspektive ist aber, dass aufgrund meiner vorher an anderen Stellen getroffenen Maßnahmen keines unserer Systeme kompromittiert ist.
Es bleibt aber immer ein Restrisiko. Wenn z.B. mal wieder eine richtige Horrorsicherheitslücke bekannt wird, die alle deine Vorkehrungen aushebelt, sind deine Systeme schneller befallen als du Gegenmaßnahmen einleiten kannst. Da ist man dann froh, wenn der Router filtert.
Ich gehe sogar soweit zu sagen, daß "personal Firewalls", also Filter auf den Clients, völlig überflüssig sind und das einzig Wahre die Filterung im Router ist.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Nur dadurch begründet, weil ich den Überblick über alle von mir getroffenen Maßnahmen in Verbindung mit den Kenntnissen und erlaubten Möglichkeiten meiner User habe. Ich sehe das so, dass es theoretisch immer Angriffsvektoren gibt... das ist nicht zu vermeiden... aber gleichzeitig ist es auch so, dass ich enorme Hürden aufgebaut habe, die es meinen Usern fast unmöglich machen, ein System fahrlässig oder leichtsinning zu infizieren.... das Nicht-Können in Kombination mit Nicht-Dürfen sind quasi unüberwindbare Hürden.Jana66 hat geschrieben:02.03.2018 11:43:21Dann sage doch mal bitte, wie du dir in https-Zeiten weiterer Nutzer sicher sein kannst??? Ich will wenigstens erkennen und reagieren können.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Also Whitelists für Websiten, kein JavaScript (welche Seiten funktionieren noch ohne?), keine Browseradministration durch User möglich?TomL hat geschrieben:02.03.2018 11:50:46dass ich enorme Hürden aufgebaut habe, die es meinen Usern fast unmöglich machen, ein System fahrlässig oder leichtsinning zu infizieren.... das Nicht-Können in Kombination mit Nicht-Dürfen sind quasi unüberwindbare Hürden.
Meltdown/Spectre designmäßig gefixt? Gibt's denn schon neue CPUs?
Infektionswege künftiger Malware bereits analysiert? Sandboxing absolut perfekt?
- pangu
- Beiträge: 1400
- Registriert: 15.11.2011 20:50:52
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: /proc/1
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Dein Vorhaben "Maßnahmen" einzusetzen ist prinzipiell richtig. Man darf nicht vergessen, dass all deine Versuche und Maßnahmen die Sache erschweren, nicht verhindern. Um auf deine Ausgangsfrage zurückzukommen --> nicht alles was kommerziell erwerblich ist, ist von Grund aus schlecht. Natürlich hat man beim selbst-gestrickten die freie Wahl und kann customizing betreiben und von Grund aus alles selbst aufbauen. Hier lauert aber schon mal die Gefahr dass etwas "vergessen wird" oder "falsch gemacht" wird. Das artet dann dazu aus dass die gesamte selbstgestrickte Router-/Firewalllösung nutzlos wird, schlimmer noch wird es wenn man selbst davon nichts mitbekommt und nicht mal ahnt. Bei den kommerziellen Sachen wurde das vorher durch mehrere Augen getestet, allerdings waren das nicht deine Augen und auch die machen viele Fehler wie man tag täglich anhand security leaks mitbekommt. Also vertraust du "Fremde" oder vertraust du dir und deinen Kenntnissen und Fähigkeiten, oder gar beides.
Versuch bei deinem Gedankengang stets zu beachten: einer deiner Clients ist mit Schadsoftware infiltriert, auf welchem Wege das passiert völlig egal erstmal. Du weißt nichts davon, der Computer-Nutzer ebenfalls nicht. Kann sein dass das auch 'n halbes Jahr unbemerkt bleibt. Dann wird die Schadsoftware aktiv und baut (von innen nach außen) einen Kanal auf oder nutzt bereits bestehende Kanäle. Das kann auch ein verschlüsselter Kanal sein und die Schadsoftware kann somit Daten hin- und herscheffeln zu seinem ControlCenter wie es Lust und Laune hat. Wie schützt du dich nun dagegen? Du müsstest feststellen was für Daten übertragen werdne, kannst du aber nicht da verschlüsselt. Gehen wir noch weiter anhand dieses Beispiels und legen fest, dass die Schadsoftware mittels https mit seinem "Herrchen" kommuniziert. Dann schaust du dir die aktiven Verbindungen an. Wenn du nun die aktiven Datenpakete betrachtest des infizierten Clients dann siehst du dass der PC mit dem Microsoft-Updateserver verbunden ist, mit dem Adobe-Update-Server, mit google, mit Facebook, mit Heise, mit blablubb...usw.
