Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Gemeinsam ins Internet mit Firewall und Proxy.
TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 20:18:04

NAB hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 19:56:40
Mir gefällt diese "entweder auf dem Client oder auf dem Router"-Geschichte irgendwie nicht. Wenn man davon ausgeht, dass irgendein Gerät im LAN kompromittiert sein könnte, dann ist es egal ob's nun der Plastikrouter, der Custom-Router, das Schlaufon, die Glühbirne oder der selbstgestartete Trojaner ist. Eine möglichst sichere Konfiguration jedes einzelnen Gerätes halte ich so oder so für sinnvoll.
Genau das ist auch meine Meinung... wenns passiert ist, isses eh egal, dann liegt das Kind im Brunnen. Insofern baue ich Hürden, die meine Anwender vor sich selber beschützen und nach besten Wissen und Gewissen eine fahrlässige Kompromittierung erschwert und vielleicht sogar verhindert.

guennid

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 02.03.2018 20:38:34

TomL hat geschrieben:Das war doch nur ein hypothetisches Beispiel... wie kann man denn da eine Unterstellung ableiten?
Nein Thomas, das war es nicht. Durch das, was da im Zitat fehlt, was ich bewusst weggelassen habe, weil das eben keine Unterstellung, sondern Sache ist, wird ziemlich deutlich dass das auf mich gemünzt ist. Nach meiner Wahrnehmung bin ich hier so ziemlich der einzige, der shorewall nutzt. Und das, was im Zitat steht, trifft mich eben nicht mehr, ist folglich Unterstellung.
ThomL hat geschrieben:Allerdings fehlt mir noch die Antwort auf die Frage, mit welchen Mitteln Du die Wirksamkeit Deiner Router-FW konkret bestätigt hast...
Die Antwort kann ich dir mangels Fachwissen nicht geben. Ich hab's vor Jahren, als ich begann, meinen Debian Router mit shorewall einzurichten, hier mal versucht, konkrete kritische Rückmeldungen zu erhalten, habe aber das, was dann zurückkam, nur als oberflächliches allgemeines Geschwafel empfunden, das mir nicht weiterhalf und es schnell wieder sein lassen. Eine Erfahrung, die dir nicht fremd ist, wie ich meine.

In diesem Sinne gebe ich ja gerne zu, dass meine firewall überflüssig sein mag und drehe nochmals den Spieß um: was soll daran schädlich sein - mal abgesehen von den eben nicht zutreffenden Unterstellungen.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 20:45:10

pangu hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 20:17:08
Du vernarrst dich aber viel zu sehr in Firewalls und Router. Security ist ein rieeeeeeeeeeeeeeeeeeeßiges Wort von satten 8 Buchstaben, da steckt noch weitaus wichtigeres Zeug drin. Die Firewall/Router Geschichte ist nur ein kleiner Pipiteil davon. Statistisch gesehen nehmen Unternehmen die größten Schäden durch "interne Angriffe".
Nein, überhaupt nicht... ganz im Gegenteil... der Paketfilter ist nur eine Komponente meiner Maßnahmen... und Du bestätigst genau das, was ich immer sage, die eigentliche Gefahr geht von innen aus, nicht von außen... deswegen reglementiert meine FW die Möglichkeiten der User, nicht die vom Internet kommenden Attacken... das übernimmt -so hoffe ich- mein VDSL-Router. Aber was das Vertrauen angeht, ganz ohne -meinetwegen auch Gutgläubigkeit bzgl. der Hardware- gehts eben nicht. Irgendwelche Kompromisse muss man eingehen... oder wie wir früher gesagt haben "einen tod muss man sterben"... das ist unausweichlich.... also vertraue ich darauf, dass die Fritte für von-außen-kommend dicht macht.
Wie kontrollierst du hier? Es gibt für alles Möglichkeiten, es gibt Kontrollmechanismen, es gibt Werkzeuge.
Aufklärung? Gespräche? Das einstimmige und willentliche Vertreten von gemeinsamen familiären Interessen zur Einhaltung der digitalen Privatsphäre? Ich bin da sehr hartnäckig und wir sprechen darüber, was wir wollen, was wir nicht wollen.
Du bist grad mit Scheuklappen so sehr auf die FW/Routergeschichte fixiert dass du alles andere dadurch ausgeblendet hast oder gar nicht erst in Frage stellst.
Wie gesagt, das stimmt überhaupt nicht. Ich befasse mich hier im Moment nur gerade mit der Argumentation und dem Für und Wider eines Custom-Routers, mehr nicht. Und die Scheuklappen sind natürlich dummes Zeug... den Spruch, dass eine Firewall kein Sicherheitskonzept ist, kenn ich schon seit Zonealarm, eine Desktop-FW, die ich schon vor annähernd 20 Jahren umfassend customized habe... die Firewall ist nur ein Faktor im größeren Sicherheitskonzept, keinesfalls mehr. Aber wie gesagt, die anderen Komponenenten meines Konzeptes sind hier nicht diskutiert, insofern ist die Fokussierung auf die FW-Elemente natürlich zwangsläufig, eben weils das Thema ist... was aber nicht bedeutet, dass es bei mir kein grundsätzliches umfassendes Sicherheits-Konzept gibt.
Mein Tip --> spul zurück und stell dir die Frage was du eigentlich erreichen möchtest und davor frag dich nach dem WARUM ? Was ist dein Ziel, was ist es wert an Zeit, Geld und Nerven dafür zu investieren und wie sieht deine Mission aus.
Äh... sorry, ich habe keine Unsicherheiten darüber, was ich erreichen möchte im Verhältnis zu dem, was theoretisch erreicht werden kann. Ich habe mich nur gefragt, welche Sicherheiten sich Leute von einer Custom-Router-FW versprechen bzw. welche Sicherheit dann real ist. Meine Erkenntnis ist bisher, dass er keinen Schaden anrichtet, weil der VDSL-Router im IPv4-Netz sowieso NAT macht und firmware-mäßig alle ankommenden NEW-Pakete blockt, sofern die Ports nicht geöffnet sind und weitergeleitet werden.... aber er hat auch imho ohne deutliche Sachkenntnis nur einen sehr begrenzten Nutzen für die Sicherheit... was noch mal gravierend beeinflusst wird, wenns um Global-Scope-IPv6-Adressen geht.
Du kannst 1 Jahr opfern und deine selbstgestrickte FW/Routerkombination aufzustellen und zu betreiben.
Eigentlich ist es genau das, was ich nicht will... ich habe eigentlich nur Argumente gesucht, die mich genau davon abbringen. Was mich erstmal erschüttert hat, war die Sichtweise, dass ein Kommerz-Router perse als kompromittiert zu bezeichnen ist... darauf war ich nicht vorbereitet. Aber nachdem ich drüber nachgedacht habe, habe ich mich entschlossen, dieses Risiko einzugehen.
Zuletzt geändert von TomL am 02.03.2018 21:17:42, insgesamt 6-mal geändert.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 20:50:20

