guennid hat geschrieben: 02.03.2018 16:35:42
Vier Argumente für den Linux-Eigenbau-Router, Thomas:
1. es ist einfacher, als jeden Client einzeln abzusichern
2. es ist übersichtlicher und insofern sicherer
3. du hast volle Kontrolle, weil du selbst der Chef bist
Das dritte Argument ist eigentlich das wichtige, welches mich natürlich am meisten interessiert.... und zwar mit der Frage: Wie übst
Du diese Kontrolle aus? Oder genauer gefragt, mit welchen Werkzeugen ermittelst
Du die Wirksamkeit Deiner FW, wie bestätigst
Du die qualitative Effizienz Deiner Router-FW? Ich betone hier an dieser Stelle der Frage das "Du"... was auch die Frage beinhaltet, ob Du dafür tatsächlich das notwendige Fachwissen hast. Wenn Du das nicht kannst, behaupte ich mal, ist ein solcher Router eher ein höheres Risiko, als das er eine tatsächliche Verbesserung der lokalen Sicherheit ermöglicht. Letztendlich wäre die Sicherheit dann durch den Custom-Router nicht wirklich verbessert, sie ist aus Sicht des Kommerzrouters lediglich nicht gravierend verschlechtert.... was aber passieren würde, wenn man aus dem Irrglauben der Sicherheit seines Custom-Routers seinen Kommerz-Router vernachlässigt. Ich betone das "Du" deshalb, weil Deine und meine Situation als die Hobby-Gärtner, die wir zwei sind, viel eher vergleichbar ist, als die der ganzen Profis, die viel mehr über die IT-Pflanzenwelt wissen, als wir beide zusammen...
Kannst Du an Deiner Router-FW z.B. differenzieren, welche Clients FTP in beiden Richtungen dürfen, welche nur eingehend und welche nur ausgehend dürfen? Kannst Du kontrollieren, ob nicht durch eine Fehlbedienung der FW für FTP-Traffic die früher obligatorische komplette Öffnung aller unprivilegierten Port von 1024: in eine der 2 Richtungen erfolgt ist? Kannst Du kontrollieren, dass die Webcams sich via FTP zwar auf den LAN-internen FTP-Server verbinden können, aber keine Verbindung nach außerhalb liegende FTP-Server aufbauen dürfen? Kannst Du festlegen, das einige Clients IMAP-Verbindungen annehmen können, aber selber keinen der zwei IMAP-Ports nach außen öffnen dürfen? Und wieder andere dürfen IMAP, POP3 und SMTP nur ausgehend öffnen, können die betroffenen Ports aber nicht eingehend öffnen. Wie differenzierst Du, dass einige Maschinen Samba-Ports ausgehend geöffnet haben, andere aber nur CIFS. Und wieder andere Maschinen können Samba und CIFS ein- und ausgehend.
Ich weiss, dass man das alles einstellen kann... ich weiss auch, wie ich das kontrollieren kann... die Frage ist, ob
Du als Custom-Router-Betreiber auch kannst. Außerdem bin ich davon überzeugt, dass ich mit meinen Client-FWs deutlich präziser und unaufwendiger meine einzlnen Clients individuell reglementieren kann, als das an zentraler Stelle möglich wäre, weil das immer mehr oder weniger pauschal eingestellt sein muss, zu Kosten der individuellen Effektivität. Ich will auch keinen Rückschritt mehr nach gestern, mit Static-IP und so, sondern ich will DHCP. Ich will mich auf IPv6 vorbereiten, was zwangsläufig kommen wird und bei dem jeder Client Border-Device ist und via PE/SLAAC mit dem ISP-Prefix seine eigene Internet-taugliche IP-Adresse bildet. Ich will auch dabei nicht das Gestern beibehalten und quasi ein Intranet mit Static ULA's aufbauen und schlimmstenfalls auch noch wieder ein V6NAT etablieren. Und ich will am allerwenigsten am Gestern festhalten, wenn ich IPv6 kriegen kann, es aber abwürge, um weiterhin IPv4 zu betreiben.
Und wenn Du -wie ich- einen Dual-Stack hast, musst Du Dich entscheiden... entweder IPv6 töten, was ich für eine dumme Entscheidung halte, oder IPV6 komplett nach ganz anderen eigenen Anforderungen customizen, als das mit IPv4 möglich/notwendig ist. Oder ein andere Situation, angenommen, Du hast nur DS Lite, also nur IPv6... wie gehst Du dabei mit ICMPv6 um? Einfach so drop'en wie bei V4 geht nicht, dann funktioniert IPv6 nicht mehr. Hier wiederhole ich meine Frage: Hast Du mit Deinem Router über all das die Kontrolle... und zwar basierend auf Sachkenntnis? Und da behaupte ich, wenn Du sie nicht hast bzw. nicht faktisch bestätigen kannst, hast Du sogar eine geringere Sicherheit, als mit einem kommerziellen Router.
Soweit es AVM angeht... tja... ich habe mich dazu entschlossen, dem Router zu vertrauen, so wie mich mich auch entschlossen habe, Windows jegliches Vertrauen zu verweigern und stattdessen Debian vollständig zu vertrauen. Ich hoffe darauf, dass es misstrauische Leute gibt, die bezgl. AVM ihr Vertrauen mit konkreter technischer Untersuchung bestätigt haben und darauf, dass es einen lauten Medien-Knall geben würde, wenn solche Dinge von AVM bekannt werden würden. An dem Tag habe ich dann auch meinen eigenen Custom-Router, aber noch ist es nicht soweit. Und ich glaube, ich kann den dann auch kontrollieren und seine Effizienz auch tatsächlich bestätigen.... aber selbst dann würde ich meine Client-FW beibehalten... weger der besseren Berücksichtigung von individuellen Anforderungen.