Wie kriegst du nun raus welche connections gut und welche böse sind? Weiter auf die Spitze getrieben als Beispiel --> der CommandServer arbeitet mit einem Domänennamen und IP-Bereich der dem von Microsoft sehr ähnelt. Deine ersten Analysen geben dir zu denken, ja gut dass ist Microsoft und du verlässt dich drauf. Dabei ist das evtl. der Wurm und du bekommst das nicht mit. Jetzt kannste hergehen und die traffic Menge mitloggen und weiter inspizieren, aber es gibt sooooooooooooo viele fiesen Tricks, die Malware verwendet.
Kurzum --> hol dir dieses Beispiel immer wieder vor Augen: ein Client wird mit Malware infiziert und baut von innen nach außen eine Verbindung auf. Und im schlimmsten Fall kriegst du das nie mit, weil kein Schaden sichtbar wird bei dir im Netz. Aber es wurden brisante Informationen rausgescheffelt in die weite Welt des Internets und du wirst das vllt. im Leben nie erfahren. Oder zu spät, da ist der Schaden aber schon passiert.
viele Grüße und viel Spaß beim Gedankenexperiment
Pangu
Versuch bei deinem Gedankengang stets zu beachten: einer deiner Clients ist mit Schadsoftware infiltriert, auf welchem Wege das passiert völlig egal erstmal. Du weißt nichts davon, der Computer-Nutzer ebenfalls nicht. Kann sein dass das auch 'n halbes Jahr unbemerkt bleibt. Dann wird die Schadsoftware aktiv und baut (von innen nach außen) einen Kanal auf oder nutzt bereits bestehende Kanäle. Das kann auch ein verschlüsselter Kanal sein und die Schadsoftware kann somit Daten hin- und herscheffeln zu seinem ControlCenter wie es Lust und Laune hat. Wie schützt du dich nun dagegen? Du müsstest feststellen was für Daten übertragen werdne, kannst du aber nicht da verschlüsselt. Gehen wir noch weiter anhand dieses Beispiels und legen fest, dass die Schadsoftware mittels https mit seinem "Herrchen" kommuniziert. Dann schaust du dir die aktiven Verbindungen an. Wenn du nun die aktiven Datenpakete betrachtest des infizierten Clients dann siehst du dass der PC mit dem Microsoft-Updateserver verbunden ist, mit dem Adobe-Update-Server, mit google, mit Facebook, mit Heise, mit blablubb...usw.
Wie kriegst du nun raus welche connections gut und welche böse sind? Weiter auf die Spitze getrieben als Beispiel --> der CommandServer arbeitet mit einem Domänennamen und IP-Bereich der dem von Microsoft sehr ähnelt. Deine ersten Analysen geben dir zu denken, ja gut dass ist Microsoft und du verlässt dich drauf. Dabei ist das evtl. der Wurm und du bekommst das nicht mit. Jetzt kannste hergehen und die traffic Menge mitloggen und weiter inspizieren, aber es gibt sooooooooooooo viele fiesen Tricks, die Malware verwendet.