guennid hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 20:38:34
Nein Thomas, das war es nicht. Durch das, was da im Zitat fehlt, was ich bewusst weggelassen habe, weil das eben keine Unterstellung, sondern Sache ist, wird ziemlich deutlich dass das auf mich gemünzt ist.
Mönsch Günni... komm runner... Du glaubst doch nicht allen Ernstes, ich hätte dabei an Dich gedacht... welches Interresse sollte ich haben, Dir ans Bein zu pissen...?... vergisses, das ist Mist und stimmt so nicht. Das mir in dem Moment Shorewall in den Sinn gekommen ist, ist reiner Zufall, das hätte genauso gut ufw sein können... ich kenne nur keine anderen... aber bei der Nennung von Shorewall habe ich an eines nicht gedacht, und zwar an Dich.... zumal ich das ja selber auch einschätzen kann, wenn ich mich an den WLAN-Thread erinnere. Also hak das ab... Du bist nicht das Thema... :-)

guennid

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 03.03.2018 11:39:06

Akzeptiert Thomas.

Was mir gerade so durch den Kopf geht: Kann es sein, dass deine Frage nicht so richtig passt? Eigentlich willst du doch dieses diskutieren: "Sicherheitsunterschiede? Linux-Custom-Router vs. individueller Client-Sicherung." :wink:

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 03.03.2018 13:56:48

guennid hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 11:39:06
Was mir gerade so durch den Kopf geht: Kann es sein, dass deine Frage nicht so richtig passt? Eigentlich willst du doch dieses diskutieren: "Sicherheitsunterschiede? Linux-Custom-Router vs. individueller Client-Sicherung."
Nee, dieser Vergleich hätte eigentlich überhaupt nicht zu meinen Absichten gepasst. Und ja, ich gebe zu, dass meine Betrachtungsweise hier eher unorthodox ist. Der markante Unterschied in meiner Sichtweise ist, dass die Client-Firewall (mir passt der Begriff Firewall hier eigentlich gar nicht) gegen den User gerichtet ist, und die Router-Firewall ist gegen das Internet gerichtet.
Ich kann die Router-Firewall nicht so individuell ausgestalten, dass sie gegen das Internet und gleichzeitig gegen den User die gleiche Wirkung hat, wie ein Paketfilter auf dem Client-PC selber... einfach deshalb nicht, weil auf dem Router die Belange von vielen Clients aus dem Netz berücksichtigt werden müssen. Das heisst, auf dem Router gibt es mehr pauschale Einstellungen. Wenn ich das wirklich tun wollte, müsste ich wieder mit diesem Quatsch mit Static-IPs anfangen, was gsd hier seit langem beseitigt ist und was imho sowieso nicht funktioniert, wenn man Global-Scope-IPv6-Adressen verwendet. Damit würde der Verwaltungsaufwand explodieren, weil man dann entweder auf ULA-Adressen ausweichen muss oder permant auf ISP-Prefix-Aktualisierung prüfen muss... was ich beides hier rigoros ablehne.

Für mich war die Frage interessant, ist der Custom-Router hinter dem DSL-Router ein Globuli, Gesundbeten oder hat er tatsächlich eine sinnvolle Bedeutung. Und da ich mich nach diesem Thread dazu entschlossen habe, AVM nicht zu misstrauen, sehe ich für uns mit einem solchen Teil nur eine Verschlechterung... ein zusätzlicher unnützer Hop für IPv6, und ein zusätzliches unnützes NAT für IPv4, eine weitere Hardwareanschaffung, weitere Energiekosten, weiterer Verwaltungsaufwand... also nix dabei, was ich mir wünsche oder was ich als sinnvoll erachte. Vor einem anderen Hintergrund und unter anderen Rahmenbedingungen kann das natürlich alles gaaaanz anders sein... wie.zb. bei DS-Lite oder reinem IPv4-DSL.... das muss aber jeder für sich selber herausfinden.