Kurzum --> hol dir dieses Beispiel immer wieder vor Augen: ein Client wird mit Malware infiziert und baut von innen nach außen eine Verbindung auf. Und im schlimmsten Fall kriegst du das nie mit, weil kein Schaden sichtbar wird bei dir im Netz. Aber es wurden brisante Informationen rausgescheffelt in die weite Welt des Internets und du wirst das vllt. im Leben nie erfahren. Oder zu spät, da ist der Schaden aber schon passiert.
viele Grüße und viel Spaß beim Gedankenexperiment
Pangu
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Hier kommt wieder die Verhältnismäßigkeit ins Spiel... wir sind/ich bin nicht ein Hochsicherheitsunternehmen. Meine Maßnahmen orientieren sich nicht an den Maßnahmen, die das US DoD getroffenen hat, damit nicht ein Hacker auf den finalen roten Knopf drücken kann. Meine Maßnahmen vergleichen sich mit denen von geschätzt 60 Millionen normalen privaten deutschen Internet-Benutzern... und da denke ich, wenn die meisten bei Sturm und Schauer in 'nem offenen Buggy sitzen, sitzen wir in nem Panzer... ... ich glaube, vor dem Hintergrund der privaten Verhältnismäßigkeit und der Idee, nicht völlig paranoid sein zu wollen, ist das für uns ausreichend.Jana66 hat geschrieben:02.03.2018 11:57:33Also Whitelists für Websiten, kein JavaScript (welche Seiten funktionieren noch ohne?), keine Browseradministration durch User möglich? Meltdown/Spectre designmäßig gefixt?
Mit dem Thread wollte ich nur ein besseres Verständnis dafür bekommen, welche echten Vorteile ein eigener Router mitbringt. Dazu habe ich mehrere Anregungen und Hinweise bekommen, die mir von alleine gar nicht so bewusst waren... und die ich alle als absolut plausibel einschätze. Aber letztendlich komme ich für unser eigenes Umfeld zu der Einschätzung, dass ich das so nicht brauche und das die Sicherheit nur da verbessert wird, wo sie meiner Einschätzung nach derzeit nicht gefährdet ist. Das einzige echte Unwohlsein hat Pangu ausgelöst... mit dem Hinweis der vielleicht gegebenen Möglichkeiten von AVM... tja...
- pangu
- Beiträge: 1400
- Registriert: 15.11.2011 20:50:52
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: /proc/1
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
und deinem ISP ?
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Ich habe das verstanden... aber an diesem Punkt begehst Du unwissend einen schwerwiegenden Fehler... die vergisst die Tatsache, dass ich ein Rentner mit autodidaktisch erworbenen Linux-Kenntnissen bin und Linux vor 5 Jahren für mich noch ein Fremdwort war... * *. Ich würde das, was Du da beschreibst, sowieso nicht analysieren können, selbst dann nicht, wenn ich wüsste, dass da was passiert. Ich versuche wirklich nur präventive Maßnahmen umzusetzen, und das immer im Vergleich mit dem, was die anderen Millionen privaten Anwender treiben. Da denke ich, dass wir viel besser gesichert sind, als 99,9% aller anderen privaten Haushalte. ... aber ich weiss auch, ganz ausschließen werde ich die Risiken nie können.pangu hat geschrieben:02.03.2018 12:16:47Kurzum --> hol dir dieses Beispiel immer wieder vor Augen: ein Client wird mit Malware infiziert und baut von innen nach außen eine Verbindung auf. Und im schlimmsten Fall kriegst du das nie mit, weil kein Schaden sichtbar wird bei dir im Netz. Aber es wurden brisante Informationen rausgescheffelt in die weite Welt des Internets und du wirst das vllt. im Leben nie erfahren. Oder zu spät, da ist der Schaden aber schon passiert.
Das ist das, was ich wiederholt mit Verhältnismäßigkeit meinte... ich bin nicht für ein RZ verantwortlich.... sondern nur für 2 Hände vol Linux-Clients im familären Haushalt.
- pangu
- Beiträge: 1400
- Registriert: 15.11.2011 20:50:52
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: /proc/1
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
deine Absicht und dein Einsatz ist auch korrekt.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Welches Interesse sollten ISP und AVM ungezwungen haben? Als Nichtterroristin habe ich eher Bedenken wegen böser Buben und unabsichtlichen Fehlern in Software eigener Geräte (einschließlich Router, Accesspoints) sowie eigenen Konfigurationsfehlern - als vor Geheimdiensten und deren Bediensteten. AVM ist mit Updates wohl recht gut, flott. Und das über längere, absehbare Zeit, keiner macht das ewig. (Ein Providergerät mit fremder Managementhoheit / Managementhoheit betrachte auch ich als Teil des poehsen, von mir unbeeinflussbaren Internets.) Open Source im eigenen Router ist mir sympathischer, weil (von anderen, von mir nicht) kontrollierbar, zumal wenn von Experten erstellt, vorkonfiguriert, gut bedienbar, übersichtlich, auch in Firmen einsetzbar: PFSense & Co.
?TomL hat geschrieben:02.03.2018 12:20:40Das einzige echte Unwohlsein hat Pangu ausgelöst... mit dem Hinweis der vielleicht gegebenen Möglichkeiten von AVM... tja...
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Naja, die Banken in der Schweiz hatten ja auch kein Interesse, dass "Steuersünder-CDs" (d. h. Informationen und Wissen) an z. B. die deutschen Finanzbehörden oder/und an WikiLeaks weiter gegeben (... oder manchmal auf nur verkauft?) werden. Oder wenn z. B. das Steuergerät (der Zentralverriegelung) von neuen und teuren Luxusautos geknackt wird, ... von wo haben die Ganoven das Wissen wie man das macht?Jana66 hat geschrieben:02.03.2018 12:36:08Welches Interesse sollten ISP und AVM ungezwungen haben?
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Linux ist ein Krebsgeschwür, das in Bezug auf (*) Eigentum alles befällt, was es berührt. Microsoft-CEO Steve Ballmer 2001mat6937 hat geschrieben:02.03.2018 13:51:20Oder wenn z. B. das Steuergerät (der Zentralverriegelung) von neuen und teuren Luxusautos geknackt wird, ... von wo haben die Ganoven das Wissen wie man das macht?
*lachduckundwech*
(*) geistiges
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Da ja inzwischen herausgekommen ist, dass es sich bei dem mysteriösen "Kommerz-Router" um ne popelige Fritzbox handelt und nicht etwas um was Schickes von Cisco, noch ein paar Links dazu:
Die root-Lücke von 2014 (damals noch dick in der Presse):
https://www.heise.de/security/meldung/H ... 36784.html
Noch zwei Lücken in der Fernwartungsfunktion (auch 2014):
https://www.heise.de/security/meldung/A ... 96040.html
Die nächste root-Lücke 2015/16 (inzwischen wird's Routine):
https://www.heise.de/security/meldung/A ... 65588.html
Hiervon habe ich nie wieder was gehört:
https://www.heise.de/security/meldung/A ... 63752.html
Die root-Lücke von 2017 (wird langsam langweilig):
https://www.heise.de/security/meldung/F ... 87437.html
Gut, nun gibt es root-Lücken auch auf einem "Custom-Linux", aber da wüsste ich, wo und wie ich ansetzen muss, um zu prüfen ob mit der Kiste irgendwas faul ist. Bei einer gehackten AVM-Firmware hätte ich keine Ahnung, wie ich das feststellen soll. Zumal AVM die Eigentümer immer weiter aussperrt:
https://www.heise.de/security/meldung/A ... 91292.html
Während das Aufspielen einer "Custom-Firmware" auf den "Kommerz-Router" weiterhin recht leicht ist:
https://www.pcwelt.de/ratgeber/Fritzbox ... 57581.html
(klappt auch prima vom kompromittierten Client aus)
Die root-Lücke von 2014 (damals noch dick in der Presse):
https://www.heise.de/security/meldung/H ... 36784.html
Noch zwei Lücken in der Fernwartungsfunktion (auch 2014):
https://www.heise.de/security/meldung/A ... 96040.html
Die nächste root-Lücke 2015/16 (inzwischen wird's Routine):
https://www.heise.de/security/meldung/A ... 65588.html
Hiervon habe ich nie wieder was gehört:
https://www.heise.de/security/meldung/A ... 63752.html
Die root-Lücke von 2017 (wird langsam langweilig):
https://www.heise.de/security/meldung/F ... 87437.html
Gut, nun gibt es root-Lücken auch auf einem "Custom-Linux", aber da wüsste ich, wo und wie ich ansetzen muss, um zu prüfen ob mit der Kiste irgendwas faul ist. Bei einer gehackten AVM-Firmware hätte ich keine Ahnung, wie ich das feststellen soll. Zumal AVM die Eigentümer immer weiter aussperrt:
https://www.heise.de/security/meldung/A ... 91292.html
Während das Aufspielen einer "Custom-Firmware" auf den "Kommerz-Router" weiterhin recht leicht ist:
https://www.pcwelt.de/ratgeber/Fritzbox ... 57581.html
(klappt auch prima vom kompromittierten Client aus)
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Aber ein Teil der Firmware der FritzBox, bleibt immer closed source. Man kann die Original-Firmware der FritzBox, nicht zu 100% mit einer "Custom-Firmware" ersetzen.NAB hat geschrieben:02.03.2018 16:21:19Während das Aufspielen einer "Custom-Firmware" auf den "Kommerz-Router" weiterhin recht leicht ist:
https://www.pcwelt.de/ratgeber/Fritzbox ... 57581.html
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Vier Argumente für den Linux-Eigenbau-Router, Thomas:
1. es ist einfacher, als jeden Client einzeln abzusichern
2. es ist übersichtlicher und insofern sicherer
3. du hast volle Kontrolle, weil du selbst der Chef bist
4. All das lässt sich für vergleichweise kleines Geld realisieren.
1. es ist einfacher, als jeden Client einzeln abzusichern
2. es ist übersichtlicher und insofern sicherer
3. du hast volle Kontrolle, weil du selbst der Chef bist
4. All das lässt sich für vergleichweise kleines Geld realisieren.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Das dritte Argument ist eigentlich das wichtige, welches mich natürlich am meisten interessiert.... und zwar mit der Frage: Wie übst Du diese Kontrolle aus? Oder genauer gefragt, mit welchen Werkzeugen ermittelst Du die Wirksamkeit Deiner FW, wie bestätigst Du die qualitative Effizienz Deiner Router-FW? Ich betone hier an dieser Stelle der Frage das "Du"... was auch die Frage beinhaltet, ob Du dafür tatsächlich das notwendige Fachwissen hast. Wenn Du das nicht kannst, behaupte ich mal, ist ein solcher Router eher ein höheres Risiko, als das er eine tatsächliche Verbesserung der lokalen Sicherheit ermöglicht. Letztendlich wäre die Sicherheit dann durch den Custom-Router nicht wirklich verbessert, sie ist aus Sicht des Kommerzrouters lediglich nicht gravierend verschlechtert.... was aber passieren würde, wenn man aus dem Irrglauben der Sicherheit seines Custom-Routers seinen Kommerz-Router vernachlässigt. Ich betone das "Du" deshalb, weil Deine und meine Situation als die Hobby-Gärtner, die wir zwei sind, viel eher vergleichbar ist, als die der ganzen Profis, die viel mehr über die IT-Pflanzenwelt wissen, als wir beide zusammen...guennid hat geschrieben:02.03.2018 16:35:42Vier Argumente für den Linux-Eigenbau-Router, Thomas:
1. es ist einfacher, als jeden Client einzeln abzusichern
2. es ist übersichtlicher und insofern sicherer
3. du hast volle Kontrolle, weil du selbst der Chef bist
Kannst Du an Deiner Router-FW z.B. differenzieren, welche Clients FTP in beiden Richtungen dürfen, welche nur eingehend und welche nur ausgehend dürfen? Kannst Du kontrollieren, ob nicht durch eine Fehlbedienung der FW für FTP-Traffic die früher obligatorische komplette Öffnung aller unprivilegierten Port von 1024: in eine der 2 Richtungen erfolgt ist? Kannst Du kontrollieren, dass die Webcams sich via FTP zwar auf den LAN-internen FTP-Server verbinden können, aber keine Verbindung nach außerhalb liegende FTP-Server aufbauen dürfen? Kannst Du festlegen, das einige Clients IMAP-Verbindungen annehmen können, aber selber keinen der zwei IMAP-Ports nach außen öffnen dürfen? Und wieder andere dürfen IMAP, POP3 und SMTP nur ausgehend öffnen, können die betroffenen Ports aber nicht eingehend öffnen. Wie differenzierst Du, dass einige Maschinen Samba-Ports ausgehend geöffnet haben, andere aber nur CIFS. Und wieder andere Maschinen können Samba und CIFS ein- und ausgehend.