guennid

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 03.03.2018 14:41:08

TomL hat geschrieben:Ich kann die Router-Firewall nicht so individuell ausgestalten, dass sie gegen das Internet und gleichzeitig gegen den User die gleiche Wirkung hat, wie ein Paketfilter auf dem Client-PC selber... einfach deshalb nicht, weil auf dem Router die Belange von vielen Clients aus dem Netz berücksichtigt werden müssen.
Also ich lese das als Bestätigung meiner Vermutung. :wink:
TomL hat geschrieben:sehe ich für uns mit einem solchen Teil nur eine Verschlechterung...
Das mag dann wohl so sein, beurteilen kann ich das nicht. :wink:

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 03.03.2018 15:03:35

Mal ein Zwischenstand:
Was du beabsichtigst oder tust, fällt unter den Fachbegriff "Personal Firewall". Dazu wurde im Thread bereits geschrieben, nicht nur von mir.
Dazu findet sich im Internet viel. :wink:
Zu Consumer- oder Plastikroutern, insbesondere AVM war selbst ich blauäugig, hat @NAB hier schön zusammengefasst:
Da ja inzwischen herausgekommen ist, dass es sich bei dem mysteriösen "Kommerz-Router" um ne popelige Fritzbox handelt und nicht etwas um was Schickes von Cisco, noch ein paar Links dazu:
viewtopic.php?f=18&t=168878&start=30#p1166815

Haupteinfallstore für Malware sind (neben Exploits, DDoS, Bufferoverflows, heimlichen Backdoors/Management-Zugriff) hauptsaechlich Mail-Clients, Browser mit Javascript und nicht vollständig kontrollierbare "Bring Your Own Devices", private Smartphones, Laptops etc. Dagegen könnte Personal Firewall, Sandboxing/VM auf Clients und Gastnetz helfen. Inwieweit Nutzer damit verbundene Unbequemlichkeiten akzeptieren (müssen) steht auf einem anderen (privatem vs. professionellem) Blatt.

Eine Hardwarefirewall kann nicht so granular regeln wie eine Personal Firewall auf PC. Erstere ist nicht durch Nutzerhandlungen angreifbar, letztere kann zwar bis auf Applikationsebene regeln, tritzdem leichter kompromittierbar einschließlich Gesamtsystem!

Die Firmware von Consumer-Routern und professionellen Routern ist proprietär, Closed Source. Exploits treten bei beiden auf. Professionelle Firmen (Cisco) reagieren weit transparenter und proaktives als AVM, TP-Link. Code Reviews sind nur bei Open-Source-Firewalls (PFSense, OPNSense, IPFire & Co.) möglich. Letztere Systeme sind bereits von Profis "gehärtetet". Mehr als eine selbstgebaute Linux-Firewall, die schwer zu administrieren ist: Verstreuselte Konfigs, Logs, Parameter: viewtopic.php?f=37&t=168594#p1166796
(Schon realisiert oder gar nicht gewusst? :wink: Vorschlag meinerseits wäre spezielle, von Experten in langjähriger Arbeit gehärtete OS-Distribution für Firewall = Einsparung Lebenszeit, Fahrrad muss nicht mehrfach erfunden werden!)

Nun habe ich nicht mehr viel Lust, zu schreiben, selber Vor- und Nachteile einer Personal Firewall bezüglich Hardwarefirewall bzw.deren Ergänzung untereinander lesen: https://de.wikipedia.org/wiki/Personal_Firewall
Fefe macht's kurz: https://www.fefe.de/pffaq/ mit Links :wink:
Ach ja, Schlangenoel bezieht sich nur auf Windows, nicht auf Linux??? Irrtum: Es ist ein Unterschied, einen einzelnen Root-Server ohne DE unter Administrationshoheit einer Einzelperson mit iptables (in dem Falle auch "Personal Firewall") zu sichern als ein ganzes Netzwerk von Hosts mit (erfahrungsgemäß vorauszusetzenden unerfahrenen, undisziplinierten) Nutzern, die ein Desktop-Environment, Mail-Clients und Browser mit Javascript und demzufolge künftige, unbekannte Malware zu Verfuegung haben oder haben könnten.

Des Weiteren möchte ein professioneller Administrator ein Netzwerk effizient und demzufolge vorzugsweise zentral regeln, nicht ganztägig nur wenige PCs einzeln reglementieren und Umsetzung der Regeln prüfen (Log-Auswertung) und bei Bedarf an mehreren Stellen/Hosts ändern, dabei Teile vergessen (Konfig, Doku, Log-Durchsicht). Schon damit werden zentrale Lösungen bevorzugt, auf Hosts einfach Standard-Konfigs
eingesetzt. Eine Frage der professionellen Effizienz - oder der aufgewendeten Lebenszeit im Ruhestand dafür. :wink:

@TomL: Dein Vertrauen kann doch nur auf Personal Firewall, Sandboxing/VMs der Browser, Disziplin, (unnötiger, zu weit gehender?) Reglementierung deiner Nutzer bezüglich Nutzung dessen und vorausgesetzter Disziplin bei Mail-Bearbeitung und (zu) viel Gottvertrauen in AVM und keine Kompromittierung der Systeme mit Personal Firewall beruhen? M. E. zu viele Voraussetzungen, Annahmen, Fehlermoeglichkeiten für erwünschte Sicherheit.

So, fertsch, ohne Schlechtschreibkorrektur.

Edit, tl;dr: Man sollte auch privat gewichtige Gründe haben, mehr zu tun, als in Firmen mit Profi-Admins (und hier wohl nur Linux-Clients) bewährte Standards sind: M. E. professionelle Firewall (privat Open Source) und Segmentierung von Servern, DMZ, Filialen und möglichst einheitlichen Clients mit VLANs und Sicherheitszonen - möglichst KISS-Prinzip - sonst mehr Fehler, weniger Erkennungsmerkmale!!!
In privaten Netzen dürften Sicherheitszonen für WAN, LAN, WLAN, DMZ bzw. Teile davon genügen. Siehe "4 Farben" von IPFire. :wink:
Zuletzt geändert von BenutzerGa4gooPh am 03.03.2018 17:02:42, insgesamt 25-mal geändert.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 03.03.2018 15:10:56

guennid hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 14:41:08
Also ich lese das als Bestätigung meiner Vermutung.
Nein, es geht nicht um Vor- oder Nachteile des Paketfilters auf dem Client-PC... der ist gesetzt, alternativlos und zementiert und steht bei mir gar nicht zur Debatte. Es geht wirklich nur um die Sinnhaftigkeit des Routers hinter dem Router, ob das die Situation unter meinen Rahmenbedingungen verbessern würde oder nicht.... und es geht auch nicht um den Fall, wenn der Custom-Router selber Border-Device ist... das wäre wieder ein anderer Fall.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 03.03.2018 15:24:20

TomL hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 15:10:56
... die Sinnhaftigkeit des Routers hinter dem Router, ob das die Situation unter meinen Rahmenbedingungen verbessern würde oder nicht....
So wie Du deinen Client-PC z. Zt. abgesichert hast, ist m. E. ein Router hinter dem Router (der border device ist), keine Verbesserung in puncto Sicherheit. Du könntest deinen Client-PC mit dieser Absicherung, auch direkt (d. h. ohne Router) im Internet benutzen.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 03.03.2018 15:36:53

mat6937 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 15:24:20
So wie Du deinen Client-PC z. Zt. abgesichert hast, ist m. E. ein Router hinter dem Router (der border device ist), keine Verbesserung in puncto Sicherheit. Du könntest deinen Client-PC mit dieser Absicherung, auch direkt (d. h. ohne Router) im Internet benutzen.
:THX:

Das ist doch genau die bestehende Situation, die mit Verwendung von IPv6 bei mir vorliegt... und zwar dann, nachdem eine Verbindung von innen nach außen etabliert wurde. Ab dann ist mein Interface mit seiner IPv6 direkt Client im Internet. Meine Hintergedanken dabei sind, dass ich das IPv6-Netz Zuhause auf dem Client mit gleicher Skepsis und mit gleichem Misstrauen betrachte, als würde ich auf Reisen meinen Laptop an einem offenen/unbekannten WLAN-AP verbinden. Das, und meine Absicht, es dem User zu erschweren oder zu verbieten, Anwendungen oder Protokolle oder Schnittstellen (Ports) zu verwenden, die nicht erlaubt sind.

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 03.03.2018 17:06:57

mat6937 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 15:24:20
Du könntest deinen Client-PC mit dieser Absicherung, auch direkt (d. h. ohne Router) im Internet benutzen.
Mit komplettem Desktop-Environment, mehreren Nutzern, Browser/Javascript, Mail-Client würde ich das nur mit Personal Firewall nicht mehr tun. Die Zeiten von Desktop-PCs mit Modems und kurzfristigen, niederbitratigen Wählverbindungeng sind lange vorbei. Im Thread geht es um Personal Firewall auf mehreren Desktop-PCs hinter welchem ratsamen Router (proprietär vs. Open-Source-Eigenbau).

Oder wo hat der TO geschrieben, dass es um einen reine Server geht?
Nun IPv6 als neues Protokoll (ohne NAT) in's Spiel zu bringen, verschärft die Sache noch.

Es erscheint keineswegs plausibel, warum mehreren Hosts mit Personal Firewalls in Verbindung mit einem proprietären Plastikrouter zumindest mit mangelhaften Segmentierungs- (VLAN, Zonen) und Logmoeglichkeiten vertraut wird!

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 03.03.2018 18:02:52

Jana66 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 17:06:57
Mit komplettem Desktop-Environment, mehreren Nutzern, Browser/Javascript, Mail-Client würde ich das nur mit Personal Firewall nicht mehr tun.
Wie bzw. gegen was hilft zusätzlich ein (IPv4-)Router hier, bei einem komplettem Desktop-Environment?