Ich weiss, dass man das alles einstellen kann... ich weiss auch, wie ich das kontrollieren kann... die Frage ist, ob Du als Custom-Router-Betreiber auch kannst. Außerdem bin ich davon überzeugt, dass ich mit meinen Client-FWs deutlich präziser und unaufwendiger meine einzlnen Clients individuell reglementieren kann, als das an zentraler Stelle möglich wäre, weil das immer mehr oder weniger pauschal eingestellt sein muss, zu Kosten der individuellen Effektivität. Ich will auch keinen Rückschritt mehr nach gestern, mit Static-IP und so, sondern ich will DHCP. Ich will mich auf IPv6 vorbereiten, was zwangsläufig kommen wird und bei dem jeder Client Border-Device ist und via PE/SLAAC mit dem ISP-Prefix seine eigene Internet-taugliche IP-Adresse bildet. Ich will auch dabei nicht das Gestern beibehalten und quasi ein Intranet mit Static ULA's aufbauen und schlimmstenfalls auch noch wieder ein V6NAT etablieren. Und ich will am allerwenigsten am Gestern festhalten, wenn ich IPv6 kriegen kann, es aber abwürge, um weiterhin IPv4 zu betreiben.
Und wenn Du -wie ich- einen Dual-Stack hast, musst Du Dich entscheiden... entweder IPv6 töten, was ich für eine dumme Entscheidung halte, oder IPV6 komplett nach ganz anderen eigenen Anforderungen customizen, als das mit IPv4 möglich/notwendig ist. Oder ein andere Situation, angenommen, Du hast nur DS Lite, also nur IPv6... wie gehst Du dabei mit ICMPv6 um? Einfach so drop'en wie bei V4 geht nicht, dann funktioniert IPv6 nicht mehr. Hier wiederhole ich meine Frage: Hast Du mit Deinem Router über all das die Kontrolle... und zwar basierend auf Sachkenntnis? Und da behaupte ich, wenn Du sie nicht hast bzw. nicht faktisch bestätigen kannst, hast Du sogar eine geringere Sicherheit, als mit einem kommerziellen Router.
Soweit es AVM angeht... tja... ich habe mich dazu entschlossen, dem Router zu vertrauen, so wie mich mich auch entschlossen habe, Windows jegliches Vertrauen zu verweigern und stattdessen Debian vollständig zu vertrauen. Ich hoffe darauf, dass es misstrauische Leute gibt, die bezgl. AVM ihr Vertrauen mit konkreter technischer Untersuchung bestätigt haben und darauf, dass es einen lauten Medien-Knall geben würde, wenn solche Dinge von AVM bekannt werden würden. An dem Tag habe ich dann auch meinen eigenen Custom-Router, aber noch ist es nicht soweit. Und ich glaube, ich kann den dann auch kontrollieren und seine Effizienz auch tatsächlich bestätigen.... aber selbst dann würde ich meine Client-FW beibehalten... weger der besseren Berücksichtigung von individuellen Anforderungen.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Ich halte deine und meine Situation für nicht vergleichbar.TomL hat geschrieben:Deine und meine Situation als die Hobby-Gärtner, die wir zwei sind, (ist) viel eher vergleichbar als die der ganzen Profis
Du weißt, glaube ich, sehr gut, und deine Ausführungen belegen es auch sehr differenziert, dass deine IT-Kenntnisse die meinen bei weitem übersteigen. Insofern ist die Frage:
eine rein rethorische und der dahinter stehende Vorwurf evident.hat geschrieben:ob Du dafür tatsächlich das notwendige Fachwissen hast.
Dann solltest du allerdings auch deine Behauptung belegen, dass
bewirkt, als der allein existierende vorgeschaltete Kauf-Router, von dessen Ausschaltung ja niemand ausgeht.ein solcher Router eher ein höheres Risiko
Die Frage ist für mich doch einzig, ob du das, was du da ziemlich gekonnt, wie ich annehme, da an den "zwei Handvoll Klienten" veranstaltest, nicht besser an einer Maschine veranstaltetest.
Zuletzt geändert von guennid am 02.03.2018 19:46:09, insgesamt 1-mal geändert.