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 03.03.2018 18:26:21

Jana66 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 17:06:57
Mit komplettem Desktop-Environment, mehreren Nutzern, Browser/Javascript, Mail-Client würde ich das nur mit Personal Firewall nicht mehr tun. Die Zeiten von Desktop-PCs mit Modems und kurzfristigen, niederbitratigen Wählverbindungeng sind lange vorbei. Im Thread geht es um Personal Firewall auf mehreren Desktop-PCs hinter welchem ratsamen Router (proprietär vs. Open-Source-Eigenbau).
Jana, Du solltest vielleicht weniger frei interpretieren und Dich dafür mehr an den genannten Fakten orientieren. Natürlich gibt es für mich wiederholt kurzfristige Einwählverbindungen... an Routern, die ich NICHT kenne und wo ich mich mit IPv6 durchaus als Border-Device verstehen muss. Natürlich nicht an meinem PC zuhause, aber dafür mit meinem Laptop, den ich auf Reisen mitnehmen. Aber ich richte beide Maschinen zur Aufwandsminimierung natürlich identisch ein.... warum..?... wie ich schon sagte, ich stufe IPv6 auf die Risikosituation auf, die ich bei offenen WLAN-AP vermute.
Oder wo hat der TO geschrieben, dass es um einen reine Server geht?
Nein, habe ich zu keiner Zeit. Und um das weiter zu verkomplizieren, natürlich läuft auch auf meinem Server der Paketfilter... dergestalt, dass der überhaupt nur 2 oder 3 Ports von sich aus öffnen darf... dem ist jedweder von ihm ausgehender (CT-State NEW) Verkehr ins Internet verboten.
Nun IPv6 als neues Protokoll (ohne NAT) in's Spiel zu bringen, verschärft die Sache noch. Toms "Daumen" könnte für eine Filterblase (unreflektierte gern gesehene Bestätigung der eigenen Meinung) zeugen. Sorry.
Das ist so unsachlich, wie es falsch ist... in Wahrheit bedeutet der Daumen, dass ich meine erkannt zu haben, dass er sowohl problemverursachende Umstände als auch Lösung verstanden hat. Ich brauche keine Bestätigung für meinen Paketfilter, ich weiss, dass der "hart" ist, weil alle Policies "DROP" sind und am Ende jeder Chain gnadenlos rejected wird. Das heisst, es funktioniert rein und raus nur das wenige, was ich ausdrücklich erlaubt habe.
Es erscheint keineswegs plausibel, warum mehreren Hosts mit Personal Firewalls in Verbindung mit einem propietaerem Plastikrouter mit mangelhaften Segmentierungs- (VLAN, Zonen) und Logmoeglichkeiten vertraut wird!
Also empfiehlst Du allen Linux-Usern, die in der Mehrheit vermutlich und üblicherweise ohne FW unterwegs sind, wegen der mangelhaften Plastikrouter am Besten alle Kontakte zum Internet einzustellen...?... als Resümee, wenn Internet sogar auch MIT lokalem Paketfilter absolut unvertrauenswürdig ist? Mannomann... was hat das denn noch mit der normalbürgerlichen Realität zu tun... ?... oder mit der von mir mehrfach angesprochenen Verhältnismäßigkeit?

Manchmal wundere ich mich nur noch, warum für soviele Leute immer der größere Ehrgeiz darin besteht, etwas schlechtzureden, als einfach mal die Vorteile einer wirklich einfachen (und keinesfalls schadenden) Maßname und deren effektive Verbesserung zum vorherigen Zustand zu akzeptieren ... mit der bei mir und unter unseren Rahmenbedingungen gleich zwei Effekte erreicht werden: Zuhause erspart es mir einen weiteren Router, unterwegs sichere ich mich gegen unbekannte Router. Was ist daran verkehrt? Was muss man daran noch kritisieren? Wieso muss man an dieser Maßnahme den Maßstab des US DoD oder eines kommerziellen zertifizierten RZ anlegen und generell alle mangelhaften Plastikrouter als Gefahr definieren? Welchen konstruktiven Sinn hat es, auf Schwächen rumzureiten, die wahrscheinlich dem Standard für 99,9% aller privaten Internetbenutzer entsprechen?

Um das Gelaber zu beenden... ich habe mit diesem Thread nur eine Bestätigung meiner Meinung gegen den zweiten Router gesucht, oder andersrum (was ich aber nicht erwartet habe) konkrete Hinweise auf eine Notwendigkeit dafür. Aber beides geht aus Mat's Antwort, der ich den Daumen-Hoch gegeben habe, gar nicht draus hervor. Er hat lediglich festgestellt, welche zusätzliche Wirkung/Bedeutung mein Paketfilter hat... und das habe ich wieder auf meine Rahmenbedingungen projiziert... eben mit IPv6 und Reisen.

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 04.03.2018 12:34:24

Jana66 hat einige nützliche Links gepostet. Einer davon bringt es kurz und präzise auf den Punkt. Ich zitiere und wiederhole:

https://www.fefe.de/pffaq

Wer das nicht akzeptieren, wahrhaben oder glauben möchte, selber schuld. Alles andere ist Wunschdenken und Balsam für die eigene Meinung.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 04.03.2018 13:09:41

pangu hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 12:34:24
https://www.fefe.de/pffaq
Nunja, ein 17 Jahre altes Dokument, das sich auf Windows XP bezieht, ist in dieser Diskussion schlicht irrelevant:

1. eine selbskonfigurierte "Firewall" auf eine Linuxrechner hat ein ganz anderes Sicherheitsniveau als die damaligen Windows "Firewalls".

2. Der Vertrauensfaktor von Closed Source Firewalls ist nunmal ein anderer als der von Opensource, und iptables und der Linuxkernel sind nunmal open Source.

3. Die Aussage, das selbst closed source Firewalls die Sicherheit nicht erhöhen, ist in den letzten 17 Jahren ganz locker widerlegt worden. In Zeiten, als Windows XP mit zwei Mausklicks kompromitiert werden konnte, waren personal Firewalls tatsächlich ein ganz erheblicher Sicherheitsgewinn und die Infektionsraten gingen in der Folge, als immer mehr Leute die Dinger installiert haben, ganz drastisch zurück.

Mit anderen Worten, fefe ist hier schlicht veraltet und eigentlich lag er damals schon falsch.

Ich halte personal Firewalls aus einem anderen Grund für problematisch, als komplett sinnlos würde ich sie dennoch nicht verteufeln. Schadsoftware beinhaltet immer auch Techniken, um die Rechte auszuweiten. Hat so ein Programm erstmal root-Rechte, kann sie auch sämtliche Firewallregeln löschen. Der Benutzer wiegt sich dann aber in der falschen Sicherheit, daß er ja eine Firewall hat. Auf die Regeln im Router hat die Schadsoftware auf dem Client jedoch keinen Zugriff. Und ja, die wichtigste Aufgabe einer Routerfirewall ist, den ausgehenden Verkehr zu filtern, eingehend braucht man sich dank NAT kaum Sorgen machen, von aussen kommt keiner auf einen Client, wenn im Router keine "heimlichen" Löcher, Portforwards oder Backdoors existieren.

Wenn man seinen Router allerdings richtig absichert, bringt die personal Firewalls keinen zusätzlichen Schutz. Man hat dann nur mehr Administrationsaufwand, weil man die ganzen Clients individuell nachziehen muß, wenn man an der Konfiguration etwas ändern muß.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 04.03.2018 13:39:33

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Hat so ein Programm erstmal root-Rechte, kann sie auch sämtliche Firewallregeln löschen. Der Benutzer wiegt sich dann aber in der falschen Sicherheit, daß er ja eine Firewall hat. Auf die Regeln im Router hat die Schadsoftware auf dem Client jedoch keinen Zugriff. Und ja, die wichtigste Aufgabe einer Routerfirewall ist, den ausgehenden Verkehr zu filtern, eingehend braucht man sich dank NAT kaum Sorgen machen, von aussen kommt keiner auf einen Client, wenn im Router keine "heimlichen" Löcher, Portforwards oder Backdoors existieren.

Wenn man seinen Router allerdings richtig absichert, bringt die personal Firewalls keinen zusätzlichen Schutz. Man hat dann nur mehr Administrationsaufwand, weil man die ganzen Clients individuell nachziehen muß, wenn man an der Konfiguration etwas ändern muß.
Naja, mit dem reinen bzw. alleinigen installieren/setzen der Firewallregeln ist es ja noch nicht getan.
Als Benutzer muss man mehr oder weniger ständig (d. h. mit verhältnismäßigem Aufwand) auch nachschauen/prüfen, ob diese Regeln noch da sind (wo sie sein sollen) und richtig funktionieren. Wenn sich Schadsoftware (Programm mit root-Rechte) auf dem Client eingenistet hat, dann kann oder könnte diese ja nicht nur sämtliche Firewallregeln löschen, sondern auch von innen ein Loch in den Router bohren, so dass von außen (trotz Router) sehr wohl jemand auf den Client kommen kann bzw. kommen könnte.

Und ja, ein Router mit NAT und Firewall/etc. ist OK, aber was macht man wenn man sein Gerät/Laptop/etc. nicht nur am heimischen Router/Firewall/etc. nutzt/verwendet/anschließt? Man kann ja im Vorfeld, den _fremden_ Router/Firewall/Gateway/etc. nicht (immer) "auditieren" und auch nicht entsprechend seiner eigener Bedürfnisse/Vorstellungen optimieren bzw. konfigurieren.

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 04.03.2018 14:41:18

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Nunja, ein 17 Jahre altes Dokument, das sich auf Windows XP bezieht, ist in dieser Diskussion schlicht irrelevant:

1. eine selbskonfigurierte "Firewall" auf eine Linuxrechner hat ein ganz anderes Sicherheitsniveau als die damaligen Windows "Firewalls".

2. Der Vertrauensfaktor von Closed Source Firewalls ist nunmal ein anderer als der von Opensource, und iptables und der Linuxkernel sind nunmal open Source.

3. Die Aussage, das selbst closed source Firewalls die Sicherheit nicht erhöhen, ist in den letzten 17 Jahren ganz locker widerlegt worden. In Zeiten, als Windows XP mit zwei Mausklicks kompromitiert werden konnte, waren personal Firewalls tatsächlich ein ganz erheblicher Sicherheitsgewinn und die Infektionsraten gingen in der Folge, als immer mehr Leute die Dinger installiert haben, ganz drastisch zurück.

Mit anderen Worten, fefe ist hier schlicht veraltet und eigentlich lag er damals schon falsch.
Seh ich nicht so, er hat absolut Recht. Es geht nicht um Windows oder Linux sondern um das Prinzip der Sicherheit.
pangu hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 12:34:24
https://www.fefe.de/pffaq
A firewall is a computer security concept, not a piece of software.
You can't improve security of an untrusted system by installing another untrustworthy piece of software.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 14:57:30

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Nunja, ein 17 Jahre altes Dokument, das sich auf Windows XP bezieht, ist in dieser Diskussion schlicht irrelevant
Ich möchte da widersprechen... ich glaube, dass diese Aussage absolut nichts an ihrer Aktualität verloren hat. Für mich ist sie sinngemäß und inhaltlich bezogen auf mein Sicherheitskonzept seit jeher eine der maßgeblichen Grundlagen, die imho nur sehr wenig allein mit Win XP zu tun. Ich habe das mal schnell übersetzen lassen, damit man weiss, was er sagt:
Zitat:
"Warum verbessern sie nicht die Sicherheit?

Sie können die Sicherheit eines nicht vertrauenswürdigen Systems nicht verbessern, indem Sie eine andere nicht vertrauenswürdige Software installieren. Sie haben weder den Quellcode für das Betriebssystem noch für die neue Software, so dass es unmöglich ist, zu überprüfen, ob sie überhaupt etwas tut, geschweige denn die Sicherheit zu verbessern. Im Gegenteil, das Hinzufügen von Software erhöht die Komplexität des Systems und erhöht die Wahrscheinlichkeit für unentdeckte Fehler und mögliche neue Sicherheitsprobleme.

Eine Firewall ist ein Computersicherheitskonzept und keine Software. Anbieter, die Ihnen unter dem Label "Firewall" ein Stück Software (oder sogar ein Stück Hardware) verkaufen, betrügen Sie.

Wenn Sie ernsthaft die Sicherheit auf Ihrem Rechner verbessern wollen, müssen Sie die Codegröße reduzieren, nicht erhöhen! Und egal, wie viel Software Sie entfernen, solange Sie nicht über den Quellcode für den Rest verfügen, sind Sie immer noch nicht einmal aus der Ferne sicher. Ziehen Sie in Betracht, Windows fallenzulassen und zu einem sichereren Betriebssystem zu wechseln."


Ich sehe hier nur einen Punkt, der abweicht... ich habe für meine Personal Firewall (mir gefällt der Begriff hier immer noch nicht, weil ich das nicht habe) keine "andere nicht vertrauenswürdige Software" installiert, ich verwende einfach den Paketfilter nativ, so wie er direkt im System resp. vom Kernel unterstüzt wird.
MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Wenn man seinen Router allerdings richtig absichert, bringt die personal Firewalls keinen zusätzlichen Schutz. Man hat dann nur mehr Administrationsaufwand, weil man die ganzen Clients individuell nachziehen muß, wenn man an der Konfiguration etwas ändern muß.
Das eine hat mit dem anderen nur indirekt zu tun. Am Router kann ich beispielsweise bei Verwendung von DHCP nicht verhindern, dass am Client unprivilegierte Ports geöffnet werden, wenn die Verwendung solcher Ports im LAN für andere Clients grundsätzlich erlaubt sein muss. Die Personal FW ist mit der Router-FW nur dann vergleichbar, wenn sie das gleiche Ziel haben, also wenn beide Devices in gewisser Weise Boarderdevices sind und gegen das Internet wirken. Aber wie ich schon an anderer Stelle sagte, ich halte von einer Personal Firewall heute nix mehr und ich würde mir die auch nicht mehr installieren.

Mir kann keiner sagen, ohne das nicht auch sofort konkret zu belegen, dass ein lokaler sehr restriktiver Paketfilter hinter einem Kommerzrouter nicht zusätzlich maßgeblich die Sicherheit erhöht, weil eben gerade damit individuell die Userfreiräume bzw. der Missbrauch der Rechte des Users deutlich eingeschränkt werden.
Gleichermaßen ist mir ist auch klar, dass es niemals der Paketfilter alleine sein kann.... der ist nur ein Baustein innerhalb eines Bauwerks... aber er erhöht dennoch die gesamte Stabilität... oder anders ausgedrückt, die des Immunsystems des nicht-kompromittierten Systems.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 04.03.2018 15:15:19

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 14:57:30
"Warum verbessern sie nicht die Sicherheit?
...


Ich sehe hier nur einen Punkt, der abweicht... ich habe für meine Personal Firewall (mir gefällt der Begriff hier immer noch nicht, weil ich das nicht habe) keine "andere nicht vertrauenswürdige Software" installiert, ich verwende einfach den Paketfilter nativ, so wie er direkt im System resp. vom Kernel unterstüzt wird.
Und genau deshalb ist der blaue Text in deinem Fall schlicht irrelevant.
MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
WAm Router kann ich beispielsweise bei Verwendung von DHCP nicht verhindern, dass am Client unprivilegierte Ports geöffnet werden
Das mußt du aber mal genau erklären. DHCP isdt nämlich kein magische Voodo-unpriviligierte-ports-Öffner. Du kannst so viel DHCP verwenden, wie du willst, Ports öffnet das nämlich in keinem Fall, schon gar keine, über die man an der Firewall vorbei kommt.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 15:24:29

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:15:19
Und genau deshalb ist der blaue Text in deinem Fall schlicht irrelevant.
Das ist dann ein Fazit, was sich an dieser früheren Aussage von Dir anschließt:
1. eine selbskonfigurierte "Firewall" auf eine Linuxrechner hat ein ganz anderes Sicherheitsniveau als die damaligen Windows "Firewalls".
Ja, aus der Perspektive betrachtet stimmt das und ich gebe Dir Recht.
MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Das mußt du aber mal genau erklären. DHCP isdt nämlich kein magische Voodo-unpriviligierte-ports-Öffner.
Mit DHCP ist aber der Client auf dem Router nicht eindeutig identifizierbar.... allenfalls über die MAC... was aber alles auf dem Router enormen Aufwand zur Identifizierung des Clients beinhaltet oder nachsichzieht... bei der Prüfung, ob dieser "Patient" überhaupt darf, was er da tut. Und eine solche exklusive "Behandlung" ist auf dem Kommerzrouter (meiner Fritte) sowieso nicht möglich. Dieses Problem habe ich beim lokalen Client-Paketfilter nicht... da gibts keine Verwechselungsgefahr durch wechselnde IPs. Ich hatte das schon mehrfach erwähnt, das ließe sich nur durch Verwendung von Static-IPs lösen... was für mich aber ein Rückschritt ins Gestern ist und was ich wegen des Aufwandes ablehne. Außerdem hätte ich dann einen Mischbetrieb, weil gewisse Clients nur DHCP können. Insgesamt würde da der Aufwand m.M.n. deutlich mehr sein, als ich jetzt habe.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 04.03.2018 15:37:10

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:24:29
... der Client auf dem Router nicht eindeutig identifizierbar.... allenfalls über die MAC...
Ja, ... und die MAC-Adresse auf dem Client kann man ganz einfach spoofen.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 15:48:45

mat6937 hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:37:10
Ja, ... und die MAC-Adresse auf dem Client kann man ganz einfach spoofen.
Ja, das stimmt... aber "kann" impliziert "können"... und genaus das gibts hier bezogen auf meine User nicht. Und selbst wenns sie es könnten, dann fehlt die Absicht... weil weder Absicht noch Erfolg irgendeinen Benefit hätte.

Mir gehts mit dem Paketfilter wirklich nur um die verdeckte Einschränkung von Userverhalten, die gar nicht offenkundig bemerkbar sein soll. Wie der Tempobegrenzer, der sich sowieso nie bemerkbar macht, solange die Karre nicht ausgefahren wird. Und wenns dann aufgrund einer unbemerkten Fahrlässigkeit vielleicht wirklich zu einer nichtgewollten Aktion kommt, so hoffe ich, dass dann im richtigen Moment ein Reject solcher Pakete ausgeführt wird. Es ist alles "offen", was der User für die uns bekannten Jobs können muss... schleicht sich da vielleicht was anderes, neues ein, sollten dafür allerdings die Tore gleich an mehreren Stellen zu sein.

Aber mir fällt gerade auf... das ist alles total OffTopic.... das war gar nicht Bestandteil der Frage... und ein lokaler Paketfilter ist auch nicht als Konkurrenz zu einem gut-verschlossenen Router zu sehen. Die Frage war, verbessert ein Custom-Router die Sicherheit im Vergleich zu einem Kommerzrouter? Bezogen auf unsere Rahmenbedingungen glaube ich das jetzt nicht mehr.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 04.03.2018 15:54:53

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:24:29
Mit DHCP ist aber der Client auf dem Router nicht eindeutig identifizierbar.
Richtig. Ich halte das jedoch nicht für ein Problem. Ich bin auch nicht der Meinung, daß das Aufgabe eines Paketfilters ist.
Und eine solche exklusive "Behandlung" ist auf dem Kommerzrouter (meiner Fritte) sowieso nicht möglich.
Richtig. Aus dem Grunde halte ich von diesen Plastikroutern auch nichts.
Dieses Problem habe ich beim lokalen Client-Paketfilter nicht... da gibts keine Verwechselungsgefahr durch wechselnde IPs.
Bei mir wechselt die IP-Adresse trotz DHCP nicht. Per Default vergibt mein DHCP-Server nämlich immer die selbe IP an die Clients.

OK, ein Fremdclient (z.B. Rechner eines Besuchers) bekommt natürlich eine neue IP, der bringt aber auch garantiert keinen von dir konfigurierten Paketfilter mit, hätte also Zugriff auf die große böse weite Welt. Hier ist also eine Lücke in deinem Sicherheitskonzept.

Die eigenen Clients im Netz hat man hoffentlich im Griff. Wenn man aber dem/der 10-jährigen das Surfen nach 21.00h verbieten will, sind lokale Filter ziemlich sinnlos, die sind schneller ausgehebelt als eingerichtet. Das kann man effektiv nur auf der Routerfirewall regeln.

Auch, wer auf 6-Seiten Zugriff haben darf, läßt sich praktisch nur im Router regeln. Ein Proxy ist das Mittel der Wahl, mit dem man eine Authentifizierung mit Benutzer und Paßwort durchführen kann und abhängig davon die Surfzeitgen und die erlaubten Seiten einschränken kann.

E-Mail sollte man ebenfalls auf einen Server zuhause holen. Dadurch entfällt die Notwendigkeit, daß jeder Client Zugriff auf den SMPT und IMAP Host des Mailproviders braucht. Mailports braucht man also im Router gar nicht nach aussen zu lassen.

Genauso kann man mit allen anderen Ports verfahren. Von innen kommt dann keiner mehr nach aussen, egal wie verseucht der Client sein mag. Die personal Firewall bringt dann eben auch keinen Zusatznutzen, aber nicht aus dem Grund, die fefe anführt, sondern weil die zentrale Firewall für Sicherheit sorgt.

Und da schließt sich eben der Kreis. Ein Plastikrouter ist ein offenes Scheunentor, das man notdürftig mit personal Firewalls flicken kann. Ein Linuxrouter kann diese Aufgaben alle zentral übernehmen, ohne die Clients ständig im Blick haben zu müssen.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 04.03.2018 15:55:26

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:48:45
... und genaus das gibts hier bezogen auf meine User nicht. Und selbst wenns sie es könnten, dann fehlt die Absicht... weil weder Absicht noch Erfolg irgendeinen Benefit hätte.
Für deine User nicht, ... aber ich meinte das so: wenn sich ein anderer (fremder) User als dein User, von der Firewall (Router) anhand (nur) der MAC-Adresse identifizieren (erkennen) lassen will. D. h., er (der Fremde) könnte die MAC-Adresse von einem deiner User "übernehmen".

Antworten